A Lei Geral de Proteção de Dados (lei 13.709/18), sancionada em agosto do ano passado e com entrada em vigor a partir de agosto de 2020, já é uma realidade com a qual todos teremos que lidar. Mantendo similaridade com a versão europeia da lei, a General Data Protection Regulation (GDPR), a nova legislação estabelece os direitos do titular dos dados, bem como as obrigações e proteções que devem ser seguidas pelas empresas.
Trata-se da privacidade de cada um de nós como um dos direitos fundamentais do homem. A Organização das Nações Unidas já encara a privacidade desta forma, assim como também a Organização para a Cooperação e o Desenvolvimento Econômico (OCDE) a coloca como condição. Então, todos os países que realmente querem um assento definitivo nessas organizações e querem fazer negócios internacionais, tem que provar que estão obedecendo a esse preceito.
Isso vai muito além da privacidade dos dados. Estamos falando da privacidade de cada pessoa. Seria a mesma coisa que alguém pudesse ficar na porta da sua casa abrindo as suas correspondências para, com base nisso, chegar ao seu perfil e utilizar indevidamente os seus dados.
A linha do tempo até a LGPD ser sancionada tem início em 2010, com a primeira consulta pública a respeito da proteção de dados. Anos depois, em 2014, entra em vigor o decreto do marco civil da Internet, que dá ao país uma legislação, mesmo incompleta, fazendo frente a um cenário mundial em tempos de escândalo protagonizado pelo ex-agente da CIA, Edward Snowden, que vazou documentos do governo Barak Obama e até da presidente brasileira à época, Dilma Rousseff. De 2014 a 2018 tivemos vários projetos de lei, mais uma consulta pública a respeito e, em 2018, uma conjuntura política contribuiu para que a lei fosse sancionada, a partir da união de quatro fatores.
O primeiro deles foi a entrada em vigor da legislação europeia, a já citada General Data Protection Regulation (GDPR). Empresas brasileiras com subsidiárias fora do país, com clientes e fornecedores europeus, e mesmo as que a qualquer momento poderiam ter dados de um cidadão europeu na sua base, ou seja, todas, passaram a se preocupar com o cumprimento da GDPR e com a necessidade de segurança jurídica interna.
O segundo fator foi o escândalo da inglesa Cambridge Analytica, que teve acesso indevido a dados de 87 milhões de usuários do Facebook e os utilizou para influenciar nas últimas eleições americanas. O medo de que algo semelhante ocorresse no Brasil fez acelerar a LGPD. Também contribuiu o desejo do país de ingressar na OCDE, já que um dos requisitos para a entrada no grupo é ter uma lei geral de proteção de dados que permita discutir questões comerciais.
E, por fim, o quarto fator foi a questão da lei do cadastro positivo, sancionada em abril último, que prevê a criação de um banco de dados para que as instituições financeiras facilitem o acesso ao crédito com taxas menores a bons pagadores. Como contrapartida, a lei permitirá ao titular dos dados, pedir para sair do cadastro ou ter direito ao esquecimento.
Em agosto de 2018 a LGPD foi sancionada e no final do mesmo ano, uma Medida Provisória (869/2018) vetou alguns artigos e criou a Autoridade Nacional de Proteção de Dados (ANPD), recentemente constituída, com a aprovação da MP pelo Senado, em 29 de maio.
Mas, na prática, como está a transição a esse novo mundo digital? Como as autoridades estão se comportando e entendendo as operações das empresas nesse novo cenário? E quais tem sido as penalidades aplicadas? O exemplo internacional é uma amostra do futuro que nos espera e já nos atinge.
O divisor de águas em relação à aplicação da GDPR é o caso de uma grande multinacional de serviços online e software, multado pelas autoridades francesas em US$ 57 milhões por violar a privacidade ao não deixar claro aos seus usuários como tem coletado dados para direcionar publicidade. Também se destaca a multa de US$ 148 milhões a empresa de transporte privado, por não dar transparência a um ataque de hackers que expôs dados de usuários. Respostas positivas também começam a ocorrer, como o caso de uma produtora mundial de alumínio que deu publicidade a um ataque cibernético e pode ter sua pena reduzida, e o caso do banco digital, que fez acordo do R$ 1,5 milhão com o Ministério Público, por vazamento de informações de 19 mil correntistas.
Além das punições milionárias, o universo corporativo precisa se preocupar com os imensuráveis riscos reputacionais por uso indevido de dados pessoais ou, pior ainda, dos chamados dados sensíveis, aqueles que dizem respeito a gênero, origem racial ou étnica, religião, saúde ou opinião política e filiação sindical, por exemplo.
Um Programa de Compliance de Proteção de Dados, que estabeleça regras éticas a serem seguidas por todos os colaboradores de uma empresa, sem exceção, bem como por terceiros e parceiros para os quais são transferidas informações, é a melhor forma de atender às novas exigências.
Isso implica no comprometimento da alta administração com Compliance, definição de responsabilidades e criação de comitê intersetorial do programa. O momento exige, também, fazer um mapeamento de riscos e seguir o princípio da minimização, ou seja, repensar quais dados precisam realmente ser coletados pelas empresas para o desenvolvimento de suas atividades. E, importante, sob qual base legal: consentimento, cumprimento de contrato, legítimo interesse, obrigação legal, proteção à saúde ou a crédito, atendimento de políticas públicas, etc.
Recurso mais valioso do mundo atual, hoje sabemos que nossos dados são moeda de troca para estarmos em qualquer plataforma digital em um mundo dominado pelas redes sociais. Cabe regulamentar para que a questão seja vista a partir dos mesmos padrões, condição para um mercado mais justo, com maior respeito ao cidadão. Mais do que isso. Empresas que souberem processar e organizar suas informações para aplicá-las de forma inteligente e ética terão sucesso. É, portanto, uma janela de oportunidade.
