Empresas brasileiras terão de se adaptar a uma nova Lei Geral de Proteção de Dados. As novas obrigações podem gerar punições e multas, que podem chegar a R$ 50 milhões. Sobre o tema, entrevistamos a advogada goiana Daniela Cunha Machado, do escritório Salusse, Marangoni, Parente e Jabur Advogados.
Com atuação na área de Propriedade Intelectual, nos âmbitos consultivo e contencioso administrativo, compreendendo marcas, patentes, direitos autorais, contratos de Propriedade Intelectual e Proteção de Dados, Daniela aponta que as empresas terão pouco tempo para se adaptar tecnológica e juridicamente ao tema, já que as regras passam a valer a partir de 2020. Confira a entrevista:
Brasília Empresas: Quais os impactos iniciais da Lei Geral de Proteção de Dados? Para as empresas, poderia ser considerado ganho?
No mundo empresarial atual, cada vez mais, as empresas buscam oferecer aos seus consumidores produtos e serviços personalizados e, quanto mais dados se têm sobre o seu público consumidor, maiores as condições de se fornecer um serviço ou produto adequado às expectativas destes. Esse contexto deu origem às discussões, em âmbito mundial, sobre a necessidade de proteção dos dados das pessoas, que levaram à criação da Lei Geral de Proteção de Dados. A nova LGPD traz impactos significativos em todas as esferas da sociedade, tanto para pessoas físicas, titulares dos dados que a lei protege, quanto para o setor empresarial, que coleta e realiza o tratamento destes dados, gerando obrigações para as empresas e multa elevadíssima no caso de descumprimento. Segundo a definição contida na legislação, por tratamento de dados, entende-se “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Em outras palavras, é possível dizer que, com algumas exceções, toda operação que envolva o uso de dados pessoais estará sujeita à Lei. Seja ela em âmbito público ou privado, na esfera online ou não. Em relação ao setor empresarial, pode-se esperar, inicialmente, um impacto financeiro. Uma vez que as empresas disporão de um prazo relativamente curto (a Lei entrará em vigor em fevereiro de 2020) para se adaptar às novas normas e muitas delas terão que investir em assessorias jurídica e tecnológica, voltadas para a segurança de bancos de dados. No entanto, em longo prazo, a vigência da Lei pode ser considerada como um ganho para o setor empresarial, que poderá fidelizar o consumidor por meio da adoção de regras transparentes de proteção aos dados destes. A promulgação da LGPD também possibilita às empresas uma maior segurança jurídica quanto ao assunto. Isto porque outras normas esparsas já tratavam sobre a tutela de dados pessoais, no entanto de forma superficial e, em alguns casos, até contraditória. Assim, a LGPD surge para consolidar e fornecer um regramento único para o assunto, composto de regras mais claras e objetivas, logo, mais fáceis de serem seguidas. Além disso, o advento da Lei permite que o Brasil se adeque a uma tendência mundial. Em 25 de maio entrou em vigor, na União Europeia, o GDPR (General Data Protection Regulation), uma das fontes de inspiração para a Lei brasileira. Sob a ótica do mercado estrangeiro, a criação da LGPD é vista como um fator positivo para o fortalecimento da participação de empresas brasileiras no ambiente de negócios internacional.
BE: O que é “dado pessoal” para a nova lei?
O conceito de dado pessoal para a Lei é: “informação relacionada a pessoa natural identificada ou identificável”. Ou seja, são informações relacionadas a pessoas específicas (identificadas), como nome, número de RG ou CPF; ou informações relacionadas a pessoas indeterminadas (mas identificáveis), cuja identidade pode ser obtida através da combinação entre dados. Um exemplo interessante da identificação de um indivíduo através da combinação entre dados ocorreu em Londres, na Inglaterra. Em 2008, um grupo de cientistas da Queen Mary University afirmou ter descoberto, através do mapeamento de perfil geográfico, a verdadeira identidade do artista de rua Banksy. Por meio do levantamento de dados públicos disponíveis, juntamente com a localização das obras de Banksy em Londres, os pesquisadores traçaram um perfil geográfico que os levou à conclusão de que o artista era, na verdade, Robin Gunningham, um morador da cidade de Bristol. Outro ponto de destaque é a não incidência da Lei sobre “dados anonimizados”. Assim, dados relativos a uma pessoa que não possa ser identificada não são considerados dados pessoais, para os efeitos da LGPD. Nesse contexto, surge o processo de anonimização, pelo qual o dado é desvinculado de seu titular, tornando-o não identificável e, portanto, não vinculado às diretrizes da LGPD. Importante ressaltar, no entanto, que se o processo de anonimização for ou puder ser revertido, por “meios próprios ou esforços razoáveis”, a Lei será aplicada ao caso.
BE: Os vetos do presidente Temer interferem na expectativa da nova legislação? Por exemplo, na criação da Autoridade e Conselho Nacional de Proteção de Dados.
A Autoridade Nacional de Proteção de Dados (ANPD), bem como do Conselho Nacional, são entes essenciais para fornecer diretrizes para a elucidação de questões não solucionadas pela Lei.
Ainda, as autoridades garantem a efetiva aplicação dos princípios norteadores da Lei, através da fiscalização e aplicação de sanções, que são elevadíssimas, por exemplo, 2% do faturamento da empresa ou grupo ao qual pertence no seu último exercício, limitada a R$ 50 milhões por infração. A mutabilidade das formas de tecnologias exige um órgão regulador que estabeleça diretrizes de adaptação da Lei às inovações futuras. Caso contrário, a Lei entraria em um processo de obsolescência diante da evolução tecnológica dos dias atuais. Ao justificar o veto aos artigos que previam a criação da Autoridade Nacional e do Conselho, o presidente da República informou que um novo projeto de Lei sobre a matéria, de autoria do Poder Executivo, seria encaminhado ao Congresso. Sem a existência das agências reguladoras, receia-se que a Lei não alcançará sua plena eficácia.
BE: Para o setor industrial, quais regras têm maior relevância?
Todo o setor industrial e de serviços que tratar dados de pessoas, sejam elas seus clientes ou colaboradores, deverá se adequar à LGPD. Conforme as diretrizes estabelecidas pela Lei, os padrões de segurança devem seguir o modelo privacy by design, ou seja, a garantia aos direitos de proteção à privacidade e aos dados pessoais deve ser resguardada desde a concepção do produto ou serviço desenvolvido, haja vista que neste momento, na concepção, deve-se ter em mente se durante a exploração do produto ou serviço haverá necessidade do tratamento de dados pessoais e quais as medidas deverá adotar para tanto. Ainda, a manutenção de relatórios e históricos que comprovem o preenchimento de algum dos requisitos para tratamento de dados é um fator importante na organização empresarial. Isto porque a Lei prevê que toda atividade de tratamento deverá ser registrada, desde a coleta até a exclusão dos dados, por tempo a ser determinado pela Autoridade Nacional. Obrigações semelhantes à guarda de documentos fiscais, exigidas pela legislação tributária. A revisão de termos de uso, políticas de privacidade e contratos com consumidores, parceiros ou prestadores de serviços, para que tais documentos estejam adequados à Lei, também será uma etapa necessária para adaptação do setor industrial às novas regras.
BE: A lei afeta projetos como o Cadastro Positivo, por exemplo?
A Lei estabelece dez hipóteses que autorizam a realização de tratamento de dados pessoais, uma delas é mediante a autorização da pessoa titular dos dados. No entanto, existem outras possibilidades, como o tratamento de dados pessoais “para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente”. Nesse contexto, as alterações propostas para o Cadastro Positivo já se encontram contempladas pela Lei.
BE: A nova lei evita de fato ou apenas minimiza os recentes escândalos com uso de dados pessoais?
A comercialização de bancos de dados é uma atividade consolidada nos dias de hoje. A compra e venda de mailing lists, dados de usuários de redes sociais – fatos que impactaram eleições em diferentes partes do mundo – ainda são práticas recorrentes no mercado online. Entretanto, autoridades europeias estão cada vez mais dedicadas a combater estas práticas, multas milionárias foram aplicadas recentemente a empresas líderes das áreas de tecnologia da informação. No entanto, é preciso entender que a comercialização de dados pessoais envolve direitos à proteção da intimidade e da vida privada, protegidos pela Constituição. A consolidação de regras e discriminação de sanções aplicáveis em casos de infração à Lei faz com que o setor empresarial volte suas atenções para a importância em se proteger estas informações e que sejam usadas de forma razoável para atender finalidade específica da empresa.
Espera-se que as recentes decisões proferidas por autoridades europeias sirvam de alerta para o que pode ser esperado a partir da entrada em vigor da LGPD e que as penalidades aplicadas às empresas infratoras inibam novas práticas contrárias à Lei.
BE: O que as empresas precisam mudar suas práticas com a nova lei?
O processo de adaptação à Lei pode ser bastante complexo, envolvendo uma combinação entre assessoria jurídica e também tecnológica. O primeiro passo é a realização de um diagnóstico preliminar sobre as práticas adotadas nas empresas, em relação ao uso de dados pessoais. Uma vez realizado este levantamento, a empresa deve se preocupar em instituir uma política de boas práticas, conscientizando seus funcionários (pessoas que têm acesso direto aos bancos de dados) acerca da importância em se adequar à Lei. A partir daí, passa-se ao processo de adaptação efetiva, que compreende a revisão da redação de contratos, termos de uso, -políticas de privacidade, ajuste de práticas internas, investimento em segurança da informação (caso seja necessário), revalidação de consentimento de consumidores, anonimização de dados, quando possível, ou seja, a adoção de uma série de medidas preventivas para adequação das empresas à LGPD quando esta entrar em vigor. A Lei impõe ao setor empresarial uma reeducação quanto ao tratamento de dados pessoais, mitigando a cultura de se coletar dados muitas vezes desnecessários.
