A Lei Geral de Proteção de Dados (No 13.709 de 2018) completou um ano neste mês. A norma estabeleceu regras de coleta e tratamento de informações de pessoas, empresas e instituições públicas, os direitos de titulares de dados, as responsabilidades de quem processa esses registros e as estruturas e formas de fiscalização e eventuais reparos em caso de abusos nesta prática.
Contudo, as novas regras só entrarão em vigor em agosto de 2020. O período de adaptação foi definido pelos legisladores com o argumento de que os diversos atores envolvidos precisavam de tempo para se organizarem de modo a dar conta das exigências. Chegado ao meio deste caminho, sobram desafios para empresas, cidadãos, órgãos públicos e autoridades regulatórias.
Cidadãos
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de “dado sensível”, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Mas quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para segurança pública.
Ao coletar um dado, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei. A Lei previu uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de “legítimo interesse” desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.
De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).
Fiscalização
A fiscalização ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD). Após vetos, uma Medida Provisória (No 869 de 2018) editada e aprovada (na forma da Lei No 13.353 de 2019) mudando a Lei e novos vetos pelo presidente Bolsonaro, a Autoridade perdeu poderes frente ao previsto na primeira redação da Lei aprovada pelo Congresso em 2018. Diferentemente da versão do Parlamento, o órgão não terá uma estrutura independente, mas ficará subordinado à Presidência da República, com um compromisso de revisão de sua natureza institucional após dois anos.
As sanções também sofreram mudanças com a MP No 869. Ao fim, a Autoridade poderá aplicar multas de até 2% do faturamento da empresa (com limite de R$ 50 milhões) e bloqueio ou eliminação dos dados relacionados a uma infração. A suspensão parcial ou total de banco de dados de um ente que violar a Lei havia sido prevista na Lei de Conversão da MP (No 13.353 de 2019) foi um dos pontos vetados pelo presidente Jair Bolsonaro, que ainda passarão por análise do Congresso Nacional.
Empresas
O gerente-executivo de política industrial da Confederação Nacional da Indústria (CNI), João Emílio Gonçalves, relata que a entidade tem recebido empresas preocupadas com a adaptação às exigências da lei. Muitos negócios que antes não se percebiam como relacionados à coleta e tratamento de dados estão percebendo seu envolvimento com essas atividades, especialmente na adoção de novos modelos. Empresas de logística, exemplifica o executivo, passam a ter mecanismos de controle de frota, o que demanda o tratamento desses registros.
“Empresas estão olhando negócios em transformação pela possibilidade de passar a incorporar cada vez mais serviços que dependem muito da coleta e tratamento de dados Principalmente nas empresas líderes a gente vê uma atuação para se adaptar à lei. As empresas de maior porte elas mais ou menos atendem, estão mais preparadas para lidar com questão de tecnologia da informação (TI) e segurança da informação. Já firmas menores vão ter que fazer novos investimentos em TI. Acho que é um processo de aprendizado”, comenta Gonçalves.
Segundo a Federação Brasileira de Bancos (Febraban), as instituições financeiras também estão se movimentando para se adaptar às obrigações da LGPD. Entre as medidas neste sentido estão a nomeação de responsáveis pela proteção de dados, a obtenção de consentimento dos clientes para a utilização de seus dados em diversas finalidades, a atualização de documentos como contratos e políticas internas, a adequação de contratos com fornecedores e a processos para atendimento aos novos direitos dos clientes.
Para o diretor-executivo no Brasil da empresa de segurança da informação Kaspersky, Roberto Rebouças, há ainda muita falta de compreensão de companhias sobre a adequação às regras da LGPD. “A sensação é que a gente tem que empresas acham que não serão afetadas, que não tem nada de muito extraordinário. Empresas têm funcionários, tem folha de pagamento, têm dados dos funcionários. Até mesmo um dentista tem que tomar cuidado com vazamento de dados do cliente dele”, exemplifica.
Autoridade
Tanto para o gerente-executivo da CNI quanto para o diretor-executivo da Kaspersky, o disciplinamento e a orientação da adequação às normas passam pela criação da Autoridade Nacional de Proteção de Dados. É a posição também do Google. “A Autoridade Nacional de Proteção de Dados terá um papel fundamental para guiar a interpretação da lei e unir os objetivos de inovação e supervisão regulatória eficaz, proporcionando transparência e confiança aos cidadãos”, ressaltou a companhia em nota à Agência Brasil. Na avaliação do advogado especialista em proteção de dados do escritório Pereira, Neto e Macedo Associados Rafael Zanatta, a eficácia dessas funções passa pela garantia de fato de independência técnica e funcional do órgão regulador, o que envolve a composição da sua direção e da equipe bem como a definição de como irá atuar.
“O desafio vai ser montar estrutura interna que demonstre funcionalidade. Pessoas capazes de produzir a parte burocrática, estrutura de recebimento de denúncias, investigações externas, processo administrativo, cooperação internacional. Mesmo com possibilidade de supervisão pela Casa Civil, a autoridade deve ter autonomia de fato”, diz. Caso isso não ocorra, acrescenta, o vácuo pode ser ocupado por outros entes, como na fiscalização e punição pelo Ministério Público.
O líder do Programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Diogo Moyses, destaca que a Autoridade terá papel fundamental de disciplinar a adequação do tratamento dos dados à finalidade para a qual eles foram coletados e para evitar abusos em exceções previstas na Lei, como no caso do uso de informações de saúde ou das notas (scores) de crédito.
“No caso das empresas avaliadoras de risco de crédito, ainda é preciso delimitar com maior precisão quais dados podem ser utilizados e em quais circunstâncias o score do consumidor pode ser empregado como referência para relações de consumo. Esses são somente alguns exemplos das inúmeras tarefas que serão reservadas à ANPD, daí a importância de ela ser criada o mais rapidamente possível”, defende Moyses.
Ele lembra que enquanto a Lei não entra em vigor, ainda assim o cidadão pode recorrer à legislação em vigor caso se sinta lesado, como é o caso do Marco Civil da Internet ou do Código de Defesa do Consumidor. Essa norma assegura ao cidadão direitos como à informação, à transparência e, de forma objetiva e a ser informado em caso de coleta de dados do consumidor. Já o Marco Civil prevê, na Internet, a obrigação de consentimento do usuário para a coleta de informações sobre ele. O indivíduo também pode cobrar juntamente à Justiça ou ao Ministério Público violações à privacidade e problemas como vazamento de dados.
A Agência Brasil solicitou da Casa Civil informações sobre o andamento da criação da Autoridade Nacional, mas não obteve resposta.