O impacto da Lei de Proteção de Dados Pessoais
Em discussão desde 2012, a Lei de Proteção de Dados Pessoais (LGPD) foi enfim sancionada pelo presidente Michel Temer, em agosto de 2018. A norma traz regras que regulamentam a coleta e o tratamento de informações pessoais por empresas e órgãos públicos visando proteger a privacidade dos cidadãos.
A LGPD entrará em vigor apenas em fevereiro de 2020 e até lá, todos terão que se adaptar. Empresários terão que solicitar o mais rápido possível a análise de um profissional em Direito Digital, de rotinas de sistemas e documentos necessários para que a companhia esteja em conformidade com a legislação e não seja penalizada futuramente.
Dados Pessoais
Uma das grandes dúvidas que permeiam a nova lei é: o que são, de fato, os dados pessoais? Os advogados Danilo Roque e Maria Fernanda Girard, do escritório FAS Advogados, resumiram da seguinte forma: “Primeiramente precisamos entender o que é dado pessoal, ou seja, qualquer informação que identifique ou possibilite identificar uma pessoa física. O interesse e a valorização dos dados não acontecem somente nos dias de hoje. Sempre houve, em diferentes ambientes a coleta de informações específicas com intuito de definir um perfil de consumo ou hábito de compra das pessoas, em geral. Tome como exemplo, o cadastro feito em lojas físicas que enviavam cupons de oferta via Correios”.
“Uma série de informações que antes estavam guardadas nas gavetas, passaram a ser facilmente monitoradas e acessadas, oferecendo a empresas e ao mercado em geral a possibilidade de exploração, de forma inteligente, das informações capazes de fomentar suas marcas, produtos e serviços de maneira otimizada, promovendo, assim, maior eficiência para os fornecedores e mais satisfação aos consumidores”, explicam.
O mundo digital sofrerá ainda mais com as consequências, uma vez que os usuários têm, registros de atividades e dados coletados por plataformas como Facebook e Google, mas também por uma série de outras empresas dos mais variados segmentos sem consentimento. Fora da internet, pedidos de CPF para compras em farmácias, ou ainda para cadastro na hora de entrar em um edifício comercial ou residencial também estão inclusos.
Logo, não se trata apenas do nome, mas de uma gama de informações como endereço e até mesmo emprego podem ser considerados como tal quando combinados a cruzamentos de dados arquivados em outros registros.
Existe uma subcategoria nomeada “dados sensíveis”, informações que podem gerar formas de discriminação como etnia, convicções religiosas, posicionamentos políticos, orientação sexual e condições de saúde. Esses registros têm maior nível de proteção e não poderão ser considerados relevantes para direcionamentos publicitários, por exemplo, sem o usuário consentir anteriormente. As informações médicas terão acesso ainda mais restritos, e não poderão ser divulgadas.
Consentimento e Fiscalização
Empresas deverão informar a finalidade das coletas de dados. Um site ou app, por exemplo, não poderão solicitar informações que não justifiquem o serviço prestado, apenas em situações específicas. Caso contrário, a coleta poderá ser questionada. Os usuários terão que permitir o acesso aos seus dados e ficarem atentos se a razão da solicitação condiz com a atividade.
Mesmo com a lei sancionada, ainda não foi definido como os órgãos públicos farão a fiscalização e controle das normas exigidas. “A sanção presidencial recebeu o veto especificamente quanto aos artigos que previam a criação da Autoridade Nacional de Proteção de Dados, portanto, a princípio não haverá fiscalização. Entretanto, isso não significa que não haverá punição aos casos de infração, já que, conforme citado na questão acima, as multas poderão ser normalmente aplicadas, e os órgãos de proteção dos direitos do consumidor, e a justiça cível permanecem como refúgio para aqueles que se sentirem lesados pleitearem a reparação”, informa o Dr. Plínio Ken Higasi da HVA Advogados, escritório especializado em Direito Digital.
Penalidades
De modo geral, a ideia é proteger o cidadão do uso abusivo e indiscriminado de seus próprios dados. As empresas passarão a ter uma série de obrigações como a garantia de segurança desses registros e a notificação do usuário caso haja vazamento, como ocorreu recentemente com o Facebook. Outro exemplo é o da Netshoes, titulares e autoridades só foram informados das falhas meses após o ocorrido.
Empresas que infringirem as normas poderão receber desde advertências até multas equivalentes a 2% do seu faturamento. “A LGPD impõe algumas penalidades graves. A maior é a multa, que pode chegar até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitado ao montante de R$ 50 milhões por infração. A lei ainda prevê sanções como a publicização da infração e o bloqueio dos dados. A lei também prevê que haverá uma gradação das penalidades, de acordo com a conduta do infrator. A maior preocupação é o que se faz com estes dados”, pontua o advogado Raphael Valentim da Zilveti Advogados.
Independente da origem da companhia ou organização, as normas valem para todos, sem exceção. A lei regulamenta operações de dados realizados no Brasil ou no exterior, desde que a coleta tenha sido realizada em território brasileiro.
“Sempre houve, em diferentes ambientes a coleta de informações específicas com intuito de definir um perfil de consumo ou hábito de compra das pessoas, em geral.”
“Uma série de informações que antes estavam guardadas nas gavetas, passaram a ser facilmente monitoradas e acessadas, oferecendo a empresas e ao mercado em geral a possibilidade de exploração, de forma inteligente, das informações.”
“A sanção presidencial recebeu o veto especificamente quanto aos artigos que previam a criação da Autoridade Nacional de Proteção de Dados, portanto, a princípio não haverá fiscalização. Entretanto, isso não significa que não haverá punição aos casos de infração.”
“A LGPD impõe algumas penalidades graves. A maior é a multa, que pode chegar até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitado ao montante de R$ 50 milhões por infração.”
Uso indevido de dados
Este ano, ficou claro a importância dessas informações e seus impactos na sociedade. Um dos casos que gerou maior repercussão foi a exposição de dados por parte da empresa americana Cambridge Analytica nas últimas eleições dos EUA. O fato acelerou o processo de sanção da lei no Brasil e impulsionou políticas de diversos países a tornarem suas normas de proteção de dados mais rígidas. Outro exemplo de regulamentação que inspirou a LGPD foi a GDPR, implementada pela União Europeia e que entrou em vigor em maio de 2018.
“O tratamento inadequado de dados pessoais representa um grande risco a privacidade e a intimidade de seus titulares, que poderão ter suas informações utilizadas de forma indesejada, como, por exemplo, para finalidades voltadas a atividades publicitárias. Pode acarretar em problemas seríssimos de segurança, por exemplo: a depender de quais são os dados coletados, será possível identificar atividades de cunho estritamente sigiloso, como a inserção de senhas em computadores e/ou em outros dispositivos, bem como a criação de padrões de comportamento e conhecimento detalhado de atividades rotineiras da vítima”, completa a advogada Paula Ajzen, sócia do BVA Advogados.
Impactos
Dentro de uma sociedade onde o desenvolvimento está intimamente ligado ao compartilhamento de dados, o impacto é grande, principalmente nos setores de tecnologia, informação e publicidade. “O impacto será direto, mas existem formas das empresas se adequarem sem inviabilizar suas operações”, explica Yuri Sahione, especialista penal em Compliance corporativo.
“As empresas de todos os setores sofrerão uma redução em suas bases de dados, por outro lado, contarão com informações mais detalhadas, completas e terão maior segurança jurídica em saber o que podem – e o que não podem fazer com estes dados” comenta Bruno Maion, executivo da BluePex, empresa nacional de segurança da informação com foco em pequenas e médias empresas.
Companhias do mercado de eventos, por exemplo, sofrerão grande impacto com a sanção. Um dos principais pontos de partida de qualquer ação do setor é a coleta de dados do mailing e credenciamento de convidados e empresas participantes. Os sistemas utilizados deverão ser adaptados para haver penalidades aos organizadores do evento, o que pode dificultar na prospecção de novos clientes no segmento. Outra questão a ser considerada por organizadores é qual finalidade do uso dos dados coletados, e se os sistemas de proteção são seguros o suficiente para não haver o vazamento de informações.
A lei brasileira foi inspirada na Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia, que passou a vigorar recentemente. Entretanto, a lei europeia não considera aspectos como os que envolvem informações de crianças e os dados sensíveis.
“A gente vem de uma terra sem lei, que agora será super regulada. Nosso projeto de lei foi bastante embasado na GDPR, mas é até melhor”, afirma a advogada Luiza Sato, especialista em direito digital, sócia do escritório ASBZ.
Há algumas formas de adaptar a coleta de dados afim de evitar quaisquer transtornos tanto para os contatos quanto para a empresa, que deve ter o seu consentimento.
“O tratamento inadequado de dados pessoais representa um grande risco a privacidade e a intimidade de seus titulares, que poderão ter suas informações utilizadas de forma indesejada.”
“O impacto será direto, mas existem formas das empresas se adequarem sem inviabilizar suas operações.”
“As empresas de todos os setores sofrerão uma redução em suas bases de dados, por outro lado, contarão com informações mais detalhadas, completas e terão maior segurança jurídica em saber o que podem – e o que não podem fazer com estes dados.”
“Você pode utilizar as informações contidas no cartão somente para fins de contato.”
Realizar alguns ajustes às práticas como melhorar a infraestrutura de TI auditando e melhorando o tratamento dos dados pessoais, sempre manter um canal aberto de contato com os seus contatos, permitindo que eles sejam respondidos rapidamente quando solicitam a exclusão de dados, portabilidades ou mesmo correções, notificar os seus contatos caso haja algum incidente de segurança, essas são algumas orientações de Luiza Sato.
Uma pergunta frequente dos participantes de eventos é a respeito dos cartões de visita, eles questionam sobre a possibilidade de utilizar aqueles dados. “Você pode utilizar as informações contidas no cartão somente para fins de contato”, diz Luiza e conclui que é proibido compartilhar esses mesmos contatos, caso a autorização não tenha sido expressamente concedida.
Auditar e melhorar a estrutura de TI relacionada ao tratamento de dados pessoais
Conseguir responder rapidamente a pedido dos titulares (acesso, correção, eliminação e portabilidade de dados)
Auditar base de dados (próprias ou adquiridas de terceiros)
Notificar incidentes de segurança
Checkboxes pré-clicados em websites
Envio desregrado de e-mails
Compartilhar dados de participantes indiscriminadamente
Publicação de listas de inscritos em website
A LGPD retroage a dados coletados antes da sua vigência?
Sim. Solução: conduzir um mapeamento de dados e verificar cumprimento da lei. Pedir consentimento caso não tenha existido.
Posso enviar newsletters a um participante de um seminário que não forneceu consentimento específico para isso?
Questionável a obrigatoriedade do consentimento se newsletter for relacionada ao evento. Deve sempre haver o “Opt-out”.
Double Opt-in é obrigatório?
Não, mas é uma boa prática.
Alguém me deu seu próprio cartão de visitas. Posso usar aqueles dados pessoais?
Para fins de contato, sim. Para outras finalidades, exceto se expressamente permitido, não.
