A proteção dos dados que permitem identificar uma pessoa é uma preocupação mundial. No Brasil, com a publicação de lei específica, conhecida pela sigla LGPD (Lei Geral de Proteção de Dados), o tema passou a receber cada vez mais atenção.  Embora a lei brasileira traga uma disciplina bastante extensa, a verdade é que faltam parâmetros para muitas questões.

Empresas de diversos setores correm (ou engatinham) para se adaptar até agosto deste ano, quando a lei passa a valer em todo o território nacional. A novidade legislativa significa um importante avanço, mas como é típico das novas leis, sente-se falta de uma regulamentação específica para certas áreas (como saúde, seguros, comércio eletrônico, etc.) e de um posicionamento consolidado do Poder Judiciário.

Diante desse contexto de incertezas e expectativas, é interessante comparar e conhecer outros modelos. Assim, a análise da lei de proteção de dados pessoais na Califórnia (CCPA), que acaba de entrar em vigor, pode servir de auxílio.  

Um primeiro fato que chama a atenção é a coincidência de datas. As leis brasileira e californiana foram publicadas em 2018 e começam a valer somente em 2020. Um olhar mais atento permite identificar em tais datas a atualidade do tema e a urgência de providências já que a lei está prestes a vigorar no Brasil. Além disso, o largo prazo entre a publicação e a vigência — destinada a permitir às adequações pelas empresas —, dá uma boa dimensão da complexidade do tema.

A norma californiana estabelece restrições de aplicação, talvez por se aguardar uma lei nacional que falta no país da Oprah. A legislação estadual se aplica para três categorias de empresas californianas, aquelas cujo faturamento bruto atinja 25 milhões de dólares, que possuam dados pessoais de mais de 50 mil pessoas ou equipamentos, ou ainda que tenham metade de sua receita originada pela venda de dados pessoais. Por sua vez, no Brasil, a nova lei de proteção e dados pessoais se aplica a todos os negócios, independentemente da área ou do faturamento. Em comum, as duas legislações reconhecem o direito ao acesso e dados pelo qual uma pessoa pode pedir a informação sobre todos os dados que uma certa empresa sabe sobre ela. Acredite, podem ser centenas ou milhares de páginas.

Na Califórnia, com o início da vigência do California Consumer Privacy Act (CCPA), muitas empresas têm vivenciado enormes dificuldades para atender os fluxos desses pedidos de acesso de dados. Paradoxalmente, para poder confirmar a identidade dos solicitantes é necessário exigir ainda mais dados.

É lamentável, também, constatar os inúmeros casos em que foi empregado o direito a acesso de dados de modo fraudulento para obter dados de terceiros. Na prática, significa que a lei que veio proteger exige muito cuidado, por significar também uma nova porta de violações. Aqui temos uma lição fundamental, adaptar-se a nova lei de proteção de dados é um desafio grande não apenas mudar contratos, porém agir de modo integrado entre diferentes equipes, para adequar fluxos, sistemas e a própria forma de pensar.

Uma grande crítica a CCPA é que adota a sistemática opt-out, ou seja, por lá a comercialização de dados é permitida, salvo se o consumidor se manifestar contra. No modelo brasileiro, tal como na Europa, o consentimento deve ser prévio, embora na realidade haja diversas hipóteses legais de coletas de dados — tema para outra conversa.

Um último aprendizado da lei californiana é o perfil prático. Permita-me dois exemplos. Depois que o consumidor manifestar que não quer ter seus dados vendidos, nos 12 meses seguintes não pode ser questionado se mudou de ideia. Outra medida interessante, prevista no Vale do Silício, é que os sites com vendas de informação devem ter um link específico com a opção “Do Not Sell My Personal Information”, ou seja, “Não venda meus dados pessoais”. No meio das incertezas sobre a melhor forma de proteger os dados pessoais e fomentar os negócios, não resta dúvida de que as medidas implementadas devem ser efetivas e fáceis de usar.

Gabriel Schulman

Advogado – Trajano Neto e Paciornik Advogados