O ano de 2020 é um marco em matéria de proteção de dados pessoais no país. O principal acontecimento, certamente, foi a entrada em vigor da Lei Geral de Proteção de Dados Pessoais, prontamente apelidada por aqui de LGPD.
Neste breve artigo vou procurar explicar alguns dos impactos da nova lei, e recordar alguns fatos que marcaram este tema ao longo do ano.
Para começar, vamos a alguns esclarecimentos. A Lei Geral de Proteção de Dados Pessoais não proíbe o uso de dados, seu escopo é estabelecer parâmetros para uso legal e adequado dos dados pessoais. Ficou para trás o tempo em que as empresas poderiam fazer o que quisessem com os dados pessoais. Agora é preciso conhecer a lei e saber navegar por suas exigências, sob pena de se deparar com duras penalidades e pedidos de indenização.
Para ficar claro, dado pessoal é aquele que permite identificar alguém, como é o caso dos óbvios, nome, RG, CPF, endereço, mas pode ser também número do WhatsApp, dados biométricos, prontuário médico, e outras tantas informações mais ou menos complexas que de maneira isolada ou como outros elementos permite, em determinado contexto identificar alguém, inclusive dados bancários, do cartão de crédito, perfil de compra, CEP.
Com a LGPD, a pessoa física – chamada na lei de titular de dados pessoais -, tem assegurado um amplo leque de direitos em relação aos fluxos de seus dados pessoais nas empresas, inclusive o direito de ser informada sobre a maneira são empregados, com qual finalidade e como acontece sua proteção. As empresas precisam estar prontas para gerir e responder estas solicitações.
Além disso, há maior rigor sobre o consentimento na utilização dos dados pessoais. Nos sites, isso significa que se exige um consentimento devidamente obtido para utilização dos dados pessoais. Na prática, tal exigência significa ser necessária uma verdadeira gestão do consentimento que permita documentá-lo, comprová-lo e atualizá-lo de acordo com as opções personalizadas feitas pelo consumidor.
Outra mudança fundamental é que a partir da Lei possuir dados não significa poder utilizá-los! É preciso confrontar a finalidade do tratamento com as autorizações da lei (bases legais), atingindo área comercial, marketing, novos negócios, inovação, assim como RH e logística. Como se pode observar nestes rápidos exemplos, o impacto da legislação é enorme, e tem sido comparado ao próprio Código de Defesa do Consumidor tamanha sua repercussão.
Em uma sociedade cada vez mais digital, a todo tempo compartilhamos dados a ponto de se falar em uma economia baseada em dados (data driven economy[1]). Em pagamentos por meio de cartão de crédito, compras online, aplicativos, redes sociais, streaming, a todo tempo, compartilhamos dados, de maneira online e offline. Diante desse horizonte, a LGPD estabelece os critérios e diretrizes em que os dados podem ser processados (solicitados, guardados, compartilhados).
Para ter uma ideia do impacto da lei, em maio o Supremo Tribunal Federal negou ao IBGE acesso a base de telefones para fazer o censo durante a pandemia, utilizando-se expressamente dos princípios da LGPD como parte da fundamentação antes mesmo de a lei entrar em vigor.
Em setembro, após muitas idas e vindas, a lei entrou em vigor e as empresas iniciaram uma corrida estar em conformidade com a LGPD. Na outra ponta, inúmeras ações judiciais foram promovidas com base em irregularidades em matéria de proteção de dados. Com rapidez notável a lei passou a ser conhecida e aplicada. No mesmo mês em que entrou em vigor, a juíza de Direito Tonia Yuka Koroku, da 13ª vara Cível de SP, proferiu a primeira sentença com base na nova lei e condenou uma construtora a reparação por danos morais em virtude de compartilhamento indevido de dados do comprador de um imóvel.
Em outubro, intensificou-se a movimentação para estrutura a Autoridade Nacional de Proteção de Dados Pessoais que vai disciplinar a LGPD, assim como fiscalizá-la – e inclusive aplicar suas sanções, que vão desde multas até eliminação das bases dados que estiverem irregulares. Houve pronta reação dos mercados internacionais, a ponto de a OCDE (organização internacional composta por quase 40 países), solicitar ao governo brasileiro que atuasse com seriedade na matéria[2].
No mês de novembro, o Superior Tribunal de Justiça foi vítima de um enorme ataque cibernético considerado o maior já ocorrido no Brasil. A invasão interrompeu o acesso aos seus sistemas, implicou o cancelamento dos julgamentos e a Corte se viu sob o risco de uma inestimável perda de dados. Este episódio certamente vai provocar muitas discussões sobre a extensão da responsabilidade das empresas em matéria de invasão e proteção de dados pessoais, inclusive por falhas de terceirizados como serviços de nuvem (cloud computing), servidores e outras atividades similares. Critérios para as indenizações e penalidades em matéria de LGPD ainda não foram aprofundados nos tribunais, exigindo cuidado redobrado nas medidas preventivas.
Essa rápida retrospectiva de 2020 permite observar como embora complexo, o tema precisa, urgentemente, ser incorporado na cultura e na prática das empresas.
Como o final de ano é tempo de refletir e melhorar, data venia, peço licença para apontar 5 ferramentas úteis para estar em conformidade com a LGPD, adaptadas de recomendações da Autoridade de Proteção de Dados do Reino Unido (ICO):
1-) Necessidade: Peça apenas os dados pessoais necessários e elimine dados sem utilidade de seu sistema;
2-) Transparência: Seja claro em relação às finalidades em que utilizará os dados. Também será necessário ser transparente em caso de incidentes de segurança, por exemplo, em vazamentos de dados pessoais.
3-) Finalidade: O propósito é um aspecto chave na LGPD. Observe quais as finalidades de uso de dados e verifique a devida autorização legal.
4-) Cuidado: Atue com efetivo cuidado na prevenção, proteção e implementação de medidas de segurança
5-) Respeito: Dados pessoais são muito importantes para as empresas, mas também são para seus titulares, respeitar as pessoas é elemento chave para estar em compliance.
[1] CAVANILLAS, José María; CURRY, Edward Curry, WAHLSTER, Wolfgang. New Horizons for a Data-Driven Economy. A Roadmap for Usage and Exploitation of Big Data in Europe. Suíça Spring, 2016.
[2] BARBIERI, Luis Felipe. OCDE pede que governo brasileiro garanta ‘independência’ de órgão de proteção de dados. Portal G1 26.10.2020.