Recentemente, mais um escândalo envolvendo o vazamento de dados pessoais veio à tona e, desta vez, no Brasil: a gigante Facebook admitiu, no último dia 28 de setembro, que uma falha de segurança permitiu o roubo de informações de 50 milhões de pessoas cadastradas em sua rede social por blackhat hackers. O Ministério Público do Distrito Federal e Territórios, certamente o mais ativo de todos os MPs brasileiros na proteção de dados pessoais e privacidade, por sua vez, abriu inquérito para investigar o caso.
O órgão também é responsável pela investigação no Brasil acerca do famoso caso de compartilhamento de dados do Facebook com a Cambridge Analytica, consultoria que obteve informações de 87 milhões de usuários – 443.000 deles brasileiros – para ajudar o presidente americano Donald Trump nas eleições de 2016 e que transformou a proteção de dados pessoais em tendência global, levando inúmeros países a implementar leis e medidas protetivas – há quem diga que o caso Cambridge Analytica gerou o frenesi necessário para que a agenda política de diversos países se ajustasse no sentido de “acelerar” a promulgação de leis.
A mais famosa delas, no entanto, teve sua redação aprovada quase dois antes do caso acima repercutir na imprensa: o Regulamento Geral de Proteção de Dados da União Europeia, também conhecido como GDPR, entrou em vigor no dia 25 de maio de 2018 e serviu como grande inspiração para que o Senado aprovasse, em 10 de julho de 2018, pouco depois do caso Cambridge Analytica, o Projeto de Lei PLC 53/18, que, mais tarde, com a sanção do Presidente Michel Temer, consolidou-se como a nova Lei Geral de Proteção de Dados ou LGPD (Lei 13.709/18).
Responsável por inserir o Brasil no rol de países considerados aptos a proteger dados pessoais, a LGPD consolida as regras para o uso, proteção e transferência de informações pessoais no Brasil e eleva os padrões de segurança, determinando penalidades significativas em caso de infração aos seus dispositivos, que podem atingir 50 milhões de reais em multa por infração ou, inclusive, a proibição da coleta e tratamento de dados pessoais pelo infrator.
Por este motivo, pessoas naturais ou jurídicas de âmbito público ou privado que realizem operações envolvendo o tratamento de dados no Brasil ou organizações sediadas fora do país que ofereçam bens ou serviços no território nacional devem se atentar às regras trazidas pelo novo marco regulatório, que passará a ter plena eficácia a partir de fevereiro de 2020 – um vacatio legis longo, mas talvez não longo o suficiente para o mercado, como um todo, se organizar para estar em conformidade com a lei.
Em que pese a matéria da LGPD já ter sido tratada de forma pontual em textos legais esparsos, a nova legislação esclarece conceitos anteriormente obscuros, definindo, principalmente, o que de fato são os dados pessoais, quem são as figuras sujeitas aos dispositivos legais e presentes em operações de tratamento, coleta, armazenamento e compartilhamento de dados pessoais, além de seus direitos e responsabilidades.
Considerados como “o novo petróleo” por muitos e a “arma mais poderosa da sociedade atualmente”, segundo o futurista Gerd Leonhard, os dados pessoais são definidos pela LGPD como informações que identifiquem de forma direta ou que possibilitem a identificação de uma pessoa natural; tratamento de dados pessoais, por sua vez, remete a toda e qualquer operação realizada com dados pessoais – o que inclui a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência e outras tantas possibilidades.
No que tange aos sujeitos envolvidos neste tipo de operação, a LGPD cria os chamados Agentes de Tratamento de Dados Pessoais. Tratam-se, estes, de pessoas físicas ou jurídicas, responsáveis pela tomada de decisões relacionadas ao tratamento de dados pessoais (o Controlador) ou pela realização do tratamento de dados pessoais propriamente dita (o Operador).
Obrigam-se os Agentes de Tratamento a guardar registros de todas as operações envolvendo o tratamento de dados pessoais. Para tanto, recomenda-se que as empresas elaborem os chamados Relatórios de Impacto à Proteção de Dados Pessoais, contendo a descrição de todas as informações coletadas, os motivos pelos quais tais informações são coletadas, o modo como isto é realizado e de que forma é garantida a segurança das informações, além das medidas de mitigação de prejuízos eventualmente causados.
Inspirada no Data Protection Officer (DPO) criado pelo regulamento europeu, a LGPD também define a figura do Encarregado de Proteção de Dados, que deverá ser nomeado pelas empresas para implantar em suas rotinas a cultura de proteção de dados pessoais, além de servir como canal de comunicação entre elas, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), cuja criação ficou para um segundo momento.
Percebe-se, portanto, que a LGPD serviu para definir, de maneira mais objetiva, os papéis e responsabilidade de cada um dos agentes envolvidos no uso, coleta e processamento de dados pessoais, abrangendo desde o simples usuário de internet que fornece seus dados para utilizar uma determinada plataforma, até as empresas (e os profissionais
responsáveis) que utilizam tais dados.
Sendo assim, é de suma importância que as empresas envidem esforços para criar políticas de segurança e mecanismos capazes de proteger os dados tratados de eventuais ataques, roubos ou de quaisquer situações que porventura acarretem a destruição, alteração ou perda das informações.
Em caso de eventual incidente, o mesmo deve ser reportado não somente à ANPD, mas também aos titulares de dados pessoais envolvidos, em tempo razoável e de forma detalhada, incluindo os riscos relacionados ao evento, as razões de sua ocorrência e as medidas adotadas para amenizar os prejuízos causados – a exemplo do que determina a GDPR.
A necessidade de uma comunicação ágil e clara é reflexo do princípio da transparência, um dos mais relevantes nos quais a LGPD é pautada.
Outros, como o da finalidade, cujo objetivo é assegurar que os dados só possam ser utilizados para as finalidades específicas para as quais foram coletados, que deverão ser previamente informadas aos seus titulares; o da adequação, segundo o qual os dados utilizados devem ser compatíveis com as finalidades informadas aos seus titulares; e o da necessidade, que incentiva o limite de uso dos dados ao mínimo necessário para que se possa atingir os objetivos pretendidos, são igualmente importantes.
Com base nessas diretrizes, qualquer operação envolvendo o tratamento de dados pessoais realizada no Brasil estará sujeita ao consentimento expresso do titular das informações coletadas, com exceção as operações que façam uso do processo de anonimização, técnica que afasta a possibilidade de associação ao titular de dados sem possibilidade de reversão.
O consentimento deve ocorrer necessariamente por manifestação livre, informada e inequívoca do titular, que deverá autorizar o tratamento de seus dados pessoais para finalidades previamente determinadas e, claro, a ele informadas, podendo ser revogado a qualquer momento, hipótese em que a empresa deverá interromper a coleta ou a utilização de dados daquele titular – algo que, certamente, trará grandes impactos para os infindáveis e prolixos termos de uso, que ninguém lê e, muitas vezes, entende.
Importante destacar também a questão do direito de acesso, que permite ao titular obter, mediante solicitação aos Controladores, todos os dados pessoais tratados; o direito de retificação e atualização, que impõem a obrigação dos Agentes de Tratamento de Dados de manter as informações corretas e atualizadas; e direito de portabilidade de dados pessoais, que autoriza o titular a solicitar os seus dados a um determinado Controlador e encaminhá-los para outros, a seu exclusivo critério.
Não menos importante, as regras para transferência de dados para outros países também devem ser observadas, um vez que só é permitido o fluxo de dados pessoais para um país estrangeiro ou para organizações internacionais que assegurem grau de proteção de dados pessoais equivalente ao nacional ou mediante compromissos assumidos entre os envolvidos no tocante à proteção ao tratamento de dados.
Apesar de não parecer, é curto o espaço de tempo para adequação das empresas à LGPD, tornando-se essencial a tomada de medidas efetivas por parte das empresas e agentes de tratamento de dados brasileiros para adequação à normativa em 18 meses contados da data de sanção da lei.
Recomenda-se iniciar o processo de adequação com a realização de uma auditoria de dados afim de vislumbrar as práticas adotadas pela empresa, os riscos existentes e definir a estratégia a ser seguida, que envolve a nomeação de um encarregado, a revisão de contratos e a elaboração de documentos, como mecanismos de compliance, políticas de segurança de informações e relatórios de impacto de privacidade.
A experiência trazida da Comunidade Europeia e observada com o advento GDPR já é capaz de demonstrar a grandiosidade dos impactos e desafios propostos às empresas dos mais diversos segmentos diante deste novo cenário mundial, mas principalmente para as empresas que atuam no mercado de tecnologia. Se adequar, agora, é mais do que seguir a lei: é se preparar para o futuro.