Imagine que você realize o cadastro de seu perfil em algum aplicativo, colocando lá informações pessoais como nome, número de identificação (RG ou CPF), telefone, e-mail e etc. e que, de posse dessas informações, a empresa as repassem para algum terceiro interessado, independente da finalidade e sem que você tenha conhecimento disso? A exposição de dados pessoais, dessa forma, é uma situação grave e desconfortável para o consumidor do aplicativo.
Foi um caso semelhante a esse, ocorrido no ano passado, que impulsionou a aprovação da Lei Geral de Proteção de Dados aqui no Brasil. Trata-se da venda de dados pessoais de usuários do Facebook, coletados através de um teste psicológico produzido pela Global Science Research, para a Cambridge Analytics, empresa de análise de dados, responsável pela campanha presidencial de Donald Trump. Através da aquisição dos dados, a empresa analisava o perfil dos pretensos eleitores e, assim, direcionava a propaganda, favorecendo o movimento político contratante.
A negociação só foi possível por conta de uma brecha encontrada nos Termos e Condições de Uso da rede social, que proibia a venda dessas informações por ela, mas não mencionava a restrição para terceiros que adquirissem os dados. Dessa forma, ainda que o usuário tivesse consentido para tanto, isso não era feito de forma inequívoca.
O escândalo reverberou no mundo inteiro e, no Brasil, serviu como alerta para que fosse desenvolvida uma legislação protecionista em relação ao tratamento de dados no país. O caso, juntamente com a entrada em vigor da GDPR (General Data Protection Regulation) traçaram o caminho para a elaboração e sanção da LGPD.
Seu objetivo é justamente esse: garantir regulamentação e uniformidade ao tratamento dos dados que as empresas brasileiras adquirem de seus empregados, consumidores e fornecedores e aumentar a privacidade e o controle dessas informações. É importante destacar esse controle dos dados, que se busca através da utilização da Lei, será feito pelo próprio titular.
Assim, foram elaborados conceitos específicos para ajudar a compreender essa finalidade. Se diz dados pessoais aqueles relacionados à pessoa natural identificada ou identificável, como número do RG, CPF, endereço, número de telefone e etc.. Além disso, seu tratamento compreende toda operação realizada com esses dados, desde a coleta até a eliminação. Não se fala aqui em proteção de dados relativos às preferências religiosas, políticas, sexuais, estes são classificados como dados pessoais de caráter sensível. Esses dados só serão objeto da LGPD caso possam ser usados para identificar alguém.
O tratamento desses dados pessoais depende do consentimento expresso do titular. Essa importante e essencial mudança, trazida pela Lei, garante o controle, outrora mencionado, pois todas as ações realizadas sobre as informações vão depender de autorização clara e expressa do titular – que poderá requerer a exclusão dos dados a qualquer momento. Na prática, essa mudança obriga as empresas à atualizarem os termos e políticas de uso dos seus serviços, de modo que a autorização dada pelo titular para o manuseio de seus dados fiquei inequívoca, sob pena de ação ilegal da empresa no tratamento das informações.
Incorrendo em ilegalidades, a empresa sofrerá as devidas penalidades estipuladas pela LGPD. A primeira penalidade instituída à empresa é a vedação, total ou parcial, das atividades relacionadas ao tratamento de dados. Além disso, é estipulada uma sanção de multa pelo descumprimento da Lei, que pode variar de 2% (dois por cento) do faturamento da empresa até R$ 50 milhões por infração cometida. Diante disso, é necessária atenção no tratamento legal dos dados, pois a infração pode ser considerada única para cada informação vazada, assim, no caso de um vazamento substancial, a multa será de enorme valor.
Diante da possibilidade de vazamento, a empresa precisa cuidar para tornar os procedimentos de tratamento dos dados regulares e infalíveis. Para se adequar às novas exigências, deve ser criado um Comitê de Segurança da Informação, com funcionalidade interna – dentro da empresa – que responderá pela administração dos dados da empresa. O responsável pelo Comitê é o Encarregado, ou DPO (data protection officer). Todos os procedimentos de tratamento dos dados recebidos pela empresa devem passar por ele. A instituição do DPO é medida extremamente necessária para garantir a transição da sistemática de proteção dos dados dentro do empreendimento.
Ao passo que a LGDP representa um avanço incomensurável no cenário da proteção de dados pessoais, ela traz um enorme desafio para o setor empresarial brasileiro, uma vez que muda por completo a sistemática de gestão e tratamento dessas informações. Se adequar à Lei é medida imperiosa e deve ser seguida à risca pelos empresários que pretendem se desenvolver em setores ligados, principalmente, à tecnologia.
Dessa forma, a reestruturação desses procedimentos deve ser acompanhada de perto por um corpo jurídico capaz de analisar cada situação e, com profundo conhecimento da Lei, traçar o melhor caminho para a empresa, juntamente com o DPO e o Comitê de Segurança. Adaptar os serviços e produtos para entrar em conformidade com a LGPD, até 2020, será tarefa árdua, mas pode ser minimizada pela contratação da equipe certa.
Jlvieraadvogados.com ⚖
Assine nosso newsletter e continue atualizado.