1. Análise Macro
Por muitos anos, as discussões sobre proteção de dados eram, ainda, incipientes. Apesar das inúmeras utilizações, propositais ou não, em formatos de políticas públicas ou como ferramentas de evolução de marketing, comércio e inteligência de negócios, o manejo de dados corria solto, sem regulamentação estruturada, ou seja, cada agente construía sua própria cultura.
A privacidade, como “guarda-chuva” de uma série de decorrências de direitos, contempla em si a proteção dos dados. Talvez por isso, a própria Declaração dos Direitos Universais dos Direitos Humanos, já em 1948, tenha asseverado este direito. Ocorre, no entanto, que os primeiros fenômenos mais claros e específicos de preocupação e regulamentação dos dados pessoais foram produzidos, em 1970, na Alemanha. Em sequência, com o crescimento significativo da capacidade de processamento, sobretudo com a percepção clara da importância dos dados e, mais que isso, com os pretensos efeitos nos mais variados setores, várias outras iniciativas tomaram forma.
Em 1973, o Ato de proteção de dados Sueco[1] deu início a uma série de outras medidas normativas produzidas na Europa, especialmente em países como França, Dinamarca e Alemanha.
No ano de 1981, já de forma mais estruturada, o Conselho Europeu aprovou uma convenção denominada Convenção 108, que tinha como objetivo claro a proteção de dados direcionada ao tratamento automático ou automatizado das informações de caráter pessoal[2].
Com o desenvolvimento tecnológico cada vez mais acentuado e, sobretudo, com o absurdo crescimento proporcional de dados, a legislação histórica que mais se aproxima dos atuais modelos de regulamentação é a Diretiva 95/46/CE, que data de 1995[3]. Como imaginado, essa regulamentação abraçava todos os países que compunham o bloco europeu e determinava, de forma coletiva, além das formas de coleta e tratamento, normas gerais de utilização e aplicação das tratativas específicas. A Diretiva vigorou até 2018, quando a General Protection Data Regulation (GDPR) passou a ter vigência.
A GDPR é, em nosso sentir, a grande ruptura normativa quando o assunto é proteção de dados, muito em razão da maturidade democrática da comunidade europeia. Ao analisar o caminho percorrido pelo bloco europeu[4] para o alcance de uma legislação que fosse equalizada entre a manutenção de uma economia equilibrada e, ao mesmo tempo, que pudesse garantir ao titular liberdade e autonomia decisórias sobre seus direitos, percebemos a importância da cultura no âmbito das discussões relativas à proteção de dados.
No cenário da América Latina, vários países, antes mesmo da GDPR, já tinham legislações específicas para proteção de dados. Referencialmente, citamos a Argentina, que conta com a Ley de Protección de los datos Personales[5] desde 2000. O Chile, por sua vez, apesar de ter uma lei direcionada à proteção, vem discutindo com fervor a adequação e a reestruturação de seu modelo, tendo a legislação europeia[6];[7]como base em todas as leituras realizadas sobre os projetos de lei.
O Brasil, por sua vez, incluiu-se nos países com legislação relativa à proteção de dados pessoais com a aprovação da Lei nº 13.709, de 2018*, que recebeu a alcunha de Lei Geral de Proteção de Dados, popularmente denominada LGPD.
Como dissemos, apesar das estruturações, no papel, que conseguem harmonizar plenamente a atividade competitiva de mercado e a proteção dos direitos dos usuários, a prática acaba gerando distorções e atividades imprevisíveis, muito em decorrência da prematuridade da legislação.
Para entender um pouco mais sobre a legislação é importante identificarmos alguns dados pós-aplicação, até para que possamos nos prevenir e antecipar ações, tomando como base o primeiro ano de aplicação da GDPR na Europa. É fundamental que entendamos que as consequências serão diferentes, considerando que a cultura de dados e o nível de complexidade das operações, tanto na esfera pública quanto na privada, são completamente diferentes, mas faremos alguns apontamentos com relação ao relatório[8].
Em nossa perspectiva, ao realizar uma análise geral, o tempo de acomodação da legislação no Brasil – e, mais que isso, o tempo de disseminação – será mais lento, não só pelos indicadores de acesso à informação e educação no país, mas, sobretudo, em decorrência do processo legislativo distinto, uma vez que a população, já com uma experiência clara de diretivas relativas à proteção de dados, dedicou-se a exaustivas discussões com essa finalidade. Assim, nossa opinião é no sentido de que a LGPD demorará mais para alcançar esse patamar de difusão entre os usuários e a população.
No Brasil, enxergamos que o processo de conhecimento da Autoridade Nacional de Proteção de Dados (ANPD) será letárgico. Ainda que o Governo Federal tenha empenhado esforços para a ampla divulgação da autoridade e projetado sua implantação estruturada – apesar dos erros técnicos cometidos nessa implantação no que pertine sua natureza jurídica – temos desafios direcionados ao acesso à informação do cidadão comum. A experiência das consolidadas agências reguladoras, no diálogo com a população e na efetividade da resolução dos problemas, se bem aproveitada, pode ser uma vantagem. Ainda assim, acreditamos que os patamares de percepção de existência e eficiência da autoridade crescerão de forma mais lenta do que os da comunidade europeia, por tudo o que foi dito.
Esse é um dado importante e que precisa ser analisado de forma proporcional. Antes disso, devemos considerar que a União Europeia tem uma população estimada em 519 milhões de pessoas, enquanto no Brasil esse número é de aproximadamente 219 milhões. Logo, em uma análise singela, poderíamos acreditar que as reclamações, no primeiro ano de vigência de LGPD, seriam 75.000 aproximadamente. Contudo, acreditamos que exista um fator cultural que deve jogar a média proporcional para outro patamar.
A extremada dependência da população brasileira na resolução de conflitos, pautada na cultura do monopólio da jurisdição (Poder Judiciário), a indústria do dano moral e o baixo nível de segurança da informação das empresas de médio e pequeno porte são um prato cheio não só para a ANPD, nas autuações, mas, de igual forma, para centenas de milhares de reclamações e para o aumento absurdo de empresas que têm os dados como centro de seus negócios, seja nas esferas comerciais, publicitárias ou mesmo de relacionamento com o cliente.
Portanto, acreditamos que, ao final do primeiro ano de vigência de LGPD, o número de reclamações no Brasil, mesmo com um perfil cultural menor do que o da União Europeia, será maior e gerará impactos financeiros negativos mais significativos para as empresas.
Dentre as reclamações relativas à proteção de dados, três atividades dominam o ranking de incidentes, são elas:
Nossa opinião é que o telemarketing e os e-mails promocionais também irão encabeçar o ranking de reports, logo a análise dos setores mais afetados pela LGPD passa, necessariamente, por isso.
Aqui, algumas considerações opinativas, construídas pela nossa equipe: (i) Todas as estruturas de marketing serão afetadas, desde a tradicional venda via telefone até estruturas mais automatizadas de inbound marketing. (ii) Os sistemas de relacionamento com o cliente e a experiência precisarão passar, obrigatoriamente, por uma reestruturação, considerando que a gestão dos dados e a forma de se realizar a divulgação demandarão recursos ainda mais precisos sob pena de geração de passivo. (iii) Empresas de tecnologia e investidores que pensam em equity, atenção: o cálculo do CAC certamente passará por uma análise sensível da base de dados da empresa, uma vez que a escala pautada em um banco de dados desqualificado poderá, além da conversão, carregar consigo um passivo considerável que pode superar, inclusive, a própria margem do negócio. (iv) O grande mercado imobiliário, especialmente o setor de Condomínios/Portarias Eletrônicas e Segurança, que tem sido brutalmente alterado pelas evoluções tecnológicas, terá mais um desafio considerável de equacionamento de custo e precisará se adaptar fortemente para manter a competividade como fator de convencimento.
Acreditamos que, embora o número de incidentes efetivos seja exponencialmente maior, as empresas brasileiras terão menos incidentes reportados no primeiro ano por estarem menos preparadas em todas as perspectivas, do nível técnico ao cultural, incluindo, é claro, as já conhecidas sonegações de responsabilidade pelo medo das autuações e da projeção negativa que os vazamentos podem causar à imagem empresarial.
Pela legislação europeia, as empresas têm até 72 horas para realizar o report para autoridade. Já nossa legislação não especifica o prazo, mas indica que o vazamento deverá ser comunicado em “prazo razoável”. Por tendência, acreditamos que a experiência irá consolidar as 72 horas, considerando que o comunicado deverá ser acompanhado de uma série de requisitos informativos, tais como, por exemplo, os riscos relacionados ao incidente e as medidas que foram ou que serão tomadas para reverter ou mitigar os efeitos do prejuízo.
Acreditamos em um processo inverso no Brasil, considerando que nossa visão é de que a ANPD terá um papel proativo, seguindo a vocação punitivista dos órgãos de regulação no Brasil. Logo, a ideia da multa com finalidade arrecadatória, e não educativa, é uma tônica em todas as esferas do setor público nacional. Acreditamos que essa prática não será diferente, pelo menos no início, com relação à proteção de dados pessoais. Além disso, desde o início da GDPR, a somatória das multas aplicadas e divulgadas já ultrapassam 20 milhões de euros. Para o Brasil, temos uma opinião mais pessimista e, em razão da intenção, acreditamos que as autuações irão alcançar a casa dos 300 milhões de reais já no primeiro ano de vigência da LGPD[9].
Após essa análise, acreditamos que o Brasil terá um grande desafio na implementação da LGPD, principalmente por conta do distanciamento e da consciência macro da importância dos dados, e dizemos isso em razão do tratamento dado a praticamente todos os direitos que tem esse status.
Pelo lado do usuário, basta olhar para a estrutura de atendimento ao consumidor, que detém uma legislação madura, com 29 anos de existência, para perceber os desafios que teremos pela frente. Por óbvio que os desafios são diferentes, não só em escala e estrutura de atendimento, mas também na percepção de direito e acesso enxergada pela população, principalmente a parcela mais pobre e menos instruída. Contudo, os problemas acabarão, pelo menos no início, tendo as mesmas causas, em nosso ponto de vista, sendo elas: a debilidade na estrutura, o volume absurdo de demandas e o baixo índice de educação digital dos cidadãos.
Pelo lado das empresas, na comparação macro, enxergamos definitivamente que, além do grande desafio de implementação, a legislação trará, em um cenário de recuperação da economia, a capacidade de se criar um diferencial competitivo e, mais que isso, filtrar o mercado. Logo, a adequação gera um potencial retorno de risco, uma vez que o passivo escondido e os potenciais riscos de imagem de se negociar com empresas que não estarão adequadas certamente deverão passar a incluir os relatórios administrativos/gerenciais das empresas mais sérias e com credibilidade, aumentando o custo e gerando argumentos favoráveis às empresas adequadas.
2. Lei Geral de Proteção de Dados
A ideia desse e-book é trazer informações ricas e que podem ser completamente aplicáveis para o seu negócio, seja no cenário negocial ou técnico. Com relação à LGPD, separamos dois grandes temas que entendemos como fundamentais e que podem lhe ajudar a dar os primeiros passos, as bases legais as hipóteses de exclusão dos dados.
Bases legais
Apesar de grande parte das pessoas falar em consentimento, essa não é, definitivamente, a única forma de autorização para o tratamento de dados pessoais de forma legítima, ou seja, a autorização e a concordância do usuário não é o único caminho para que você possa manejar dados pessoais e utilizá-los dentro do seu negócio. Vamos entender um pouco mais sobre as outras bases legais e os modos pelos quais você pode convalidar seu banco de dados, adequando-o às novas exigências da LGPD.
A legislação estabelece 10 bases legais, em seus arts. 5º, 7º e 8º, que podem ser utilizadas para o alcance da legitimidade para tratar, sendo elas:
| Consentimento do titular | O mais tradicional método, que pode ser coletado por meio de contrato, termo de uso etc. Essa coleta pode ser feita via digital ou a partir de assinaturas físicas, não importando o meio. O que importa é o inequívoco aceite. |
| Cumprimento de obrigação legal ou regulatória pelo controlador | Para as áreas reguladas (fintechs, telecomunicações, saúde, educação, provedores de internet etc.), alguns dados precisam, necessariamente, ser coletados e armazenados, inclusive por período estabelecido pela legislação. Logo, aplica-se esse inciso, dispensando-se, inclusive, o consentimento para isso. |
| Execução de políticas públicas | Os órgãos públicos poderão tratar dados para mapeamentos e aplicações e desenvolvimento de políticas públicas de qualquer natureza. |
| Realização de estudos por órgãos de pesquisa | As pesquisas particulares de mercado, contratadas por uma empresa, por exemplo, a uma agência de publicidade ou consultoria, não se incluem neste tópico. |
| Execução do contrato de qual seja parte o titular | Se você é prestador de serviço e há um contrato em vigência com o cliente, a lei autoriza, dentro dos limites e indicações apresentadas no contrato, que você realize o tratamento dos dados. Certamente, aqui, temos a oportunidade de fazer um duplo fator de verificação, no consentimento e na prestação, ambos bases legais de tratamento. |
| Exercício regular de direito em processo judicial, administrativo ou arbitral. | Os processos são públicos por essência. Nesse viés, os dados disponibilizados pelos tribunais, incluídos no cadastramento dos processos, não precisam de consentimento para serem tratados, desde que utilizados para exercício regular de direito. |
| Proteção ao crédito | Ex. O sistema de cadastro positivo, antes opt-in, passa a ter inserção automática e torna-se opt-out, possibilitando ao titular solicitar a exclusão dos seus dados a qualquer tempo. |
| Legítimo interesse | Aqui, talvez, encontremos maior dificuldade de precisão no conceito, uma vez que a determinação de legítimo interesse é extremamente subjetiva. Contudo, pela experiência europeia, temos que “somente interesses claramente definidos e vinculados ao escopo das atividades praticados pelo controlador poderão servir de base para tratamento de dados que pretenda encontrar fundamento na hipótese discutida[10]”. O exemplo trazido por Pedro Silveira Campos é o de dados pessoais do executivo expostos aos acionistas, na perspectiva de gerar maior transparência e credibilidade ao trabalho desenvolvido e solidez as estatísticas financeiras de qualquer negócio. |
| Tutela da saúde e Proteção à vida | Nestes casos, a possibilidade de manejar dados sem a possibilidade autorizadora de outra base legal, será exclusiva para profissionais da área saúde, serviços de saúde ou autoridade sanitária. Logo, as atividades conexas e indiretas, não estão inseridas nessa base. Veja que as questões relativas não só a captação, mas também, a posse das informações de dados médicos deverão ser analisadas sob essa ótica. |
Logo, não temos dúvida que todos os negócios serão afetados por mais de uma das dez bases legais, a ideia é manejá-las nos seus fluxos para que em todos eles possam existir validações de tratamento, gerando verificações que autorizem e propiciem segurança no manejo dos dados.
3. Hipóteses de tratamento
A LGPD traz consigo termos definidos para cada um dos seus comandos, principalmente com relação aos procedimentos de exclusão. A lei considera “eliminação” como “exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado[11]”.
É inequívoca a liberdade e a autonomia do titular do direito de solicitar a exclusão de seus dados a qualquer momento, desde que, por óbvio, o controlador/tratador não esteja amparado por obrigação legal. A solicitação pode ser de dados desnecessários, excessivos ou que estejam em desconformidade com a LGPD, podendo inclusive afastar ou revogar o consentimento fornecido outrora.
Ponto extremamente importante é o tempo de eliminação dos dados coletados pelo controlador, isso porque, no estágio atual, os dados são mantidos eternamente na base, sendo filtrados e utilizados de acordo com os interesses do controlador. Ao contrário disso, a LGPD criou, além de marcos temporais, fundamentos fáticos para que haja eliminação dos dados, estando eles lançados no art. 21:
I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 14 desta Lei, resguardado o interesse público; ou
IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Aqui, portanto, é fundamental que exista, independentemente de ser você controlador ou operador, um fluxo estabelecido para determinar a forma de eliminação dos dados, com gatilhos de segurança e, mais que isso, com mecanismos que certifiquem que o processo foi realizado. Um exemplo claro que pode ser utilizado são os logs que deverão ficar armazenados no sistema, em caso de alguma investigação, autuação ou demanda individual do titular do dado.
4. Opinião
O Brasil passa por uma revolução não só no sentido da criação de regras claras de utilização de dados, mas, principalmente, em uma reinserção no mercado global em decorrência da criação e adequação do seu comércio a normas que estabeleçam as regras do jogo. Não há como, nem para o presente e muito menos para o futuro, pensarmos em uma economia que não esteja pautada em informações, hábitos de consumo, tendências, análises específicas de cada grupo, ou seja, tudo terá como cerne nossos dados.
A LGPD propriciará, como já dito, um nível de competitividade e argumento de mercado capaz de nivelar as empresas nacionais, em termos mínimos de segurança de tecnologia e informação, às demais, ao redor do mundo, deixando a real diferenciação na capacidade de entrega de serviços e resultados.
Acreditamos que a vigência não será postergada, muito menos que não “pegará”. Pelo contrário, talvez seja esse um discurso das empresas despreparadas em termos competitivos para enfrentar questões relativas à cultura e uma severa mudança na forma de se relacionar com o cliente. Mais que isso: acreditamos que várias empresas terão problemas relacionados à imagem. Porquanto a tendência de educação do titular certamente começará a se tornar sólida e seletiva. Para ele, os ganhos são incomensuráveis, uma vez que a autonomia e a capacidade de decidir sobre a gestão dos seus dados lhe trarão maior poder de barganha e ganhos na sua esfera de intimidade e “sossego”, substantivo redefinido pela força do digital.
Por tudo que foi dito, enxergamos que será natural algumas dificuldades na implementação da LGPD, assim como dúvidas e desafios, principalmente, nas empresas de cultura mais arraigada, mas não há outro caminho senão a adequação.
Heitor Amaral Ribeiro é Sócio da Amaral Advogados e Professor Universitário. Há anos ajuda empresas de base tecnológica, brasileiras e estrangeiras, a estruturas e dar solidez jurídicas aos seus serviços. Já representou clientes em litígios relacionados à tecnologia, judiciais e extrajudiciais, nas indústrias financeira, mídia e entreterimento, agronegócio, varejo, atacado, tecnologia, saúde e imobiliário.
Linkedin: https://www.linkedin.com/in/heitor-amaral-ribeiro-228ab040/
E-mail: heitor@amaraladvogados.adv.br
Larissa Campos é Advogada da Amaral Advogados e mestranda em Propriedade Intelectual e Transferência de Tecnologia e Inovação na Universidade Estadual de Minas Gerais. Com atuação direcionada ao Direito Digital, Propriedade Intelectual e Startups, faz parte do núcleo estratégico de desenvolvimento e implementação da LGPD no escritório.
Linkedin: linkedin.com/in/larissa-campos-04b968137
E-mail: larissa.campos@amaraladvogados.adv.br
*Até o momento da publicação deste texto a medida provisória que altera a data da vigência da Lei Geral de Proteção de Dados não havia sido sancionada.
[1] Disponível em: https://www.scandinavianlaw.se/pdf/47-18.pdf. Acesso em: 8 fev. 2020.
[2] Disponível em: https://www.cnpd.pt/bin/legis/internacional/Convencao108.htm. Acesso em: 8 fev. 2020.
[3] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A31995L0046. Acesso em: 8 fev. 2020.
[4] Disponível em: https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_en. Acesso em: 8 fev. 2020.
[5] Disponível em: https://www.oas.org/juridico/PDFs/arg_ley25326.pdf. Acesso em: 8 fev. 2020.
[6] Disponível em: https://www.derechosdigitales.org/13443/proteccion-de-datos-con-dientes/. Acesso em: 8 fev. 2020.
[7] Disponível em: http://www.seguridadpublica.gov.cl/media/2019/08/Norma_para_la_proteccion_de_datos_personales.pdf. Acesso em: 8 fev. 2020.
[8] O relatório e as informações completas podem ser acessadas no endereço http://www.ec.europa.eu. Os dados apontados foram aferidos após 12 meses de aplicação da GDPR.
[9] Os dados extraídos da nossa produção podem ser consultados em: https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf. Acesso em: 9 fev. 2020.
[10] Disponível em: https://www.conjur.com.br/2019-jun-18/pedro-soares-tratamento-dados-baseado-legitimo-interesse. Acesso em: 10 fev. 2020.
[11] Disponível em: https://baptistaluz.com.br/wp-content/uploads/2019/01/RD-DataProtection-ProvF.pdf. Acesso em: 10 fev. 2020.
