Em novembro de 2014, a Amazon lançava a Alexa, primeira versão de sua assistente virtual, cujas funções prometiam auxiliar o usuário em suas atividades diárias, de forma inteligente e interativa. Um tempo depois, alguns casos polêmicos envolvendo a privacidade dos dados íntimos dos clientes vieram à tona, e dúvidas surgiram se a Amazon estava mantendo em seus bancos de dados, áudios e vídeos diários, sem o consentimento do usuário.

Esse é somente um dos inúmeros casos do mundo digital que nos leva a questionar se é possível navegar nos oceanos da Web sem deixar para trás informações significativas a respeito de quem somos. Em um universo de cadastros, formulários e redes sociais, quanto de nossas vidas pessoais é dispersado diariamente em banco de dados de empresas e pessoas com finalidades desconhecidas?

Recentemente, em seu discurso no fórum econômico mundial de Davos, o historiador israelense Yuval Harari, alertou para o impacto do uso massivo de dados no futuro da humanidade. Segundo ele, através dos dados é possível prever sentimentos e até mesmo manipular decisões.

No ano de 2018 dados de mais de 50 milhões de pessoas foram utilizados sem consentimento dos usuários para a campanha política do atual presidente dos Estados Unidos. O caso se refere ao escândalo entre o Facebook e a empresa Cambridge Analytica, que gerou uma significativa repercussão global, levando Marck Zuckemberg a dar explicações para a justiça americana. Em um contexto mais recente, a operadora Vivo é acusada de expor dados de cerca de 24 milhões de pessoas, em uma brecha do sistema, onde dados pessoais de clientes poderiam ser facilmente identificados.

O que esses casos têm em comum? Ambos motivam a criação de um mecanismo que regule a manipulação de dados por parte das empresas. É neste contexto que surge a Lei Geral de Proteção de Dados (LGPD)[1], cujo propósito é instituir uma série de regras referentes ao sigilo, à privacidade e ao tratamento de dados pessoais. A LGPD versa sobre a manipulação de informações desde a obtenção com o consentimento do usuário, até o término das atividades de tratamento dos dados, esclarecendo quais são os direitos do titular e as obrigações dos devidos responsáveis.

A Lei nº 13.853 (em conversão à medida provisória nº 869/2018), que traz diversas alterações ao texto original, foi sancionada com vetos pelo presidente Jair Bolsonaro no dia 8 de julho de 2019.

De acordo com a lei, também será instituída a Autoridade Nacional de Proteção de dados (ANPD), responsável pela elaboração de diretrizes de políticas nacionais e realização de auditorias na atividade de fiscalização.

Mas qual atividade será afetada pela LGPD?

Segundo a lei, são enquadradas “quaisquer atividades de tratamento que tenham por objetivo a oferta ou o fornecimento de bens”. Digamos, por exemplo, que você seja dono de uma pequena mercearia que vende produtos caseiros. Se você mantém um simples cadastro de seus clientes compradores, o seu negócio será afetado pelas condições da nova lei. Pessoas físicas ou jurídicas que mantenham bancos de dados relacionados a suas atividades se enquadram nos termos da LGPD.

Quem está de fora da aplicação da lei?

Não estão enquadrados os que utilizarem os dados para fins acadêmicos, jornalísticos e artísticos, ou para fins particulares, que não tenham nenhum fim econômico. Essa lista também inclui dados manipulados para propósitos que envolvam a segurança pública ou investigações realizadas pelo Estado.

Quais são as penalidades para os infratores?

As sanções para os que descumprirem as normas estabelecidas podem variar desde uma advertência até aplicação de multa no valor máximo de 50 milhões de reais. Outras possíveis penalidades dizem respeito a tornar pública a infração, ou até mesmo o bloqueio ou exclusão do banco de dados.

A Lei traz também um tratamento diferente para os denominados dados sensíveis, que se referem às informações de cunho mais privativo, comoconvicções religiosas ou políticas, dados de saúde ou sobre a vida sexual.Estas deverão ser tratadas somente com consentimento claro e específico do titular, sendo que autorizações genéricas para isso serão nulas. Outras exceções são os casos de estudos dos dados por órgão de pesquisas, ou em situações de proteção da vida e saúde do indivíduo.

Uma abordagem distinta também é praticada no cenário de tratamento de dados pessoais de crianças e adolescentes, a qual demanda um consentimento claro e específico pelos pais ou responsáveis legais da criança.

Quais são os direitos do titular?

• Ter acesso aos dados fornecidos a qualquer momento;
• Solicitar a alteração de dados incorretos, ou até mesmo a exclusão de informações pessoais;
• Requerer a portabilidade dos seus dados para outro fornecedor de serviço;
• Exigir revisão de decisões tomadas por métodos automatizados, como por exemplo, a análise de risco realizada por operadoras de seguro para contratação de planos.

Quais os deveres do controlador (pessoa responsável pelo tratamento)?

• Providenciar que o tratamento de dados pessoais seja realizado somente por meio de consentimento claro e específico do titular.
• Informar ao usuário qual é a finalidade do tratamento, bem como a forma e a duração do mesmo.
• Um canal acessível entre o usuário e a empresa deve ser criado afim de que possam ser recebidas reclamações ou comunicações a respeito de possíveis atualizações de dados cadastrais ou remoções de dados.
• O responsável pelo banco de dados deve sempre prezar pela segurança das informações, adotando medidas para proteger e evitar quaisquer danos.

 Quais são os futuros desafios?

Para a construção dessa nova regulação, o Brasil segue o exemplo da GDPR (General Data Protection Regulation ou Regulamento Geral de Proteção de Dados, em português), regulação da União Europeia que serviu de inspiração para diversos países também se posicionarem quanto à privacidade de suas informações. A GDPR foi sancionada em maio de 2018, após 4 anos de intenso debate e 2 anos de implantação.

A comparação com o período curto de adaptação deste novo modelo no Brasil nos leva a questionar se até a efetivação do regimento no Brasil (agosto de 2020), as empresas afetadas pela lei terão tempo hábil para adaptar todos os seus fluxos e processos internos para que a obtenção e tratamento dos dados seja feita de acordo com a LGPD, considerando que severas punições no faturamento dos infratores podem ser aplicadas. É importante destacar que segundo dados da RAIS, 98,7% das empresas em 2018 no Brasil são consideradas como microempresas ou empresas de pequeno porte, o que pode ser uma barreira para adoção de novas tecnologias necessárias para gerenciamento de dados.

Pensando nisso, há um projeto de lei em consulta pública com o intuito de prorrogar em dois anos a data em que a LGPD começa a vigorar, passando então para agosto de 2022. Outro ponto a ser destacado é que a lei compete à ANPD a responsabilidade de elaborar orientações específicas e criar mecanismos simplificados de adequação à lei para as empresas de micro e pequeno portes,         assim como startups ou empresas de inovação.

Embora a adequação a esse novo modelo traga diversos desafios às empresas e às instituições de grande parte dos setores da economia, se faz necessária a criação de um regimento que busque o zelo pela privacidade dos dados pessoais em uma era de intenso uso e compartilhamento de informações, onde a manipulação de grandes volumes de dados ainda traz consigo inúmeras perspectivas.

[1] Veja detalhes sobre a Lei Geral de Proteção de Dados Pessoais (LGPD) em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm#ementa