Blog

Quando vai à farmácia, o cidadão geralmente fornece o número de inscrição no CPF para identificação de seu cadastro na loja e, só então, fazer jus aos descontos alardeados pelo estabelecimento comercial. O mesmo acontece nos balcões dos supermercados, nas livrarias, nos sites de comércio online e nas lojas que frequentamos nos shoppings próximos de casa.

Ao contratar um serviço, também estamos quase sempre sujeitos ao preenchimento de formulários, cadastros, fornecimento de informações muitas vezes “obrigatórias”, sem o que não é possível a utilização do serviço. Não é suficiente mais o simples pagamento monetário. É preciso “pagar” com nossos dados, com a revelação de nossos gostos, hábitos e preferências. Concessionárias de veículos, salões de beleza, clínicas e hospitais, escolas e cursos, academias, todos parecem querem saber tudo sobre nós.

Para onde vão esses dados? Para que servem? Por quem e com que finalidades são utilizados? Engana-se quem pensa que essas informações servem apenas para oferecer descontos ou para personalizar a experiência do consumidor. Em um mundo digital, como este em que vivemos atualmente, tudo é registrado e transformado em algoritmos, com intenções eminentemente mercadológicas, como o incremento nas vendas e nos lucros, para falar apenas dos desígnios mais legítimos.

Trata-se de dados cada vez mais valiosos no mercado e que na maior parte das vezes são fornecidos sem qualquer questionamento e sem nos preocuparmos em saber mais sobre os motivos de estarmos sendo praticamente compelidos a preencher cadastros, fornecer informações e ter nossos hábitos de vida e de consumo compilados e armazenados por empresas, e, quiçá, vasculhados, não se sabe nem por quem ou em que situações. Não raro, ficamos surpresos quando começamos a receber e-mails indesejados, mensagens misteriosas no celular e até mesmo quando somos vítimas de algum golpe mais elaborado.

Aliás, o eventual vazamento de dados pessoais ou sua utilização para fins não autorizados tem um potencial de acarretar danos individuais a uma enorme parcela da sociedade, já que, atualmente, ninguém pode prescindir de pelo menos um grau mínimo de digitalização de suas informações pessoais. Além disso, as modalidades de danos e graus de prejuízos possíveis são inimagináveis, pois é impossível prever todos os usos escusos que podem ser efetuados a partir do acesso indevido a dados pessoais da população.

Na realidade, já existem diversos exemplos de situações em que o vazamento de dados pessoais teve impactos relevantíssimos no mundo moderno, seja de maneira singular ou em relação a toda a uma sociedade. Temos como exemplo o escândalo mundial gerado pelo caso do vazamento de dados de usuários do Facebook que foram utilizados pela empresa de marketing Cambridge Analytica, e que pode ter até mesmo influenciado o resultado da eleição presidencial norte-americana em 2016. Especificamente no Brasil, também ocorreram vazamentos indevidos de dados bem recentemente, como o caso do site Netshoes e do aplicativo Uber, ambos revelados no final do ano passado.

Como podemos nos proteger de situações indesejadas como essas? Até que ponto devemos permitir a verdadeira invasão de privacidade que vem se verificando em nosso dia-a-dia, cada vez com maior alcance e frequência?

Cabe ao Direito regular as interações sociais e negociais, bem como disciplinar a coletividade de forma a garantir a paz social. Nesse contexto, é importantíssimo que o legislador dê a devida atenção às modernas formas de intercâmbio de informações digitais e proteja os cidadãos no que tange à privacidade de seus dados e à segurança jurídica de suas relações pessoais e comerciais. Em outros países, essa discussão já está muito mais avançada e produzindo efeitos contundentes.

Na União Europeia, por exemplo, entrou em vigor em maio deste ano a chamada “GDRP – General Data Protection Regulation”, uma extensa e rigorosa regulamentação que prevê uma série de normas relativas à coleta, ao tratamento e armazenamento de dados de indivíduos em ambiente digital, com elaboradas regras a serem observadas por quem quer que inclua em suas atividades a coleta e o tratamento de dados pessoais, estipulando pesadas multas em caso de descumprimento. E mais: tal regulamentação não se aplica apenas aos cidadãos europeus ou àqueles estabelecidos territorialmente na União Europeia, mas sim a quaisquer entes que façam ou pretendam fazer negócios com cidadãos europeus, ensejando uma abrangência geográfica internacional inédita em termos de aplicação legal de um regramento jurídico. Trata-se, na verdade, de uma consequência prática da sociedade digital global conectada em que vivemos.

É por este motivo que tantos websites, aplicativos e lojas virtuais têm atualizado suas políticas de privacidade, e ultimamente temos recebido tantas mensagens informando sobre tais alterações e solicitando nossa concordância expressa com os novos termos. Estão todos correndo para se adequar às novas regras implantadas na Europa, já que, em um ambiente globalizado como o atual, dificilmente uma empresa com negócios ou serviços prestados online deixará de se relacionar com cidadãos europeus ou geograficamente localizados naquele continente. E as consequências pelo descumprimento não são nada interessantes, incluindo multas de até 4% sobre a receita anual da empresa e indisponibilidade de acesso aos websites. Com efeito, passados quase três meses desde a entrada em vigor da GDRP, mais de mil sites dos Estados Unidos permanecem bloqueados para acesso a partir de países da União Europeia, por não terem se adaptado à nova legislação.

Lei 13.709

No Brasil, o Presidente da República acaba de sancionar a Lei 13.709, de 14 de agosto de 2018, estabelecendo as regras aplicáveis em nosso país sobre privacidade e tratamento de dados. Interessante notar que o projeto de lei que deu origem à nova legislação foi aprovado por unanimidade na Câmara e no Senado, o que é algo bastante raro e que só demonstra a relevância do assunto para o país no contexto internacional.

Essa nova lei consagra em nosso ordenamento jurídico, de forma expressa, elementos importantes para garantir a segurança jurídica nas relações negociais que envolvem dados pessoais. É uma legislação baseada no regulamento europeu em muitos tópicos, e bastante rígida tal qual a sua fonte inspiradora do velho mundo. Por isso, trará implicações importantes para todos os tipos de negócios que envolvem coleta, armazenamento e tratamento de dados – ou seja, quase todos. Por este motivo, será importante que as empresas estejam atentas e se preparem para cumprir as determinações dessa nova legislação, que entrará em vigor dentro de dezoito meses, em fevereiro de 2020.

Em linhas gerais, a nova lei traz as definições legais de dados pessoais e de dados sensíveis (estipulando tratamento mais rigoroso para a proteção destes últimos), estabelece os princípios jurídicos que disciplinam a matéria, fixa os requisitos para o tratamento dos dados, estipula regras territoriais, e regulamenta o término do tratamento dos dados. Além disso, disciplina a proteção dos dados de crianças e adolescentes, reconhecendo a vulnerabilidade apesar da utilização massiva feita por este público de incontáveis recursos disponíveis na internet. A Lei estabelece ainda os direitos dos titulares de dados pessoais, define as responsabilidades envolvidas na coleta e tratamento de tais dados, inclusive pelo Poder Público, e regula a transferência internacional de dados, o que tem especial relevância para empresas atuantes em países diversos.

Alguns pontos da lei, contudo, têm trazido preocupações ao empresariado nacional devido aos custos de implementação e possíveis modificações estruturais que poderão se fazer necessárias, como por exemplo: a definição das partes responsáveis dentro da empresa pelo tratamento de dados, a instituição da figura do “encarregado” por tal tratamento, com atribuição de suas responsabilidades e obrigações, a estipulação das boas práticas envolvendo dados pessoais, determinação de medidas de privacidade que devem ser observadas desde a concepção até a sua implementação ou execução, e a introdução legal das boas práticas de governança digital. A adaptação a todas essas novas regras pode envolver tempo e esforços consideráveis de algumas empresas, dependendo de como e com que finalidades se realiza a coleta de dados dos clientes/consumidores de seus produtos e serviços.

Outro dispositivo que merece especial atenção é o artigo que estabelece as sanções administrativas que podem ser impostas em caso de descumprimento da lei – tais sanções incluem multa de até 2% do faturamento da empresa (ou grupo de empresas), bem como multa diária, ambas até o montante de cinquenta milhões de reais, publicidade da infração (o que pode impactar sobremaneira a imagem das empresas no mercado), dentre outras.

Importante, salientar, ainda, que a lei determina expressamente que as atitudes das empresas sejam levadas em consideração quando da aplicação destas sanções, de forma que deverão funcionar como uma espécie de atenuante a boa-fé do infrator, a sua cooperação, a adoção reiterada e demonstrada de mecanismos e procedimentos internos com vistas a minimizar os danos, a adoção de políticas de boas práticas e de governança, a pronta adoção de medidas corretivas, etc. Ou seja, todo o contexto envolvendo eventuais vazamentos de dados ou outras infrações será devidamente analisado e sopesado no momento da punição, o que aumenta ainda mais a importância de que as empresas se preparem efetivamente para atender aos ditames da nova lei.

Portanto, faz-se necessário que as empresas analisem as providências que precisarão tomar para se adequar à nova legislação, de acordo com cada tipo de atividade, e não deixem as providências necessárias para a última hora. Para tanto, será imprescindível uma análise jurídica detalhada e cuidadosa das atividades da empresa à luz da nova legislação para garantir que em fevereiro de 2020, quando a lei efetivamente entrar em vigor, a empresa não esteja vulnerável às pesadas sanções ali previstas.

Ana Paula Moura é advogada especialista em Propriedade Intelectual e Direito Digital do escritório Abreu Júdice.