Somos uma sociedade cada vez mais digital. Hoje, fazemos compras, pesquisamos informações e acessamos serviços bancários via computador ou smartphone, sem necessidade de qualquer deslocamento. Porém, a tecnologia que facilita a nossa vida aumenta o risco de exposição de nossos dados pessoais.
A cada instante, milhões de pessoas do mundo todo deixam um rastro de dados pessoais em todas as suas interações, seja através dos mais modernos meios digitais, seja através de instrumentos analógicos, ou mesmo através de meios mais rudimentares, como o preenchimento de uma simples ficha cadastral em papel. Via de regra, as pessoas fornecem os seus dados, como endereço, números de documentos de identificação, dados bancários, identificação biométrica, dentre outros, sem se preocupar com a segurança desses dados. Muitas vezes, as pessoas cedem os seus dados em troca de pequenos descontos, sem imaginar que essa troca pode colocá-las em uma situação de grande vulnerabilidade.
O uso indevido dos dados pessoais, como a coleta sem a autorização, o desvirtuamento do uso para fins não autorizados, o vazamento dos dados por ausência de segurança na sua guarda, o sequestro digital, dentre outros graves problemas que afetam a privacidade de todos, colocou o mundo em alerta.
Em face disso, tornou-se necessária, como é próprio das sociedades democráticas e de direito, a intervenção legislativa para regulamentar as relações sociais de forma a garantir os direitos dos cidadãos.
Em 2018, na Europa, entrou em vigor a General Data Protection Regulation (GDPR), que se tornou referência global para a proteção de dados dos cidadãos. As empresas daquele continente já mudaram significativamente a forma de gerir as informações de seus clientes, e os europeus, a cada dia, tornam-se mais rigorosos quanto à proteção de seus dados.
Na esteira da legislação europeia, foi editada no Brasil, no ano de 2018, a Lei Geral de Proteção de Dados (LGPD) – Lei Federal n.º 13.709/18 –, que, diante dos seus impactos nas relações sociais dos brasileiros e para que as pessoas, as empresas e o poder público possam se preparar, vai entrar em vigor somente em 14 de agosto de 2020.
A LGPD tem como objetivo principal proteger os dados pessoais de todos os cidadãos, garantindo a proteção dos direitos de liberdade e de privacidade, à inviolabilidade da honra, da imagem e da intimidade da pessoa natural.
A LGPD institui uma série de direitos e obrigações que impactam diretamente nas atividades de todas as pessoas e das empresas que precisam lidar com informações ou dados. A lei atinge a toda a sociedade e a economia, seja a da grande ou da pequena empresa, ou mesmo da pessoa natural, que exerçam alguma atividade que necessite coletar dados, processá-los ou tratá-los.
O tratamento de dados, nos termos da LGPD, se estrutura em 10 bases legais, sendo a principal delas o consentimento, que poderá ser nulo caso obtido por meio de uma autorização genérica ou se baseado em informações com conteúdo enganoso ou abusivo. Quando baseado no consentimento, o responsável pelo tratamento dos dados deve ter documentação comprobatória da sua obtenção, em conformidade com os parâmetros fixados pela lei, que não mais admite autorizações genéricas, sem especificação da finalidade e da necessidade da coleta.
Outra base legal para o tratamento dos dados pessoais é a que decorre do relacionamento contratual, exigindo maior atenção de todos aos ajustes contratuais firmados.
A mais polêmica, entretanto, é a fundada no “legítimo interesse” do controlador dos dados. Esse conceito é aberto, sujeito a interpretações diversas, embora o próprio legislador já tenha estabelecido alguns mecanismos de delimitação e controle, ao exigir, nesta hipótese, a manutenção de transparência do tratamento com o titular do dado, e ao possibilitar que a Autoridade Nacional de Proteção de Dados, órgão fiscalizador da lei, possa exigir Relatório de Impacto.
De uma maneira especial, a LGPD cuida do tratamento de dados de crianças e adolescentes, que demandam maior proteção, seja na coleta de dados pessoais em serviços direcionados diretamente a eles, seja na comercialização ou criação de perfis a partir de seus dados, sempre exigindo o consentimento expresso dos pais ou do representante legal. Neste tópico, a LGPD terá impacto significativo no setor de educação.
A LGPD também considera relevante o tratamento de dados sensíveis, que são aqueles que podem gerar qualquer tipo de discriminação, como os dados sobre origem racial ou étnica, convicção religiosa, dado referente à saúde ou à vida sexual, dentre outros. Relativamente a esses dados, a lei estabelece maiores exigências, demandando mais eficientes controles das empresas e de todos aqueles que os coletarem e tratarem.
A lei exige de todos os agentes de tratamento a adoção de medidas que garantam a segurança e o sigilo dos dados pessoais, o que implica na adoção de medidas tecnológicas e administrativas para evitar ameaças de violabilidade. Também exige a LGPD que os agentes de tratamento de dados pessoais formulem internamente regras de boas práticas e de governança, com vistas a garantir que a proteção dos dados seja vista desde a concepção do projeto ou serviço até a sua execução, com vista à mitigação de riscos.
Com isso, processos internos e sistemas devem ser adequados, treinamento de pessoal deve ser realizado, mapeamento e avaliação do tráfego de dados devem ser identificados, dentre outros mecanismos que devem ser postos em prática com o objetivo da conformidade à lei, seja para mitigar seja para evitar a aplicação das sanções previstas na LGPD.
A sanções impostas na LGPD vão desde a aplicação de advertências ou multas, no valor de até 2% do faturamento, limitado a R$ 50 milhões, por infração, até à própria eliminação dos respectivos dados pessoais, além da obrigatoriedade de tornar pública a infração, o que pode ter impactos irreversíveis na reputação das empresas.
Os desafios impostos pela LGPD são muitos. Estar em conformidade com as novas regras, garantindo a segurança dos dados de seus clientes e parceiros, e continuar avançado e inovando, inclusive com o uso de todos os recursos tecnológicos já existentes e daqueles que ainda estão por vir, certamente é o maior de todos os desafios para as empresas e instituições.
Importante, acima de tudo, é direcionar mais esforços, em toda a estrutura organizacional, adotando mecanismos padronizados de controle, para que a legalidade, a prevenção e a segurança de dados, sempre com vista à privacidade do titular, sejam inseridas na cultura interna da empresa e da instituição.