Com nova lei de proteção de dados, usuários devem consentir o tratamento de suas informações

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, passando por órgãos públicos e a publicidade. A informação é um bem muito precioso e a nova Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor no Brasil desde o último 18 de setembro, passa a valer no momento em que a segurança de informações pessoais ganha destaque.

Aprovada em agosto de 2018, a lei 13.709 afeta diferentes setores e serviços da economia, regendo todos os organismos responsáveis por bases de dados de pessoas.

"Por mais que a gente tenha uma enormidade de dados na internet envolvendo empresas, a preocupação da lei é a proteção dos indivíduos", explica Paulo Brancher, advogado e sócio do escritório Mattos Filho.

A nova legislação estabelece regras detalhadas para a coleta, uso, tratamento e armazenamento de dados pessoais, criando um cenário de segurança jurídica padronizado e a proteção dos dados de todo cidadão que esteja no Brasil.

A LGPD tem abrangência extraterritorial. Não importa se a organização ou o centro de dados estão no país. Se há o processamento de conteúdo de pessoas que estão no território brasileiro, a lei deve ser cumprida. Assim, independentemente do meio, do país de sua sede ou de onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro, a empresa está sujeita à sua aplicação.

"Num mundo conectado como é o mundo de hoje, em que empresas têm operações em diferentes países, e que ofertam produtos e serviços fora do seu território, para a lei ser efetiva, aquilo que define a sua aplicação não pode ser a questão territorial, porque senão seria muito fácil as empresas colocarem servidores fora do do território e dizer que a legislação não se aplica porque os computadores estão fora do Brasil", diz o especialista em proteção de dados e segurança cibernética.

O assunto foi debatido nesta quarta-feira (30) num webinário promovido pela Câmara de Comércio da França no Brasil e o escritório de advocacia Mattos Filho. Entram nessa discussão as relações entre clientes e fornecedores, empregados e empregadores, e as relações comerciais transnacionais e nacionais. 

O consentimento é uma das bases para que dados pessoais possam ser tratados. Sendo assim, o indivíduo deve aceitar que seus dados sejam usados no cadastro e para outros fins.

"Para esse consentimento ser válido, ele tem que ser livre, e não vinculado ao acesso de algum produto e serviço, e precisa ser informado", destaca Jaqueline de Oliveira, advogada da Mattos Filho.

Como dados pessoais, entende-se qualquer informação que permita identificar um indivíduo, como nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, fotografia, prontuário de saúde, cartões bancários, informação sobre renda, histórico de pagamentos, hábitos de consumo e até mesmo preferências de lazer. O endereço de IP (Protocolo da Internet) e mesmo cookies de navegação também entram na lista.

"Informações que uma vez cruzadas possam identificar pessoas e trazer informações sobre elas", explica Paulo Brancher. "Não são só dados digitais. Podem estar no mundo da internet ou em papel, em documentos, a lei não faz diferença. E isso importa para todas as empresas", completa.

Exceções

Contudo, como em toda a regra, há exceções. É possível tratar dados sem consentimento se isso for indispensável para o cumprimento de uma obrigação legal, para execução de política pública prevista em lei, para a realização de estudos via órgãos de pesquisa, execução de contratos, ou defesa de direitos em processo. 

"Se uma empresa tem uma obrigação legal para cumprir, ela não precisa pedir autorização da pessoa para compartilhar dados com a autoridade pública", cita Jaqueline de Oliveira.

Outros dados são sujeitos a cuidados ainda mais específicos. Tratam-se de informações consideradas sensíveis, sobre crianças e adolescentes. Quando o foco é os menores de idade, é imprescindível obter o consentimento de um dos pais ou responsáveis 

Dados que revelem origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa também entram na lista de informações sensíveis.

"O consentimento é a primeira base legal, mas há outras hipóteses que possam justificar o tratamento de dados pessoais. Mas, independente do que vai justificar o tratamento dos dados da pessoa, esse tratamento precisa ser transparente", observa Jaqueline de Oliveira.

Responsabilidades

A Autoridade Nacional de Proteção de Dados (ANDP) é o órgão fiscalizador. Em caso de vazamento de dados, a ANDP e indivíduos afetados devem ser avisados. E falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil, no limite de R$ 50 milhões por infração.

"Essas multas não são indenizações aos titulares dos dados, mas são multas corretivas para que as empresas se ajustem, quando necessário", explica Oliveira.

"O que temos de mais atuante, no momento, são os órgãos de defesa do consumidor, que também conseguem aplicar a LGPD", diz. "Tivemos a criação da Autoridade Nacional de Proteção de dados (ANDP), uma entidade que ainda não está operacional, embora já tenha sido legalmente criada, ela começa a operar em agosto de 2021", conclui.

Europa tem normas mais rigorosas

Na Europa, a pena pode chegar a 4% do faturamento da empresa, ou até € 20 milhões por infração. A LGPD brasileira inspirou-se no Regulamento Geral sobre a Proteção de Dados (GDPR) aplicado à toda a União Europeia (UE). Porém, cada país da UE pode fazer suas próprias alterações, de acordo com a sua necessidade. 

Anna Pouliou, que já atuou para o departamento jurídico da reconhecida marca de moda francesa Chanel, o grupo norte-americano General Electric, e algumas grandes instituições financeiras, atualmente tem entre seus clientes, empresas, bancos, governos e outras instituições interessadas em proteção de dados.

"Nosso tópico é a mentalidade europeia de proteção de dados e ética versus as grandes empresas de tecnologia e o uso de dados", afirma, em entrevista à RFI, a advogada da Deloitte, uma das maiores empresas de consultoria e segurança cibernética do mundo, com cerca de 312.000 funcionários em vários países.

Anna Pouliou está entre os palestrantes de painel sobre o tema organizado pela Business Circle, que acontece em Viena, entre os dias 10 e 11 de novembro. 

Outros nomes confirmados para o evento, que ocorre  presencialmente após muitas conferências terem sido canceladas por conta da epidemia de Covid-19, são: Andrea Jelinek (Presidente do Conselho Europeu de Proteção de Dados), Siani Pearson (especialista em tecnologia) e Max Schrems (conhecido ativista austríaco e fundador da ONG "NOYB" e o projeto "Europa versus Facebook", que busca identificar abusos e falhas nas políticas de privacidade da rede social com base na legislação europeia, visando alternativas legais que respeitem os direitos fundamentais de seus usuários).

O assunto ganhou especial interesse após o lançamento do documentário americano "O Dilema das Redes", dirigido por Jeff Orlowski e escrito por Orlowski, Davis Coombe e Vickie Curtis. O filme, lançado pela Netflix em 9 de setembro de 2020, analisa o papel das redes sociais e os danos que elas podem causar à sociedade.

Consumidor tem poder

Para o cidadão comum, Anna Pouliou explica que a melhor maneira de controlar o uso de dados pessoais é ser "bem informado, cético na coleta de tais informações e resistir".  Dependendo do serviço prestado, "nada justifica que um spa, por exemplo, peça todo o seu relatório medical, sem informar o que vai fazer com ele, por quanto tempo vai manter essas informações e com qual objetivo", cita, dando como exemplo a situação que enfrentou, recentemente, em uma viagem.

"Para ir à manicure em um spa, me pediram para preencher um questionário de três páginas. Algumas informações sobre Covid-19 e seus sintomas eu entendo, pela segurança. Mas se estou grávida, se tenho doença de coração? É preciso ser mais razoável e minimizar a coleta de dados pessoais", diz.

Além disso, Pouliou recomenda aos clientes "não assinarem documentos tão facilmente". Segundo destaca, "muitos consumidores aceitam fornecer dados em troca de cartões de benefícios ou descontos".  

A advogada relembra o episódio anedótico ocorrido há alguns anos, para demonstrar a ingenuidade de certos consumidores: "Para terem redução de preços, os clientes deveriam assinar um termo. Entre as cláusulas, havia a obrigatoriedade de entregar um dos filhos. E muita gente assinou, o que mostra como é fácil para as pessoas abandonarem seus direitos", conta.

"As empresas querem lucro, são movidas pelo dinheiro, o que é legítimo. Mas, se elas não enxergarem uma mudança de comportamento dos consumidores, elas não irão  elevar os seus padrões de privacidade ", conclui.