Por Rafael Arbulu
Em cerca de um ano a partir daqui, a Lei Geral de Proteção de Dados (LGPD) entrará em completo vigor por todo o território nacional. No nível do consumidor comum, esse parece ser mais um assunto empresarial que não gera grande interesse e acaba passando despercebido, mas sabia que até mesmo a pessoa física pode ser enquadrada pela nova legislação?
Dúvidas como essa são a razão pela qual a LGPD vem causando inúmeras dores de cabeça no empresariado brasileiro, independente do tamanho da companhia. Pensando nisso, o Canaltech conversou com três especialistas jurídicos para determinar o que a sua empresa deve fazer para se encontrar em total concordância com a nova regra.
Cadê o dado que estava aqui?
A primeira coisa a ser feita é entender o que constitui, de fato, um “dado pessoal”. Apesar de algumas coisas serem óbvias — RG, CPF e outros documentos que você provavelmente tem na sua carteira neste exato momento —, há outras premissas que facilmente passam por baixo da atenção de todos: “A LGPD protege dados pessoais, ou seja, qualquer informação relacionada a uma pessoa física, que possibilite a identificação desta pessoa, ou seja, não somente nome, CPF, etc., mas também dados como hábitos de consumo e preferências musicais”, explica Flavio Fujita, advogado do escritório Opice Blum, em São Paulo.
Leandro Pesoti Netto, especialista em direito cibernético e consultor jurídico da Associação Brasileira dos Distribuidores de Tecnologia da Informação (Abradisti), ressalta essa percepção, adicionando que até informações rotineiras, como o cartão de crédito ou seu nome completo e endereço de perfis nas redes sociais, são contemplados pela lei. A grosso modo, estão previstas na regência legal quaisquer informações que permitam a identificação de uma pessoa, independente da disposição dessa informação ou de como ela foi armazenada.
Outra dúvida constante do público é se a LGPD atua apenas com companhias privadas de cunho digital, como redes sociais ou empresas que forneçam soluções em TI. Nenhuma das duas interpretações é correta: “A LGPD não se aplica apenas a empresas digitais, mas a todas as pessoas jurídicas, incluindo a administração pública, e até mesmo a pessoas físicas em determinados casos. É importante ter em mente que essa lei afetará todas as empresas, independentemente de serem ou não digitais e de lidarem ou não com o varejo (B2B ou B2C). Toda empresa hoje em dia lida com dados pessoais, mesmo que sejam apenas os dados de seus empregados”, diz Luiz Fernando Plastino Andrade, mestre em direito e advogado do escritório Barcellos Tucunduva Advogados.
O tipo de administração da empresa também não a isenta de ser enquadrada pela legislação, segundo Luiz Fernando. Ele explica que empresas estatais, autarquias e órgãos do governo também precisam seguir os princípios e regras da LGPD, diferenciando-se apenas na tratativa punitiva: enquanto empresas privadas deverão responder com diversos formatos, indo desde advertência até multa relacionada a 2% de seu faturamento (desde que não ultrapasse R$ 50 milhões) e até mesmo multas diárias atribuídas conforme o grau da ofensa, empresas da esfera pública possuem interpretações diferenciadas de punição, sendo, algumas, até mais contundentes.
“Como elas devem servir ao interesse público e possuem funções ligadas a políticas públicas, seguem regras específicas para o processamento dados pessoais. Por outro lado, aplicação da lei também terá de ser especialmente rigorosa quanto para elas, pois historicamente o processamento de informações pelo Estado tem alto potencial de risco de mau uso dos dados dos cidadãos”, explica o advogado.
Pesoti Netto também entende que, devido à administração pública responder, no âmbito empresarial, à esfera política, a LGPD pode requerer maior atenção a esse tipo mais específico de público: “Não podemos nos esquecer que a LGPD também impõe ao Poder Público os parâmetros de proteção aos dados. Desta forma, todo administrador que deixa de cumprir essa norma estará sujeito a uma série de outras penalidades, incluindo até mesmo medidas de improbidade administrativa”.
Isso, claro, sem mencionar as empresas multinacionais que não têm escritório local, mas disponibilizam produtos de seus portfólios por aqui: o exemplo mais óbvio disso é o WhatsApp, que embora seja subsidiário ao Facebook, não tem uma operação local. Vazamentos de informações decorrentes do mensageiro, por exemplo, são passíveis de investigação pela LGPD, pois, segundo os três especialistas, os dados vazados teriam sido tratados aqui. Em outras palavras: você ainda pode processar alguém que não esteja aqui, se comprovar que a ofensa teve causa e impacto aqui.
Mais além, até mesmo a pessoa física pode ser enquadrada e investigada pelos meandros da Lei Geral de Proteção aos Dados. Os três advogados ouvidos pelo Canaltech indicam que é passível investigar todo caso — pessoa física ou jurídica — onde o uso e/ou armazenamento de informações das pessoas seja feito com o intuito de assegurar rentabilidade para a entidade ofensiva à lei.
“Em outras palavras, blogueiros, youtubers e demais pessoas que se monetizam de qualquer forma explorando dados pessoais de seus seguidores deverão se adaptar às novas regras”, conta Leandro Pesoti. Para ficar simples de se entender: imagine que um influenciador digital abra uma promoção em seus canais sociais e que, para participar dessa promoção, você tenha que preencher um formulário — o influenciador pode ser responsabilizado por problemas que possam ocorrer com o vazamento dessas informações, ainda que use plataformas terceirizadas para a coleta de dados.
“Ou seja, a lista de contatos de amigos para repartir as despesas de um churrasco está livre da lei, mas um profissional liberal, por exemplo, como um advogado ou médico que trabalha sozinho, de forma autônoma, também deverá seguir a LGPD quando tratar das informações de seus clientes e pacientes”, explica Luiz Fernando.
Mas é muita coisa! O que eu tenho que fazer?
Com base no espectro coberto pela LGPD, é de se assustar que tanta coisa fique sob responsabilidade das empresas: venhamos e convenhamos, mesmo empresas avessas à tecnologia e que ainda mantenham seus registros em papel estão sujeitas ao rigor da nova lei. São dados, afinal, independente do formato em que eles são resguardados. “A LGPD é agnóstica quando fala em tratamento de dados. Com isso queremos dizer que o tratamento online ou off-line deverá seguir as mesmas regras. Assim, mesmo em caso de dados em papel, a empresa deverá obter consentimento do titular do dado, com a devida explicação sobre como ele será empregado, por exemplo”, conta Pesoti Netto.
Por causa disso, os três especialistas concordam que as empresas devem começar, o quanto antes, a revisar seus processos a fim de assegurar o que já está em conformidade com a legislação, e corrigir o que não está em tempo hábil. Isso implica, segundo Luiz Fernando, na garantia de que a empresa tem o controle dos dados que coletar e processar desde o momento em que eles chegam na empresa até o momento em que são apagados.
Isso envolve todo um trabalho de levantar e identificar os dados pessoais que possui, de conhecimento dos fluxos de informação na empresa e envolvendo terceiros com os quais a empresa tenha que dividir esses dados, revisão de medidas de segurança de informação adotadas e de contratos com terceiros, bem como a adoção de políticas corporativas de proteção de dados e de avisos de privacidade para informar as pessoas afetadas sobre o que será feito com seus dados.
Nestas horas, vale a dica adotada por diversas empresas mais contemporâneas: definir uma equipe e gestão específica de compliance. Empresas que detêm esse tipo de setor comumente se encontram em constante revisão de seus passos dentro da lei vigente, a fim de que cada ação, voluntária ou acidental, não pise nos indevidos calos nem traga maiores problemas.
Isso é especialmente verdade tanto para empresas digitais como para empresas mais analógicas: os três advogados argumentam que o trabalho será intenso em ambos os lados — plataformas sociais, por exemplo, estão mais expostas às questões de armazenamento e transparência no processamento e uso de tais informações de seus usuários, ao passo que empresas que notoriamente se valem de resguardo de dados em papel deverão criar fluxos mais específicos para coleta, armazenamento e descarte, a devida transparência nisso tudo, bem como algum sistema automatizado ou digitalizado que possa servir como reserva em caso de problemas.
Mas quem vai ficar de olho nisso tudo?
Tudo isso para evitar que uma denúncia — que pode sair de qualquer lugar, vale citar — seja levada à Autoridade Nacional de Proteção de Dados (ANPD). Criada em dezembro de 2018 como uma das últimas ações do ex-presidente Michel Temer antes deste deixar o mandato, será ela a agência fiscalizadora do governo para averiguar, investigar e punir, quando cabível, aqueles que faltarem ao rigor da LGPD.
Entretanto, muito se engana quem pensa que a ANPD trabalhará sozinha. Leandro Pesoti Netto explica que, embora ela tenha uma atribuição federal, a ANPD terá autonomia e acesso assegurados a bases de dados estatais e municipais, como é o caso de serviços como os Procons: “Devemos sempre considerar que o tema ‘dados pessoais’ é amplo e abrange uma série de outros direitos e agentes de fiscalização. Por isso, Procons, Ministérios Públicos, incluindo o Ministério Público do Trabalho, o CADE e outras autoridades são legítimas, dentro de seus escopos de atuação, para averiguar e direcionar infrações à LGPD frente à Autoridade Nacional de Proteção de Dados”.
Em conclusão, é de extrema importância que o empresariado brasileiro comece desde já a avaliar seus atuais processos administrativos. Setores como RH, Finanças e Jurídico das corporações multinacionais e pequenas empresas estão sujeitas ao processo regido pela LGPD. No ritmo atual, é plausível que a expectativa seja a de que algumas empresas deverão encontrar surpresas desagradáveis.
Ademais, um ano pode parecer muita coisa, mas também pode ser um tempo curto demais.
Fonte: CanalTech, em 23.07.2019.