Com nova lei de proteção de dados no Brasil, usuários devem consentir o tratamento de suas informações

Aprovada em agosto de 2018, a lei 13.709 afeta diferentes setores e serviços da economia, regendo todos os organismos responsáveis por bases de dados de pessoas.

“Por mais que a gente tenha uma enormidade de dados na internet envolvendo empresas, a preocupação da lei é a proteção dos indivíduos”, explica Paulo Brancher, advogado e sócio do escritório Mattos Filho.

A nova legislação estabelece regras detalhadas para a coleta, uso, tratamento e armazenamento de dados pessoais, criando um cenário de segurança jurídica padronizado e a proteção dos dados de todo cidadão que esteja no Brasil.

O assunto ganhou especial interesse após o lançamento do documentário americano “O Dilema das Redes”, dirigido por Jeff Orlowski e escrito por Orlowski, Davis Coombe e Vickie Curtis. O filme, lançado pela Netflix em 9 de setembro de 2020, analisa o papel das redes sociais e os danos que elas podem causar à sociedade.

Abrangência extraterritorial

Para estar sujeito à LGPD, não importa se a organização ou o centro de dados estão no Brasil. Se há o processamento de conteúdo de pessoas que estão no território brasileiro, a lei deve ser cumprida. Assim, independentemente do meio, do país de sua sede ou de onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro, a empresa está sujeita à aplicação da lei.

“Num mundo conectado como o de hoje, em que empresas têm operações em diferentes países, e que ofertam produtos e serviços fora do seu território, para a lei ser efetiva, aquilo que define a sua aplicação não pode ser a questão territorial, porque senão seria muito fácil as empresas colocarem servidores fora do território e dizer que a legislação não se aplica porque os computadores não estão no Brasil”, diz o especialista em proteção de dados e segurança cibernética.

O tema foi debatido nesta quarta-feira (30) num webinário promovido pela Câmara de Comércio do Brasil na França e o escritório de advocacia Mattos Filho. Entram nessa discussão as relações entre clientes e fornecedores, empregados e empregadores, e as relações comerciais transnacionais e nacionais. 

Consentimento

O consentimento é uma das bases para que dados pessoais possam ser tratados. Sendo assim, o indivíduo deve aceitar que seus dados sejam usados no cadastro e para outros fins.

“Para esse consentimento ser válido, ele tem que ser livre, e não vinculado ao acesso de algum produto e serviço, e precisa ser informado”, destaca Jaqueline de Oliveira, advogada da Mattos Filho. “O consentimento é a primeira base legal, mas há outras hipóteses que podem justificar o tratamento de dados pessoais. Mas, independente do que vai justificá-lo, esse tratamento precisa ser transparente”, acrescenta.

Como dados pessoais, entende-se qualquer informação que permita identificar um indivíduo, como nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, fotografia, prontuário de saúde, cartões bancários, informação sobre renda, histórico de pagamentos, hábitos de consumo e até mesmo preferências de lazer. O endereço de IP (Protocolo da Internet) e cookies de navegação também entram na lista.

“Informações que uma vez cruzadas possam identificar pessoas e trazer dados sobre elas”, diz Paulo Brancher. “Não são só dados digitais. Podem estar no mundo da internet ou em papel, em documentos, a lei não faz diferença. E isso importa para todas as empresas”, completa.

Veja a entrevista completa com os advogados Paulo Brancher, Rodrigo Ferreira Figueiredo e Jaqueline de Oliveira clicando no vídeo acima.

Exceções

Como em toda a regra, a nova LGDP tem exceções. É possível tratar dados sem consentimento se isso for indispensável para o cumprimento de uma obrigação legal, para execução de política pública prevista em lei, para a realização de estudos via órgãos de pesquisa, execução de contratos, ou defesa de direitos em processo. 

“Se uma empresa tem uma obrigação legal para cumprir, ela não precisa pedir autorização da pessoa para compartilhar dados com a autoridade pública”, cita Jaqueline de Oliveira.

Outros dados são sujeitos a cuidados ainda mais específicos. Tratam-se de informações consideradas sensíveis, sobre crianças e adolescentes. Quando o foco é os menores de idade, é imprescindível obter o consentimento de um dos pais ou responsáveis 

Dados que revelem origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas e sobre a saúde ou a vida sexual de uma pessoa também entram na lista das informações sensíveis.

Responsabilidades

A Autoridade Nacional de Proteção de Dados (ANDP) é o órgão fiscalizador. Em caso de vazamento de dados, a ANDP e indivíduos afetados devem ser avisados. Falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil, no limite de R$ 50 milhões por infração.

“Essas multas não são indenizações aos titulares dos dados, mas são multas corretivas para que as empresas se ajustem, quando necessário”, explica Oliveira.

“O que temos de mais atuante, no momento, são os órgãos de defesa do consumidor, que também conseguem aplicar a LGPD”, diz. ”Tivemos a criação da Autoridade Nacional de Proteção de dados (ANDP), uma entidade que ainda não está operacional, embora já tenha sido legalmente criada, ela começa a operar em agosto de 2021”, conclui.

Europa tem normas mais rigorosas

Na Europa, a pena pode chegar a 4% do faturamento da empresa, ou até € 20 milhões por infração. A LGPD brasileira inspirou-se no Regulamento Geral sobre a Proteção de Dados (GDPR) aplicado à toda a União Europeia (UE). Porém, cada país da UE pode fazer suas próprias alterações, de acordo com a sua necessidade. 

Anna Pouliou, que já atuou para o departamento jurídico da reconhecida marca de moda francesa Chanel, o grupo norte-americano General Electric e algumas grandes instituições financeiras, atualmente tem entre seus clientes, empresas, bancos, governos e outras instituições interessadas em proteção de dados.

“Nosso tópico é a mentalidade europeia de proteção de dados e ética versus as grandes empresas de tecnologia e o uso de dados”, afirma, em entrevista à RFI, a advogada da Deloitte, uma das maiores empresas de consultoria e segurança cibernética do mundo, com cerca de 312.000 funcionários em vários países.

Anna Pouliou estará entre os palestrantes de um painel sobre o tema organizado pela Business Circle, em Viena, entre os dias 10 e 11 de novembro. 

Outros nomes confirmados para o evento, que acontece presencialmente após muitas conferências terem sido canceladas por conta da epidemia de Covid-19, são: Andrea Jelinek (Presidente do Conselho Europeu de Proteção de Dados), Siani Pearson (especialista em tecnologia) e Max Schrems (conhecido ativista austríaco e fundador da ONG "NOYB" e o projeto "Europa versus Facebook", que busca identificar abusos e falhas nas políticas de privacidade da rede social com base na legislação europeia, visando alternativas legais que respeitem os direitos fundamentais de seus usuários).

Consumidor tem poder

Para o cidadão comum, Anna Pouliou explica que a melhor maneira de controlar o uso de dados pessoais é ser “bem informado, cético na coleta de tais informações e resistir”.  Dependendo do serviço prestado, “nada justifica que um spa peça todo o seu relatório medical, sem informar o que vai fazer com ele, por quanto tempo vai manter essas informações e com qual objetivo”, diz, citando o exemplo de uma situação que enfrentou, recentemente, em uma viagem.

“Para ir à manicure, me pediram para preencher um questionário de três páginas. Algumas informações sobre Covid-19 e seus sintomas eu entendo, pela segurança. Mas se estou grávida, se tenho doença de coração? É preciso ser mais razoável e minimizar a coleta de dados pessoais”, diz.

Além disso, Pouliou recomenda aos clientes “não assinarem documentos tão facilmente”. Segundo destaca, “muitos consumidores aceitam fornecer dados em troca de cartões de benefícios ou descontos”.  

A advogada relembra um episódio anedótico ocorrido há alguns anos, para demonstrar a ingenuidade de certos consumidores: “Para terem redução de preços, os clientes de uma loja deveriam assinar um termo. Entre as cláusulas, havia a obrigatoriedade de entregar um dos filhos. E muita gente assinou, o que mostra como é fácil para as pessoas abandonarem seus direitos”, conta.

“As empresas querem lucro, são movidas pelo dinheiro, o que é legítimo. Mas, se elas não enxergarem uma mudança de comportamento dos consumidores, elas não irão  elevar os seus padrões de privacidade ”, conclui.