O que é e como funciona a proteção de dados no Brasil?

O Dia Internacional da Proteção de Dados é comemorado no dia 28 de janeiro em homenagem ao primeiro instrumento internacional em matéria de tratamento de dados pessoais: a Convenção 108 do Conselho da Europa para a Proteção das Pessoas Singulares, no que diz respeito ao tratamento automatizado de dados pessoais, assinado em 1981. No Brasil, o principal marco da proteção de dados foi instaurado com a criação da Lei Geral de Proteção de Dados Pessoais, a LGPD (Lei 13.709/2018), com entrada integral em vigor em 2021.

Antes dela, algumas leis esparsas já abordavam o tratamento de dados, como o Código de Defesa do Consumidor, a Lei de Acesso e Informação e a própria Constituição Federal. Contudo, essa abordagem sempre foi genérica e nunca adentrou a fundo na temática. A norma constitucional utilizada até o surgimento da LGPD para dirimir conflitos sobre dados pessoais era o art. 5º, X, da CF/1988, que trata do direito à privacidade e intimidade, norma ampla e sem nenhum direcionamento para o tratamento de dados.

A LGPD, inspirada na General Data Protection Regulation (GDPR), lei da União Europeia criada em 2016, possui 65 artigos e, ao contrário do que o pensamento comum possa sugerir, não é uma norma de segurança da informação. Sua principal característica é ser uma norma de compliance, ou seja, de política de tratamento de dados pessoais que identifiquem ou possam identificar o indivíduo. A ideia é justamente estruturar a atuação da pessoa física ou jurídica, inclusive da Administração Pública, que controle ou gerencie dados pessoais.

Em o livro 1984 –não o ano– George Orwell descreve com perfeição como o controle sobre a informação gera o controle sobre a própria realidade; com os dados pessoais não poderia ser diferente. Imagine o seguinte exemplo: uma big tech, como as grandes empresas de tecnologia, coleta e trata dados pessoais de usuários de determinada rede social. Para poder se cadastrar na plataforma, os usuários devem fornecer seus dados de alimentação, atividade física, duração e qualidade do sono e histórico de saúde familiar. O que eles não sabem é que esses dados serão transmitidos a uma operadora de planos de saúde, que usa os dados para estipular o valor do plano de saúde ou até mesmo excluir seus beneficiários que possam ter mais chances de adoecer.

Não fosse a LGPD, esse exemplo prático seria uma realidade, visto que o acesso aos dados pessoais possibilita a adequação entre a atividade e o fim almejado, principalmente se o intuito for vendas de produtos ou serviços, campanha publicitária ou eleitoral. O escândalo da Cambridge Analytica, por exemplo, ocasião em que dados de mais de 50 milhões de usuários do Facebook foram vazados e utilizados na campanha presidencial dos Estados Unidos de 2016, pelo então candidato Donald Trump, revela bem a importância da proteção dos dados pessoais, sobretudo quando o tópico é tão sensível quanto o direito ao voto e a democracia.

Nesse contexto, anos após a implementação da LGPD, é possível notar um grande avanço na área, inclusive pela criação da Autoridade Nacional de Proteção de Dados (ANPD), a qual funciona, basicamente, como uma agência controladora responsável pela fiscalização do cumprimento da legislação sobre uso de dados pessoais, com competência para aplicar sanções em caso de descumprimento das normas previstas nessa legislação.

Os tipos de penalidades vão desde multa de 2% sobre o faturamento da empresa, valor bastante alto, multa diária limitada a 50 milhões, bloqueio ou eliminação dos dados pessoais. Além disso, o infrator ainda pode ser responsabilizado na esfera judicial por aquele que se sentir violado em seu tratamento de dados, o que pode gerar indenizações e mais prejuízo econômico a empresa.

Para evitar essas penalidades e se adequar ao que é exigido no tratamento dos dados, é crucial que a controlador, uma empresa, por exemplo, tenha total conhecimento do fluxo interno desses dados. Em outras palavras, o gestor precisa saber como coleta esses dados, para que precisa deles, como usa e elimina quando não precisa mais deles.

O ponto de principal atenção é prezar pela aceitação do usuário na hora de compartilhar a informação, o que pode ser feito por meio de um aviso de tratamento e aceitação. É de pleno direito se saber exatamente para que seus dados serão utilizados e por quanto tempo. Mesmo que ele não leia, é dever da empresa fornecer essas informações e suprir todas as dúvidas.

Além disso, somente utilizar aqueles dados absolutamente necessários para a execução do serviço prestado, nada além disso, comprometendo-se a excluir os dados do registro caso não haja mais necessidade de mantê-los na sua base de informações, é outra boa maneira de adequar sua atividade a LGPD, tendo em vista o princípio da necessidade previsto no art. 6º, III, da referida lei.

É certo que o tratamento de dados pessoais no Brasil ainda precisa avançar bastante e se modernizar cada vez mais, principalmente no que concerne ao fato de que poucos controladores, a não ser as grandes empresas, têm conhecimento específico sobre a legislação e de fato adequaram suas atividades ao que manda o atual regramento. A preocupação maior sempre é o faturamento, um problema tributário ou uma dívida com o fornecedor, o que deixa a preocupação com os dados em último plano, até quando a fiscalização bate na porta. Não dá mais para ser assim.

Sobre o autor: Marco Antonio de Lima é advogado no Granito, Boneli & Andery Advogados Associados. O GBA Advogados Associados é certificado pela ISO 9001 e foi reconhecido pelo anuário Análise Advocacia como um dos escritórios mais admirados do país. Além da sede em Campinas, conta com filiais em Cuiabá (MT) e São Luís (MA).