Proteção de dados além do óbvio

Marcílio Guedes Drummond

A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.

segunda-feira, 28 de janeiro de 2019

O assunto “proteção de dados” no Brasil está sendo tratado a todo vapor principalmente a partir da promulgação da Lei Geral de Proteção de Dados Pessoais, a LGPD, ou lei 13.709de 14 de agosto de 2018.

A verdade é que ler uma lei e fazer sua interpretação literal, para entender como ela trata da proteção de dados não é uma tarefa das mais difíceis, basta ser alfabetizado – com o perdão da sinceridade.

O dia 28 de janeiro é o Dia Internacional da Privacidade de Dados, desde 2006, por iniciativa do Conselho da Europa em busca de aumentar a consciência das pessoas quanto à importância da privacidade e promover a proteção dos dados pessoais. Esta data merece uma análise da LGPD além do óbvio.

Portanto o objetivo deste texto é ampliar a visão do leitor quanto aos contornos dessa nova legislação.

Trata-se de um regramento muito relevante, porque facilmente nota-se que várias empresas sabem quase tudo o que fazemos na internet, o que pesquisamos, quais são as nossas preferências, quem somos. Existem diversos modelos de negócio baseados no uso de dados. No entanto, torna-se difícil ao cidadão, sozinho, se livrar ou moldar esse monitoramento, sobretudo quando depende dos serviços prestados por estas empresas.

O real problema não é coletar os dados das pessoas, mas sim não dar transparência e não informar ao titular dos dados como exatamente será o uso do que está sendo coletado.

Neste contexto de LGPD, inicialmente acrescenta-se a edição da MP 869, de 27 de dezembro de 2018, que estabelece a criação da Autoridade Nacional de Proteção de Dados – ANPD – órgão vinculado à Presidência da República.

A criação de ANPD é muito importante, porque a LGDP estabelece o que deve ser feito na nova sistemática de proteção de dados, mas não regula exatamente como fazer – função da ANPD.

Ao se falar em proteção de dados, é necessário entender que se está falando de dados de pessoas, sejam eles “online” (digitais) ou offline e que para a proteção de tais dados é fundamental a compreensão do fluxo de dados dentro das empresas e dos órgãos públicos (sim, não é apenas o empresariado que se deve submeter a esse regramento).

Inclusive, ressalta-se que também são afetados por essa normativa os partidos políticos, as igrejas, os sindicatos e também os escritórios de advocacia – sendo que um alerta vermelho deve ser ligado neste ponto, pois normalmente é mais fácil hackear o escritório de advocacia do que a empresa que ele assessora.

Nesse contexto, deve-se ter uma grande atenção sobre quando os dados são captados, por quê e para que são captados, por quanto tempo serão usados e como podem ser apagados.

É necessário também fazer um data mapping, para entender quais dados pessoais estão sendo tratados em determinado momento, quais as fontes dos dados, com quem são compartilhados, enfim, mapear toda a realidade destes dados.

Por isso, trata-se de uma temática multidisciplinar, que aborda segurança, tecnologia, jurídico e compliance. Definitivamente, se enquadrar a este novo regramento apenas por meio do jurídico é impossível.

É importante notar também que a LGPD é uma lei reputacional, o que significa que independentemente de um eventual temor das multas por seu descumprimento, o que estará em jogo perante o mercado – e que pode ser afetada na visão de clientes e parceiros – será a reputação da corporação quanto sua forma de tratar os dados pessoais.

Inclusive, os reflexos internos do tratamento dos dados vão desde os dados dos CEOs até os dos trabalhadores e colaboradores das camadas mais rasas da corporação, passando também pela definição dos níveis de acesso que cada colaborador terá aos dados externos tratados pela corporação.

Se pensarmos nos impactos da LGPD nas relações contratuais, deve-se atentar que, efetivamente, para o devido enquadramento jurídico à LGPD todos os contratos atuais precisarão serem revistos. Inclusive, mesmo as corporações que não atendam pessoa física devem se enquadrar a essa regulamentação da proteção de dados, porque elas possuem funcionários, que são pessoas físicas, portanto devem ter seus dados protegidos.

No contexto do recrutamento de pessoas, o jurídico e o setor de RH de uma corporação precisarão definir que tipo de informações são realmente necessárias de serem coletadas. Inclusive, neste ponto, levanta-se questionamentos: o que fazer com os currículos das pessoas que não foram contratadas? O que fazer com todos os dados coletados antes da vigência da lei?

Neste ponto, deve-se atentar para a amplitude das atividades consideradas abrangidas pela LGPD. O art. 5º, X, abarca “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,

eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Outro ponto relevante é o fluxo de responsabilidade solidária trazido pela LGPD, no art. 42, que tende a gerar um efeito cascata no mercado, no qual as corporações que tratarem os dados de forma correta terão a preferência para o fornecimento de bens e serviços.

Isso porque, nesse novo cenário de responsabilidade solidária a partir do compartilhamento dos dados, a exposição negativa, perante o mercado, pela violação de dados é a mesma tanto para a corporação que coletou e compartilhou os dados, quanto para a corporação que recebeu esses dados e não garantiu a segurança adequada deles.

Juridicamente, ambas são solidárias a partir do compartilhamento dos dados, sendo necessário, então, à corporação que queira se precaver, identificar detalhadamente todos os seus fornecedores que recebem dados, auditar os sistemas de segurança deles e exigir que tais sistemas internos se adaptem a requisitos mínimos de segurança. Não havendo a devida segurança destes dados, a tendência é mesmo o rompimento comercial e a procura de parceiros enquadrados a um compliance de dados.

E por falar em compartilhamento de dados, a medida provisória 869, de 27 de dezembro de 2018 criou, como autoridade reguladora, um órgão da administração pública direta, ligado à Presidência da República. Não se trata do modelo ideal, vez que o preferível seria a criação de uma autarquia, uma autoridade que tivesse autonomia e independência para fiscalizar, inclusive, o próprio poder público.

Isso porque, o poder público normalmente possui as bases de dados mais valiosas e atualizadas, já que o fornecimento e atualização de muitos deles são obrigatórios aos cidadãos. Porém, fica o questionamento acerca do nível e da qualidade de proteção dos dados pelo poder público, cujas obrigações nessa seara são menores do que as do setor privado e, ainda, sendo fiscalizado por um órgão vinculado à administração direta federal, portanto, sem independência e autonomia.

Neste contexto, inclusive, é fundamental que as empresas consigam firmar com o poder público cláusulas de confidencialidade, para proteger os dados não apenas dentro do contexto da LGPD, mas também da concorrência e de eventuais “haters”, como por exemplo, os dados extraídos pelas empresas de transporte de aplicativo, como endereço, conta bancária e veículo dos motoristas.

Outro ponto relevante na análise é sobre o consentimento para o uso/ tratamento dos dados.

A verdade é que o consentimento (livre, inequívoco, informado, específico – e acrescento ainda, em destaque) é apenas uma dentre as várias formas de se legitimar o tratamento de dados pessoais.

De todo modo, quanto ao consentimento, a LGPD traz transparência e cria a necessidade das informações serem passadas, desde o início, de forma mais clara, com menos termos técnicos, com fácil visualização e gestão (elementos que se enquadram no que se chama de Privacy by Design – e que carrega informações muito mais amplas que aqui não será tratado de forma minuciosa).

E experiência demonstra que praticamente ninguém lê todos os termos de uso e políticas de privacidade. O problema é que no momento em que o usuário concorda, ele está dando seu consentimento que é justamente uma das bases legais para o processamento de dados, segundo a LGPD.

No entanto, como já dito, além do consentimento há várias outras formas que legitimam o uso de dados pessoais, tratadas pela LGDP como “exceções”, que dão uma ampla gama de possibilidades interpretativas.

Assim, mesmo sem o consentimento do titular dos dados, eles poderão ser utilizados, segundo o art. 7º e o ar. 11, para o cumprimento de obrigação legal/regulatória pelo controlador; para a execução de políticas públicas; para pesquisas por órgãos de pesquisas; para o exercício regular de direito, inclusive em processo judicial, administrativo ou arbitral; para a proteção da vida; para a proteção da saúde; e para a proteção do crédito (em claro atendimento ao lobby do setor financeiro).

Outro ponto de atenção é o da entrada em vigor da LGPD. Com a edição da MP 869/18 esse prazo se estendeu para agosto de 2020 – sendo possível que se alargue ainda mais, pois há pressão empresarial nesse sentido.

Este tempo para adequação das corporações parece amplo, mas a experiência europeia de proteção de dados, pelo General Data Protection Regulation (GDPR), mostra que na verdade é menos do que o necessário.

Um exemplo deste argumento é a multa imposta ao Google pela autoridade francesa de proteção de dados, no valor de 50 milhões de euros, em janeiro de 2019. A data aqui é importante porque a GDPR entrou em vigor em maio de 2018, sendo que na Europa as corporações também tiveram o prazo de 24 meses da publicação da lei até a entrada em vigor, para se adequarem.

Ao que se vê, o prazo não foi suficiente, ainda mais se considerarmos que por lá há norma que regula a questão desde 1995 (a chamada “Diretiva Europeia de Proteção de Dados Pessoais”), enquanto que no Brasil o tema é ainda muito novo – apesar de alguns direitos anteriormente estabelecidos no Marco Civil da Internet (a lei 12.965/14) -.

No caso atual da multa aplicada ao Google, ela se motivou por falta de transparência quanto ao consentimento do uso de dados e pela falta de consentimento válido quanto à personalização de publicidade.

Especificamente no Brasil, nota-se que a grande maioria das corporações sequer possuem Termos de Uso e Política de Privacidade – e fala-se aqui, inclusive, de corporações gigantescas, com grande relevância -. Porém, pela força da nova lei, todas elas serão obrigadas a terem tais documentos – e se não tiverem podem ser punidas, inclusive com a aplicação de multas pesadas.

Por se falar em multa, a LGDP, estabelece no art. 52 a possibilidade de aplicação de penalidade de até 2% (dois) por cento do faturamento da empresa, podendo chegar até R$50.000.000,00 (cinquenta milhões de reais) por infração, multa essa não aplicável às pessoas jurídicas de Direito Público.

Quanto a este valor – que pode parecer assustador – uma simples análise econômica pode questionar a efetividade desta punição, haja vista que certamente haverá diversas situações nas quais “compensará” ser multado se comparado a alguns custos operacionais envolvidos e/ou a ganhos relacionados à negociação irregular de dados – sem contar que as multas administrativas poderão ser questionadas judicialmente, visando serem excluídas ou diminuídas.

Ocorre que, como já dito no início deste texto, a LGDP é uma lei reputacional, de modo que a multa, por incrível que pareça, pode não ser o maior prejuízo, ou o maior elemento desencorajador para as empresas.

Explico. A maior preocupação de um empresário é ter um negócio saudável, que funcione bem, que tenha clientes e dê lucro. A LGDP cria/reforça uma cultura das pessoas procurarem empresas que tratam melhor seus dados pessoais – e da mesma forma, outras corporações procurarão esse tipo de empresa.

No momento em que há um vazamento de dados, que pode expor os dados dos clientes e até mesmo expor sua própria empresa e empresas parceiras, o empresário corre o risco de perder seus clientes e seus melhores parceiros, o que pode ser um golpe fatal para o negócio.

Neste ponto, é importante mencionar que não há na LGPD diferenciação de tratamento e obrigações entre as grandes empresas e as médias e pequenas empresas quanto às adequações ao regramento de proteção de dados. Este apontamento é importante porque o enquadramento à LGPD é potencialmente custoso – por envolver necessidade de serviços conjuntos de segurança, tecnologia, jurídico e compliance – o que significará mais uma dificuldade significativa sobretudo aos pequenos negócios.

Temos no Brasil uma realidade na qual diversas empresas não possuem proteções jurídicas mínimas, como contratos personalizados e bem formulados com fornecedores e prestadores de serviço, enquadramentos às regras consumeristas, regimentos internos que reflitam uma cultura empresarial desejada, enquadramentos fiscais corretos ou ainda sem elementos básicos de governança e compliance. Nesse cenário fica o questionamento de como serão tratadas as determinações da LGPD para empresas que já ignoram determinações legais provenientes de normas anteriores, em outras temáticas jurídicas.

A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.

O ideal é se adaptar desde já. O dia 28 de janeiro, Dia Internacional da Privacidade de Dados é um bom momento para se atentar ao óbvio e ao não óbvio desta temática.

__________

*Marcílio Guedes Drummond é sócio do Marcelo Tostes Advogados, responsável pela área de Direito das startups.

Disponível em: <https://www.migalhas.com.br/dePeso/16,MI294971,31047-Protecao+de+dados+alem+do+obvio>. Acesso em: 30 jan. 2018.

Onze escritórios de direitos autorais apoiam a proteção de obras nacionais

Além do posto central no Rio, outras 10 cidades nas cinco regiões recebem o registro de autores de livros, roteiros, músicas, ilustrações e outros tipos de obras

A professora universitária Viviane Faria Lopes conseguiu, nesta semana, avançar em um projeto no qual trabalha há 20 anos. Registrou um argumento que pretende transformar em uma obra de audiovisual. Uma série de suspense com pitadas de terror, para o público adulto, que envolve lendas nacionais.

“É a primeira vez que faço um registro. Este trabalho existe há mais de 20 anos. Eu nunca tinha tido, até então, uma chance de ter uma parceria com alguém que produz, que é roteirista. Aí nós resolvemos fazer o registro para começar a correr atrás, para fazer isso acontecer, tirar isso do papel”, afirma, entusiasmada.

Na avaliação dela, o processo foi muito rápido e fácil. Encontrou 
as orientações no site da Fundação Biblioteca Nacional (FBN), entidade vinculada ao Ministério da Cidadania, e procurou um posto mais próximo de onde mora, no caso, o de Brasília.

• Confira neste link a lista com todos os escritórios

De acordo com a Lei nº 9.610, de 19 de fevereiro de 1998, o registro de obras é um serviço prestado pelo Escritório de Direitos Autorais (EDA) da Biblioteca Nacional (BN). O escritório central fica no Rio de Janeiro, na sede da BN, mas há escritórios associados no Distrito Federal e em nove estados: Amazonas, Maranhão, Mato Grosso, Minas Gerais, Pará, Paraná, Pernambuco, São Paulo e Santa Catarina.

“Eles funcionam como uma espécie de braço que recolhe nas regiões a demanda que existe e manda aqui para o Rio para nós analisarmos. O EDA faz este registro. Com isso, o autor tem um certificado da autoria da sua obra”, explica a presidente da Fundação Biblioteca Nacional, Helena Severo.

Os escritórios estaduais estão em sua maioria situados em bibliotecas ou universidades e essa parceria com a BN é feita por meio de acordos não onerosos à fundação.

Além de livros, roteiros, músicas, partituras, ilustrações, obras audiovisuais, fotografias, desenhos, programas de computador e traduções são alguns dos exemplos de obras que podem ser registradas pelo EDA. Confira a lista completa do que pode ser registrado

Registro

Em 2018, a BN registrou 56.507 obras. Em 2017, o volume de registros foi de 82.118 e, em 2016, de 71.738. “Para ser autor, não é necessário o registro. No entanto, é um instrumento extremamente útil e importante para conferir segurança jurídica para o autor e titular de direitos”, argumenta a diretora da Secretaria de Direitos Autorais e Propriedade Intelectual da Secretaria Especial da Cultura, Carolina Panzolini.

O Brasil, destaca a diretora, é signatário da Convenção de Berna (Suíça), que estabelece que um autor, ao retirar do campo das ideias e afixar sua obra em algum suporte, já é o autor da obra. Mas o registro é “considerado um dos melhores instrumentos probatórios para eventuais demandas.”

legislação nacional sobre os direitos autorais define que o autor é a pessoa física criadora de obra literária, artística ou científica e que pertencem a ele os direitos morais e patrimoniais sobre a obra que criou.

Segundo Carolina, a procura pela comprovação e formalização da titularidade de direitos autorais tem acontecido com mais frequência, razão pela qual o registro e o depósito legal se constituem instrumentos de bastante utilidade:

“A formalização do registro é complementada pelo depósito legal dessas obras intelectuais na Biblioteca Nacional. É importante porque o Órgão arquivará um exemplar, que pode ser utilizado nas circunstâncias das mais diversas – seja para mecanismos de provas judiciais, demandas administrativas ou para fins de pesquisa. Tem toda uma finalidade e uma utilidade esta obra que será arquivada”, complementa Carolina.

Para a presidente da Biblioteca Nacional, Helena Severo, além da importância de proteger os direitos do autor e ter registro da produção intelectual nacional, o depósito legal é um instrumento fundamental para a instituição que preside. “O acervo da Biblioteca Nacional não pode ficar estancado. O depósito legal é o que permite a renovação do acervo da instituição”, destaca.

Passo a passo

De posse da obra finalizada e do endereço do escritório de direito autoral mais próximo, o autor ou seu representante legal deve levar cópias simples de documentos de identificação (RG e CPF) e uma cópia da obra. No caso de um livro, por exemplo, ele deve levar uma versão impressa em folha A4. Pode ser frente e verso, mas com todas as folhas paginadas e com a assinatura do autor. A obra não deve estar grampeada nem encadernada.

Para cada tipo de obra, pagam-se diferentes valores. Confira na tabela o valor de cada serviço. Uma obra que viria a ser um livro custa, atualmente, R$ 20,00. Para pagar o serviço, é preciso gerar um boleto e imprimir uma Guia de Recolhimento da União (GRU), na qual o interessado coloca o valor conforme o serviço.

É possível pagar em uma única guia a taxa correspondente a mais de um registro de obra intelectual. Por exemplo, para o registro de dois romances é necessário preencher dois requerimentos independentes, mas pode ser apresentada apenas uma GRU com o valor correspondente às taxas de registro das duas obras.

Além do registro, é possível fazer uma averbação, que é uma espécie de edição da obra: aumentar ou diminuir uma obra já registrada. “Cada processo que chega é examinado. O escritório (estadual) analisa se a documentação está correta e manda para gente (no Rio) e, aqui, é analisado no mérito, se realmente é escrito, se é um roteiro de fato”, detalha Helena Severo.

No prazo de até 180 dias, o autor recebe o registro de sua obra por via postal em sua casa ou no escritório onde registrou sua obra. Para mais informações, acesse https://www.bn.gov.br/servicos/direitos-autorais/perguntas-frequentes.

Secretaria Especial da Cultura 
Ministério da Cidadania

Disponível em: <http://cultura.gov.br/onze-escritorios-de-direitos-autorais-apoiam-a-protecao-de-obras-nacionais/>. Acesso em: 23 jan. 2019.