18 livros e textos para entender Privacidade e Proteção de Dados Pessoais

Há, cada vez mais, interesse por parte de profissionais de todas as áreas no tema da privacidade e proteção de dados pessoais. Em uma sociedade cada vez mais orientada e movida por dados (data-driven society), é difícil imaginar uma situação na qual o tópico da privacidade não está posto de forma direta ou indireta.

Entidades públicas e privadas de todos os tipos, não só aquelas que prestam algum tipo de serviço online, estão criando posições ou mesmo todo um time para auxiliar os chamados Data Protection Officer/DPO ou os Chief Privacy Officers (CPO). Com a chegada da nova regulamentação europeia de proteção de dados pessoais – a General Data Protection Regulation/GDPR – estima-se, por exemplo, que mais de 28 mil profissionais com essa expertise serão contratados.

No campo acadêmico não é diferente. De iniciações científicas a teses de livre-docência, é recorrente que os respectivos recortes de pesquisa estejam voltados para algumas das várias reflexões possíveis em torno da proteção à privacidade e aos dados pessoais. Há toda uma agenda de pesquisa sendo formatada.

Em meio a todo esse cenário de ebulição, muitos desejam iniciar seus estudos e se capacitar para esse novo mercado. Mas por onde começar? A lista de textos abaixo inicia uma resposta a essa pergunta. Uma escolha bastante arbitrária, devo confessar, que conjuga livros e artigos nacionais e estrangeiros, escritos por autores de diversas gerações e publicados em momentos bastante distintos. Boa leitura!

1) Privacy in context, de Helen Nissenbaum

Multicitado por engenheiros, cientistas políticos e juristas, o livro “Privacidade em Contexto” aponta para o valor social e político da privacidade. Uma visão filosófica de que as pessoas não querem simplesmente restringir o fluxo das suas informações pessoais, mas que o seu trânsito se dê de forma apropriada de acordo com o contexto das suas esferas socais. Isso impõe pensar em “normas informacionais” que governem a “integridade” do fluxo das informações, levando-se em consideração principalmente as suas implicações sobre a capacidade de autodeterminação dos indivíduos. O relato teórico da filósofa sul-africana, atualmente professora da Cornell Tech University, joga luz sobre problemas bastante concretos e atuais, como, por exemplo, as implicações éticas sobre os diversos re(usos) de uma base de dados possibilitado por tecnologias como Big Data.

2) The Governance of Privacy, de Colin Bennet e Charles Raab

Escrito por dois cientistas políticos que conjugam as experiências norte-americana e europeia, o livro se debruça sobre o que se chamou de “caixa de ferramentas” da regulação da Privacidade. É um livro sobre teoria da regulação da proteção de dados pessoais, o qual mapeia os mecanismos de autorregulação, corregulação e regulação estatal desse campo (códigos de boas condutas, selos de certificação, autoridades garantes e privacy commissioners etc). Ao final, o leitor terá uma fotografia dos objetivos, instrumentos e impactos de toda a estrutura de “governança da privacidade”.

3) The Electronic Eye, de David Lyon

O sociólogo canadense faz uma incursão pelas entranhas do que chama de sociedade de vigilância, colocando em perspectiva que o controle e a participação social são cada vez mais condicionados pela coleta, processamento e compartilhamento de dados pessoais. Da concepção do estado welfarista (estados do bem-estar social) até a reconfiguração das relações de consumo e de trabalho, os capítulos dessa obra, escrita em 1994, permanecem atuais para compreender como a dinâmica social está toda estruturada no uso das informações pessoais do cidadão-consumidor-trabalhador para classificá-lo, categorizá-lo (social sorting), e decidir se ele terá acesso a um benefício social, a um bem de consumo e ao mercado de trabalho.

4) A vida na Sociedade da Vigilância, de Stefano Rodotà

Um dos maiores juristas da história (não só no campo da proteção de dados pessoais) e ex-presidente da Autoridade Garante Italiana de Proteção de Dados Pessoais, Stefano Rodotà é leitura obrigatória. Nessa obra, que é a tradução de parte dos artigos do jurista italiano, o leitor encontrará uma análise dogmática precisa, sem perder de vista as respectivas implicações práticas, entre direitos irmãos, mas autônomos: privacidade e proteção de dados pessoais.

5) Da privacidade à proteção de dados pessoais, de Danilo Doneda

Escrita em 2006, é impressionante como principalmente os dois primeiros capítulos dessa obra ainda permanecem extremamente atuais para questões até hoje enfrentadas no campo da proteção de dados pessoais. Ao fazer uma incursão pelos direitos da personalidade e pela interdependência entre tecnologia e privacidade (arquitetura da privacidade), os referenciais teóricos da obra de Danilo Doneda são atemporais e permanecem guiando os estudos desse campo.

6) Privacidade, mercado e informação. In Coleção doutrinas essenciais de Responsabilidade civil: direito à informação, volume 8, p. 27-40, de Ronaldo Porto Macedo Júnior

Um ensaio que vai direito em um dos grandes gargalos da proteção de dados pessoais: o de que os titulares da informação estão inseridos em relações assimétricas de poder e informacional. Ao traçar considerações sobre a sobrecarga da informação (overloaded information) e da racionalidade limitada (bounded rationality) do ser humano, o leitor se deparará com a reflexão em torno das possíveis estratégias e justificativas normativas para a equalização dessas relações desequilibradas.

7) Privacidade e proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental, de Laura Mendes

Além de fornecer os elementos teóricos da proteção de dados pessoais, Laura Mendes analisa também, de forma bastante didática e precisa, a dogmática jurídica da matéria no ordenamento brasileiro. Atenção especial é dada à feição constitucional da proteção de dados pessoais e como sendo um direito básico do consumidor, deparando-se o leitor, ao final, com questões bastante pragmáticas como, por exemplo, a análise da (i)legalidade do uso de cookiespara a coleta de dados.

8) Examined lives: informational privacy and subject as object. Stanford Law review, No. 52 (1999-2000). p. 1373-1438, de Julie Cohen

Ao propor o que chama de “teoria dinâmica da privacidade informacional”, a professora de Georgetown desconstrói a retórica de que limitações ao uso de dados pessoais colidiriam necessariamente com o direito de propriedade, de escolha (autonomia da vontade), liberdade de iniciativa e de produção de conhecimento. Tais direitos não são rivais, mas convergentes a partir da perspectiva de que a circulação da informação tem um “papel social” a cumprir. O estabelecimento de “zonas de proteção” é primordial não só ao indivíduo, mas para a própria “constituição” da sociedade. Esse texto dá fundação teórica para outro, até mais citado e conhecido da autora (What is privacy for), que vai, por exemplo, estabelecer a relação de interdependência entre proteção à privacidade e inovação.

9) Understanding Privacy, de Daniel Solove

Após analisar detidamente vários dos conceitos do direito à privacidade, o jurista americano conclui que todas as construções teóricas são falhas por não capturarem um traço comum e universal de uma problemática totalmente multifacetada. Ao final, o leitor se deparará com uma taxonomia bastante útil, focada nos problemas que a violação do direito à privacidade pode ocasionar. Essa metodologia ganha ainda mais relevância na atualidade em que a (des)proteção dos dados pessoais está associada a um admirável “mundo novo” de danos e riscos, sobretudo de ordem coletiva.

10) Tutela e privacidade na Internet, de Marcel Leonardi

Após trazer considerações teóricas sobre privacidade e a teoria da regulação na Internet, Marcel Leonardi analisa os mecanismos processuais de tutela da privacidade e, em particular, frente aos intermediários (provedores de aplicação e conexão). Além de trazer considerações sobre a proporcionalidade dessas medidas, a obra não deixa passar despercebida a (in)suficiência da tutela individual e a importância em se pensar a tutela coletiva da privacidade.

11) Behavioral Advertising: The Offer You Cannot Refuse (August 28, 2012). 6 Harvard Law & Policy Review 273 (2012), de Chris Jay Hoofnagle et al

Uma pesquisa empírica metodologicamente extremamente sofisticada que reuniu pessoas do campo do direito e da engenharia com o objetivo de investigar como acontece o rastreamento da navegação das pessoas e quais são as opções para barrá-lo. Após analisar diversos websites, os pesquisadores demonstraram que várias são as tecnologias de monitoramento e, não raramente, são projetadas para “driblar” as escolhas daqueles poucos indivíduos que têm conhecimento técnico para teoricamente recusá-las. A partir dessas evidências empíricas, o leitor se chocará com a reflexão de que uma pitada de “paternalismo” (ou soft paternalismo) se faz necessário para, ao reduzir essa assimetria de informação e de poder, garantir uma esfera mínima de controle das pessoas sobre seus dados.

12) Against notice skepticism in privacy (and elsewhere).   In Notre Dame law review, vol. 87:3, march, 2011. p. 1027-1072, de Ryan Calo

Ao considerar que a própria tecnologia poderia empoderar os cidadãos com um controle mais significativo dos seus dados pessoais, o texto rebate o ceticismo (cada vez mais recorrente) em torno do consentimento como um dos principais vetores para a proteção dos dados pessoais. Se tal instrumento tem sido pouco eficiente, isso pode ser atribuído à maneira pouco transparente e, não raramente, manipuladora pela qual os consumidores são informados. Ao propor a ideia de uma informação-consentimento “visceral”, a reflexão do texto permanece sendo bastante atual: como o design das tecnologias poderia facilitar o controle das informações por parte das pessoas?

13) Broken promises of privacy: responding to the suprising failure of anonymization, de Paul Ohm

Um dado não pode ser perfeitamente anônimo (“100%” insuscetível de ser reidentificado) e, ao mesmo tempo, útil. Haverá sempre o risco da reversão do processo de anonimização que poderá levar à identificação de um indivíduo. Multicitado até mesmo por engenheiros, esse artigo, escrito por um professor da Faculdade de Direito de Georgetown, quebra com a dicotomia “dura” entre dados pessoais e dados anônimos, bem como com a crença de que dados anonimizados não representariam nenhum tipo de risco. Ao se valer de conceitos técnicos como da entropia da informação, propõe-se que leis e reguladores concentrem esforços em identificar quais os riscos (toleráveis) com o uso e a reidentificação de base de dados anonimizadas. Muito embora já se tenham passados mais de oito anos da publicação desse texto, essa é ainda uma controvérsia bastante recorrente no debate de proteção de dados pessoais.

14 e 15) Designing Without Privacy, de Ari Ezra Waldman vs Privacy on the Grounds, de Deirdre K. Mulligan e Kenneth A. Bamberg

Uma pesquisa genial que contrapõe outra, também genial. Em 2011, dois professores da universidade de Berkley, Deirdre K. Mulligan e Kenneth A. Bamberg, fizeram uma pesquisa empírica em que entrevistaram os chief privacy officers (CPOs) de várias companhias americanas. O resultado da pesquisa sugeria que a privacidade dos livros (e das leis) não necessariamente corresponderia ao “chão” (da fábrica) das corporações, o que não necessariamente seria ruim. Por exemplo, apesar de os Estados Unidos não terem uma lei geral de proteção de dados pessoais, a cultura corporativa em se ter profissionais especializados em privacidade (CPOs), associado a um ecossistema de enforcement eficiente na figura do órgão regulador americano (Federal Trade Commission) e das poucas regras existentes (Fair Information Practice Principles), teria gerado boas práticas para prevenir violações e danos à privacidade dos consumidores.

Quase sete anos depois, o professor da Universidade de Nova Iorque, Ari Ezra Waldman, alargou a amostra de entrevistados. Seu estudo etnográfico considerou todo o ecossistema corporativo, não só os chief privacy officers (CPOs), mas, também, engenheiros, programadores e outros profissionais de tecnologia. Os achados da pesquisa apontam que não há uma cultura organizacional tão positiva, em termos de privacidade, quando se leva em consideração justamente quem é responsável por criar as linhas de códigos dos produtos. Se não houver interação entre advogados, programadores, engenheiros e outros profissionais, a privacidade dos livros (e das leis) ainda estará dissociada daquela do “chão” de fábrica. Essa é uma reflexão da ordem do dia quando se fala em privacidade por concepção, privacy by design.

Textos do autor

16) Xeque-Mate: o tripé da proteção de dados pessoais no Xadrez Legislativo, de Bruno Bioni

Os três pontos mais importantes de qualquer lei de proteção de dados pessoais são: a) o conceito de dado pessoal; b) o conceito de dado anônimo e; c) consentimento. Além de estabelecer um comparativo entre os três projetos de uma lei geral de proteção de dados pessoais em tramitação no Congresso Nacional sobre esses três pontos centrais, o relatório de pesquisa do Grupo em Políticos Públicas para o Acesso à Informação/GPoPAI-USP é atemporal por mapear os seus respectivos referenciais teóricos. O estudo é útil para quem queira não só se engajar no debate legislativo brasileiro, mas, também, para quem deseja compreender, em uma linguagem acessível e com exemplos práticos, o tripé que dá sustentação às normativas de proteção de dados pessoais.

17) O dever de informar e a teoria do diálogo das fontes para a aplicação da autodeterminação informacional como sistematização para a proteção dos dados pessoais dos consumidores, de Bruno Bioni

A combinação do dever-direito de informação, transparência e diálogo das fontes de leis setoriais – e.g., Código de Defesa do Consumidor, Marco Civil da Internet e Lei do Cadastro Positivo – pode ser uma forma de sistematizar a proteção de dados pessoais fragmentada do ordenamento jurídico brasileiro. A partir disso, o artigo, premiado como a melhor monografia no concurso organizado pelo Instituto Brasileiro de Política e Direito do Consumidor/Brasilcon, identifica um objetivo comum entre todas essas leis setoriais que é, ao reduzir a assimetria de informação e poder, permitir que o cidadão autodetermine (controle) as suas informações pessoais – autodeterminação informacional.

18) Proteção de Dados Pessoais: a função e os limites do consentimento (no prelo, Editora GEN-Forense, 2018), de Bruno Bioni

O livro aborda aquele que é um dos temas mais importantes e, ao mesmo tempo, um dos mais desafiadores do campo da proteção de dados pessoais: consentimento. Essa ambivalência corresponde justamente à alma da obra que faz uma investigação dogmática, mas sem perder de vista aportes empíricos, para identificar qual é a função e os limites do consentimento na proteção dos dados pessoais. Além de explorar questões basilares como a proteção de dados pessoais sendo um direito de personalidade autônomo frente ao direito à privacidade, o leitor encontrará uma análise detida sobre como o direito e a tecnologia podem enfraquecer ou nutrir a capacidade do cidadão em controlar seus dados pessoais. Com isso, coloca-se em perspectiva que o consentimento deve ser funcionalizado a partir da equalização das assimetrias de poder e de informação em jogo. E, além disso, que haja uma estratégia regulatória não só focada no consentimento, mas, também, apoiada na ideia de que há um valor social na proteção dos dados pessoais e, portanto, limites devem ser estabelecidos.

Disponível em: <https://dataprivacy.com.br/18-livros-e-textos-para-entender-privacidade-e-protecao-de-dados-pessoais/>. Acesso em: 30 maio 2019.

Proteção de dados além do óbvio

Marcílio Guedes Drummond

A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.

segunda-feira, 28 de janeiro de 2019

O assunto “proteção de dados” no Brasil está sendo tratado a todo vapor principalmente a partir da promulgação da Lei Geral de Proteção de Dados Pessoais, a LGPD, ou lei 13.709de 14 de agosto de 2018.

A verdade é que ler uma lei e fazer sua interpretação literal, para entender como ela trata da proteção de dados não é uma tarefa das mais difíceis, basta ser alfabetizado – com o perdão da sinceridade.

O dia 28 de janeiro é o Dia Internacional da Privacidade de Dados, desde 2006, por iniciativa do Conselho da Europa em busca de aumentar a consciência das pessoas quanto à importância da privacidade e promover a proteção dos dados pessoais. Esta data merece uma análise da LGPD além do óbvio.

Portanto o objetivo deste texto é ampliar a visão do leitor quanto aos contornos dessa nova legislação.

Trata-se de um regramento muito relevante, porque facilmente nota-se que várias empresas sabem quase tudo o que fazemos na internet, o que pesquisamos, quais são as nossas preferências, quem somos. Existem diversos modelos de negócio baseados no uso de dados. No entanto, torna-se difícil ao cidadão, sozinho, se livrar ou moldar esse monitoramento, sobretudo quando depende dos serviços prestados por estas empresas.

O real problema não é coletar os dados das pessoas, mas sim não dar transparência e não informar ao titular dos dados como exatamente será o uso do que está sendo coletado.

Neste contexto de LGPD, inicialmente acrescenta-se a edição da MP 869, de 27 de dezembro de 2018, que estabelece a criação da Autoridade Nacional de Proteção de Dados – ANPD – órgão vinculado à Presidência da República.

A criação de ANPD é muito importante, porque a LGDP estabelece o que deve ser feito na nova sistemática de proteção de dados, mas não regula exatamente como fazer – função da ANPD.

Ao se falar em proteção de dados, é necessário entender que se está falando de dados de pessoas, sejam eles “online” (digitais) ou offline e que para a proteção de tais dados é fundamental a compreensão do fluxo de dados dentro das empresas e dos órgãos públicos (sim, não é apenas o empresariado que se deve submeter a esse regramento).

Inclusive, ressalta-se que também são afetados por essa normativa os partidos políticos, as igrejas, os sindicatos e também os escritórios de advocacia – sendo que um alerta vermelho deve ser ligado neste ponto, pois normalmente é mais fácil hackear o escritório de advocacia do que a empresa que ele assessora.

Nesse contexto, deve-se ter uma grande atenção sobre quando os dados são captados, por quê e para que são captados, por quanto tempo serão usados e como podem ser apagados.

É necessário também fazer um data mapping, para entender quais dados pessoais estão sendo tratados em determinado momento, quais as fontes dos dados, com quem são compartilhados, enfim, mapear toda a realidade destes dados.

Por isso, trata-se de uma temática multidisciplinar, que aborda segurança, tecnologia, jurídico e compliance. Definitivamente, se enquadrar a este novo regramento apenas por meio do jurídico é impossível.

É importante notar também que a LGPD é uma lei reputacional, o que significa que independentemente de um eventual temor das multas por seu descumprimento, o que estará em jogo perante o mercado – e que pode ser afetada na visão de clientes e parceiros – será a reputação da corporação quanto sua forma de tratar os dados pessoais.

Inclusive, os reflexos internos do tratamento dos dados vão desde os dados dos CEOs até os dos trabalhadores e colaboradores das camadas mais rasas da corporação, passando também pela definição dos níveis de acesso que cada colaborador terá aos dados externos tratados pela corporação.

Se pensarmos nos impactos da LGPD nas relações contratuais, deve-se atentar que, efetivamente, para o devido enquadramento jurídico à LGPD todos os contratos atuais precisarão serem revistos. Inclusive, mesmo as corporações que não atendam pessoa física devem se enquadrar a essa regulamentação da proteção de dados, porque elas possuem funcionários, que são pessoas físicas, portanto devem ter seus dados protegidos.

No contexto do recrutamento de pessoas, o jurídico e o setor de RH de uma corporação precisarão definir que tipo de informações são realmente necessárias de serem coletadas. Inclusive, neste ponto, levanta-se questionamentos: o que fazer com os currículos das pessoas que não foram contratadas? O que fazer com todos os dados coletados antes da vigência da lei?

Neste ponto, deve-se atentar para a amplitude das atividades consideradas abrangidas pela LGPD. O art. 5º, X, abarca “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,

eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Outro ponto relevante é o fluxo de responsabilidade solidária trazido pela LGPD, no art. 42, que tende a gerar um efeito cascata no mercado, no qual as corporações que tratarem os dados de forma correta terão a preferência para o fornecimento de bens e serviços.

Isso porque, nesse novo cenário de responsabilidade solidária a partir do compartilhamento dos dados, a exposição negativa, perante o mercado, pela violação de dados é a mesma tanto para a corporação que coletou e compartilhou os dados, quanto para a corporação que recebeu esses dados e não garantiu a segurança adequada deles.

Juridicamente, ambas são solidárias a partir do compartilhamento dos dados, sendo necessário, então, à corporação que queira se precaver, identificar detalhadamente todos os seus fornecedores que recebem dados, auditar os sistemas de segurança deles e exigir que tais sistemas internos se adaptem a requisitos mínimos de segurança. Não havendo a devida segurança destes dados, a tendência é mesmo o rompimento comercial e a procura de parceiros enquadrados a um compliance de dados.

E por falar em compartilhamento de dados, a medida provisória 869, de 27 de dezembro de 2018 criou, como autoridade reguladora, um órgão da administração pública direta, ligado à Presidência da República. Não se trata do modelo ideal, vez que o preferível seria a criação de uma autarquia, uma autoridade que tivesse autonomia e independência para fiscalizar, inclusive, o próprio poder público.

Isso porque, o poder público normalmente possui as bases de dados mais valiosas e atualizadas, já que o fornecimento e atualização de muitos deles são obrigatórios aos cidadãos. Porém, fica o questionamento acerca do nível e da qualidade de proteção dos dados pelo poder público, cujas obrigações nessa seara são menores do que as do setor privado e, ainda, sendo fiscalizado por um órgão vinculado à administração direta federal, portanto, sem independência e autonomia.

Neste contexto, inclusive, é fundamental que as empresas consigam firmar com o poder público cláusulas de confidencialidade, para proteger os dados não apenas dentro do contexto da LGPD, mas também da concorrência e de eventuais “haters”, como por exemplo, os dados extraídos pelas empresas de transporte de aplicativo, como endereço, conta bancária e veículo dos motoristas.

Outro ponto relevante na análise é sobre o consentimento para o uso/ tratamento dos dados.

A verdade é que o consentimento (livre, inequívoco, informado, específico – e acrescento ainda, em destaque) é apenas uma dentre as várias formas de se legitimar o tratamento de dados pessoais.

De todo modo, quanto ao consentimento, a LGPD traz transparência e cria a necessidade das informações serem passadas, desde o início, de forma mais clara, com menos termos técnicos, com fácil visualização e gestão (elementos que se enquadram no que se chama de Privacy by Design – e que carrega informações muito mais amplas que aqui não será tratado de forma minuciosa).

E experiência demonstra que praticamente ninguém lê todos os termos de uso e políticas de privacidade. O problema é que no momento em que o usuário concorda, ele está dando seu consentimento que é justamente uma das bases legais para o processamento de dados, segundo a LGPD.

No entanto, como já dito, além do consentimento há várias outras formas que legitimam o uso de dados pessoais, tratadas pela LGDP como “exceções”, que dão uma ampla gama de possibilidades interpretativas.

Assim, mesmo sem o consentimento do titular dos dados, eles poderão ser utilizados, segundo o art. 7º e o ar. 11, para o cumprimento de obrigação legal/regulatória pelo controlador; para a execução de políticas públicas; para pesquisas por órgãos de pesquisas; para o exercício regular de direito, inclusive em processo judicial, administrativo ou arbitral; para a proteção da vida; para a proteção da saúde; e para a proteção do crédito (em claro atendimento ao lobby do setor financeiro).

Outro ponto de atenção é o da entrada em vigor da LGPD. Com a edição da MP 869/18 esse prazo se estendeu para agosto de 2020 – sendo possível que se alargue ainda mais, pois há pressão empresarial nesse sentido.

Este tempo para adequação das corporações parece amplo, mas a experiência europeia de proteção de dados, pelo General Data Protection Regulation (GDPR), mostra que na verdade é menos do que o necessário.

Um exemplo deste argumento é a multa imposta ao Google pela autoridade francesa de proteção de dados, no valor de 50 milhões de euros, em janeiro de 2019. A data aqui é importante porque a GDPR entrou em vigor em maio de 2018, sendo que na Europa as corporações também tiveram o prazo de 24 meses da publicação da lei até a entrada em vigor, para se adequarem.

Ao que se vê, o prazo não foi suficiente, ainda mais se considerarmos que por lá há norma que regula a questão desde 1995 (a chamada “Diretiva Europeia de Proteção de Dados Pessoais”), enquanto que no Brasil o tema é ainda muito novo – apesar de alguns direitos anteriormente estabelecidos no Marco Civil da Internet (a lei 12.965/14) -.

No caso atual da multa aplicada ao Google, ela se motivou por falta de transparência quanto ao consentimento do uso de dados e pela falta de consentimento válido quanto à personalização de publicidade.

Especificamente no Brasil, nota-se que a grande maioria das corporações sequer possuem Termos de Uso e Política de Privacidade – e fala-se aqui, inclusive, de corporações gigantescas, com grande relevância -. Porém, pela força da nova lei, todas elas serão obrigadas a terem tais documentos – e se não tiverem podem ser punidas, inclusive com a aplicação de multas pesadas.

Por se falar em multa, a LGDP, estabelece no art. 52 a possibilidade de aplicação de penalidade de até 2% (dois) por cento do faturamento da empresa, podendo chegar até R$50.000.000,00 (cinquenta milhões de reais) por infração, multa essa não aplicável às pessoas jurídicas de Direito Público.

Quanto a este valor – que pode parecer assustador – uma simples análise econômica pode questionar a efetividade desta punição, haja vista que certamente haverá diversas situações nas quais “compensará” ser multado se comparado a alguns custos operacionais envolvidos e/ou a ganhos relacionados à negociação irregular de dados – sem contar que as multas administrativas poderão ser questionadas judicialmente, visando serem excluídas ou diminuídas.

Ocorre que, como já dito no início deste texto, a LGDP é uma lei reputacional, de modo que a multa, por incrível que pareça, pode não ser o maior prejuízo, ou o maior elemento desencorajador para as empresas.

Explico. A maior preocupação de um empresário é ter um negócio saudável, que funcione bem, que tenha clientes e dê lucro. A LGDP cria/reforça uma cultura das pessoas procurarem empresas que tratam melhor seus dados pessoais – e da mesma forma, outras corporações procurarão esse tipo de empresa.

No momento em que há um vazamento de dados, que pode expor os dados dos clientes e até mesmo expor sua própria empresa e empresas parceiras, o empresário corre o risco de perder seus clientes e seus melhores parceiros, o que pode ser um golpe fatal para o negócio.

Neste ponto, é importante mencionar que não há na LGPD diferenciação de tratamento e obrigações entre as grandes empresas e as médias e pequenas empresas quanto às adequações ao regramento de proteção de dados. Este apontamento é importante porque o enquadramento à LGPD é potencialmente custoso – por envolver necessidade de serviços conjuntos de segurança, tecnologia, jurídico e compliance – o que significará mais uma dificuldade significativa sobretudo aos pequenos negócios.

Temos no Brasil uma realidade na qual diversas empresas não possuem proteções jurídicas mínimas, como contratos personalizados e bem formulados com fornecedores e prestadores de serviço, enquadramentos às regras consumeristas, regimentos internos que reflitam uma cultura empresarial desejada, enquadramentos fiscais corretos ou ainda sem elementos básicos de governança e compliance. Nesse cenário fica o questionamento de como serão tratadas as determinações da LGPD para empresas que já ignoram determinações legais provenientes de normas anteriores, em outras temáticas jurídicas.

A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.

O ideal é se adaptar desde já. O dia 28 de janeiro, Dia Internacional da Privacidade de Dados é um bom momento para se atentar ao óbvio e ao não óbvio desta temática.

__________

*Marcílio Guedes Drummond é sócio do Marcelo Tostes Advogados, responsável pela área de Direito das startups.

Disponível em: <https://www.migalhas.com.br/dePeso/16,MI294971,31047-Protecao+de+dados+alem+do+obvio>. Acesso em: 30 jan. 2018.