Qual o impacto da LGPD em instituições de ensino e pesquisa?

Qual o impacto da LGPD em instituições de ensino e pesquisa?
Peck Pinheiro, advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança

Artigo escrito por Patricia Peck Pinheiro, advogada especialista em Direito Digital, Propriedade Intelectual, Proteção de Dados e Cibersegurança

Na era digital, onde a informação é um dos ativos mais valiosos de que dispomos, a proteção de dados é mais que uma prioridade. Não por acaso, surgem em diversos países do mundo novas leis para regulamentar o uso e o tratamento desses bens. Um dos principais exemplos é o General Data Protection Regulation (GDPR), resolução em vigor desde 2018, na União Europeia, e propulsora da criação da Lei Geral de Proteção de Dados (LGPD) no Brasil. 

Essas legislações são meios de aprimorar a governança dos dados pessoais pelas empresas, órgãos públicos e demais instituições, num conjunto de melhores práticas. Indispensável para garantir a sustentabilidade da sociedade digital. Desta maneira, diversas organizações, do setor público e privado, serão obrigadas a se adequar para atender às diretrizes da LGPD. As alterações partem das hipóteses de tratamento de dados, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade —  base no princípio da transparência. 

O objetivo é conceder maior controle e poder de gestão ao titular sobre seus próprios dados pessoais. Ou seja, conforme determina o art. 6º, para usuários ou clientes de uma determinada instituição, sempre deve haver ciência, de forma clara, precisa e acessível, sobre os procedimentos pelos quais seus dados pessoais passarão ao serem tratados. Desde as formas de captura pelas quais essas informações entram nas instituições, onde ficam armazenadas, para quais finalidades, quais os controles aplicados, se há compartilhamento com terceiros — mesmo que sejam integrantes do mesmo grupo —, se há internacionalização (comum no uso de serviços de cloud), até como é feita a sua eliminação, que deverá tender a padrões de descarte seguro.

Escolas, universidades e instituições de ensino e pesquisa não ficam de fora e precisarão passar por regulações. Mas, vale destacar: para as instituições de ensino e pesquisa, há as exceções que devem ser consideradas. As ressalvas estão presentes no art. 4º, que esmiuça os casos em que a lei não se aplica no tratamento de dados pessoais. Para fins acadêmicos, o que vale é a hipótese dos art. 7º, IV e art. 11, II, c), que define que o tratamento de dados pessoais, com destaque para informações sensíveis, somente poderá ser realizado para estudos por órgão de pesquisa, mantendo, sempre que possível, o anonimato dos dados pessoais.

definição de órgão de pesquisa, presente no art. 5º, XVIII: “órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico”.

Ainda sobre as instituições de ensino, é relevante mencionar o art. 13, II, que trata da responsabilidade pela segurança da informação, no caso de pesquisa de dados em saúde pública, bem como a possibilidade de conservação dos dados pelos órgãos de pesquisa nos termos do art. 16 da LGPD. Segundo o trecho da lei, os dados poderão ser mantidos para a finalidade de estudo por órgãos de pesquisa.

Em decorrência das novas regras trazidas pela LGPD, essas organizações precisam implementar um programa de aderência à legislação, incluindo a confecção de políticas internas, revisão de documentos e treinamentos, em uma jornada para garantir seu compliance.

Qual o caminho para estar dentro da lei?

Especificamente para instituições de ensino e pesquisa, o primeiro passo para se adequar à LGPD é fazer um levantamento para identificar onde estão depositados os dados pessoais e sensíveis de todos os envolvidos: alunos, pais, pesquisadores e colaboradores.

2Depois, é hora de verificar se há vulnerabilidade de segurança. Ou seja, se eles podem ser facilmente acessados, violados e vazados. Vale dedicar especial atenção aos procedimentos internos de coleta e tratamento de dados pessoais, especialmente os mais sensíveis, conforme disposição legal. Assim, as áreas de potencial criticidade dentro da operação da instituição são identificadas. 

3Com as informações em mãos, é preciso fazer uma análise de cenário, riscos e ações necessárias para adequação. Nessa etapa, a instituição avalia como está a aplicação de controles como governança de proteção de dados, gestão de dados pessoais, segurança da informação, gestão de riscos, gestão de dados pessoais em terceiros e gestão de incidentes. Além disso, confere se há transmissão interna, externa e compartilhamento de dados, a quantidade de empresas com que são feitas essas trocas, se há e com quantos países é feita essa transferência internacional, o volume dos dados, entre outros. Tudo para mensurar a gestão de risco e incidentes e garantir uma melhor governança dos dados. 

4Essa análise de vulnerabilidades será essencial para criar um plano de ação, com iniciativas que deverão reduzir os riscos mapeados e aprimorar a gestão dos dados pessoais. Bons exemplos dessas ações podem ser treinamentos de equipes sobre Segurança da Informação, procedimentos de legitimação da coleta e gestão do consentimento para tratamento de dados pessoais, gestão de identidades na rede, melhores práticas e ferramentas para controle de acesso.

5Também baseado na LGPD, é importante que as instituições criem normas de proteção de dados pessoais para seguirem como política interna. São princípios e delimitações para guiar o fluxo das informações, desde a definição do que é dado pessoal e sensível, quais dados serão coletados, como serão processados e qual para finalidade, as funções dos encarregados responsáveis, até as medidas de segurança e processos para mitigação de riscos. 

6Após definir essas diretrizes, o banco de dados com informações pessoais que a empresa possuir deverá ser revisado, mesmo que esteja formado por materiais coletados antes da vigência da lei. Para que possam ser usadas, essas informações deverão ser legitimadas e se enquadrarem em uma das hipóteses previstas na LGPD. 

 Hipóteses de Tratamento de Dados Pessoais

7Com a lei, empresas e organizações não podem mais guardar dados pessoais indefinidamente, somente enquanto eles forem imprescindíveis para cumprir os objetivos legítimos do tratamento. Dessa forma, é preciso estabelecer prazos para o armazenamento de cada categoria de dados pessoais, difundir o vencimento desse uso entre os colaboradores e fiscalizar seu efetivo cumprimento.

8Consoante o princípio da segurança, devem ser utilizadas medidas técnicas e organizacionais efetivas para a proteção dos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, como a adoção de criptografia para armazenamento e transmissão de dados pessoais e a assinatura de Acordos de Confidencialidade específicos para o processamento de dados pessoais, por parte de todos os colaboradores e terceiros envolvidos na coleta, uso, armazenamento, transferência e eliminação desses dados pessoais.  


É importante saber: por ser uma regulamentação híbrida, a LGPD exige conhecimentos multidisciplinares, tanto técnicos, relacionados à governança de dados e de segurança da informação, quanto jurídicos, para definir as prioridades, realizar a atualização documental e apoiar na resposta a incidentes.


Além da LGPD, existem outras leis que orientam a segurança jurídica das atividades em um ambiente de ensino e pesquisa. São elas:
•    Código Civil – Lei nº 10.406/2002
•    Código de Defesa do Consumidor – Lei nº 8.078/1990
•    Constituição da República Federativa do Brasil (CF)
•    Marco Civil da Internet – Lei nº 12.965 de 2014
•    Regulamentação do Marco Civil da Internet – Decreto nº 8.771 de 2016
•    Lei de Informatica – Lei 11.077/0410.176/01 e 8248/91
•    Consolidação das Leis do Trabalho (CLT) – Decreto-Lei nº 5.452/1943
•    Lei de incentivo a pesquisa e desenvolvimento em eficiência energética – Lei 9.991/00
•    Lei do Bem – Lei 11.196/05
•    Lei de importações de bens destinados à pesquisa científica e tecnológica – Lei 8.010/90
•    Lei das Organizações da Sociedade Civil de Interesse Público (OSCIP) – Lei 9.790/99

Mais do que princípios, a LGPD trouxe uma mudança de cultura nas organizações, agregando maior responsabilidade no trato com dados pessoais. Isso porque a utilização ou forma de processamento indevido desses dados pode gerar graves danos às pessoas físicas a quem essas informações pertencem. 

Não há outra saída senão se preparar para esse novo cenário, com o cumprimento das definições. Portanto, é muito importante estar em linha com o tratamento e o armazenamento adequados das informações dos titulares, e estar pronto para atender às solicitações deles, caso os solicitem, dentro do prazo de até 15 dias. Até porque quem não estiver alinhado sofrerá advertências e multas pesadas. Além disso, o ambiente educacional e de pesquisa precisa ser exemplo de cumprimento dos direitos humanos e de conformidade com as leis.

Quer saber mais sobre?

A Escola Superior de Redes (ESR) está com turmas abertas para quem quer aprender sobre LGPD na Prática. Anote na agenda: a próxima turma aberta já tem data para começar as aulas à distância, dia 22/6. Ficou interessado? Mais informações e matrículas aqui. Para saber mais sobre esse e outros cursos, acesse o calendário da instituição.

Disponível em: https://www.rnp.br/noticias/qual-o-impacto-da-lgpd-em-instituicoes-de-ensino-e-pesquisa. Acesso em: 30 maio 2020.

18 livros e textos para entender Privacidade e Proteção de Dados Pessoais

Há, cada vez mais, interesse por parte de profissionais de todas as áreas no tema da privacidade e proteção de dados pessoais. Em uma sociedade cada vez mais orientada e movida por dados (data-driven society), é difícil imaginar uma situação na qual o tópico da privacidade não está posto de forma direta ou indireta.

Entidades públicas e privadas de todos os tipos, não só aquelas que prestam algum tipo de serviço online, estão criando posições ou mesmo todo um time para auxiliar os chamados Data Protection Officer/DPO ou os Chief Privacy Officers (CPO). Com a chegada da nova regulamentação europeia de proteção de dados pessoais – a General Data Protection Regulation/GDPR – estima-se, por exemplo, que mais de 28 mil profissionais com essa expertise serão contratados.

No campo acadêmico não é diferente. De iniciações científicas a teses de livre-docência, é recorrente que os respectivos recortes de pesquisa estejam voltados para algumas das várias reflexões possíveis em torno da proteção à privacidade e aos dados pessoais. Há toda uma agenda de pesquisa sendo formatada.

Em meio a todo esse cenário de ebulição, muitos desejam iniciar seus estudos e se capacitar para esse novo mercado. Mas por onde começar? A lista de textos abaixo inicia uma resposta a essa pergunta. Uma escolha bastante arbitrária, devo confessar, que conjuga livros e artigos nacionais e estrangeiros, escritos por autores de diversas gerações e publicados em momentos bastante distintos. Boa leitura!

1) Privacy in context, de Helen Nissenbaum

Multicitado por engenheiros, cientistas políticos e juristas, o livro “Privacidade em Contexto” aponta para o valor social e político da privacidade. Uma visão filosófica de que as pessoas não querem simplesmente restringir o fluxo das suas informações pessoais, mas que o seu trânsito se dê de forma apropriada de acordo com o contexto das suas esferas socais. Isso impõe pensar em “normas informacionais” que governem a “integridade” do fluxo das informações, levando-se em consideração principalmente as suas implicações sobre a capacidade de autodeterminação dos indivíduos. O relato teórico da filósofa sul-africana, atualmente professora da Cornell Tech University, joga luz sobre problemas bastante concretos e atuais, como, por exemplo, as implicações éticas sobre os diversos re(usos) de uma base de dados possibilitado por tecnologias como Big Data.

2) The Governance of Privacy, de Colin Bennet e Charles Raab

Escrito por dois cientistas políticos que conjugam as experiências norte-americana e europeia, o livro se debruça sobre o que se chamou de “caixa de ferramentas” da regulação da Privacidade. É um livro sobre teoria da regulação da proteção de dados pessoais, o qual mapeia os mecanismos de autorregulação, corregulação e regulação estatal desse campo (códigos de boas condutas, selos de certificação, autoridades garantes e privacy commissioners etc). Ao final, o leitor terá uma fotografia dos objetivos, instrumentos e impactos de toda a estrutura de “governança da privacidade”.

3) The Electronic Eye, de David Lyon

O sociólogo canadense faz uma incursão pelas entranhas do que chama de sociedade de vigilância, colocando em perspectiva que o controle e a participação social são cada vez mais condicionados pela coleta, processamento e compartilhamento de dados pessoais. Da concepção do estado welfarista (estados do bem-estar social) até a reconfiguração das relações de consumo e de trabalho, os capítulos dessa obra, escrita em 1994, permanecem atuais para compreender como a dinâmica social está toda estruturada no uso das informações pessoais do cidadão-consumidor-trabalhador para classificá-lo, categorizá-lo (social sorting), e decidir se ele terá acesso a um benefício social, a um bem de consumo e ao mercado de trabalho.

4) A vida na Sociedade da Vigilância, de Stefano Rodotà

Um dos maiores juristas da história (não só no campo da proteção de dados pessoais) e ex-presidente da Autoridade Garante Italiana de Proteção de Dados Pessoais, Stefano Rodotà é leitura obrigatória. Nessa obra, que é a tradução de parte dos artigos do jurista italiano, o leitor encontrará uma análise dogmática precisa, sem perder de vista as respectivas implicações práticas, entre direitos irmãos, mas autônomos: privacidade e proteção de dados pessoais.

5) Da privacidade à proteção de dados pessoais, de Danilo Doneda

Escrita em 2006, é impressionante como principalmente os dois primeiros capítulos dessa obra ainda permanecem extremamente atuais para questões até hoje enfrentadas no campo da proteção de dados pessoais. Ao fazer uma incursão pelos direitos da personalidade e pela interdependência entre tecnologia e privacidade (arquitetura da privacidade), os referenciais teóricos da obra de Danilo Doneda são atemporais e permanecem guiando os estudos desse campo.

6) Privacidade, mercado e informação. In Coleção doutrinas essenciais de Responsabilidade civil: direito à informação, volume 8, p. 27-40, de Ronaldo Porto Macedo Júnior

Um ensaio que vai direito em um dos grandes gargalos da proteção de dados pessoais: o de que os titulares da informação estão inseridos em relações assimétricas de poder e informacional. Ao traçar considerações sobre a sobrecarga da informação (overloaded information) e da racionalidade limitada (bounded rationality) do ser humano, o leitor se deparará com a reflexão em torno das possíveis estratégias e justificativas normativas para a equalização dessas relações desequilibradas.

7) Privacidade e proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental, de Laura Mendes

Além de fornecer os elementos teóricos da proteção de dados pessoais, Laura Mendes analisa também, de forma bastante didática e precisa, a dogmática jurídica da matéria no ordenamento brasileiro. Atenção especial é dada à feição constitucional da proteção de dados pessoais e como sendo um direito básico do consumidor, deparando-se o leitor, ao final, com questões bastante pragmáticas como, por exemplo, a análise da (i)legalidade do uso de cookiespara a coleta de dados.

8) Examined lives: informational privacy and subject as object. Stanford Law review, No. 52 (1999-2000). p. 1373-1438, de Julie Cohen

Ao propor o que chama de “teoria dinâmica da privacidade informacional”, a professora de Georgetown desconstrói a retórica de que limitações ao uso de dados pessoais colidiriam necessariamente com o direito de propriedade, de escolha (autonomia da vontade), liberdade de iniciativa e de produção de conhecimento. Tais direitos não são rivais, mas convergentes a partir da perspectiva de que a circulação da informação tem um “papel social” a cumprir. O estabelecimento de “zonas de proteção” é primordial não só ao indivíduo, mas para a própria “constituição” da sociedade. Esse texto dá fundação teórica para outro, até mais citado e conhecido da autora (What is privacy for), que vai, por exemplo, estabelecer a relação de interdependência entre proteção à privacidade e inovação.

9) Understanding Privacy, de Daniel Solove

Após analisar detidamente vários dos conceitos do direito à privacidade, o jurista americano conclui que todas as construções teóricas são falhas por não capturarem um traço comum e universal de uma problemática totalmente multifacetada. Ao final, o leitor se deparará com uma taxonomia bastante útil, focada nos problemas que a violação do direito à privacidade pode ocasionar. Essa metodologia ganha ainda mais relevância na atualidade em que a (des)proteção dos dados pessoais está associada a um admirável “mundo novo” de danos e riscos, sobretudo de ordem coletiva.

10) Tutela e privacidade na Internet, de Marcel Leonardi

Após trazer considerações teóricas sobre privacidade e a teoria da regulação na Internet, Marcel Leonardi analisa os mecanismos processuais de tutela da privacidade e, em particular, frente aos intermediários (provedores de aplicação e conexão). Além de trazer considerações sobre a proporcionalidade dessas medidas, a obra não deixa passar despercebida a (in)suficiência da tutela individual e a importância em se pensar a tutela coletiva da privacidade.

11) Behavioral Advertising: The Offer You Cannot Refuse (August 28, 2012). 6 Harvard Law & Policy Review 273 (2012), de Chris Jay Hoofnagle et al

Uma pesquisa empírica metodologicamente extremamente sofisticada que reuniu pessoas do campo do direito e da engenharia com o objetivo de investigar como acontece o rastreamento da navegação das pessoas e quais são as opções para barrá-lo. Após analisar diversos websites, os pesquisadores demonstraram que várias são as tecnologias de monitoramento e, não raramente, são projetadas para “driblar” as escolhas daqueles poucos indivíduos que têm conhecimento técnico para teoricamente recusá-las. A partir dessas evidências empíricas, o leitor se chocará com a reflexão de que uma pitada de “paternalismo” (ou soft paternalismo) se faz necessário para, ao reduzir essa assimetria de informação e de poder, garantir uma esfera mínima de controle das pessoas sobre seus dados.

12) Against notice skepticism in privacy (and elsewhere).   In Notre Dame law review, vol. 87:3, march, 2011. p. 1027-1072, de Ryan Calo

Ao considerar que a própria tecnologia poderia empoderar os cidadãos com um controle mais significativo dos seus dados pessoais, o texto rebate o ceticismo (cada vez mais recorrente) em torno do consentimento como um dos principais vetores para a proteção dos dados pessoais. Se tal instrumento tem sido pouco eficiente, isso pode ser atribuído à maneira pouco transparente e, não raramente, manipuladora pela qual os consumidores são informados. Ao propor a ideia de uma informação-consentimento “visceral”, a reflexão do texto permanece sendo bastante atual: como o design das tecnologias poderia facilitar o controle das informações por parte das pessoas?

13) Broken promises of privacy: responding to the suprising failure of anonymization, de Paul Ohm

Um dado não pode ser perfeitamente anônimo (“100%” insuscetível de ser reidentificado) e, ao mesmo tempo, útil. Haverá sempre o risco da reversão do processo de anonimização que poderá levar à identificação de um indivíduo. Multicitado até mesmo por engenheiros, esse artigo, escrito por um professor da Faculdade de Direito de Georgetown, quebra com a dicotomia “dura” entre dados pessoais e dados anônimos, bem como com a crença de que dados anonimizados não representariam nenhum tipo de risco. Ao se valer de conceitos técnicos como da entropia da informação, propõe-se que leis e reguladores concentrem esforços em identificar quais os riscos (toleráveis) com o uso e a reidentificação de base de dados anonimizadas. Muito embora já se tenham passados mais de oito anos da publicação desse texto, essa é ainda uma controvérsia bastante recorrente no debate de proteção de dados pessoais.

14 e 15) Designing Without Privacy, de Ari Ezra Waldman vs Privacy on the Grounds, de Deirdre K. Mulligan e Kenneth A. Bamberg

Uma pesquisa genial que contrapõe outra, também genial. Em 2011, dois professores da universidade de Berkley, Deirdre K. Mulligan e Kenneth A. Bamberg, fizeram uma pesquisa empírica em que entrevistaram os chief privacy officers (CPOs) de várias companhias americanas. O resultado da pesquisa sugeria que a privacidade dos livros (e das leis) não necessariamente corresponderia ao “chão” (da fábrica) das corporações, o que não necessariamente seria ruim. Por exemplo, apesar de os Estados Unidos não terem uma lei geral de proteção de dados pessoais, a cultura corporativa em se ter profissionais especializados em privacidade (CPOs), associado a um ecossistema de enforcement eficiente na figura do órgão regulador americano (Federal Trade Commission) e das poucas regras existentes (Fair Information Practice Principles), teria gerado boas práticas para prevenir violações e danos à privacidade dos consumidores.

Quase sete anos depois, o professor da Universidade de Nova Iorque, Ari Ezra Waldman, alargou a amostra de entrevistados. Seu estudo etnográfico considerou todo o ecossistema corporativo, não só os chief privacy officers (CPOs), mas, também, engenheiros, programadores e outros profissionais de tecnologia. Os achados da pesquisa apontam que não há uma cultura organizacional tão positiva, em termos de privacidade, quando se leva em consideração justamente quem é responsável por criar as linhas de códigos dos produtos. Se não houver interação entre advogados, programadores, engenheiros e outros profissionais, a privacidade dos livros (e das leis) ainda estará dissociada daquela do “chão” de fábrica. Essa é uma reflexão da ordem do dia quando se fala em privacidade por concepção, privacy by design.

Textos do autor

16) Xeque-Mate: o tripé da proteção de dados pessoais no Xadrez Legislativo, de Bruno Bioni

Os três pontos mais importantes de qualquer lei de proteção de dados pessoais são: a) o conceito de dado pessoal; b) o conceito de dado anônimo e; c) consentimento. Além de estabelecer um comparativo entre os três projetos de uma lei geral de proteção de dados pessoais em tramitação no Congresso Nacional sobre esses três pontos centrais, o relatório de pesquisa do Grupo em Políticos Públicas para o Acesso à Informação/GPoPAI-USP é atemporal por mapear os seus respectivos referenciais teóricos. O estudo é útil para quem queira não só se engajar no debate legislativo brasileiro, mas, também, para quem deseja compreender, em uma linguagem acessível e com exemplos práticos, o tripé que dá sustentação às normativas de proteção de dados pessoais.

17) O dever de informar e a teoria do diálogo das fontes para a aplicação da autodeterminação informacional como sistematização para a proteção dos dados pessoais dos consumidores, de Bruno Bioni

A combinação do dever-direito de informação, transparência e diálogo das fontes de leis setoriais – e.g., Código de Defesa do Consumidor, Marco Civil da Internet e Lei do Cadastro Positivo – pode ser uma forma de sistematizar a proteção de dados pessoais fragmentada do ordenamento jurídico brasileiro. A partir disso, o artigo, premiado como a melhor monografia no concurso organizado pelo Instituto Brasileiro de Política e Direito do Consumidor/Brasilcon, identifica um objetivo comum entre todas essas leis setoriais que é, ao reduzir a assimetria de informação e poder, permitir que o cidadão autodetermine (controle) as suas informações pessoais – autodeterminação informacional.

18) Proteção de Dados Pessoais: a função e os limites do consentimento (no prelo, Editora GEN-Forense, 2018), de Bruno Bioni

O livro aborda aquele que é um dos temas mais importantes e, ao mesmo tempo, um dos mais desafiadores do campo da proteção de dados pessoais: consentimento. Essa ambivalência corresponde justamente à alma da obra que faz uma investigação dogmática, mas sem perder de vista aportes empíricos, para identificar qual é a função e os limites do consentimento na proteção dos dados pessoais. Além de explorar questões basilares como a proteção de dados pessoais sendo um direito de personalidade autônomo frente ao direito à privacidade, o leitor encontrará uma análise detida sobre como o direito e a tecnologia podem enfraquecer ou nutrir a capacidade do cidadão em controlar seus dados pessoais. Com isso, coloca-se em perspectiva que o consentimento deve ser funcionalizado a partir da equalização das assimetrias de poder e de informação em jogo. E, além disso, que haja uma estratégia regulatória não só focada no consentimento, mas, também, apoiada na ideia de que há um valor social na proteção dos dados pessoais e, portanto, limites devem ser estabelecidos.

Disponível em: <https://dataprivacy.com.br/18-livros-e-textos-para-entender-privacidade-e-protecao-de-dados-pessoais/>. Acesso em: 30 maio 2019.

Proteção de dados além do óbvio

Marcílio Guedes Drummond

A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.

segunda-feira, 28 de janeiro de 2019

O assunto “proteção de dados” no Brasil está sendo tratado a todo vapor principalmente a partir da promulgação da Lei Geral de Proteção de Dados Pessoais, a LGPD, ou lei 13.709de 14 de agosto de 2018.

A verdade é que ler uma lei e fazer sua interpretação literal, para entender como ela trata da proteção de dados não é uma tarefa das mais difíceis, basta ser alfabetizado – com o perdão da sinceridade.

O dia 28 de janeiro é o Dia Internacional da Privacidade de Dados, desde 2006, por iniciativa do Conselho da Europa em busca de aumentar a consciência das pessoas quanto à importância da privacidade e promover a proteção dos dados pessoais. Esta data merece uma análise da LGPD além do óbvio.

Portanto o objetivo deste texto é ampliar a visão do leitor quanto aos contornos dessa nova legislação.

Trata-se de um regramento muito relevante, porque facilmente nota-se que várias empresas sabem quase tudo o que fazemos na internet, o que pesquisamos, quais são as nossas preferências, quem somos. Existem diversos modelos de negócio baseados no uso de dados. No entanto, torna-se difícil ao cidadão, sozinho, se livrar ou moldar esse monitoramento, sobretudo quando depende dos serviços prestados por estas empresas.

O real problema não é coletar os dados das pessoas, mas sim não dar transparência e não informar ao titular dos dados como exatamente será o uso do que está sendo coletado.

Neste contexto de LGPD, inicialmente acrescenta-se a edição da MP 869, de 27 de dezembro de 2018, que estabelece a criação da Autoridade Nacional de Proteção de Dados – ANPD – órgão vinculado à Presidência da República.

A criação de ANPD é muito importante, porque a LGDP estabelece o que deve ser feito na nova sistemática de proteção de dados, mas não regula exatamente como fazer – função da ANPD.

Ao se falar em proteção de dados, é necessário entender que se está falando de dados de pessoas, sejam eles “online” (digitais) ou offline e que para a proteção de tais dados é fundamental a compreensão do fluxo de dados dentro das empresas e dos órgãos públicos (sim, não é apenas o empresariado que se deve submeter a esse regramento).

Inclusive, ressalta-se que também são afetados por essa normativa os partidos políticos, as igrejas, os sindicatos e também os escritórios de advocacia – sendo que um alerta vermelho deve ser ligado neste ponto, pois normalmente é mais fácil hackear o escritório de advocacia do que a empresa que ele assessora.

Nesse contexto, deve-se ter uma grande atenção sobre quando os dados são captados, por quê e para que são captados, por quanto tempo serão usados e como podem ser apagados.

É necessário também fazer um data mapping, para entender quais dados pessoais estão sendo tratados em determinado momento, quais as fontes dos dados, com quem são compartilhados, enfim, mapear toda a realidade destes dados.

Por isso, trata-se de uma temática multidisciplinar, que aborda segurança, tecnologia, jurídico e compliance. Definitivamente, se enquadrar a este novo regramento apenas por meio do jurídico é impossível.

É importante notar também que a LGPD é uma lei reputacional, o que significa que independentemente de um eventual temor das multas por seu descumprimento, o que estará em jogo perante o mercado – e que pode ser afetada na visão de clientes e parceiros – será a reputação da corporação quanto sua forma de tratar os dados pessoais.

Inclusive, os reflexos internos do tratamento dos dados vão desde os dados dos CEOs até os dos trabalhadores e colaboradores das camadas mais rasas da corporação, passando também pela definição dos níveis de acesso que cada colaborador terá aos dados externos tratados pela corporação.

Se pensarmos nos impactos da LGPD nas relações contratuais, deve-se atentar que, efetivamente, para o devido enquadramento jurídico à LGPD todos os contratos atuais precisarão serem revistos. Inclusive, mesmo as corporações que não atendam pessoa física devem se enquadrar a essa regulamentação da proteção de dados, porque elas possuem funcionários, que são pessoas físicas, portanto devem ter seus dados protegidos.

No contexto do recrutamento de pessoas, o jurídico e o setor de RH de uma corporação precisarão definir que tipo de informações são realmente necessárias de serem coletadas. Inclusive, neste ponto, levanta-se questionamentos: o que fazer com os currículos das pessoas que não foram contratadas? O que fazer com todos os dados coletados antes da vigência da lei?

Neste ponto, deve-se atentar para a amplitude das atividades consideradas abrangidas pela LGPD. O art. 5º, X, abarca “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,

eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Outro ponto relevante é o fluxo de responsabilidade solidária trazido pela LGPD, no art. 42, que tende a gerar um efeito cascata no mercado, no qual as corporações que tratarem os dados de forma correta terão a preferência para o fornecimento de bens e serviços.

Isso porque, nesse novo cenário de responsabilidade solidária a partir do compartilhamento dos dados, a exposição negativa, perante o mercado, pela violação de dados é a mesma tanto para a corporação que coletou e compartilhou os dados, quanto para a corporação que recebeu esses dados e não garantiu a segurança adequada deles.

Juridicamente, ambas são solidárias a partir do compartilhamento dos dados, sendo necessário, então, à corporação que queira se precaver, identificar detalhadamente todos os seus fornecedores que recebem dados, auditar os sistemas de segurança deles e exigir que tais sistemas internos se adaptem a requisitos mínimos de segurança. Não havendo a devida segurança destes dados, a tendência é mesmo o rompimento comercial e a procura de parceiros enquadrados a um compliance de dados.

E por falar em compartilhamento de dados, a medida provisória 869, de 27 de dezembro de 2018 criou, como autoridade reguladora, um órgão da administração pública direta, ligado à Presidência da República. Não se trata do modelo ideal, vez que o preferível seria a criação de uma autarquia, uma autoridade que tivesse autonomia e independência para fiscalizar, inclusive, o próprio poder público.

Isso porque, o poder público normalmente possui as bases de dados mais valiosas e atualizadas, já que o fornecimento e atualização de muitos deles são obrigatórios aos cidadãos. Porém, fica o questionamento acerca do nível e da qualidade de proteção dos dados pelo poder público, cujas obrigações nessa seara são menores do que as do setor privado e, ainda, sendo fiscalizado por um órgão vinculado à administração direta federal, portanto, sem independência e autonomia.

Neste contexto, inclusive, é fundamental que as empresas consigam firmar com o poder público cláusulas de confidencialidade, para proteger os dados não apenas dentro do contexto da LGPD, mas também da concorrência e de eventuais “haters”, como por exemplo, os dados extraídos pelas empresas de transporte de aplicativo, como endereço, conta bancária e veículo dos motoristas.

Outro ponto relevante na análise é sobre o consentimento para o uso/ tratamento dos dados.

A verdade é que o consentimento (livre, inequívoco, informado, específico – e acrescento ainda, em destaque) é apenas uma dentre as várias formas de se legitimar o tratamento de dados pessoais.

De todo modo, quanto ao consentimento, a LGPD traz transparência e cria a necessidade das informações serem passadas, desde o início, de forma mais clara, com menos termos técnicos, com fácil visualização e gestão (elementos que se enquadram no que se chama de Privacy by Design – e que carrega informações muito mais amplas que aqui não será tratado de forma minuciosa).

E experiência demonstra que praticamente ninguém lê todos os termos de uso e políticas de privacidade. O problema é que no momento em que o usuário concorda, ele está dando seu consentimento que é justamente uma das bases legais para o processamento de dados, segundo a LGPD.

No entanto, como já dito, além do consentimento há várias outras formas que legitimam o uso de dados pessoais, tratadas pela LGDP como “exceções”, que dão uma ampla gama de possibilidades interpretativas.

Assim, mesmo sem o consentimento do titular dos dados, eles poderão ser utilizados, segundo o art. 7º e o ar. 11, para o cumprimento de obrigação legal/regulatória pelo controlador; para a execução de políticas públicas; para pesquisas por órgãos de pesquisas; para o exercício regular de direito, inclusive em processo judicial, administrativo ou arbitral; para a proteção da vida; para a proteção da saúde; e para a proteção do crédito (em claro atendimento ao lobby do setor financeiro).

Outro ponto de atenção é o da entrada em vigor da LGPD. Com a edição da MP 869/18 esse prazo se estendeu para agosto de 2020 – sendo possível que se alargue ainda mais, pois há pressão empresarial nesse sentido.

Este tempo para adequação das corporações parece amplo, mas a experiência europeia de proteção de dados, pelo General Data Protection Regulation (GDPR), mostra que na verdade é menos do que o necessário.

Um exemplo deste argumento é a multa imposta ao Google pela autoridade francesa de proteção de dados, no valor de 50 milhões de euros, em janeiro de 2019. A data aqui é importante porque a GDPR entrou em vigor em maio de 2018, sendo que na Europa as corporações também tiveram o prazo de 24 meses da publicação da lei até a entrada em vigor, para se adequarem.

Ao que se vê, o prazo não foi suficiente, ainda mais se considerarmos que por lá há norma que regula a questão desde 1995 (a chamada “Diretiva Europeia de Proteção de Dados Pessoais”), enquanto que no Brasil o tema é ainda muito novo – apesar de alguns direitos anteriormente estabelecidos no Marco Civil da Internet (a lei 12.965/14) -.

No caso atual da multa aplicada ao Google, ela se motivou por falta de transparência quanto ao consentimento do uso de dados e pela falta de consentimento válido quanto à personalização de publicidade.

Especificamente no Brasil, nota-se que a grande maioria das corporações sequer possuem Termos de Uso e Política de Privacidade – e fala-se aqui, inclusive, de corporações gigantescas, com grande relevância -. Porém, pela força da nova lei, todas elas serão obrigadas a terem tais documentos – e se não tiverem podem ser punidas, inclusive com a aplicação de multas pesadas.

Por se falar em multa, a LGDP, estabelece no art. 52 a possibilidade de aplicação de penalidade de até 2% (dois) por cento do faturamento da empresa, podendo chegar até R$50.000.000,00 (cinquenta milhões de reais) por infração, multa essa não aplicável às pessoas jurídicas de Direito Público.

Quanto a este valor – que pode parecer assustador – uma simples análise econômica pode questionar a efetividade desta punição, haja vista que certamente haverá diversas situações nas quais “compensará” ser multado se comparado a alguns custos operacionais envolvidos e/ou a ganhos relacionados à negociação irregular de dados – sem contar que as multas administrativas poderão ser questionadas judicialmente, visando serem excluídas ou diminuídas.

Ocorre que, como já dito no início deste texto, a LGDP é uma lei reputacional, de modo que a multa, por incrível que pareça, pode não ser o maior prejuízo, ou o maior elemento desencorajador para as empresas.

Explico. A maior preocupação de um empresário é ter um negócio saudável, que funcione bem, que tenha clientes e dê lucro. A LGDP cria/reforça uma cultura das pessoas procurarem empresas que tratam melhor seus dados pessoais – e da mesma forma, outras corporações procurarão esse tipo de empresa.

No momento em que há um vazamento de dados, que pode expor os dados dos clientes e até mesmo expor sua própria empresa e empresas parceiras, o empresário corre o risco de perder seus clientes e seus melhores parceiros, o que pode ser um golpe fatal para o negócio.

Neste ponto, é importante mencionar que não há na LGPD diferenciação de tratamento e obrigações entre as grandes empresas e as médias e pequenas empresas quanto às adequações ao regramento de proteção de dados. Este apontamento é importante porque o enquadramento à LGPD é potencialmente custoso – por envolver necessidade de serviços conjuntos de segurança, tecnologia, jurídico e compliance – o que significará mais uma dificuldade significativa sobretudo aos pequenos negócios.

Temos no Brasil uma realidade na qual diversas empresas não possuem proteções jurídicas mínimas, como contratos personalizados e bem formulados com fornecedores e prestadores de serviço, enquadramentos às regras consumeristas, regimentos internos que reflitam uma cultura empresarial desejada, enquadramentos fiscais corretos ou ainda sem elementos básicos de governança e compliance. Nesse cenário fica o questionamento de como serão tratadas as determinações da LGPD para empresas que já ignoram determinações legais provenientes de normas anteriores, em outras temáticas jurídicas.

A conclusão que se chega ao analisar a LGDP além do óbvio é de que se trata de uma lei a ser construída no cotidiano das empresas e das pessoas, com uma multa aqui e outra ali para “servir de exemplo”, mas que com o tempo provavelmente ganhará força e relevância maior na qualidade reputacional das corporações.

O ideal é se adaptar desde já. O dia 28 de janeiro, Dia Internacional da Privacidade de Dados é um bom momento para se atentar ao óbvio e ao não óbvio desta temática.

__________

*Marcílio Guedes Drummond é sócio do Marcelo Tostes Advogados, responsável pela área de Direito das startups.

Disponível em: <https://www.migalhas.com.br/dePeso/16,MI294971,31047-Protecao+de+dados+alem+do+obvio>. Acesso em: 30 jan. 2018.