A Lei nº. 13.709/2018 criou normas e obrigações para controladores de dados que circulam pela internet com o objetivo de garantir privacidade aos usuários. A regra vale para organizações públicas e empresas privadas que coletam, tratam, guardam, processam e comercializam dados pessoais dos brasileiros, buscando resguardar os dados bancários e fiscais dos brasileiros, diminuindo consequentemente as fraudes por utilização indevida dos dados retirados ou vendidos irregularmente das empresas públicas e privadas. Uma das condições para o tratamento de dados, por exemplo, é a autorização do usuário para compartilhar seus dados com outras empresas. Em caso de descumprimento, a lei prevê multas e sanções.
A Lei Geral de Proteção de Dados - LGPD define que o cidadão é o titular dos seus dados e que, por isso, empresas precisam de seu consentimento para coletar e usar seus dados, e são obrigadas a excluí-los quando isso for solicitado.
Multas, que podem chegar a R$ 50 milhões, e penalidades só serão aplicadas a partir de agosto de 2021. Mesmo assim, a vigência da Lei já estabelece a responsabilidade civil das empresas, ou seja, quem se sentir lesado no tratamento de seus dados pode ajuizar ação.
Diariamente, passamos por situações que envolvem informar nossos dados pessoais. Por exemplo, o preenchimento de um cadastro para uma compra, fornecimento do CPF para obter um desconto, os registros de navegação de sites, perfis nas redes sociais — todas elas informações que nos identificam. O objetivo da LGPD não é eliminar a coleta e o compartilhamento, mas proteger os direitos fundamentais de liberdade e de privacidade.
Nesse sentido, a normativa transforma o titular de dados em protagonista das decisões sobre o uso das suas informações e lhe confere a possibilidade de questionar o tratamento dos seus dados pessoais.
Seu desafio é o mesmo enfrentado por diferentes leis ao redor do mundo: como conciliar o direito à privacidade e uma economia globalizada, informatizada e cada vez mais digital, que estabeleceu um certo padrão em negócios jurídicos, nos quais, invariavelmente, ocorre o tratamento de dados pessoais.
Isso porque o uso desses dados passou a ser não apenas fundamental para celebração de negócios, mas também se transformou em um ativo valioso para grandes e pequenas organizações.
Conhecendo melhor seu público, as empresas conseguem oferecer com maior assertividade seus produtos e serviços, obtendo para si diferencial competitivo que pode ser determinante para se sobressair na sua área de atuação.
Nesse cenário, firmar diretivas para o tratamento de dados pessoais é essencial para garantir que estes não sejam utilizados para atender a interesses estritamente comerciais, contra a vontade dos cidadãos, ultrapassando limites éticos e legais.
Esta preocupação surgiu, especialmente, após o The Guardian, em 2018, denunciar que a empresa Cambridge Analytica teria coletado dados pessoais de 87 milhões de usuários do Facebook, em um sistema que permitiu influenciar as escolhas eleitorais em diversos países.
Para tanto, a Cambridge Analytica se aproveitou de uma vulnerabilidade na plataforma: o Facebook permitia que ativos externos coletassem dados de seus usuários, com a suposta pretensão de aprimorar a experiência destes.
Já hoje, com o reforço das regulações de proteção de dados ao redor do mundo, todas as empresas de pequeno, médio e grande portes devem investir em cibersegurança. Cria-se, com estas normativas, um novo patamar de responsabilidade e prestação de contas.
Então, para as empresas não serem punidas por descumprir a lei de proteção de dados é necessário que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas.
A LGPD determina ainda que, no caso de haver um efetivo vazamento de dados, as empresas devem estar preparadas para documentarem as suas medidas de segurança adotadas com a finalidade de prevenir danos decorrentes deste vazamento.
Ademais, a normativa estabelece que qualquer suspeita de violação deve ser comunicada à Autoridade Nacional de Proteção de Dados e à sociedade em geral. Ainda que não haja confirmação do dano ou da extensão deste, a comunicação é necessária.
A punição para empresas que descumprirem a LGPD pode variar dependendo da gravidade da infração. As multas por não conformidade podem chegar a 2% do faturamento, limitadas a R$50 milhões. Além disso, as empresas podem ter suas atividades suspensas, parcial ou totalmente.
Ressalta-se a importância de se estabelecer requisitos de segurança da informação, ferramentas de proteção e regras sobre o uso de dispositivos pessoais.
O objetivo é reduzir as possibilidades de mau uso (intencional ou não intencional) da infraestrutura corporativa através dos dispositivos pessoais.
Tão importante quanto o investimento em cibersegurança, um acompanhamento jurídico especializado para direcionar as medidas técnicas exigidas pela LGPD é uma medida necessária, em complemento à conformidade documental e processual que a normativa também obriga.
Alessandro Callil é advogado, pós-graduado em Direito Tributário pela Faculdade de Direito da Universidade de Buenos Aires, economista formado pela UFAC, pós-graduado em Economia do Setor Público.