LGPD: seus dados estão mesmo seguros?

Vivemos atualmente em uma sociedade da informação, construída paulatinamente desde o início das tecnologias digitais e com maior intensidade a partir do advento e popularização da internet.

O mundo hoje possui gerações com características tão distintas que podemos encontrar a última geração que viveu um mundo 100% analógico e está precisando aprender a como viver em um mundo 100% digital, bem como também há as gerações que já nasceram em um mundo completamente digital, onde as redes sociais atualmente dominantes já existiam quando do nascimento dessas pessoas.

Diariamente, somos cercados nos meios virtuais por uma quantidade espantosa, e provavelmente incalculável, de anúncios digitais, bem como por conteúdos das mais diversas formas, sejam imagens estáticas de divulgação publicitária, vídeos com temáticas variadas em diversas plataformas – sendo a principal delas o Youtube – e, mais recentemente, conteúdos apenas em áudios transmitidos pela internet, os podcasts.

Para além disso, transações financeiras estão cada vez mais presentes através dos meios digitais, principalmente com a recente criação do PIX. Dessa forma, não é mais necessário se deslocar até as agências bancárias para resolver praticamente qualquer assunto financeiro, muito podendo ser realizado através dos aplicativos para smartphones.

Podemos também considerar a esfera do aprendizado: quantas pessoas ainda têm nos livros impressos o seu principal meio de depreender novos conteúdos? Mesmo aqueles que têm preferência pelo formato escrito passam a pesquisar com maior frequência em sites da internet. Mas a maioria prefere mesmo conteúdos em vídeo, é para eles que o Youtube se tornou o verdadeiro professor.

Seria possível estendermos aqui essa descrição das esferas da vida que se tornaram predominantemente digitais nos últimos tempos, citando trabalho através de aplicativos ou com o uso mais frequente de vídeo conferência, até mesmo convívio familiar de parentes que residem em domicílios distantes e passaram a ter contato mais próximo utilizando as ferramentas digitais.

Inegavelmente, o mundo hoje é da informação digital e esse é um caminho sem retorno.

O que muitos não enxergam, ou não se põem a pensar sobre, é que cada solução digital que se propõe a facilitar uma esfera da vida é produzida, programada, disponibilizada e administrada por uma empresa privada e, como tal, ela visa o lucro para a manutenção das suas atividades e também para os seus acionistas.

De maneira oposta ao objetivo do lucro, está o fato de que essas ferramentas são gratuitas para o usuário na sua esmagadora maioria das vezes, afinal, poucos se dispõem a pagar por uso de aplicativos. Então, como conciliar esses interesses?

É neste ponto que entra a monetização dos dados dos usuários.

Com todo esse contexto, é seguro dizer que informação é dinheiro. Aquele que possuir o maior número de dados sobre o máximo possível de pessoas possui também uma fonte de riquezas em suas mãos comparável ao petróleo e ao ouro.

Para tornar mais fácil compreender, basta observar que, de acordo com o G1, o Whatsapp foi vendido para o Facebook em 2014 por mais de 30 bilhões de reais e o fator predominante para a realização desse negócio era a base de dados do aplicativo: mais de 450 milhões de usuários à época. É claro que o Facebook, de Mark Zuckerberg, tinha capital intelectual suficiente em seus quadros para programar um aplicativo com as mesmas funções do Whatsapp sem necessitar pagar 1 dólar a mais sequer. O que a empresa de Zuckerberg queria não eram as linhas do código de programação do aplicativo, mas sim possuir essa base de dados de mais de 450 milhões de usuários. Esse era o valor ao qual ele queria ter acesso.

De posse de tantas informações de um número tão grande de pessoas, as empresas passam a monetizar esses dados e informações através de estratégias como customização de conteúdo e ofertas para aquisição de novos produtos e serviços, aprimoramento das suas ferramentas e criação de novas com base nos gostos, hábitos e características do público-alvo pretendido.

Os dados, devidamente processados e analisados, tornam possível que as ações das grandes corporações sejam cada vez mais assertivas e rentáveis. É assim que as empresas lucram com as informações dos seus usuários.

Sabendo disso, os aplicativos e as plataformas são programados para capturar o máximo possível de informações dos seus usuários e enviar para que as empresas desenvolvedoras armazenem, processem e capitalizem tudo possível sobre seus consumidores. Criou-se o hábito de coleta máxima de dados.

Isso gerou nas corporações a sensação de que elas eram as proprietárias dos dados pessoais dos seus usuários. Uma vez capturados e armazenados, os dados pertenceriam – de acordo com essa crença – às empresas e não mais às pessoas.

Essa percepção e crença são erradas. Dados pessoais, nunca deixam de ser pessoais. Eles sempre dirão respeito às pessoas naturais de direito. Um RG, CPF, nome completo, informações biométricas, etnia, religião, idade e tantas outras informações sempre serão de propriedade das pessoas a quem pertenciam antes, durante e depois da coleta e processamento de dados pelas empresas.

Dessa forma, todo o manuseio que for feito com as informações coletadas deve ser responsável e garantindo os direitos constitucionais individuais e da personalidade de cada um daqueles de quem os dados foram coletados.

Utilizar tais informações para invadir a privacidade dos usuários, manipular processos eleitorais como no caso britânico da empresa Cambridge Analytica que influenciou a eleição nos Estados Unidos, ou até mesmo em um caso extremo de se fazer valer das informações que possui para praticar condutas discriminatórias caracteriza excesso no uso de dados pessoais. Isso é extremamente irresponsável e deve ser combatido.

Por outro lado, é salutar que as pessoas – se assim quiserem – compartilhem suas informações com plataformas digitais tanto para que os usuários possam se utilizar de serviços eficientes e práticos como delivery, transporte particular e muitos outros, como também para colaborar com a sociedade.

Tomemos como exemplo o Google Maps, que é largamente utilizado no dia a dia das pessoas. Esse serviço de geolocalização e informação de rotas no trânsito é capaz não somente de nos informar qual caminho devemos pegar, mas também qual é a rota mais rápida especificamente naquele dia e hora em que se apresenta a nossa necessidade. A Google só é capaz de ser eficiente nessa informação porque ela possui acesso às informações de GPS de praticamente todos os dispositivos embarcados com Android que estão naquela localização, assim ela sabe em que rota esses dispositivos estão trefegando mais lentamente e em qual eles estão mais rápidos. Dessa forma ela traça o caminho mais rápido para onde queremos chegar, nos poupando tempo e estresse no trânsito.

Isso só é possível porque uma quantidade muito grande de usuários Android compartilham sua informação de localização com o Google para que ela possa tratar e oferecer informações úteis através de serviços qualificados.

Novamente, o uso responsável dos dados pessoais dos usuários é salutar, devendo-se sempre evitar o uso excessivo.

Mas, ainda assim, seria possível dizer se os dados dos usuários estão seguros no meio digital?

Devemos lembrar que a segurança plena não existe nem mesmo no mundo físico então não há possibilidade de se esperar que ela exista no mundo digital. Entretanto, o que pode ser feito é se resguardar das melhores maneiras possíveis para que usos inadequados de dados e informações no mundo digital não venham a ocorrer.

Foi visando todo esse contexto que o legislador brasileiro trouxe uma inovação legal: a Lei Geral de Proteção de Dados – LGPD. Uma lei que, a exemplo do que já ocorre na Europa há bastante tempo, oferece os mecanismos necessários para caminharmos na direção da proteção dos dados pessoais dos usuários

A fonte material do Direito que originou a necessidade de processo legislativo para a criação de uma norma específica que visa a proteção de dados pessoais foi o abuso na utilização desses dados.

Inicialmente cabe ressaltar que não estamos falando de dados de pessoas jurídicas, mas sim das naturais, ou seja, as pessoas físicas.

Desse modo, a Lei 13.709 de 2018 (LGPD), traz já em seu corpo, no artigo 5º, inciso X, a conceituação do que é tratamento de dados: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Primeiramente, insta registrar que o conceito é tão amplo que abrange praticamente todas as ações que se utilizam de dados pessoais. Mas, mesmo sendo amplo, é bem objetivo.

Em seguida, veja que com o conceito legal já definido, se diminui a possibilidade de interpretação subjetiva do que é atividade de tratamento ou não.

A lei também já discrimina quais são as hipóteses legais para tratamento dos referidos dados. Entre os incisos I a X do artigo 7º ela estipula como tais hipóteses que legitimam o tratamento de dados pessoais: I – mediante o fornecimento de consentimento pelo titular (hipótese mais corriqueira); II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres(...); IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei da Arbitragem; VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

É importante destacar que no caso do inciso I, a hipótese mais comum, que versa sobre o consentimento do titular dos dados, tal manifestação de vontade deve ser feita de forma escrita ou por qualquer meio idôneo que ateste a vontade do titular em autorizar o tratamento de seus dados.

A legislação ainda estabelece formas como o tratamento deve ocorrer incluindo as previsões sobre o término do tratamento de dados. Resumidamente, o agente que está a coletar e tratar dados deve se cercar de todos os meios necessários para garantir a segurança das informações coletadas se certificando, inclusive, que está a coletar o mínimo necessário para a realização da atividade proposta, evitando a coleta excessiva de dados.

Também há a previsão da criação da Autoridade Nacional de Proteção de Dados (ANPD), sendo um órgão da administração pública federal vinculada à Presidência da República. O órgão goza de autonomia técnica e decisória para garantir que não haja influência em suas decisões.

A proteção que se tem dado ao assunto é tão detalhada que se torna inesgotável em um artigo de opinião, para maior detalhamento se faz necessário um trabalho mais extenso como artigo científico ou livros. Entretanto, a LGPD consegue, ainda assim, ser relativamente concisa em seu número de artigos, de modo que é severamente aconselhável a sua leitura por completo.

Um ponto de relevante destaque é a seção da legislação que versa sobre o tratamento de dados pessoais sensíveis.

Tais dados são conceituados como os que podem, de alguma forma, ensejar discriminação racial, étnica, ideológica, religiosa, política, filosófica ou que decorra de condição fisiológica ou por estado de saúde.

A possibilidade de tratamento dos dados pessoais sensíveis é mais restrita, exigindo que o titular conceda sua autorização de forma específica e destacada para finalidades certas para essas informações. Ainda, as autorizações legais para tratamento deles sem consentimento do titular são ainda mais rígidas, constituindo um rol taxativo.

Dentro da referida seção do texto legal, há a determinação de que “os dados anonimizados não serão considerados dados pessoais para os fins desta Lei”, ou seja, desde que não seja possível reconhecer a quem pertencem aqueles dados, o seu tratamento não estará submetido à LGDP.

Contudo, deve-se ter em mente que se o processo utilizado para a anonimização puder ser revertido a fim de se descobrir quem são os titulares dos dados tratados, então, estes serão considerados dados pessoais protegidos pela legislação em análise.

Mesmo com uma legislação que promete ser eficiente em relação ao tratamento de dados, as empresas podem continuar utilizando dados pessoais, desde que tenham os devidos cuidados com sua segurança e implementem um plano de adequação de proteção ao tratamento de dados.

O que se precisa fazer, no âmbito das corporações, é estudar os processos internos e identificar as necessidades de processamento de dados pela empresa. Isso inevitavelmente deve envolver as áreas técnicas, de TI e o jurídico.

Também é aconselhável definir um profissional dentro da empresa para gerir o processo de adequação e conformidade à LGPD.

Como já dito, a segurança fática plena no meio digital é algo irreal, mas tanto os usuários devem ser mais diligentes na hora de fornecer suas informações, como as corporações precisam ser mais responsáveis na coleta e tratamento dos dados de que necessitam para os seus fins.

Desde já, os operadores do Direito devem se atentar cada vez mais para a influência que as atividades digitais terão sobre as áreas jurídicas e estarem prontos para ajudar as empresas nos seus processos para não incorrerem em violações de direitos com as novas áreas da vida cotidiana que surgem constantemente.

Leonardo Vasconcelos é advogado, pós-graduando em Direito Contratual, editor-chefe da revista Capital Jurídico e publicitário há 14 anos.