É natural que o debate sobre a utilização de dados pessoais resida mais no âmbito dos afeitos à tecnologia, sejam empresas ou especialistas da área. Isso, em razão da preocupação acerca do uso indevido de tais informações ter avançado na era do Big Data, das informações cruzadas e da publicidade direcionada, representadas pelo batido jargão "Os dados são o novo petróleo". Todavia, a Lei Geral de Proteção de Dados Pessoais (LGPD) do Brasil abrange muito mais do que empresas nativas digitais ou especialistas em tecnologia. Seu impacto afeta todos os setores da economia: de prestadores de serviços a grandes indústrias. Ou seja, todos que armazenam dados pessoais devem se atentar à nova regulação. Um simples controle de clientes, no qual sejam arquivados nomes, telefones e endereços, já se submete à legislação, independentemente do tipo de armazenamento: em software CRM, servidores robustos ou apenas uma planilha do Excel salva no notebook do proprietário. A partir do momento em que há utilização comercial, os cuidados com a legislação precisam ser observados.
Bem verdade que a adequação, para a grande maioria das companhias, deveria ter sido iniciada há mais tempo, antes mesmo da entrada em vigor da LGPD. Tendo em vista que a GDPR – General Data Protection Regulation, da União Europeia, está vigente, mas sem obediência às práticas, o que faz com que as empresas brasileiras dificilmente consigam prestar serviços para as europeias.
Os contratos com fornecedores, por exemplo, necessitam ser alterados para prever os requisitos legais e permitir o rigor e controle das informações pessoais compartilhadas. Para isso, empresas digitais ou não devem estabelecer políticas de uso de dados; os sites, por mais que não coletem outras informações além de cookies (tidos como dados pessoais), precisam obter consentimento ou ser transparentes sobre a forma como tratam os dados. Mais ainda, os processos internos também carecem ser readequados, prevendo notificação em caso de incidentes de segurança aos titulares dos dados, bem como relatórios de impacto e processos internos mais rígidos. Prática rotineira das empresas brasileiras é o armazenamento de informações pessoais em serviços de nuvem fora do país, como a Amazon. A LGPD impõe uma série de restrições e requisitos para a validade dessa operação, além, claro, do fundamental consentimento e informação ao usuário.
Apesar das mudanças serem significativas, são de elevada importância em um cenário de maior consciência sobre a privacidade e a necessidade de controle do uso dos dados pessoais, sobretudo quando incidentes de vazamento ocupam com frequência as primeiras páginas dos principais jornais do País. O que demonstra que o uso indevido de dados pessoais pode interferir tanto em um pleito eleitoral, como afetar a vida de um cidadão numa miríade de situações. A LGPD segue a linha da GDPR e adota um equilíbrio ao proteger a privacidade sem, contudo, impedir a inovação, que acaba ganhando segurança jurídica em um mundo sem fronteiras.
No entanto, boa parte das previsões e regras da LGPD estão conectadas à futura regulamentação do órgão de controle, a chamada Autoridade Nacional de Proteção de Dados, cuja existência foi objeto de veto pelo presidente Temer. O veto não implica somente na ausência de uma entidade fiscalizadora fundamental para tais situações, como também contribui para que boa parte dos artigos da lei se tornem letra morta. Há a promessa de que será enviada lei específica sem vício de origem para criação do órgão. É preciso ficarmos atentos, pois caso contrário, nosso país corre o risco de se tornar uma zona não creditada pela União Europeia, implicando em entraves para transações no Brasil que – ainda que não tratem dados de cidadãos europeus – possam, de alguma maneira, ter relações comerciais com empresas ou grupos econômicos que possuam negócios no velho continente.
Dr. Rafael Fernandes Maciel, presidente do IGDD – Instituto Goiano de Direito Digital, atua como professor e advogado especialista em Direito Digital e Direito Empresarial. rafael@rafaelmaciel.com.br
