A proteção de dados pessoais e o e-commerce

0

A produção legislativa de qualquer país, mas especialmente no Brasil, costuma correr atrás de novos fatos sociais que entende necessitar de regulamentação. Em outras palavras, sempre que algum novo tipo de relação, negócio ou inovação surge, lá vem o Governo para tentar impor às partes as regras básicas para se evitar conflitos sociais.

Isso, obviamente, não é ruim em grande parte dos casos, mas às vezes o Governo se atrasa e, quando isso acontece, a Lei já nasce sem muita razão de ser. Podemos ver isso, por exemplo, no Decreto 7.962/2013, que regulamentou a atuação dos sites de compras coletivas.

A regulamentação surgiu muito após o grande boom das compras coletivas, as empresas sérias já haviam se consolidado e os golpistas já haviam feito a grande maioria de suas vítimas. Todavia, nem sempre é possível prever o que acontecerá no futuro, especialmente quando o assunto é tecnologia, o que não deixa de ser uma boa desculpa para a falta de agilidade do Poder Legislativo.

Por outro lado, a maioria das pessoas, o que inclui os empresários, não se preocupa como deveria com os projetos de lei que poderão um dia atingir suas vidas e atividades. Seja por falta de tempo, interesse ou de conhecimento. Nesse ponto, gostaríamos de tentar diminuir a incidência desta última hipótese, pelo menos com relação aos leitores desta publicação.

Pois bem. O Ministério da Justiça está promovendo há algum tempo um debate nacional sobre seu Anteprojeto de Lei de Proteção de Dados Pessoais (APL). Após aprovado o texto final, o Anteprojeto se transformará em projeto e, em seguida, em lei.

Parece longa a caminhada até ele passar a fazer parte da vida das pessoas e empresas? Pode ser que não. Basta lembrar, por exemplo, que a aprovação do Marco Civil da Internet (MCI) foi turbinada devido ao escândalo da espionagem americana, ou seja, por um fato totalmente imprevisível.

Aliás, foi bom falar no MCI: muitas de suas disposições dependem de uma lei que defina e discipline o tratamento dos dados pessoais, ou seja, o APL já nasce pressionado pela urgência, porque sem ele o MCI permanecerá incompleto e, em diversos trechos, totalmente ineficaz.

Antes de abordarmos algumas disposições específicas do APL, temos que fixar os seguintes pontos: primeiro, o APL não irá regulamentar a proteção de dados apenas no âmbito da Internet, mas em todas e quaisquer relações jurídicas em que sejam recolhidos dados pessoais. Segundo, a proteção é dada apenas aos dados das pessoas naturais, não abrangendo os dados da pessoa jurídica.

Superados esses pontos, eis a definição do APL quanto ao que são dados pessoais: dado relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos. Em outras palavras, todos os dados que identifiquem uma pessoa são dados pessoais, ainda que tais dados a identifiquem indiretamente, como os dados de sua localização ou números de cadastros internos.

A premissa básica do APL é que a pessoa é titular de seus dados. Isso quer dizer que nunca um dado pessoal alheio poderá ser de propriedade de outrem.

Os dados pessoais só poderão ser tratados se autorizados por seu titular. Tratamento, para o APL, é um conceito repleto de verbos: é o conjunto de ações referentes a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, transporte, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, bloqueio ou fornecimento a terceiros de dados pessoais, por comunicação, interconexão, transferência, difusão ou extração.

Os mais atentos já poderão ter notado o primeiro impacto do que já dissemos: se dado pessoal é o dado que identifique a pessoa, se terceiros não podem se apoderar de dados pessoais e se o tratamento precisa ser autorizado, os dados pessoais coletados ou armazenados fora dessas condições serão considerados irregulares.

Outro ponto de grande relevância é que ninguém mais será obrigado a informar dados pessoais para ter acesso a um produto ou serviço, exceto os dados pessoais essenciais para uso ou gozo dos mesmos.

A primeira coisa que nos veio à mente foram os aplicativos gratuitos que, em troca de um serviço, recolhem informações pessoais dos usuários. Atualmente, se o usuário não concordar em compartilhar sua privacidade com o aplicativo, não poderá usufruir do serviço oferecido. Com o APL, passará a ser opcional compartilhar a privacidade: o usuário que não aceitar essa condição terá o direito, mesmo assim, de usar o serviço.

Quando aplicamos a mesma lógica ao comércio eletrônico, obviamente que a problemática permanecerá com relação aos aplicativos de compras atualmente tão comuns, mas não se restringirá a eles.

Os sites que utilizam ferramentas de coleta de informações, se essas informações forem dados pessoais, também estarão proibidos de condicionar seus serviços à aceitação incondicional do usuário, mesmo que tais disposições sejam claras em seu termo de uso e política de privacidade.

Outras disposições do APL incidirão diretamente no comércio eletrônico:

  1. a) a autorização para tratamento de dados pessoais deverá ser apartada das demais cláusulas contratuais, o que deverá gerar custos para implementação no site, além de criar mais um documento que precise ser aceito pelo usuário;
  2. b) deverá constar na autorização se os dados pessoais serão transmitidos para outras empresas, mesmo que coligadas ou pertencentes ao mesmo grupo econômico;
  3. c) deverá ser implementada uma estrutura para responder aos usuários que passarão a ter o direito de consultar qualquer empresa se ela possui dados pessoais referentes a si, quais são esses dados e como foram obtidos. As informações deverão ser repassadas via Internet ou fisicamente, a critério do usuário;
  4. d) o usuário poderá requerer ao comerciante que exclua seus dados pessoais após a satisfação recíproca das obrigações (pagamento, entrega, troca etc.).

Há outras disposições que poderão incidir direta ou indiretamente sobre o comércio eletrônico, mas nosso principal objetivo é, de fato, que os operadores de e-commerce passem a colocar o APL em seus "radares", monitorando seu desenvolvimento, defendendo seus interesses e estruturando seus modelos de negócio da forma mais adequada possível, tendo em vista a nova legislação que, em curto ou médio prazo, baterá às suas portas.

Marcio Cots, sócio do COTS Advogados, escritório especializado em Cyberlaw (Direito dos Negócios Digitais) com sede em São Paulo e, sócio do escritório norte-americano CyberLawStudio PLLC com sede em Nova Iorque. Professor universitário de Direito nos MBAs da FIAP e atua como Professor Convidado nos MBAs da FIA/USP. Mestre em Direito pela FADISP, especialista em CyberLaw pela HARVARD LAW SCHOOL – EUA, com extensão universitária em Direito da Tecnologia da Informação, pela FGV-EPGE. Membro do Harvard Faculty Club. Membro da comissão de crimes eletrônicos e de alta tecnologia da OAB/SP e consultor jurídico da ABCOMM.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.