25/09/2020 - 12:00
Quem nunca passou pela experiência de ter o nome e o CPF solicitados no caixa de uma farmácia quando pretendia comprar um simples analgésico? E não demorava muito tempo para a pessoa receber mensagens no celular com promoções desse mesmo estabelecimento. Com vigência da Lei Geral de Proteção de Dados (LGPD), sancionada pelo presidente Jair Bolsonaro no último dia 17 e já em vigor, esta situação poderá não mais ocorrer, porque, para pedir os dados, as empresas terão de declarar a finalidade e receber o consentimento do consumidor. A LGPD estabelece regras em relação a tratamento de dados pessoais, responsabilidade e ressarcimento de danos, além do tratamento de informações pela iniciativa privada e pelo poder público. Uma situação que traz alento ao consumidor, que não tinha acesso a seus dados arquivados nas companhias, ao mesmo tempo em que revela o despreparo de muitas organizações sobre o tema – ao menos 60% das exigências da LGPD não são cumpridas pelas corporações, de acordo com pesquisa da Associação Brasileira das Empresas de Software. Para agravar o quadro, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela edição de normas da LGPD, vai passar a atuar somente após a nomeação do diretor-presidente, ainda sem previsão.
Um dos requisitos para a implementação da ANPD é uma sabatina pelo Senado de todos os integrantes do conselho diretor. Teoricamente, pode-se dizer que o órgão ainda não existe até que o processo seja realizado. O Senado está com as atividades reduzidas por causa da pandemia. Com a ausência da Autoridade Nacional de Proteção de Dados, órgãos como o Programa de Proteção e Defesa do Consumidor (Procon) e o Ministério Público (MP) têm notificado empresas em relação ao tratamento de dados pessoais. As companhias terão um ano para se adaptar às normas da LGPD, pois as sanções serão aplicadas somente a partir de agosto de 2021. Além de medidas corretivas, estão previstas multas de até 2% do faturamento das companhias, limitadas a R$ 50 milhões.
O Brasil é o quinto e último país entre as principais economias da América do Sul a adotar medidas de proteção aos dados – Chile, Argentina, Peru e Colômbia já possuem. Com a vigência da LGPD, os titulares dos dados agora podem exigir das companhias – as agentes de tratamento – direitos como acesso, retificação, correção, exclusão e portabilidade. “A lei visa que os titulares tenham maior controle em relação ao uso que é feito dos seus dados pelas empresas”, afirmou o advogado Caio César de Oliveira, especializado em Direito Digital, Privacidade e Proteção de Dados Pessoais.
As organizações, por outro lado, agora têm de conhecer os limites no uso dos dados pessoais dos usuários. E, segundo o especialista, devem seguir princípios da lei, como o da finalidade, adequação, mínima coleta, segurança dos dados, qualidade, responsabilidade e prestação de contas. “Antes, tínhamos certa insegurança, por exemplo, com relação aos limites e ao período de retenção de dados. Agora, a LGPD traz regras para as empresas a respeito de como o tratamento deve ser realizado, quais informações deve fornecer aos titulares, quais bases legais ela deve se valer para realizar um tratamento de dados pessoais”.
A portabilidade dos dados é um dos pontos destacados por Oliveira. Ele lembra que, antes da promulgação da lei, o consumidor tinha uma visão clara de que a empresa era detentora do seu histórico. “Antigamente, se você solicitasse essa portabilidade provavelmente a resposta seria ‘não’. Agora, por exemplo, o cidadão pode se beneficiar ao pedir a portabilidade dos dados quando for renovar o seguro do carro ou contratar um plano de saúde. Essa lei visa implementar concorrência”, afirmou.
Entre as normas previstas na LGPD em relação às empresas estão ainda a necessidade de nomeação de um Data Protection Officer (DPO), profissional encarregado da proteção de dados; a obrigação de preparar relatórios de atividades que envolvam o tratamento de dados pessoais e de responder imediatamente aos pedidos dos titulares sobre a existência do tratamento e o acesso a dados, além do prazo de 15 dias para fornecimento de declaração completa (com origem dos dados, critérios utilizados e finalidade do tratamento); e a manutenção de canais de contato com os usuários para atender às suas demandas.
Para Marcia Asano, DPO da Wavy Global, empresa de customer experience do Grupo Movile, o processo da LGPD deve ser conduzido o mais rápido possível para que as empresas estejam em conformidade e os consumidores mais protegidos. Com 23 anos de experiência em Big Data e Inteligência Artificial, a especialista afirma que muitas empresas não têm a mínima condição de segurança e proteção de dados. “Se você for, por exemplo, em 100 organizações hoje e perguntar se a pessoa sabe onde estão todos os dados, tenho certeza que 90% vão dizer que não têm a mais vaga ideia. A mensagem é como que eu garanto a proteção desses dados. Isso exige que a empresa tenha minimamente esse controle sobre os dados que estão ali”, disse.
Marcia, também executiva de operações da Wavy, afirmou que a LGPD recomenda boas práticas: não coletar dados que não vai usar e criptografar ou anonimizar dados sensíveis. “É preciso garantir que as empresas adotem práticas para tentar proteger os dados ao máximo”, disse. “O roubo de dados hoje em dia é cada vez mais comum. Não existe nenhum ambiente, nenhum sistema que tenha uma garantia 100% de que nunca vai haver vazamento de informação.”
