Na era da economia digital, os dados pessoais passaram a ser considerados um dos bens mais poderosos, capazes de influenciar as tomadas de decisão mais importantes e estratégicas das corporações. Quanto mais informações uma empresa tiver sobre seus clientes, maiores serão suas chances de realizar bons negócios e de se sobressair diante da concorrência.

Na guerra pelo poder, é comum ouvirmos que os fins justificam os meios. Baseadas nessa lógica, e com o respaldo da ausência de normas relacionadas ao tratamento de dados de pessoas físicas nas suas mais variadas aplicações e ambientes, empresas passaram a capturar todo e qualquer tipo de dados possíveis sobre seus clientes. Inúmeros serviços passaram a ser gratuitos, pedindo em troca apenas o preenchimento de cadastros com informações pessoais. Sites e sistemas novos foram desenvolvidos com o objetivo de identificar, capturar e salvar, não apenas os dados fornecidos pelos usuários, mas qualquer ação realizada por eles de forma on-line.

Gigantescos bancos de dados foram sendo desenvolvidos sem que as empresas tivessem o devido cuidado com a segurança dessas informações. Um prato cheio para que hackers iniciassem uma série de ataques, dos mais simples aos mais sofisticados, com o objetivo de roubar essas informações e comercializá-las na deep web.

E assim, uma após outra, centenas de notícias sobre vazamentos de dados começaram a pipocar todos os dias nos veículos de comunicação, acabando com o sossego dos usuários e chamando a atenção das autoridades. Em todo o mundo, legislações visando normatizar a coleta e o tratamento dessas informações começaram a ser desenvolvidas. Em 2018, entrou em vigor na União Europeia a GDPR (General Data Protection Regulation), um rigoroso conjunto de regras sobre privacidade que começou a ser idealizado em 2012 e que, entre outras coisas, dá aos usuários o direito de decidir como seus dados serão tratados.

Outros países, como Austrália, África do Sul, Turquia e México também desenvolveram iniciativas semelhantes. No mesmo ano, o Brasil sancionou a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor dois anos depois, em setembro de 2020. Considerado um importante passo para o país, ela estabelece diretrizes importantes e obrigatórias para coleta, processamento e armazenamento de dados pessoais.

Hoje, três anos após sua criação e um ano após o início de sua vigência, milhares de empresas no país ainda precisam se adequar às suas exigências. Um levantamento realizado pela Fundação Dom Cabral indica que 40% das 207 empresas entrevistadas ainda não estão totalmente adequadas à legislação. E para que isso aconteça, além de ajustes internos, está cada vez mais evidente a necessidade da construção de uma cultura de proteção e respeito à privacidade dos cidadãos.

 

Adequações à LGPD

Em sua redação, a LGPD lista dez princípios que as empresas devem seguir na hora de coletar, tratar e armazenar dados de seus clientes. São eles:

  1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
  2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
  3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
  4. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
  5. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
  6. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
  7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  8. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
  9. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
  10. Responsabilidade e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Para além desses pontos, a LGPD também prevê a criação de um comitê de segurança nas empresas e define que a privacidade deve ser priorizada em todas as etapas da concepção de um produto ou sistema. Fora do escopo da lei, outras ações também são recomendadas, como mapear o fluxo de entrada, tratamento e saída dos dados pessoais no seu negócio, mapear os riscos relacionados às atividades de tratamento, criar políticas de privacidade, treinar as equipes, adotar boas práticas e exigir o mesmo de seus fornecedores.

 

Ganhos com a nova lei

Embora a LGPD tenha deixado alguns pontos sensíveis de fora de sua redação, são inegáveis os ganhos que ela traz ao mercado e para a sociedade como um todo. Podemos destacar alguns, como a transparência no tratamento dos dados, na finalidade do uso e nas medidas protetivas adotadas pelas empresas. Esse ponto, além de dar maior credibilidade às empresas, também otimiza o alcance do público desejado por ações de marketing, melhorando ainda mais a experiência do usuário.

Destaque também para o empoderamento dos clientes sobre suas informações. A eles foi dado o direito de saber de que forma seus dados serão usados e com qual finalidade, de ter acesso aos seus dados e de atualizá-los, consentindo ou revogando permissões de uso por parte das empresas.

É importante frisar que o direito à proteção de dados não dá ao titular a possibilidade de definir de que forma seus dados serão ou não usados. Mas garante que o cidadão saiba quais dados serão utilizados, com qual finalidade e por quanto tempo.

Todo esse movimento fez com que a segurança e a privacidade, temas que antes eram ignorados, virassem parte do discurso das pessoas, que hoje são bem mais conscientes acerca de seus direitos.

 

Pontos vulneráveis da legislação

Como já dissemos, a LGPD peca em alguns pontos de sua redação, entre eles, na definição de penas aos crimes digitais, consideradas brandas na comparação com a de outros países. Hoje, sabemos que o roubo de dados de uma pessoa pode ser infinitamente mais prejudicial do que, por exemplo, a invasão de seu domicílio para o roubo de bens pessoais. No entanto, dificilmente um cibercriminoso vai parar atrás das grades por esse delito, sendo mais provável que sua pena seja distribuir cestas básicas ou realizar trabalho social.

Outro problema é que alguns crimes digitais sequer estão previstos na legislação penal, o que inviabiliza a tipificação desses delitos como, por exemplo, a infecção de sistemas por malware. Nem muito menos há previsão legal para enquadrar uma pessoa flagrada com um equipamento utilizado para crimes virtuais ou para quem fornece tais equipamentos. Isso sem falar que a fiscalização do uso indevido de informações é praticamente impossível.

A própria adequação à legislação pode ser vista com um dos pontos vulneráveis da LGPD. A completa adaptação exigida, que passa pela alteração de procedimentos em diversas áreas como RH, marketing, tecnologia e finanças, incluindo a implementação de novos sistemas para obter e tratar os dados, representa um custo bastante elevado para as empresas e tem sido alvo de críticas de muitos empresários. De acordo com reportagem publicada no jornal Valor Econômico, esse custo pode variar de R$ 50 mil a R$ 800 mil. Em um momento de desaquecimento da economia e cortes de custos, não é de se espantar que 40% das empresas ainda não estejam em conformidade com a lei.

 

Processo em andamento

O certo é que a construção de uma legislação eficiente não se faz da noite para o dia. Não começou agora, nem está por terminar. Ao contrário, teve início com a Constituição de 1988, que tratou como invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas. Foi reforçada em 1993 com o Código de Defesa do Consumidor, com uma seção específica sobre cadastros e bancos de dados, e em 2013 pelo Marco Civil da Internet. Até desaguar na LGPD e, mais recentemente, no Governo Digital.

Muito ainda precisa ser debatido e ajustado, procedimento comum a qualquer legislação. Neste sentido, a Autoridade Nacional de Proteção de Dados (ANPD) lançou, no final de agosto deste ano, uma Consulta Pública sobre a minuta de uma Resolução que regulamenta a aplicação da LGPD a empresas de pequeno porte, microempresas e startups. O objetivo é simplificar a adequação deste grupo à LGPD. Entre as flexibilizações, a minuta propõe que o grupo fique dispensado da obrigação de manutenção de registros das operações de tratamento de dados pessoais.

Diante dos enormes avanços trazidos pela LGPD, vale a pena refletir se realmente caberia uma ação de simplificação e dispensa de procedimentos de um grupo que, de acordo com o SEBRAE, representa 99% do total de estabelecimentos no país. Uma vez que a Lei chega para garantir direitos aos consumidores, uma revisão neste sentido mais representaria um retrocesso no atual cenário. No entanto, a adoção de consultas públicas é mais que louvável, uma vez que a melhor condução desse processo passa inevitavelmente pela colaboração de todos os agentes interessados.

BigDataCorp