Efeitos da compliance na proteção de dados pessoais
Por Maria Fernanda Hosken Perongini (*)
No aguardo da sanção presidencial, o marco legal sobre o tratamento de dados pessoais, inclusive nos meios digitais, estabelece, de fato, a aplicação de detalhada política de compliance que visa proteger o direito à privacidade. Um dos efeitos da medida, antes mesmo da sua entrada em vigor, é colocar o Brasil no mapa dos mais de 100 países que contam com uma legislação específica para proteção da privacidade.
O tratamento de dados pessoais tem sido, em regra geral, negligenciado. No Brasil permaneciam frouxas as normas referentes a operações realizadas com dados pessoais, como as que se referem ao tratamento (coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, arquivamento, armazenamento, eliminação, etc), à possibilidade de acessar os dados ou corrigi-los, à portabilidade dos dados a outro fornecedor e ao direito ao esquecimento.
O novo texto legal estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil – que podem chegar a multa de 50 milhões de reais por incidente -, as quais não entram na seara criminal, a ser apurada conforme a aplicação dada à informação. A nova legislação abrange quaisquer informações relacionadas à pessoa identificada ou identificável, obtidas em qualquer tipo de suporte (seja papel, eletrônico, informático, som, imagem, etc.) e o tratamento de tais dados (incluindo a coleta, recepção, utilização, acesso, reprodução, armazenamento, etc.) deverá se dar sob bases legais que estabelecem, dentre outras hipóteses, o consentimento livre, informado e inequívoco do titular dos dados.
As hipóteses para tratamento dos dados pessoais sem o consentimento do titular se resumem a apenas nove casos, incluindo o cumprimento de obrigação legal ou regulatória, a proteção da vida ou da incolumidade física do titular ou de terceiros, a tutela da saúde e a proteção do crédito, dentre outros.
Agora, muito importante, a utilização de dados pessoais de menores de idade exigirá, via de regra, consentimento específico e em destaque por parte dos responsáveis legais e será regido por procedimentos especiais quanto à forma de tratamento e fornecimento de informações.
A legislação também define o conceito de dados pessoais sensíveis, que recebem tratamento diferenciado, como aqueles passíveis de maior potencial discriminatório em relação ao seu titular, quais sejam, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biométrica de uma pessoa física. Assim como o tratamento de dados pessoais de crianças e adolescentes, os dados sensíveis são objeto de tratamento diferenciado.
Infrações às normas ficam sujeitas a sanções administrativas aplicáveis pela autoridade nacional, que podem ir desde advertência à imposição de multa de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
A norma deverá entrar em vigor após 18 meses, a contar da publicação. De forma geral, a LGPD representa o fim de uma desvantagem competitiva do Brasil ditada pela ausência de um marco legal, sólido e específico, que regulasse a proteção de dados pessoais, sobretudo nos meios digitais. Apesar das incertezas, sobretudo quanto à forma de fiscalização, a aprovação da medida é um grande passo e, mais do que uma mera opção legislativa, trata-se de uma necessidade inafastável.
O marco legal tem o mérito de estabelecer de forma clara o que compreende o consentimento por parte do cidadão e como este pode, a qualquer tempo, revogar a autorização para o uso de seus dados. Trata-se de um instrumento com potencial para dirimir inúmeras dúvidas, resolver e prevenir conflitos. Hoje os dados pessoais, além de um direito fundamental dos cidadãos, são considerados um insumo econômico valioso em todos os setores da sociedade e fundamentais para implementação de políticas públicas. Ao dispor de uma lei específica para regular a coleta, tratamento e transferência de tais dados, com base no consentimento do titular, o Brasil pode passar a aproveitar investimentos estrangeiros antes descartados pela inadequação do ordenamento jurídico, fomentar (e valorizar) o ecossistema de dados e fiscalizar vazamentos e casos de uso ou acesso indevido, reduzindo eventuais riscos e transtornos para o titular.
Embora a criação de uma Agência Nacional de Proteção de Dados ainda seja uma incógnita (diante da espera da sanção – ou veto – presidencial), é certo que um marco legal demandará das empresas um aumento significativo do nível de compliance em matéria de privacidade e proteção de dados pessoais. O maior desafio, no entanto, é a mudança na mentalidade corporativa, isto é, uma nova abordagem que incorpore na espinha dorsal da sociedade a importância de adotar uma maior abertura e transparência na coleta, uso e tratamento de dados pessoais.
Trata-se de enxergar além das multas e demais sanções e entender que a conformidade a tais regras extrapola as perdas financeiras para alcançar outros valores, como reputação e confiança do consumidor. Não é apenas uma questão de segurança de dados, de leis ou de progresso tecnológico, mas uma questão empresarial que deve ser tratada de forma holística e comprometida, inserida nas estratégias de cada negócio.
(*) Maria Fernanda Hosken Perongini é sócia de Franco Advogados em Rio de Janeiro.
Fonte: O Estado de S. Paulo, em 13.08.2018.