Notícias e Artigos

12/07/2019

Muito se fala em proteção de dados, ainda mais na União Europeia, pioneira no assunto. Estive em Portugal ¹  para realizar um programa de dupla-titulação em mestrado, de outubro de 2018 a março de 2019, e aproveitei a oportunidade para observar como o GDPR (Regulamento Geral sobre a Proteção de Dados) era aplicado por lá. Viajei a maioria do país, vivenciei algumas situações burocráticas e conversei com colegas estrangeiros: há muitos processos manuais em instituições de ensino, empresas e órgãos públicos que realizam a coleta de diversos dados pessoais. Estou acostumada a resolver muitas demandas por celular, mas na maioria das situações que passei tudo era bem teti-a-teti.

A primeira coisa que me causou curiosidade foi perceber que, mesmo que os assuntos proteção e privacidade de dados tenham sido iniciados na UE, somente algumas pessoas já tinham ouvido falar algo a respeito, e que o RGPD era aplicado apenas por algumas empresas. Notei a exigência de consentimento em certos sites para os cookies - o que os titulares acabavam por fazê-lo, pois caso contrário não conseguiriam avançar na página -, mas não identifiquei a adoção de algumas regras do GDPR, como: a possibilidade de cancelamento desse consentimento ou a justificativa de tal coleta, com explicações sobre por qual(is) tratamento(s) os dados pessoais passariam.

Por outro lado, uma situação interessante em que vi a implementação, de fato, dos limites ao acesso a dados pessoais foi ao tentar trocar uma calça, que havia comprado na semana anterior. Procurei a lojista, questionei a possibilidade de realizar a troca sem a nota fiscal, e ela disse que nãoseria possível. Então perguntei se poderia consultar o meu cadastro ou o meu NIF (similar ao nosso CPF) para a identificação da compra e a resposta me surpreendeu: “não temos permissão para consultar os seus dados, nem que seja para trocar uma peça que acreditamos que a senhora tenha comprado conosco”.

Outro exemplo observado foi a anonimização das crianças nas redes sociais. Acostumada com os brasileiros, que publicam aonde vão, com quem estão e a vida cotidiana, percebi que meus colegas de mestrado publicavam poucas coisas e destas, quando havia criança, o rosto era ocultado com uma figura qualquer. Então questionei a minha professora e ela disse que na UE não é permitida a identificação de crianças em fotos. Isso é feito para que a criança não se sinta constrangida no futuro, com as publicações dos pais, e tenha a garantia à sua privacidade.

Adequação lá e cá

Os brasileiros estão ansiosos com a Lei Geral de Proteção de Dados Pessoais (LGPD), que está em vias de ter a sua vigência, mas acredito que muito ainda será discutido: o que pode e o que não pode; quantos dados serão considerados mínimos para uma coleta (como o exigido pelo princípio da minimização); como lidar com o caso a caso e se a agência nacional estará disponível à solução de dúvidas; com as restrições dos tratamentos dos dados, como ficarão os inúmeros postos de trabalho/startups criados nas áreas de Data Science e Business Inteligence.

Na UE, pude observar que o assunto, mesmo tendo aplicação pioneira ali, as empresas ainda estão em fase da respectiva adequação. Porém, se tem conhecimento de que muitas sofreram multas milionárias.

No Brasil, vejo que os profissionais, tanto advogados como os especialistas em TI, e as empresas estão se antecipando com a avaliação de impacto em suas atividades e buscando atualizações sobre o tema. E são atitudes como essas que são e serão diferenciais num mercado tão competitivo em serviços e produtos.

Referências
1 Em 14 de junho de 2019, o governo português aprovou a lei de execução do RGPD. Por ser um regulamento da União Europeia, o RGPD já era diretamente aplicável em Portugal desde de 25 de maio de 2018; porém, em matérias específicas, como a idade de consentimento para o tratamento de dados ou multas a serem aplicadas a instituições públicas, o país julgava necessária a criação de uma lei nacional. Durante o último ano, Portugal discutiu se ia optar pela idade de 16 anos para consentimento do tratamento (e não 13) com validação por "chave" (senha) móvel digital, e se ia criar uma exceção para entidades de governo não pagarem multas em caso de descumprimento do RGPD. No documento final aprovado em junho, o país escolheu a idade mínima para consentimento requerida pelo RGPD (13 anos), definiu que as entidades devem comprovar a idade via, de preferência, "meios de autenticação segura” e, quanto às possíveis multas aplicadas a órgãos públicos, determinou exceção às penalidades durante três anos, desde que isso seja autorizado pela Comissão Nacional de Proteção de Dados (CNPD).

Segundo especialistas de Portugal, os dados das pessoas daquele país passaram a ficar mais protegidos após o surgimento do RGPD. Porém, segundo eles, faltam quesitos ainda, um deles era o normativo interno de suporte ao RGPD (algo sanado com a recente aprovação da lei nacional), e outro é a falta de recursos humanos para que a CNPD realize fiscalizações de forma eficiente. 

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.