Notícias e Artigos

12/06/2019

As constantes mudanças que a tecnologia nos proporciona não são apenas de ordem técnica, como aperfeiçoamento de softwares ou de equipamentos. Elas também afetam, e diretamente, os mais diferentes aspectos da vida e o funcionamento da sociedade. O que ocorreu com os modelos de negócio das empresas que atuam na internet é um exemplo.

Ao longo da evolução da web, essas empresas buscaram muitas formas de tentar cobrar por seus serviços. Porém, a intensa competição de um novo mundo completamente sem fronteiras gerou o desafio de criar modelos de negócio mais agressivos. No decorrer do tempo, um dos modelos que se consolidou foi o baseado em publicidade direcionada a cada segmento de público. Para obter êxito na estratégia, as empresas iniciaram a coleta massiva de dados de seus clientes para determinar exatamente o perfil de compras, interesses e prioridades de cada um. Ao oferecer serviços de maneira gratuita, as empresas buscaram uma remuneração de forma indireta, principalmente com publicidade e venda direcionada viabilizadas pelo acesso privilegiado a informações pessoais dos seus usuários. Por isso costumamos dizer que toda a vez que um serviço é "gratuito", na verdade, a mercadoria é o perfil de cada cliente. Ou seja, no mercado de produtos "gratuitos" na internet, a verdadeira mercadoria é você.

"Toda   a   vez   que   um   serviço   é   ' gratuito ' ,   na   verdade ,   a   mercadoria   é   o   perfil   de   cada   cliente.   Ou  seja ,   no   mercado   de   produtos   ' gratuitos '    na   internet,   a   verdadeira   mercadoria   é   você"

Esse novo formato de negócio espalhou-se nas mais diferentes áreas de atuação, primeiramente com serviços de busca e logo se estendendo por praticamente todos os campos em que os usuários expõem dados pessoais. Comunicações e atividades que antes eram tidas como privadas passaram a ser monitoradas e tratadas para permitir melhores vendas.

Sem armadilhas para o cidadão

Tarefas simples e antes consideradas privativas, como enviar um e-mail ou trocar mensagens pessoais por aplicativos, começaram a ser analisadas com o objetivo de oferecer anúncios de maior interesse para os usuários. Esse tipo de anúncios, aparentemente intrusivo, foi facilitado pela tendência dos usuários de ignorarem os termos de serviço, complexos e longos, ao realizar assinaturas de adesão.

Não demorou para que essa prática fosse objeto de abusos, com termos de serviço que não estabeleciam de forma clara como os dados seriam utilizados, permitindo inclusive o compartilhamento sem critérios de informações com terceiros e a transferência de propriedade das informações produzidas e publicadas para o fornecedor do serviço.

Os governos dos mais diferentes países então se questionaram sobre a possibilidade de criação de uma legislação para proteger os cidadãos, já que na maior parte das vezes os serviços eram oferecidos por empresas sediadas em outros países e, portanto, submetidas a outras legislações.

A grande inovação nessa área de regulação foi realizada pela Comunidade Europeia, que aprovou em abril de 2016 o Regulamento Geral de Proteção de Dados¹ (RGPD). O documento estabelece regras para proteção da privacidade dos cidadãos europeus e cria obrigações para todas as empresas com atuação na Comunidade, independentemente de sua sede ou local de operação. O instrumento que transcendeu as fronteiras da União Europeia foi tão inovador que pode ser considerada a primeira lei mundial ou, como escutei de um especialista da área, já no campo da ficção científica, a primeira lei de uma futura confederação interplanetária (confederação da qual os terráqueos fazem parte em Star Trek).²

A iniciativa logo inspirou a construção de outras legislações semelhantes por todo o mundo, como a California Consumer Privacy Act (2016)³, primeira lei de um Estado sobre o tema nos EUA, a Ley General de Protección de Datos Personales⁴ (2017), no México, e a Lei Geral de Proteção de Dados Pessoais⁵ - LGPDP (2018), no Brasil.

A LGPDP busca proteger os consumidores de excessos e abusos no uso de dados e determina que esses dados só poderão ser objeto de tratamento, pelas empresas, em caso de explícito consentimento do usuário, ressalvadas algumas situações e dentro de princípios estabelecidos legalmente. A lei define ainda que esse uso tem que: atender a uma finalidade específica que não pode ser alterada; empregar a menor quantidade de dados possível para a prestação do serviço; ser feito com transparência e com plena segurança (inclusive no armazenamento dos dados). Ou seja, a lei obriga as empresas a protegerem os dados dos seus clientes.

A LGPDP lista uma série de exceções que não são objeto dessa regulação, como o uso de dados em atividades não econômicas ou para fins jornalísticos, artísticos, acadêmicos, de segurança nacional ou de investigação. Em relação ao uso por parte de governos, os dados pessoais podem ser tratados sempre que a finalidade seja a execução de políticas públicas previstas em lei.

Contudo, a lei brasileira possui algumas lacunas centrais ainda não resolvidas. Ela prevê a criação de um novo órgão, a Autoridade Nacional de Proteção de Dados Pessoais e de um conselho consultivo, o Conselho Nacional de Proteção de Dados Pessoais, responsáveis por detalhar e regulamentar vários pontos da LGPDP. Esses órgãos ainda não estão de fato criados, o que deixa o alcance e a efetividade da lei comprometidos. A escolha dos legisladores, diferente do ocorrido na lei mexicana, foi deixar vários detalhes, sobretudo aspectos de segurança, em aberto para regulação posterior.

No México, a lei foi mais descritiva nas ações que as empresas devem fazer para proteção dos dados de seus clientes. Cada empresa deve ter políticas de gestão e tratamento de dados pessoais, e ter equipe responsável pela guarda e armazenamento dos dados. A lei mexicana também determina que é necessário realizar análises de segurança e posterior construção de um plano de tratamento dos riscos encontrados.

Comparando as diferentes leis, temos em comum que todas elas preveem uma necessidade: as empresas devem definir uma pessoa responsável pela segurança e privacidade dos dados (Data Protection Officer). Em termos de diferenças, apenas as legislações brasileira e europeia determinam a criação de órgãos auxiliares; e somente a brasileira possui exceção para compartilhamento de informações em caso de proteção ao crédito.

Plena transparência

A nova lei obrigará uma imediata transformação na relação das empresas e dos órgãos públicos com os dados pessoais. Todos eles deverão informar claramente aos usuários suas ações, muitas vezes alterando seus termos de serviço; deverão refazer as políticas de segurança e criar mecanismos para receber, dos clientes, pedidos de informação e de remoção de dados, e para informar a eles qualquer incidente de segurança ocorrido.

Ao mesmo tempo que reforça a legitimidade da utilização de dados pessoais, quando houver absoluta necessidade, a legislação exige plena transparência na relação, obrigando que sejam informados quais dados serão armazenados e processados, e com qual objetivo, e que sejam protegidos de acessos não autorizados – e, se isso acontecer, que se responsabilizem as partes. Em caso de não observância, estão previstas multas de até 2% do faturamento bruto, sendo o máximo de R$ 50 milhões por infração.

Em termos de prazo, a lei publicada em agosto de 2018 estabelece o limite até agosto de 2020 para que as empresas se adaptem. A administração pública está incluída explicitamente na LGPDP, criando uma exceção para os usos de dados já previstos em lei, tornando desnecessária a autorização prévia para posse e tratamento desses dados. A LGPDP estabelece ainda que empresas públicas que atuem em regime de concorrência, como o Serpro, devem ter o mesmo tratamento dispensado a empresas privadas - exceto nos casos que estão operacionalizando políticas públicas instituídas em lei, situação em que são similares a órgãos da administração direta.

Mesmo que a Lei Geral de Proteção de Dados Pessoais ainda não esteja em vigor, é importante observar que o poder público e as empresas no Brasil que se relacionam com países que têm leis similares já devem proteger os dados dos cidadãos desses países. Isso também torna urgente a adaptação às novas legislações e aos novos tempos: tempos esses em que as democracias começaram a agir para limitar o perigo que era, e é, o uso indiscriminado de dados de seus cidadãos.

Referências
1 https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

2 Essa comparação foi emprestada do Coordenador do grupo de Computação em Nuvem da ABNT e Security Assurance Lead of Public Sector da Amazon, Fernando Gebara.

3 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180AB375

4 http://www.dof.gob.mx/nota_detalle.php?codigo=5469949&fecha=26/01/2017

5 http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm