Proteção de dados de consumidores no Brasil é desafio para empresas
Especialista aconselha que consumidor cobre transparência

 

Agência Brasil

Nos últimos meses, empresas de diversos setores foram questionadas por autoridades e organizações da sociedade civil a respeito da possibilidade de vazamento da base de dados dos consumidores. Só o Procon de São Paulo, desde novembro do ano passado, enviou questionamentos a partir de notícias de vazamentos de informações de clientes a uma concessionária de energia, quatro operadoras de telefonia e um hospital.

A Ordem dos Advogados do Brasil também solicitou em janeiro que a Autoridade Nacional de Proteção de Dados (ANPD) investigasse a possibilidade de os dados de 220 milhões de brasileiros terem sido vazados.

A ANPD é um órgão previsto na Lei Geral de Proteção de Dados (LGPD), responsável por fiscalizar o tratamento de dados no país. Segundo a autoridade, “os vazamentos de dados sempre aconteceram”, mas agora o tema está em evidência com a implementação da ANPD, que teve a primeira diretoria aprovada pelo Senado em outubro do ano passado.

O aumento da coleta e do armazenamento de dados em larga escala é uma tendência das últimas décadas, segundo a ANPD, por isso a necessidade de uma legislação como a LGPD.

Sócio do escritório de advocacia Licks Attorneys, especializado em disputas que envolvem tecnologia, Douglas Leite também acha que há mais atenção sobre o tema da proteção de dados devido ao fato de a LGPD ter entrado em vigor recentemente. No entanto, o especialista também acredita que as notícias de grandes vazamentos sejam reflexos dos desafios que as empresas que lidam com quantidades maciças de informações de usuários e clientes têm que enfrentar.

“Algumas empresas que têm os seus modelos de negócio muito baseados no uso de dados pessoais, especialmente em grande volume, estão tendo dificuldades sim de mudar as suas práticas, porque isso não é algo que acontece da noite para o dia”, ressaltou.

Alerta

Para o coordenador do programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Diogo Moyses, a situação pede atenção da sociedade e do Poder Público. “Esse conjunto de vazamentos dá um alerta máximo em relação à segurança dos dados pessoais dos brasileiros”, ressalta.

Na avaliação de Moyses, é necessário que haja respostas efetivas e imediatas. “Cobrar as empresas e os grandes tratadores de dados que avancem rapidamente. Para que não ocorram incidentes de segurança e para que esses dados não sejam copiados por terceiros e colocados à venda”, diz.

A ação de diversos órgãos com enfoques diferentes, como o Procon e o Ministério Público, além da própria ANPD, é bem-vinda na opinião do coordenador do Idec.  “Esse próprio ecossistema de proteção de dados”, explica. Porém, ainda são necessárias, segundo ele, medidas como um aviso aos consumidores que podem ter sido alvo de vazamentos e a identificação da origem dessas ações. “O Poder Público precisa dar respostas efetivas. É preciso dar resposta à sociedade sobre a origem do vazamento, isso ainda não foi feito em nenhum dos casos”.

Em resposta à Agência Brasil, a ANPD disse que tem trabalhado para reunir as informações disponíveis sobre as notícias de vazamentos. Porém, a autoridade lembra que essas situações, muitas vezes, envolvem crimes, por isso os casos são apurados com o apoio da Polícia Federal, do Comitê Gestor da Internet no Brasil e do Gabinete de Segurança Institucional da Presidência. “Após a conclusão das investigações que competem às autoridades policiais e investigativas e das apurações administrativas que competem à ANPD, essa atuará com as medidas cabíveis, previstas na Lei Geral de Proteção de Dados”, ressalta a entidade.

Durante esse período inicial da vigência da LGPD, Douglas Leite acredita que é mais importante conscientizar os empresários do que aplicar punições. “Neste primeiro momento é mais educar, orientar. Se você tem algum episódio que realmente causou danos, uma conduta ruim para os titulares de dados, aí vale o Poder Público avaliar a conveniência ou não de aplicar uma sanção”, defende.

Como se proteger

Ele lembra também que a LGPD visa principalmente a proteger os cidadãos. Por isso, em caso de notícias de vazamento, o advogado aconselha que as pessoas cobrem transparência das empresas, conforme determina a lei. “Buscando contato com essas empresas e perguntando: Que dados meus vocês têm? Como você trata esses dados? Quais são as suas políticas em relação aos meus dados?”, diz.

Moyses alerta que o Brasil já é um país com nível elevado de fraudes de diversos tipos, e o acesso a dados pessoais pode facilitar golpes. “É importante que as autoridades se mobilizem para reduzir esse número astronômico de golpes, e os consumidores precisam ficar atentos”, ressalta.

Senhas fortes e autenticação em dois fatores são cuidados que o coordenador do Idec considera “básicos” para que os consumidores se protejam no ambiente digital. Além disso, ele diz que é preciso ter cuidado para promessas de recompensas fáceis e manter o hábito de acompanhar as movimentações financeiras. Moyses defende ainda ações em nível estrutural. “Elevar o nível da cultura de proteção de dados no Brasil, isso tem a ver sobretudo com informação e educação”.

Lei de proteção de dados vai mudar cotidiano de cidadãos e empresas

A nova lei geral de proteção de dados pessoais, aprovada terça-feira (10) pelo Senado, colocou o Brasil ao lado de dezenas de países que já têm legislação sobre o tema, como as nações europeias e boa parte da América do Sul. Ao estabelecer direitos e responsabilidades, a lei vai trazer também impactos no cotidiano dos cidadãos, de empresas e dos órgãos públicos. O texto ainda precisa ser sancionado pelo presidente Michel Temer, e as novas regras só vão entrar em vigor daqui a um ano e meio.

O texto define dados pessoais como informações que podem identificar alguém (não apenas um nome, mas uma idade que, cruzada com um endereço, possa revelar que se trata de determinada pessoa). Além disso, disciplina a forma como as informações são coletadas e tratadas em qualquer situação, especialmente em meios digitais. Estão cobertas situações como cadastros ou textos e fotos publicados em redes sociais.

A nova regra também cria o conceito de dados sensíveis, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Esse tipo de característica não poderá ser considerado, por exemplo, para direcionamento de anúncios publicitários sem que haja um consentimento específico e destacado do titular. Já registros médicos não poderão ser comercializados.

Se sancionada, a lei valerá para atividades e pessoas em território nacional, mas também para coletas feitas fora, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Um site que vende pacotes de viagens com conteúdo em português e ofertas para brasileiros teria as mesmas responsabilidades de uma página sediada no país.

Finalidade específica e consentimento

O uso de dados não poderá ser indiscriminado, mas para uma finalidade determinada. Um prédio que solicite nome dos pais de alguém para acesso ao local, por exemplo, pode ser questionado. Os “testes de personalidade”, como o aplicado no Facebook que originou o vazamento de dados de 87 milhões de pessoas, usados pela empesa Cambridge Analytica, inclusive para influenciar eleições, são outro exemplo.

“As empresas vão ter de justificar o tratamento de dadosm o que pode fazer com que, em alguns casos, eles não precisem ser usados. Isso tende a racionalizar a coleta e o uso de dados, seja porque a lei pode proibir ou porque ele não vai valer a pena por gerar risco pouco razoável”, comenta Danilo Doneda, especialista em proteção de dados e consultor que participou ativamente do processo de discussão da lei.

Além de uma finalidade específica, a coleta só pode ocorrer caso preencha requisitos específicos, especialmente mediante autorização do titular (o chamado consentimento). Ou seja, o pedido de permissão (por exemplo, ao baixar aplicativos) passa a ser a regra, não um favor das empresas. “Por um lado, caminhamos, portanto, no sentido de minimizar a produção de dados que podem ser considerados excessivos para a prestação dos serviços. O que, diante dos inúmeros incidentes de vazamento de dados que vemos a cada semana, é também uma forma de segurança”, avalia Joana Varon, da organização de direitos digitais Coding Rights.

Se o titular consentir ao aceitar as “regras” em redes sociais, os chamados “termos e condições” usados por plataformas como Facebook, Twitter e Google, as empresas passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que não violem a lei. Contudo, a lei lista uma série de responsabilidades. Entre elas estão a garantia da segurança dos dados e a elaboração de relatórios de impacto à proteção de dados, se solicitados pela autoridade regulatória.

A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de “legítimo interesse” desses. Estabelece, no entanto, que esse reúso só pode ocorrer em uma situação concreta, em serviços que beneficiem o titular  e com dados “estritamente necessários”, respeitando os direitos dele.

“Não é possível prever todas as situações, especialmente quando se trata de tecnologia. Por isso, é fundamental a previsão de uma norma fluida como o legítimo interesse, capaz de se adaptar às evoluções tecnológicas. Esse conceito indeterminado é justamente o que impedirá que a lei se torne obsoleta diante do usos novos dos dados, inimagináveis hoje”, observa Fabiano Barreto, especialista em política e indústria da Confederação Nacional da Indústria (CNI).

Direitos

De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento.

O titular terá ainda direito à portabilidade de suas informações, assim como ocorre com número de telefone. A autoridade regulatória, se criada, deve definir no futuro como isso será feito. Mas a possibilidade de levar os dados consigo é importante para que uma pessoa possa trocar de aplicativo sem perder seus contatos, fotos ou publicações.

Outra garantia importante é a relativa à segurança das informações. Os casos de vazamento têm se multiplicado pelo mundo, atingindo inclusive grandes empresas, como a Uber. Além de assegurar a integridade dos dados e sua proteção contra vazamentos e roubos, as empresas são obrigadas a informar ao titular se houve um incidente de segurança. No caso envolvendo o Facebook e a empresa Cambridge Analytica, por exemplo, a empresa norte-americana teve conhecimento há anos do repasse maciço de informações, mas foi comunicar aos afetados somente meses atrás.

A lei entra em uma seara importante, na decisão por processos automatizados (como as notas de crédito). “Há também o direito à revisão de decisões tomadas com base no tratamento automatizado de dados pessoais que definam o perfil pessoal, de consumo ou de crédito. A Autoridade Nacional de Proteção de Dados também terá o papel de realizar auditorias para verificação de possíveis aspectos discriminatórios nesse tipo de tratamento”, destaca Rafael Zanatta, do Instituto de Defesa do Consumidor (Idec).

O texto listou garantias específicas para crianças e pessoas com idade até 12 anos. A coleta fica sujeita a uma série de restrições, deve ser informada de maneira acessível para esse público e fica condicionada à autorização de pelo menos um dos pais. “Para as famílias, isso significa ter, finalmente, uma forma de garantir que não estão usando dados de seus filhos de forma não autorizada. Isso é fundamental. Afinal, as crianças estão em um processo peculiar de desenvolvimento e, por isso, são mais vulneráveis”, afirma Pedro Hartung, do Instituto Alana, organização voltada à defesa dos direitos de crianças e adolescentes.

Negócios

Ao estabelecer garantias e responsabilidades às empresas, a lei vai ter impacto importante nos negócios realizados no Brasil e com parceiras estrangeiras. A primeira mudança é que, com sua aprovação, o país passa a atender a exigências de outros países e regiões, como a União Europeia. Sem isso, as empresas nativas poderiam ter dificuldades para fechar negócios.

Na avaliação do coordenador da área de direito digital da firma Kasznar Leonardos Advogados, Pedro Vilhena, as empresas deverão passar por um processo de adaptação. Elas tendem a racionalizar a coleta, uma vez que passarão a estar suscetíveis a sanções por parte da autoridade regulatória. De acordo com o texto, as penalidades poderão chegar a R$ 50 milhões.

“O valor de R$ 50 milhões é considerável para algumas, mas, para outras, é irrisório. A principal sanção é a proibição de tratamento de dados. Algumas empresas podem ter que deixar de operar porque não cumpriram obrigações da lei”, destaca Vilhena.

Autoridade regulatória

O detalhamento de boa parte dessas regras, direitos e responsabilidades depende da autoridade regulatória prevista no texto. Ela poderá definir parâmetros (como as exigências mínimas de segurança), realizar auditorias, solicitar relatórios de impacto à proteção de dados e será a responsável por fiscalizar e definir possíveis punições.

Contudo, sua criação vem sendo alvo de polêmica. Segundo o professor de direito da Universidade Mackenzie e fundador da organizaçao Data Privacy Brasil Renato Leite, há questionamentos no Executivo tanto de caráter jurídico quanto político e orçamentário. Mas a não criação da autoridade, alerta o especialista, pode afetar duramente a efetividade da lei. “Termos a regra sem uma autoridade que faça a sua aplicação é abrir espaço para uma grande chance de insucesso. É o risco de ser uma lei que na prática ´não pegue´”.