Texto por Henrique Fabretti (advogado especialista em proteção de dados e serviços para DPO no Opice Blum Bruno Abrusio Vainzof Advogados); Caio Lima (sócio do escritório Opice Blum Bruno Abrusio Vainzof Advogados, especialista em Proteção de Dados e Direito Digital; e Tiago Furtado (advogado de proteção de dados do Opice Blum Bruno Abrusio Vainzof Advogados).
A Lei Geral de Proteção de Dados, desde sua publicação em 2018, vem sendo objeto de intensos debates e discussões, não apenas por estudiosos do assunto, mas pela sociedade civil de modo geral. Várias perguntas são feitas nesse contexto, tais como: do que se trata essa lei? A lei vai pegar? Existe privacidade no contexto atual de digitalização da economia e tecnologia com grande poder de processamento de dados?
A construção das respostas a essas e outras perguntas, sem o necessário apego técnico, ou mesmo conhecimento sobre o assunto, foi responsável pela criação de vários mitos relacionados à LGPD. Por isso, escolhemos os 5 mitos mais recorrentes, com o objetivo de discuti-los e juntos construirmos percepção mais adequada da LGPD.
1) A LGPD veio com o propósito de impedir/dificultar o uso de dados pessoais.
Para afastar essa ideia, a própria LGPD (art. 2º, inciso VI) expressamente diz que um dos motivos da sua existência é, justamente, estimular o desenvolvimento econômico, tecnológico e incentivar a inovação.
E como a LGPD pretende trazer esse estímulo? Bem, primeiramente, a LGPD traz a regra do jogo de como se tratar dados pessoais, logo as empresas e organizações terão mais segurança do que poderão, ou não, fazer. Depois, essas regras trazem algumas simplificações, como, número maior de hipóteses em que é possível tratar dado pessoal, além do consentimento ou da necessidade de cumprir a lei.
É claro que a LGPD traz regras para proteger o titular dos dados dos abusos em relação ao que é feito com suas informações. Contudo, ao obedecer a essas regras as empresas diminuem a possibilidade de judicialização das questões relacionadas a privacidade.
Por fim, vale destacar estudo publicado pela Cisco em janeiro do ano de 2020, no qual é possível observar a informação de que mais de 70% das mais de 2 mil empresas pesquisadas informaram que os investimentos em privacidade permitiram maior agilidade e inovação.
2) A LGPD tem foco em segurança da informação.
Muitas pessoas caíram nesse conto do vigário, seja pela referência à dados, seja porque os profissionais de segurança da informação tinham uma proximidade maior com o tema. O que importa de fato, é que a LGPD vai muito além de segurança da informação.
Ora, essencialmente, a segurança da informação protege a informação tendo como premissa a importância dela para o negócio. Assim, tem como objetivo garantir a confidencialidade, integridade e disponibilidade da informação.
Por sua vez, a LGPD tem como escopo a proteção de dados pessoais, e não de toda e qualquer informação. E mesmo que esses dados pessoais sejam e devam ser protegidos pelas regras de segurança da informação, a abordagem da LGPD é centralizada no titular dos dados (data subject centered). Em outras palavras, a informação é protegida considerando a sua importância para o titular dos dados, e não para a organização.
Por isso o escopo da LGPD é mais abrangente e traz regras, como: i) dar transparência sobre como os dados são tratados; ii) somente devem ser tratados o mínimo de dados possível; iii) não tratar dados de modo a discriminar uma pessoa. Nesse contexto, a LGPD trouxe ainda uma série de direitos aos titulares de dados, tais como: i) ter acesso aos seus dados; ii) revogar o consentimento previamente concedido; ou iii) pedir a eliminação dos dados tratados em desacordo com a Lei. Por esse motivo, uma organização precisará de muito além das regras de segurança de informação para estar em conformidade com a LGPD.
3) A regra da LGPD é pedir o consentimento para tratar dados pessoais.
Na verdade, a LGPD trouxe dez bases legais para justificar o tratamento de dados pessoais, sendo o consentimento apenas uma delas (conforme art. 7º da LGPD). Assim, será possível tratar dados pessoais, também, para: i) cumprir lei ou regulamento; ii) executar contrato; iii) exercer direitos; iv) proteger a vida; v) prestação de serviços de saúde; vi) proteção ao crédito; vii) execução de políticas públicas; viii) estudos por órgãos de pesquisa; e x) por fim, como falamos anteriormente, com fundamento no interesse legítimo.
Mesmo os dados sensíveis poderão utilizar essas demais bases legais, com exceção da execução de contrato, do legítimo interesse e para proteção ao crédito. Por outro lado, será permitido o tratamento desses dados para fins de combate à fraude. Desse modo, o importante é identificar qual a base adequada para justificar o tratamento de dados pessoais, entendendo que o consentimento poderá ser uma delas.
4) Basta o titular de dados requerer a eliminação dos dados que a organização será obrigada a fazê-lo.
A existência de direito do titular de solicitar a eliminação de suas informações fez com que muitas organizações se preocupassem excessivamente, por acreditar que a mera solicitação do indivíduo obrigaria a companhia a atender integralmente essa demanda.
Ocorre que a realidade da LGPD é bem diferente. O primeiro ponto que precisa ser esclarecido é que a LGPD prevê o direito de requerer a eliminação de dados apenas em duas situações: i) a primeira, quando o tratamento daquele dado for justificado no consentimento; e ii) a segunda, quando os dados tratados forem excessivos (ou seja, uso de mais dados do que é efetivamente necessário) ou se a atividade de tratamento estiver desconformidade com a Lei.
Portanto, quando o tratamento for justificado no consentimento, o titular do dado não precisa motivar seu pedido e, via de regra, a organização precisará atender seu pedido. Mesmo nestes casos, a empresa organização poderá manter essas informações, desde que haja motivo, como a extrema dificuldade técnica para eliminação, nos casos de backup em fita, ou mesmo nos casos que informação seja sobremodo relevante para continuidade do negócio. A principal mensagem é: não existe direito absoluto, nem mesmo o da eliminação de dados.
Quando, o pedido de eliminação for baseado no uso excessivo de dados ou em não conformidade, o titular de dados precisará justificar seu pedido, embasando suas alegações. Não basta simplesmente requerer. Além disso, a organização poderá avaliar o pedido e entender se é ou não pertinente atendê-lo.
Lembrando que, sempre que a organização se negar a atender requisição do titular de dado pessoal, deverá estar pronta para comprovar os fatos que levaram à negativa, uma vez que o titular de dado poderá realizar reclamação diretamente à Autoridade Nacional de Proteção de Dados.
5) As empresas que descumprirem a LGPD deverão pagar multa de R$ 50 milhões.
Nesse sentido, vale dizer que o valor máximo da multa é 2% do faturamento do grupo econômico. Assim, para uma empresa pagar o montante de R$ 50 milhões, esse faturamento total deve ser no montante de R$ 2.5 bilhões. Isto é, poucos grupos econômicos vão se enquadrar nesse nível de faturamento, e, portanto, poucas empresas estarão sujeitas a multa tão elevada.
Também é necessário levar em consideração que esse é o valor máximo da multa, ou seja, para a ANPD aplicar multa neste montante, a desconformidade deve ser de extrema gravidade, provavelmente acompanhada de má-fé da organização, ausência de programa de conformidade, grande volume de titulares impactados, dados sensíveis tratados em violação a princípios da lei, entre outros fatores.
Além disso, a LGPD traz outras sanções como a advertência, o dever de publicitar a infração, bloquear o tratamento dos dados envolvidos na atividade penalizada, ou até mesmo a exclusão dos dados. O importante é que, em todo caso, a empresa ou organização terá o direito de se defender e essa penalidade será gradativa, ou seja, vai aumentando, de acordo com a reincidência e gravidade do eventual descumprimento.
Isso dito, é bom ficar atento aos mitos que são criados em relação à LGPD, principalmente aqueles que vendem a ideia de que essa lei será prejudicial ou impossível de ser cumprida.