Read, hack, repeat

Hoje é o Dia Internacional da Proteção de Dados Pessoais

Ramon de Souza

Hoje, dia 28 de janeiro, é o Dia Internacional da Proteção de Dados Pessoais. Não vamos lhe julgar caso você tenha sido pego de surpresa — afinal, mesmo sendo celebrada mundialmente, em comparação com outras datas comemorativas, ela ainda não atinge proporções tão amplas ou sequer costuma ser citada na mídia mainstream. Isso mostra também que, infelizmente, ainda vivemos em uma sociedade que não dá o devido valor para tal tema, mesmo que infrações à privacidade sejam cada vez mais comuns.

Antes de mais nada, vale aqui uma rápida retrospectiva: esta data foi instituída em 26 de abril de 2006 pelo Conselho da Europa, como uma forma de celebrar a Convenção 108 de 28 de janeiro de 1981. Tal convenção, assinada por todos os estados-membros que compunham o Conselho na época, foi uma das primeiras normas a ser escrita com o objetivo de garantir o direito fundamental à privacidade e especificar boas práticas no tratamento automatizado de dados de caráter pessoal.

Vale lembrar, porém, que o direito à privacidade é considerado fundamental desde 1948, quando a Organização das Nações Unidas (ONU) proclamou a Declaração Universal dos Direitos Humanos. No artigo 12, lê-se: “ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”. Trata-se de uma conceitualização bem abstrata de privacidade, que precisou ser expandida com o advento da Era da Informação.

Pioneirismo europeu

A Europa sempre esteve um passo à frente quando o assunto é privacidade e proteção de dados pessoais; trata-se de um reflexo do perturbador histórico de monitoramento da população por parte de governos autoritários, especialmente em países da Eurásia.

Com a chegada e a popularização das novas tecnologias, a coleta e processamento de dados se tornou algo ainda mais comum. Informações pessoais e até mesmo sensíveis se tornaram o novo petróleo, podendo ser utilizadas para estudos em inteligência de mercado e para a aplicação de estratégias competitivas. Para especialistas e visionários, já era óbvio que, mais cedo ou mais tarde, ocorreriam abusos e negligências.

Hoje em dia, já são comuns notícias que denunciam vazamentos de dados (incidentes que permitem que terceiros tenham acesso a dados sigilosos sem a devida autorização) e condutas irresponsáveis no âmbito digital (como aplicativos para celular que rastreiam a sua localização, gravam áudio e registram imagens usando a câmera do aparelho sem que você sequer perceba). Tornou-se essencial a criação de legislações mais duras para impedir atos de espionagem e punir irresponsabilidades de forma mais concreta.

Primeiro, surgiu o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation ou GDPR), criado em 2016 pela União Europeia para garantir a segurança dos dados dos cidadãos de todos os estados-membros da associação europeia. A norma entrou em vigor em 2018 e já foi responsável por aplicar multas pesadíssimas contra grandes empresas que falharam na missão de proteger informações pessoais e sensíveis dos europeus. Quer alguns exemplos?

  • Google, €50 milhões (21 de janeiro de 2019): por não apresentar transparência, controles e opções de consentimento o suficiente no processamento de dados pessoais para propósitos publicitários;
  • British Airways, £183 milhões (08 de julho de 2019): pelo adoção de medidas de segurança ineficazes que resultaram na exposição de dados de 500 mil clientes;
  • Marriot International, £99 milhões (03 de julho de 2019): por não ter realizado uma diligência prévia durante a aquisição da rede hoteleira Starwood, cujos sistemas foram comprometidos em 2014, expondo dados de 339 milhões de hóspedes;
  • 1 & 1 Ionos, €9,5 milhões (09 de dezembro de 2019): por adotar tecnologias insuficientes de proteção de dados pessoais, falhando em garantir “medidas técnicas e organizacionais suficientes” em seu call center.

Curiosidade: a multa mais branda registrada pela GDPR até o momento foi aplicada contra um policial alemão cuja identidade nunca foi revelada. Ele estaria processando dados pessoais retirados de redes oficiais de informação, de forma autônoma e para “propósitos ilegais”, sendo condenado a pagar €1,4 mil para as autoridades.

A vez do Brasil

E no Brasil? Bom, a partir de agosto de 2020 finalmente a Lei Geral de Proteção de Dados Pessoais (LGPD ou Lei nº 13.709/2018) passará a vigorar. Claramente inspirada no texto europeu, a norma regula as atividades de tratamento de dados pessoais de brasileiros, orienta sobre as melhores práticas para garantir a privacidade dos cidadãos e estabelece penalidades para quem desrespeitar seus artigos.

A legislação prevê ainda a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir a correta aplicação da LGPD.

Todas as sanções administrativas se encontram no artigo 52 do texto: as empresas infratoras podem levar desde simples advertências até multas de R$ 50 milhões ou 2% do faturamento líquido anual. A ANPD também terá o poder de proibir que alguma companhia colete e processe dados até que ela apresente provas de que esteja devidamente preparada para efetuar tal tratamento com segurança.

Embora a LGPD seja um marco na história do país, a chegada da lei ainda enfrenta resistência e é alvo de uma série de polêmicas. Até o momento, a ANPD não está devidamente estruturada; um projeto de lei em tramitação propõe que a norma só passe a vigorar em 2022; por fim, uma pesquisa encomendada recentemente pela Serasa Experian mostrou que 85% das empresas brasileiras ainda não estão prontas para garantir conformidade com a regulação.

Para entender todo esse panorama, a The Hack convidou especialistas renomados no assunto para comentar o cenário de proteção de dados do Brasil em 2020; confira o que eles têm a dizer.

Com a palavra, os especialistas

Henrique Fabretti (especialista em proteção de dados e serviços para DPO na Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados)

Com adiamento ou não da Lei Geral de Proteção de Dados, a regulação do uso de dados pessoais é um caminho sem volta, até mesmo em razão de mais de 30 normas que temos no país e que de alguma forma tocam no assunto, com destaque para o Código de Defesa do Consumidor que neste ano completa 30 anos. Além disso, um recente estudo da Gartner coloca o avanço no processamento de dados pessoais como um dos principais riscos jurídicos e de compliance para 2020 e as as top 10 economias do mundo já regulam o uso de dados pessoais.

Portanto, aguardar uma possível prorrogação da LGPD para pensar na estruturação de um programa de governança de dados pessoais pode ser um grande erro estratégico no médio e longo prazo. Em contrapartida, a adequação a LGPD deve ser conduzida de maneira inteligente, sem desperdício de recursos e sem pânico, lembrando que este não é um esforço momentâneo, mas sim um programa que exige melhoria contínua e que nunca se encerra.

Rafael Zanatta (coordenador de pesquisas na Data Privacy Brasil)

A aplicação da LGPD em agosto tende a ser inevitável em razão do alto custo jurídico de prorrogar uma lei que, na realidade, traz segurança para todos.

Sem a LGPD e sem a constituição da Autoridade Nacional de Proteção de Dados Pessoais, o Ministério Público e o Sistema Nacional de Defesa do Consumidor continuarão atuando fortemente, gerando riscos de grandes multas e pressão para Termos de Ajuste de Conduta. Isso aconteceu em 2018 e 2019. Sem a LGPD, o Código de Defesa do Consumidor e o Marco Civil tornam-se a base de sustentação de Ações Civis Públicas e Inquéritos.

O que concluímos, por meio de pesquisas no Data Privacy Brasil, é que as Autoridades de Proteção de Dados na Europa possuem uma atuação marcadamente educacional e de orientação, sendo que as multas milionárias são exceção. No segundo semestre de 2019, de milhares de denúncias, surgiram 89 casos de sanções e apenas 7 multas milionárias. Em geral, as Autoridades ajudam o setor privado por meio de consultas e recomendações. É nesse caminho que a Autoridade brasileira tende a trabalhar, caso seja criada.

Felipe Palhares (advogado especialista em direito digital e eletrônico na Palhares Advogados)

A chegada da LGPD em agosto de 2020 é essencial para que o Brasil seja um País competitivo no que tange ao tratamento de dados pessoais. Sem a efetiva entrada em vigor da Lei, não conseguiremos entrar para o rol de países membros da OCDE ou sermos considerados como uma jurisdição adequada pela União Europeia, impedindo o livre fluxo de dados pessoais entre o Brasil e a Europa. De fato, ainda existem muitas dúvidas sobre temas centrais da Lei e sobre a ANPD, órgão regulador responsável por fiscalizar a aplicação da LGPD.

Por outro lado, é melhor termos à legislação do que não termos. Sem LGPD em vigor, órgãos de defesa do consumidor continuarão atuando de forma intensa, o que tende a causar maiores prejuízos do que ganhos, na medida em que esses órgãos criarão interpretações sobre proteção de dados pessoais que caberiam à ANPD, permitindo um conflito de visões sobre proteção de dados pessoais antes mesmo da vigência da nossa principal legislação sobre o tema.


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.