Por Pollyana de Carvalho Varrichio*
(Imagem ilustrativa)
Já se tornou um jargão ouvirmos que os dados são o novo petróleo. Entretanto, o desafio atual é enfrentar os esforços para sistematização, análise e, principalmente, a regulação desse enorme volume de dados existentes sobre cidadãos. A indústria 4.0 e seu conjunto de tecnologias disruptivas (como internet das coisas, big data e analytics, segurança cibernética, realidade aumentada e manufatura aditiva) impressionam pelo seu caráter pervasivo, ao possibilitarem a integração do mundo físico e do digital, aliada à troca de informações em tempo real. Imaginar as possibilidades e impactos deste conjunto de tecnologias — na produção e na sociedade — é, de fato, empolgante e nos faz relembrar da série de desenho animado Os Jetsons, exibida nos anos 1980.
Entretanto, nem tudo são flores, como previa o enredo da família de Orbit City. A segurança cibernética e uso indevido de dados impõem crescentemente desafios em regulação governamental, em campos multidisciplinares do conhecimento, com elementos de economia, direito e TICs (Tecnologia de Informação e Comunicação). No bojo desta preocupação foi aprovada no Brasil — a Lei Geral de Proteção de Dados Pessoais (LGPD), em 14 de agosto de 2018 (Lei no. 13.709/2018). A LGPD entrará em vigor 24 meses após sua publicação, ou seja, em agosto de 2020 efetivamente, com várias mudanças para as instituições públicas e privadas.
Vale destacar que a discussão sobre a LGPD avançou a partir da aprovação do Marco Civil da Internet (Lei 12.965 de 23 de abril de 2014), onde constam os princípios de proteção de privacidade e de dados pessoais, violáveis somente em investigações criminais. Mas a inspiração para a LGPD brasileira foi a General Data Protection Regulation (GDPR), aprovada na Europa, que entrou em vigor em 2018 para garantir a privacidade e o respeito à segurança dos dados. Portanto, a futura lei também tem como preocupação fundamental determinar um conjunto de regras jurídicas para a coleta, armazenagem e processamento de dados pessoais para pessoas físicas, empresas e organizações públicas. Sem dúvida, isso impõe uma grande transformação no sistema de proteção de dados brasileiro.
Os 65 artigos da LGPD abordam, em seus nove capítulos, respectivamente, as disposições e os conceitos fundamentais, o tratamento de dados pessoais, os direitos do titular, o tratamento de dados pessoais pelo poder público, a transferência internacional de dados, os agentes de tratamento de dados pessoais, a segurança e as boas práticas, a fiscalização e, por fim, a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e Privacidade. A Lei 13.853/2019 alterou a versão aprovada inicialmente da LGPD, ao criar a Autoridade Nacional de Proteção de Dados. Além disso, a LGPD inclusive, alterou alguns elementos do próprio Marco Civil da Internet.
Elementos centrais
Primeiramente, é fundamental compreender o que são os dados pessoais, por isso, a legislação reconhece como dado pessoal qualquer informação relacionada a pessoa natural ou identificável. O dado pessoal sensível apresenta dados sobre origem racial ou ética, religiosa, opinião política, saúde ou vida sexual, dentre outros. Já o dado anonimizado é aquele que não permite a identificação do titular (artigo 5º). Assim, o tratamento de dados pessoais deve seguir os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não-discriminação, responsabilização e prestação de contas (artigo 6º). A aplicação da LGPD segue o princípio da territorialidade, mas aplica-se também em extraterritorialidade, ou seja, se aplica à coleta de dados no território brasileiro e em “qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados” (artigo 3º.).
O consentimento do usuário é um elemento fundamental no exercício e funcionamento da LGPD. Sendo que o consentimento é definido como “manifestação livre, informada e inequívoca pelo qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinada” (artigo 5º.). O consentimento geralmente consta nos conhecidos “clique aqui para finalizar seu cadastro” ou “você concorda com os termos de uso e política de privacidade”. Portanto, agora é um direito garantido ao titular dos dados pessoais a retirada ou revogação do consentimento, bem como a correção ou a alteração de seus dados e até a portabilidade e eliminação de seus dados pessoais (artigos 17 e 18).
A LGPD define a obrigatoriedade de que toda atividade de tratamento de dados deve seguir o princípio da finalidade (artigo 6º), o que significa, de forma prática, a proibição do uso indiscriminado e compartilhamento com outras organizações, sem autorização dos titulares de dados pessoais, como nome completo, RG e CPF.
Diante disso, surgem novos atores neste processo de atribuição de competências e governança nas instituições, como os agentes de tratamento de dados — os controladores (tomam decisões sobre o tratamento de dados) e os operadores (tratam os dados). Isso acarretou na recente criação da função de diretor de dados (Chief Data Office ou Data Protection Officer), agentes que devem possuir medidas de segurança, técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados, desde a concepção do produto até a sua execução.
Diante desse conjunto de mudanças, considera-se que o impacto da LGPD será enorme, já que impõe uma mudança de comportamento das organizações, independentemente se a sua atuação ocorre no mundo virtual ou físico, on-line ou off-line, já que abrange instituições privadas e públicas. Logo, afetará todas as empresas, de diferentes setores e portes, que tratam de dados pessoais. Quaisquer informações sobre tratamento de dados pessoais devem ser claras e objetivas para demonstrar efetivamente esforços em implementação e fiscalização da LGPD, inclusive com normas claras para resposta a incidentes e gestão de riscos.
De fato, há uma mudança no paradigma da proteção de dados, para empoderamento do cidadão e exercício dos seus direitos fundamentais relacionados à privacidade. Se antes acreditava-se na autorregulação pautada em princípios éticos, tidos como consensuais, de fato, observou-se que os mercados nem sempre se organizam como deveriam. A regulação governamental, por meio de normas e políticas públicas é fundamental para superar as assimetrias de mercado e falhas de informação entre os agentes. Neste contexto, a governança é um elemento com importância crescente nesta integração entre mundo virtual e real intrínseco da sociedade moderna. Por outro lado, com a LGPD garante-se os direitos fundamentais dos cidadãos — como a transparência e respeito à privacidade.
Acredito que a LGPD representa um avanço civilizatório importante. Há desafios — principalmente operacionais — importantes. Mas também promoverá oportunidades interessantes, abrindo caminho para o surgimento de novos modelos de negócios capazes de respeitar tais preceitos de segurança de dados e privacidade dos dados pessoais no país.
*Pesquisadora e docente em Inovação e Competitividade na Escola Paulista de Política, Economia e Negócios (Eppen/Unifesp) - Campus Osasco
*As opiniões expressas neste artigo não representam a posição oficial da Universidade Federal de São Paulo (Unifesp)