OS DONOS DOS DADOS

A SAN­ÇÃO PRE­SI­DEN­CI­AL DA LEI NACI­O­NAL DE PRO­TE­ÇÃO DE DADOS COLO­CA O BRA­SIL EM DE IGUAL­DA­DE COM NAÇÕES QUE APRO­VA­RAM LEGIS­LA­ÇÃO SIMI­LAR

POR IVAN VEN­TU­RA

   O últi­mo levan­ta­men­to da con­sul­to­ria Nor­ton Cyber Secu­rity exi­biu um cená­rio estar­re­ce­dor sobre a ciber­se­gu­ran­ça no Bra­sil. De acor­do com o estu­do, 62 milhões de bra­si­lei­ros foram afe­ta­dos por algum ata­que ou vírus de com­pu­ta­dor no ano pas­sa­do, o que teria resul­ta­do em um pre­juí­zo de US$ 22 bilhões. No dia 4 de maio des­te ano, o minei­ro Ban­co Inter (ex-Inter­me­dium) admi­tiu o vaza­men­to de qua­se 20 mil infor­ma­ções de cor­ren­tis­tas, o que resul­tou em uma que­da de qua­se 10% das ações. Os papéis se recu­pe­ra­ram nos dias seguin­tes, mas depois veio outra má notí­cia: o Minis­té­rio Públi­co minei­ro moveu uma ação civil públi­ca con­tra a ins­ti­tui­ção finan­cei­ra e pediu repa­ra­ção de R$ 10 milhões.

   No entan­to, a situ­a­ção pode­ria teria sido pior se as regras da Lei Geral de Pro­te­ção de Dados (LGPD) — san­ci­o­na­da no dia 14 de agos­to des­te ano — já esti­ves­sem valen­do no País. Pela lei, a empre­sa pas­sa a ser res­pon­sá­vel pela segu­ran­ça dos dados, logo pode­ria ter sido mul­ta­da em até 2% do fatu­ra­men­to anu­al, limi­ta­do a R$ 50 milhões. No entan­to, a mul­ta é ape­nas par­te de uma lei que tem poten­ci­al de trans­for­mar a soci­e­da­de de con­su­mo.

San­ci­o­na­da no dia 14 de agos­to, a nova Lei Geral de Pro­te­ção de Dado res­pon­sa­bi­li­za as empre­sas pela segu­ran­ça dos dados dos con­su­mi­do­res

San­ci­o­na­da no dia 14 de agos­to, a nova Lei Geral de Pro­te­ção de Dado res­pon­sa­bi­li­za as empre­sas pela segu­ran­ça dos dados dos con­su­mi­do­res

A LEI DE PRO­TE­ÇÃO DE DADOS

    A LGPD, como o pró­prio nome suge­re, é uma lei que regu­la o tra­ta­men­to de dados pes­so­ais (nome e ende­re­ço), sen­sí­veis (infor­ma­ções ban­cá­ri­as) e os cha­ma­dos anô­ni­mos (insu­mos para fer­ra­men­tas de Goo­gle Analy­tics, por exem­plo). A lei tam­bém cita os direi­tos, os deve­res e até as puni­ções a serem apli­ca­dos em caso de des­res­pei­to à nor­ma. Nes­se sen­ti­do, a LGPD se asse­me­lha às regras que ser­vi­ram de ins­pi­ra­ção para sua cri­a­ção: a GDPR, nova legis­la­ção euro­peia de pro­te­ção de dados.

   Em ambas as legis­la­ções, as empre­sas somen­te pode­rão tra­tar dados se tive­rem o con­sen­ti­men­to do dono da infor­ma­ção. No entan­to, exis­tem exce­ções: não será neces­sá­rio pedir auto­ri­za­ção sobre uma infor­ma­ção que é impor­tan­te para a exe­cu­ção de um con­tra­to, uma deter­mi­na­ção de um juiz ou para o cum­pri­men­to de uma lei. Jor­na­lis­tas e pes­qui­sa­do­res tam­bém não pre­ci­sam obter o con­sen­ti­men­to, des­de que o uso este­ja vin­cu­la­do ao exer­cí­cio da pro­fis­são.

   Mas como vai fun­ci­o­nar, na prá­ti­ca? Por exem­plo, o iFo­od não vai pre­ci­sar pedir auto­ri­za­ção todas as vezes que os cli­en­tes fize­rem um pedi­do pelo apli­ca­ti­vo. A star­tup vai poder trans­fe­rir os dados dos con­su­mi­do­res aos res­tau­ran­tes con­tra­ta­dos, pois isso é impres­cin­dí­vel para a pres­ta­ção do ser­vi­ço. O mes­mo acon­te­ce­rá com a Uber, que pre­ci­sa repas­sar as infor­ma­ções do pas­sa­gei­ro para o moto­ris­ta, a fim de garan­tir a exe­cu­ção do ser­vi­ço. Já os dados que não são essen­ci­ais para a pres­ta­ção do ser­vi­ço pre­ci­sam ser soli­ci­ta­dos ao con­su­mi­dor. É o que acon­te­ce nas redes de far­má­cia. Atu­al­men­te, mui­tas dro­ga­ri­as soli­ci­tam o núme­ro do CPF dos cli­en­tes sem espe­ci­fi­car para qual fina­li­da­de o esta­be­le­ci­men­to pre­ci­sa daque­la infor­ma­ção. Com a nova lei, isso pas­sa a ser proi­bi­do. “A empre­sa deve pen­sar assim: por que eu pre­ci­so daque­le dado e quais infor­ma­ções serão real­men­te essen­ci­ais para a pres­ta­ção do meu ser­vi­ço ou para o for­ne­ci­men­to de um pro­du­to? O que não for real­men­te impor­tan­te pre­ci­sa da per­mis­são do con­su­mi­dor”, resu­me Caro­li­ne Teó­fi­lo da Sil­va, advo­ga­da e espe­ci­a­lis­ta em direi­to digi­tal.

Auto­ri­da­de Naci­o­nal de Pro­te­ção de Dados   

   Para Caro­li­ne e outros espe­ci­a­lis­tas, a Lei Geral de Pro­te­ção de Dados é um avan­ço, mas pre­ci­sa de ajus­tes. A mai­or pre­o­cu­pa­ção se refe­re ao veto da cri­a­ção da Auto­ri­da­de Naci­o­nal de Pro­te­ção de Dados. Segun­do espe­ci­a­lis­tas, o fato de não ter sido cri­a­da essa autar­quia pode, inclu­si­ve, com­pro­me­ter a lon­ge­vi­da­de da nor­ma. É que a auto­ri­da­de de dados teria uma fina­li­da­de mui­to seme­lhan­te à da Agên­cia Naci­o­nal de Tele­co­mu­ni­ca­ções (Ana­tel) – em rela­ção às empre­sas de TV a cabo pres­ta­do­ras de ser­vi­ços de inter­net – e à da Agên­cia Naci­o­nal de Avi­a­ção Civil (Anac) peran­te as com­pa­nhi­as aére­as. Essas agên­ci­as sur­gi­ram para obser­var tudo o que acon­te­ce no seu res­pec­ti­vo mer­ca­do. Por­tan­to, se sur­gis­se um pro­ble­ma no setor, espe­ci­al­men­te na rela­ção com o con­su­mi­dor, a Auto­ri­da­de Naci­o­nal de Pro­te­ção de Dados pode­ria inter­vir na roti­na das empre­sas e, assim, pro­por um decre­to que teria efei­tos legais ime­di­a­tos.

   Em outras pala­vras, a Auto­ri­da­de de Dados teria o papel de con­tor­nar rapi­da­men­te os even­tu­ais pro­ble­mas que pos­sam ocor­rer no rela­ci­o­na­men­to entre empre­sas e cli­en­tes com base na Lei Geral de Pro­te­ção de Dados. “Sem a auto­ri­da­de, pen­so que a lei será inter­pre­ta­da de dife­ren­tes manei­ras entre os milha­res de juí­zes de pri­mei­ra ins­tân­cia do Bra­sil. Com base na minha expe­ri­ên­cia den­tro do Mar­co Civil da Inter­net, sei que isso gerou algu­mas dis­tor­ções e isso pode­rá se repe­tir na lei de pro­te­ção de dados. Foi o caso do blo­queio do What­sApp a par­tir da deci­são de um juiz da comar­ca de Lagar­to, em Ser­gi­pe”, dis­se Ronal­do Lemos, advo­ga­do, espe­ci­a­lis­ta em direi­to digi­tal e colu­nis­ta em tec­no­lo­gia para diver­sos mei­os de comu­ni­ca­ção.

   O blo­queio men­ci­o­na­do por Lemos acon­te­ceu em maio de 2016. O juiz de direi­to penal Mar­cel Maia Mon­tal­vão pediu o blo­queio do What­sApp após o Face­bo­ok (dono do men­sa­gei­ro) se recu­sar a dar infor­ma­ções de supos­tos cri­mi­no­sos que usa­ram o canal para tro­car infor­ma­ções. Embo­ra o pedi­do tenha sido fei­to para bus­car infor­ma­ções de um cri­mi­no­so, a lei pre­ju­di­cou milhões de bra­si­lei­ros que usam o men­sa­gei­ro. Uma outra pos­si­bi­li­da­de seria cri­ar uma auto­ri­da­de pro­vi­só­ria exer­ci­da pelos Pro­cons bra­si­lei­ros, ao menos no que se refe­re à rela­ção entre con­su­mi­do­res e empre­sas. Segun­do Caro­li­ne, a pró­pria lei cita essa pos­si­bi­li­da­de no arti­go 18, pará­gra­fo oita­vo. “A lei diz cla­ra­men­te que o con­su­mi­dor tam­bém pode fazer esse pedi­do dire­ta­men­te aos órgãos de defe­sa do con­su­mi­dor. Ocor­re que o pró­prio gover­no afir­ma que vai cri­ar a auto­ri­da­de por meio de medi­da pro­vi­só­ria ou via pro­je­to de lei. Nes­se sen­ti­do, temos um cená­rio em que o Pro­con pega a quei­xa e sim­ples­men­te a repas­sa para a auto­ri­da­de”, afir­ma Mar­cel Leo­nar­di, dire­tor de polí­ti­ca públi­cas do Goo­gle.

INS­PI­RA­ÇÃO EURO­PEIA

   A Gene­ral Data Pro­tec­ti­on Regu­la­ti­on (GDPR), que entrou em vigor na Euro­pa em maio, foi a gran­de ins­pi­ra­ção para a lei bra­si­lei­ra sobre o tema de pro­te­ção de dados. Até por esse moti­vo, olhar a nor­ma euro­peia aju­da a enten­der e a refle­tir sobre os cami­nhos que o Bra­sil deve per­cor­rer daqui para a fren­te. A prin­ci­pal dife­ren­ça fica por con­ta da auto­ri­da­de de dados que está pre­sen­te em todos os paí­ses da União Euro­peia e deu ori­gem a uma comis­são sobre o tema: a Euro­pe­an Data Pro­tec­ti­on Board (EDPB). No Bra­sil, a cri­a­ção da autar­quia foi bar­ra­da.

   O gru­po mos­trou pre­o­cu­pa­ção sobre o tra­ta­men­to de dados em dife­ren­tes paí­ses, incluin­do nações do con­ti­nen­te euro­peu. Segun­do a enti­da­de, exis­tem qua­se cem inves­ti­ga­ções em anda­men­to sobre pro­ble­mas com essas carac­te­rís­ti­cas.

   “Ape­sar do for­te aumen­to do núme­ro de casos no últi­mo mês, a situ­a­ção só não é pior por­que a Euro­pa teve dois anos para se pre­pa­rar para a nor­ma. Assim, os pri­mei­ros resul­ta­dos de casos trans­fron­tei­ri­ços (trân­si­to de dados entre paí­ses) devem apa­re­cer somen­te daqui a alguns meses. Para lidar com as todas as recla­ma­ções, as auto­ri­da­des de super­vi­são devem con­du­zir inves­ti­ga­ções, obser­var regras pro­ces­su­ais, além de coor­de­nar e com­par­ti­lhar infor­ma­ções com outras auto­ri­da­des de super­vi­são. A GDPR não ofe­re­ce uma solu­ção rápi­da para o caso de uma recla­ma­ção, mas esta­mos con­fi­an­tes de que os pro­ce­di­men­tos que deta­lham o modo como as auto­ri­da­des tra­ba­lham são robus­tos e efi­ci­en­tes”, dis­se a pre­si­den­te da EDPB, Andrea Jeli­nek.

É IMPOR­TAN­TE “A EMPRE­SA DEVE PEN­SAR: POR QUE AQUE­LE DADO É ESSEN­CI­AL PARA A PRES­TA­ÇÃO DO MEU SER­VI­ÇO? O QUE NÃO FOR IMPOR­TAN­TE PRE­CI­SA DA PER­MIS­SÃO DO CON­SU­MI­DORCARO­LI­NE TEÓ­FI­LO DA SIL­VA, ADVO­GA­DA E ESPE­CI­A­LIS­TA EM DIREI­TO DIGI­TAL

DECI­SÕES TOMA­DAS POR ROBOÔS 

Inde­pen­den­te­men­te do nome da auto­ri­da­de, o que não vai fal­tar é assun­to para a agên­cia deli­be­rar. Um tema que cha­ma a aten­ção é a deci­são auto­ma­ti­za­da, que diz res­pei­to às esco­lhas fei­tas por robôs a par­tir dos dados pes­so­ais dos cli­en­tes. Nes­se sen­ti­do, uma deci­são base­a­da em algo­rit­mos de uma máqui­na pode­ria ser revi­sa­da ou alte­ra­da por um aten­den­te huma­no. Segun­do Ronal­do Lemos, esse cená­rio pode­ria trans­for­mar o negó­cio da Uber e de outras empre­sas de eco­no­mia com­par­ti­lha­da em um caos buro­crá­ti­co, sim­ples­men­te por­que o cli­en­te não gos­tou do car­ro ou não foi com a cara do moto­ris­ta. “A lei afir­ma que a deci­são deve­rá ser reti­fi­ca­da por um aten­den­te huma­no. Se eu ficar insa­tis­fei­to com o entre­ga­dor de comi­da do iFo­od, eu pos­so pedir outro?”, ques­ti­o­na Lemos.

O CUS­TO­MER EXPE­RI­EN­CE, ALÉM DE UM PILAR ESTRA­TÉ­GI­CO, REPRE­SEN­TA UMA NOVA CUL­TU­RA COR­PO­RA­TI­VA
MAU­RI­ZIO MINI­EL­LO, DA TIM

LEGÍ­TI­MO INTE­RES­S­SE

Outro pon­to con­tro­ver­so e que, segun­do espe­ci­a­lis­tas, pode resul­tar em um gran­de volu­me de ações na Jus­ti­ça é o tre­cho sobre o cha­ma­do legí­ti­mo inte­res­se como jus­ti­fi­ca­ti­va para evi­tar o con­sen­ti­men­to do con­su­mi­dor. A ideia é a seguin­te: o legí­ti­mo inte­res­se foi uma manei­ra encon­tra­da pelo legis­la­dor para garan­tir que um con­tra­to seja cum­pri­do. Uma empre­sa pode­ria ale­gar o “legí­ti­mo inte­res­se” de não pedir a auto­ri­za­ção do con­su­mi­dor para cum­prir uma cláu­su­la do con­tra­to de um pla­no de saú­de ou de um emprés­ti­mo, seja ela bené­fi­ca ou não para o con­su­mi­dor. “Quem garan­te que uma empre­sa pode­rá ale­gar legí­ti­mo inte­res­se para trans­mi­tir os dados de uma com­pa­nhia para outra den­tro do mes­mo gru­po econô­mi­co? Não faz sen­ti­do uma empre­sa que alu­ga bici­cle­tas ofe­re­cer os dados dos usuá­ri­os para um ban­co do mes­mo gru­po. Pen­so que a fina­li­da­de deve pesar no obje­ti­vo do con­su­mi­dor”, afir­ma Caro­li­na. Mas e se o legí­ti­mo inte­res­se for pro­por­ci­o­nar a melhor expe­ri­ên­cia para o cli­en­te? A lei garan­ti­ria a cap­tu­ra de dados para que uma deter­mi­na­da pla­ta­for­ma ofe­re­ça um ser­vi­ço dese­nha­do espe­ci­al­men­te para um cli­en­te?

 

ENTEN­DA A LEI DE PRO­TE­ÇÃO DE DADOS

O QUE É?
Con­jun­to de regras que garan­tem os direi­tos e os deve­res para o tra­ta­men­to de infor­ma­ções
Tipos de dados?

Dado pes­so­al: infor­ma­ção rela­ci­o­na­da à pes­soa iden­ti­fi­ca­da ou iden­ti­fi­cá­vel. Pode ser o nome, um ende­re­ço e outras infor­ma­ções que iden­ti­fi­quem uma pes­soa.

Dado sen­sí­vel: são infor­ma­ções que con­tam deta­lhes sobre o com­por­ta­men­to ou como pen­sam as pes­so­as. Nes­ta cate­go­ria, estão dados sobre ori­gem raci­al ou étni­ca, con­vic­ção reli­gi­o­sa, opi­nião polí­ti­ca, fili­a­ção a sin­di­ca­to ou a orga­ni­za­ções de cará­ter reli­gi­o­so, filo­só­fi­co ou polí­ti­co, dado refe­ren­te à saú­de ou à vida sexu­al, dado gené­ti­co ou bio­mé­tri­co.

Dado ano­ni­mi­za­do: infor­ma­ção sobre uma pes­soa que não pode ser iden­ti­fi­ca­da. Esse tipo de dado é usa­do em fer­ra­men­tas como Goo­gle Analy­tics e aju­da a iden­ti­fi­car com­por­ta­men­tos de gru­pos e não ape­nas sobre uma pes­soa.

 

TRA­TA­MEN­TO DE DADOS
Tra­tar um dado é cole­tar, ana­li­sar, usar ou qual­quer outra ação que envol­va o uso de infor­ma­ção de uma pes­soa.

Quais são as hipó­te­ses para o tra­ta­men­to de dados?

1) Por con­sen­ti­men­to – Auto­ri­za­ção expres­sa do dono da infor­ma­ção

2) Sem con­sen­ti­men­to, mas ape­nas para os seguin­tes fins:
√ Fins jor­na­lís­ti­cos – Jor­na­lis­tas podem cole­tar dados para fins jor­na­lís­ti­cos
√ Pes­qui­sa – Pes­qui­sa­dor uti­li­za esses dados para fins aca­dê­mi­cos
√ Deter­mi­na­ção judi­ci­al – Um juiz deter­mi­na a cole­ta de dados
Cum­pri­men­to de con­tra­to: o melhor exem­plo é a Uber. A empre­sa trans­fe­re os dados para o moto­ris­ta, a fim de que o ser­vi­ço seja rea­li­za­do. Nes­se caso, não há neces­si­da­de de con­sen­ti­men­to, pois essa tro­ca faz par­te da pres­ta­ção do ser­vi­ço.

DIAN­TE DA NOVA LEI, ESPE­CI­A­LIS­TAS QUES­TI­O­NAM COMO FICA­RÃO OS SER­VI­ÇOS DE STRE­A­MING, POR EXEM­PLO, QUE DEPEN­DEM DE DADOS DE NAVE­GA­ÇÃO PARA SUGE­RIR MÚSI­CAS E FIL­MES

FIM DO CUS­TO­MER EXPE­RI­EN­CE?

   Há quem diga que até mes­mo o cus­to­mer expe­ri­en­ce pode ser impac­ta­do com a medi­da, o que pode­ria indi­car um retro­ces­so no mun­do digi­tal. Mas será mes­mo? Rodri­go Hel­cer, fun­da­dor e CEO da Sti­lin­gue – soft­ware de inte­li­gên­cia arti­fi­ci­al –, cita uma pes­qui­sa fei­ta por uma pla­ta­for­ma de músi­ca por stre­a­ming que depen­de, fun­da­men­tal­men­te, da lei­tu­ra de dados de nave­ga­ção para suge­rir músi­cas e artis­tas base­a­dos nas pre­fe­rên­ci­as musi­cais dos usuá­ri­os. “O fato de dizer ‘não’ para o uso de dados faz o stre­a­ming vol­tar para uma expe­ri­ên­cia musi­cal dos anos 1990, sem nenhu­ma cus­to­mi­za­ção”, diz.

   E quem paga a con­ta dos inves­ti­men­tos fei­tos pelas empre­sas em diver­sos meca­nis­mos para detec­tar os gos­tos do con­su­mi­dor e ana­li­sar o com­por­ta­men­to com foco na expe­ri­ên­cia do cli­en­te? Hoje, o que não fal­ta é com­pa­nhia base­a­da em cus­to­mer expe­ri­en­ce que se abas­te­ce de dados de con­su­mi­do­res. “Na TIM, o cus­to­mer expe­ri­en­ce, além de um pilar estra­té­gi­co, repre­sen­ta uma nova cul­tu­ra cor­po­ra­ti­va e, por isso, os inves­ti­men­tos per­mei­am toda a cadeia e o ciclo de vida do cli­en­te”, afir­ma Mau­ri­zio Mini­el­lo, dire­tor de cus­to­mer rela­ti­ons da TIM Bra­sil.

   O Bra­des­co é outro exem­plo de empre­sa ori­en­ta­da ao cus­to­mer expe­ri­en­ce a par­tir da inte­li­gên­cia arti­fi­ci­al BIA. A ideia do ban­co é que a IA reco­lha infor­ma­ções do seu cor­ren­tis­ta, ajus­tan­do, assim, a fer­ra­men­ta às neces­si­da­des do cli­en­te. Já são mais de 21 milhões de inte­ra­ções com feed­back posi­ti­vo de 85%. “A BIA se rela­ci­o­na com o usuá­rio, res­pon­den­do a per­gun­tas sobre pro­du­tos e ser­vi­ços do ban­co em lin­gua­gem natu­ral, por meio de um chat para desk­top e mobi­le, e apren­den­do a cada inte­ra­ção”, expli­ca Ricar­do Luis Nas­ci­men­to Sil­va.

   O fato é que a lei pode per­der o con­tro­le e resul­tar em uma enxur­ra­da de ações na Jus­ti­ça. Empre­sas pre­ci­sam se debru­çar sobre o tema para enten­der que a lei tem rela­ção com o negó­cio, segun­do André Gen­til, dire­tor de tec­no­lo­gia da Flex Rela­ci­o­na­men­to Inte­li­gen­tes. “Tem mui­ta com­pa­nhia que ain­da não des­per­tou para o tema e pre­ci­sa fazer o mais rapi­da­men­te pos­sí­vel. A con­ta­gem regres­si­va já come­çou”.

AUTO­RI­DA­DE NACI­O­NAL DE PRO­TE­ÇÃO DE DADOS

A lei vetou a cri­a­ção da auto­ri­da­de, mas o pre­si­den­te Michel Temer afir­mou que a auto­ri­da­de será cri­a­da por Medi­da Pro­vi­só­ria ou Pro­je­to de Lei. Tra­ta-se de uma espé­cie de agen­te regu­la­dor que fis­ca­li­za, mul­ta e pro­põe mudan­ças para o setor.

Puni­ções

√ Adver­tên­cia com indi­ca­ção de pra­zo para ado­ção de medi­das cor­re­ti­vas.

√ Mul­ta de até 2% do fatu­ra­men­to da pes­soa jurí­di­ca de direi­to pri­va­do, gru­po ou con­glo­me­ra­do no Bra­sil no seu últi­mo exer­cí­cio, excluí­dos os tri­bu­tos, limi­ta­da, no total, a R$ 50.000.000,00 (cin­quen­ta milhões de reais) por infra­ção.

√ Blo­queio dos dados pes­so­ais a que se refe­re a infra­ção até a sua regu­la­ri­za­ção.

√ Eli­mi­na­ção dos dados pes­so­ais a que se refe­re a infra­ção.

√ Sus­pen­são par­ci­al ou total do fun­ci­o­na­men­to do ban­co de dados a que se refe­re a infra­ção pelo perío­do máxi­mo de 6 (seis) meses, pror­ro­gá­vel por igual perío­do até a regu­la­ri­za­ção da ati­vi­da­de de tra­ta­men­to pelo con­tro­la­dor.

√ Sus­pen­são do exer­cí­cio da ati­vi­da­de de tra­ta­men­to dos dados pes­so­ais a que se refe­re a infra­ção pelo perío­do máxi­mo de 6 (seis) meses, pror­ro­gá­vel por igual perío­do.

√ Proi­bi­ção par­ci­al ou total do exer­cí­cio de ati­vi­da­des rela­ci­o­na­das ao tra­ta­men­to de dados.