Por Matheus Borges Taveira

Em 2017, o portal The Economist publicou reportagem intitulada de “The world’s most valuable resource is no longer oil, but data” que, em tradução literal, significa: O recurso mais valioso do mundo não é mais petróleo, mas dados[1].

As informações pessoais fornecidas a outras pessoas, sejam elas jurídicas (públicas ou privadas) ou naturais, passaram a ter valor econômico e não mais mera formação de cadastros.

Com as informações certas, obtidas pelo comportamento do indivíduo na rede mundial de computadores (internet) é possível, inclusive, traçar o perfil comportamental de uma pessoa também no mundo real.

Como exemplo do dito acima, temos o caso do escândalo envolvendo o Facebook, que teve os dados, de mais de 87 milhões de usuários, vazados à empresa de marketing político Cambrige Analytica, e esta, munida dos dados vazados dos usuários daquela rede social, teria influenciado na corrida eleitoral à Casa Branca no ano de 2016, ao conseguir traçar o perfil dos eleitores[2].

O caso se deu quando a empresa Cambridge Analytica obteve os dados de um aplicativo dentro do Facebook, de autoria de Aleksandr Kogan, que efetuava espécie de “quiz” e, a partir das respostas dos usuários, conseguia traçar o perfil comportamental dos mesmos, assim como obtinha acesso aos dados dos “amigos” vinculados ao usuário que utilizou o “quiz”.

Com a eclosão do escândalo de vazamento e sua possível influência na corrida presidencial americana, a necessidade de proteção de dados veio à tona como uma política a nível global por parte das nações.

A primeira legislação posterior ao escândalo aqui narrado foi da União Europeia, criada em 2018. O Regulamento Geral sobre a Proteção de Dados (RGPD), como foi chamado naquele bloco político-econômico, traçava limites a serem observados pelas empresas detentoras de dados, bem como a forma que seriam tratadas essas informações.

 No âmbito nacional, em agosto de 2018, foi publicada a Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (doravante LGPD), dispondo sobre o tratamento de dados pessoais, incluídos nestes os dos meios digitais, por qualquer pessoa, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, assim como o livre desenvolvimento da personalidade da pessoa natural.

Logo no início do texto legal, já são apresentados os fundamentos que regem a proteção de dados, podendo ser elencados, além dos princípios constitucionais, a garantia do livre desenvolvimento da personalidade e a autodeterminação informativa, partindo da premissa que esses dois pontos poderiam vir a ser influenciados pela não proteção de dados.

Quanto à abrangência, a LGPD buscou trazer abrangência territorial máxima, gerando, assim, a maior eficácia territorial possível.

Em seu art. 3º, aduz que se aplica a qualquer operação de tratamento de dados, por pessoa natural ou jurídica de direito público privado ou público, independente do meio, do país onde estejam localizados os dados, desde que o tratamento ou a coleta seja efetuada em território nacional.

Importante salientar que a própria lei trouxe o que seria tratamento de dados em seu artigo 5º, X, sendo entendido como toda operação realizada com dados pessoais, como as que se referem a coleta produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, direta ou indireta, a um indivíduo.

Ademais, segregou os tipos de dados em: 1) pessoal e 2) pessoal sensível com diferentes requisitos de proteção. O primeiro, são aqueles inerentes a pessoa natural identificada ou identificável. Já o segundo tipo, diz respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

 Para os dados pessoais, a Lei entendeu que o fornecimento de consentimento é o suficiente para que possa haver o tratamento dos dados fornecidos.

Já para os dados pessoais sensíveis, a lei exige o consentimento específico para que haja o tratamento e, ainda, é vedado a utilização de dados referentes à saúde para obter vantagem econômica.

Independente do tipo de dado fornecido, a pessoa natural pode revogar o consentimento fornecido a qualquer tempo, mediante manifestação expressa do titular, por procedimento gratuito e facilitado.

A título de exemplo, toda e qualquer empresa que mantém dados cadastrais de clientes e/ou funcionários, está tratando esses dados, seja pelo arquivamento deles ou pelo seu armazenamento. Assim, estão sujeitas à LGPD, em suas obrigações e penalidades, a partir da entrada em vigor da norma, devendo ter autorização para guarda dos referidos dados.

Ao titular dos dados, a Lei confere o direito, entre outros, de obter informações quanto à existência de tratamento sobre seus dados; correção de dados incompletos, inexatos ou desatualizados; eliminação dos dados tratados com o consentimento; com quais entidades houve o compartilhamento de informações.

Outro requisito trazido pela norma, que importará em custos para aqueles que, de alguma forma, tratam dados de terceiros é a necessidade da figura do controlador e do operador.

Controlador é aquele a quem compete tomar as decisões referentes ao tratamento de dados pessoais. Já o operador é aquele que efetivamente exerce o tratamento de dados pessoais em nome do controlador. Em ambos os casos, seja controlador ou operador, podem ser tanto pessoa física quanto jurídica.

De toda sorte, a criação dessas figuras representará um ônus às empresas, além daqueles com a segurança contra vazamentos.

A LGPD, no caso de desrespeito de suas diretrizes, aplica sanções administrativas, sendo elas desde advertência corretiva, passando por pagamento de multa simples de até 2% do faturamento da pessoa jurídica de direito privado no seu último exercício limitados à R$ 50.000.000,00 (cinquenta milhões de reais); multa diária no limite da multa simples; bloqueio ou eliminação dos dados que se refere a infração; suspensão parcial do funcionamento do banco de dados pelo período máximo de 06 meses, prorrogável por igual período.

Logo, percebe-se que as sanções impostas pelo desrespeito da norma são expressivas – a pecuniária limitada em R$ 50.000.000,00 (cinquenta milhões de reais).

Conclui-se, a partir desse panorama geral da norma, que é necessária a proteção dos dados, em vista de seu valor econômico e de existirem casos de escândalo envolvendo dados vazados, como os que, supostamente, influenciaram na corrida a presidência de um país.

No âmbito nacional, nossa Lei se coloca entre uma das mais vanguardistas. Além de garantir a proteção de dados, é mais descritiva, facilitando para aqueles que tratam dados estarem em conformidade com ela.

Contudo, existe um custo para isto, devido aos requisitos por ela impostos, como a figura do controlador e do operador, a segurança na armazenagem de dados.

Para empresas de grande porte, esse custo pode ser transferido ao consumidor final de seu produto, sem que gere ônus exorbitante que o torne excessivamente oneroso, e os concorrentes também deverão aderir a prática de proteção aos dados, mantendo-se a higidez do mercado.

Porém, vale a crítica à norma, ela não distingue o grande do pequeno e muito menos do minúsculo. Uma pequena padaria que possui apenas um funcionário e seu dono no exercício da atividade, possuindo dados de seus clientes, deve cumprir integralmente a norma, sob as penas da Lei, o que, pode inviabilizar a atividade empresarial, pelo custo.

Por último, a vacatio legis (período entre a publicação da norma e sua entrada em vigor) findar-se-á em 14 de agosto de 2020.

Dessarte, imperioso que aqueles que, de alguma forma, tratam dados, se adequem às novas necessidades, sob as penas da lei, que se repita, são severas.

O debate sobre os aspectos jurídicos e econômicos do tema ainda são incipientes, mas com a vigência já próxima da lei, certamente inúmeras questões surgirão, trazendo as discussões sobre a matéria para maior foco. 

---

[1] Disponível em: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data Acessado em: 13/01/2020.

[2] Disponível em: https://exame.abril.com.br/tecnologia/o-escandalo-de-vazamento-de-dados-do-facebook-e-muito-pior-do-que-parecia/. Acessado em 13/01/2020.