Eduarda Francine Pereira de Santana
João Guilherme Duda
No mês de abril de 2020, o escritório Grubman Shire Meiselas & Sacks, em Nova York, que atende clientes como Lady Gaga, Mariah Carey, Madonna e Elton John, sofreu ransomware – ataque em que a vítima tem seus dados “sequestrados” e o seu acesso bloqueado em seus próprios servidores ou contas. Para que os dados fossem devolvidos e o acesso restabelecido, os hackers solicitaram um resgate de 21 milhões de dólares.
A Lei Geral de Proteção de Dados (13.709/18) protege o interesse dos usuários (no caso, os clientes do escritório) que confiam seus dados no contexto de determinado serviço. Prevista para entrar em vigor em 2021, a lei cria obrigações a quem recebe, guarda ou administra dados pessoais, visando a prevenir e responsabilizar situações como a do caso americano.
A norma pretende mudar sensivelmente a coleta, o tratamento, a guarda, o processamento e a comercialização dos dados no Brasil, prometendo transformar nosso dia a dia digital, seja enquanto usuários, seja enquanto prestadores de serviços ou fornecedores de produtos. Com isso, as organizações têm o desafio de desenvolver as ações estratégicas de conscientização e de boas práticas na gestão dos dados de que dispõem das pessoas com que se relacionam.
A lei prescreve de multas à interrupção de atividades, além de regulamentar a reparação de danos, mas estabelece práticas cuja observância podem exonerar ou mitigar responsabilidades.
A “adoção de política de boas práticas e governança”, dentre as quais mediante “programa de governança de privacidade” são meios de prevenção e atenuação de sanções, mediante avaliação dos seguintes critérios de adequação à LGPD:
Política de conformidade, garantido:
a) Acesso dos clientes a todos seus dados pessoais (digitais ou físicos), bem como eliminação, anonimização, atualização, portabilidade para outra empresa ou revogação do consentimento, por meio de simples requerimento;
b) Informação sobre a finalidade da coleta e responsabilidade no manejo dos dados e período de armazenamento;
c) Consentimento expresso dos usuários acerca do tratamento dos dados;
d) Uso de tecnologias seguras (com criptografia, por exemplo);
e) Lista de eventuais órgãos, empresas ou pessoas físicas, com as quais os dados são compartilhados.
f) Identificação dos dados pessoais e sensíveis;
g) Plano de ação;
h) Definição de diretrizes para uma nova cultura da empresa;
i) Uniformidade de padrão ético para todos os escalões e setores;
j) Escolha de um comitê de crise (equipe multidisciplinar).
k) Planejamento de reuniões periódicas;
l) Política de registro de processamento de dados;
m) Mapeamento da situação da organização para controle interno (dados pessoais tratados, processos, softwares e procedimentos existentes).
n) Desenvolvimento de um “data mapping” periódico (classificação dos dados, métodos para coleta);
o) Análise de riscos, monitoramento e adaptações periódicas;
p) Ouvidoria para fiscalização interna do programa de adequação;
q) Treinamentos periódicos;
r) Procedimentos específicos para a prevenção de vazamentos;
s) Mecanismo de interrupção imediata e correção de danos e irregularidades;
t) Elaboração de um manual ou código de ética, submetido a novos colaboradores;
A incorporação da lei em cada organização dependerá das suas peculiaridades, obviamente. Mas essas são diretivas gerais indispensáveis para execução dos requisitos previstos no art. 7º da Lei 13.709/2018.
Superados paradigmas industriais baseados em energia (carvão, petróleo) e transformação de matérias-primas (minérios e produtos agrícolas), vivemos a realidade econômica baseada em serviços cujo valor decorre da coleta, computação e comunicação de dados.
Os dados pessoais são hoje ativos intangíveis valiosíssimos e indispensáveis aos negócios, tanto que a todo instante os consumidores fruem de serviços (pseudo) “gratuitos” em troca deles. Mesmo sem trocas financeiras, há trocas econômicas, quando o consumidor fornece dados (como sua localização, identificação, idade, sexo, rede de amigos, preferências de consumo, religião, visão política, orientação sexual etc.), pois tais irão orientar (não raro de modo customizado) não apenas atividades comerciais, mas até mesmo decisões de produção e de desenvolvimento de produtos e serviços. Assim, os dados pessoais são moeda de troca e pagamento nas relações econômicas do atual paradigma tecnológico.
A regulação jurídico-econômica socialmente exigida em razão disso nasce com o (eterno) desafio de equilibrar interesses patrimoniais e extrapatrimoniais, ou seja, econômicos e morais, sem prejuízo da atenção a debates mais familiares ao direito econômico, como de falhas de mercado e concorrência.
A LGPD, assim como a GDPR na Europa, nasceu para regular de maneira específica o tratamento dos pessoais, garantindo limites para seu uso. A intervenção estatal justifica-se como contrapeso ao poder econômico (não raro bastante concentrado) e à assimetria de informações entre empresas e usuários, mas deve se pautar por certa subsidiariedade, para não suprimir a liberdade econômica de todas as partes envolvidas.