Por Fabíola Meira*
Artigo publicado originalmente no Estadão
Há um ano, após inúmeras idas e vindas, entrava em vigor a Lei 13.709/2018, mais conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais).
A legislação, que tem como objetivo unificar as regras sobre tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas, acelerou adaptações nas empresas, ainda que aos poucos e que muitas ainda estejam implementando medidas.
A quebra de paradigma e a necessidade de investimento para adaptação são tão relevantes que a própria ANPD (Autoridade Nacional de Proteção de Dados), entendendo as dificuldades de microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos, colocou recentemente em consulta pública minuta de Resolução tratando da aplicação da LGPD para esses agentes de tratamento de pequeno porte.
Nota-se, portanto, que ainda que venha existir eventual flexibilização, a depender do porte da empresa e o risco que o tratamento de dados venha a causar, a obrigação de tratar dados adequadamente e do titular exigir os seus direitos já é uma realidade.
É possível observar dois grupos de empresas. Aquelas que desde 2018 já começaram o processo de mudança da cultura organizacional e implementação de medidas para adequação à LGPD, e outras que até o momento ainda estão aguardando para ver se a lei realmente será exigida e as sanções aplicadas. Para essas, o choque vai ser muito maior quando começarem a perder mercado para concorrentes já em conformidade com a lei ou não conseguirem renovar seus contratos com parceiros comerciais por conta da ausência de boas práticas no tratamento de dados e cumprimento da legislação.
Nas relações empresariais, as mudanças provocadas pela LGPD são várias.
Umas das principais questões percebidas foram as alterações nos contratos entre controladores e operadores e exigências em relação à comprovação de que o parceiro tem plena consciência da necessidade de obediência à legislação, bem como instrumentos à disposição para cumprimento da lei. Aqueles que não concordam com as cláusulas contratuais ou que não conseguem comprovar que têm condições de cumprir a lei ou que ainda agem por meio de condutas que, visivelmente, não se atenta à privacidade, estão perdendo mercado, ou seja, estar em conformidade com a LGPD, sem dúvida, é um diferencial competitivo.
Outro ponto diz respeito à falta de cultura de proteção de dados. Não existia a preocupação de apenas coletar dados necessários e tratá-los adequadamente, assim como não existia a mínima preocupação de como descartar esses dados. Assim, é perceptível que as empresas precisaram implementar não apenas adequações relacionadas à tecnologia, mas principalmente em relação aos colaboradores. Foi necessário insistir para que o colaborador entendesse que os dados devem ser respeitados, cuidados.
Também foi possível perceber que muitas empresas internalizaram o tema no jurídico sem estarem com uma equipe preparada para assumir a demanda. Com isso, percebe-se um movimento no sentido de as empresas criarem posições exclusivas para cuidar da privacidade e proteção de dados de parceiros, colaboradores e clientes.
Em relação aos consumidores, é nítido que estão mais atentos quando são questionados se concordam em ceder dados, em preencher formulários, completar dados, aceitar cookies. Os que não acompanham o tema certamente perceberam que “algo mudou”. Já os que acompanham tem exigido e questionado como determinado dado foi obtido, qual a base legal para o tratamento, querem entender como o dado chegou à determinada empresa, passaram a ler e questionar os Termos de uso e Políticas de Privacidade. Muitos têm exigido exclusão de dados, mas infelizmente nem todos têm conhecimento de que não há simplesmente um direito de exclusão de dados se existe base legal para aquele tratamento. E esse tem sido um dos pontos de conflito entre empresas e clientes. Se a empresa possui uma equipe preparada para já identificar a base legal e responder ao cliente, esse conflito tende a não ocorrer. Mas, se a empresa não está organizada e não responde com agilidade e nem com precisão, está instaurado o conflito.
Ainda no que se refere aos consumidores e visando mitigar esses problemas, foi lançado, no último dia 10 de setembro, o guia do Núcleo de Proteção de Dados do Conselho Nacional de Defesa do Consumidor, em parceria com a ANPD e a Senacon/MJSP, que traz noções gerais, orientações sobre proteção de dados pessoais, bem como canais que os consumidores poderão acessar em casos de violações.
No dia 12 de setembro, o portal Consumidor.gov também incluiu uma importante sessão em que a população pode denunciar problemas no âmbito da LGPD, como o indevido compartilhamento de dados financeiros por empresas, vazamento de informações pessoais sensíveis (origem racial, étnica, convicção religiosa etc.), a coleta inadequada de dados de crianças e adolescentes, entre outras questões.
A ferramenta certamente terá ampla utilização, funcionando como um importante indicador para empresas e órgãos fiscalizadores.
Na advocacia, houve profundas modificações, principalmente contratuais com parceiros, colaboradores, clientes e prestadores de serviços em geral, além da necessidade de elaboração e revisão de termos de uso e políticas de privacidade.
As bancas frequentemente realizam treinamentos para colaboradores e clientes, com orientações sobre como agir em situações específicas. Por exemplo: como agir diante da circulação da foto de um cliente que se acidentou em determinada loja em grupos de WhatsApp? Desde situações mais simples como essa, até mais complexas como entender o fluxo de dados junto à TI para, então, realizar as adaptações necessárias e elaborar as políticas de governança.
No tocante aos próprios escritórios, os clientes também exigem a comprovação de que as equipes estão totalmente treinadas e conscientes em relação não apenas à confidencialidade de dados, mas ao tratamento interno adequado, comprovando uso de sistemas seguros de gestão de processos, cyber seguro, guidelines, sistema de detecção de invasão ou tentativa de invasão pela internet, criptografia nas comunicações, sistemas de contenção de vírus, ou seja, uso das melhores soluções de tecnologia para prevenção, detecção e resposta contra ameaças, entre outros.
Recente, é justificável a LGPD ainda provocar dúvidas.
Sem prejuízo do STF (Supremo Tribunal Federal) já ter reconhecido expressamente o direito fundamental à proteção de dados, a Câmara dos Deputados aprovou no final de agosto a PEC 17/2019, que inclui expressamente a proteção de dados pessoais, inclusive nos meios digitais, no rol de direitos fundamentais previstos no artigo 5º da Constituição Federal.
A PEC aguarda agora apreciação pelo Senado Federal. Além do aspecto constitucional, outras matérias estão totalmente relacionadas ao tema, tais como o Direito das Relações de Consumo, Direito do Trabalho, Direito Digital. É um tema que leva à interdisciplinaridade no Direito.
O profissional deve ter um conhecimento sobre todas as áreas. Não bastará entender tudo de LGPD, mas não ter noção do sistema de responsabilidade no CDC (Código de Defesa do Consumidor), por exemplo.
*Fabíola Meira, sócia-fundadora do Meira Breseghello Advogados. Doutora e mestre em Direitos Difusos e Coletivos – PUC/SP. Especialista em Direito das Relações de Consumo – PUC/SP. Presidente da ABRAREC. Conselheira do IBRAC. Professora assistente da Especialização em Direito das Relações de Consumo PUC/SP (COGEAE). Certificação em Privacidade e Proteção de Dados pela Exin para o GDPR (Foundation) e LGPD (Essentials)