Nos últimos anos, o mau uso de dados tem sido um tema amplamente discutido, sobretudo depois de virem à tona escândalos como o do caso Edward Snowden, acusado de espionagem por vazar informações sigilosas de segurança do governo dos Estados Unidos. A pauta voltou aquecida ao debate público em 2018 com o escândalo que envolveu a Cambridge Analytica e o Facebook por uso sem consentimento de dados de mais de 50 milhões de usuários para propaganda política.
Como resposta a esses eventos, legisladores europeus criaram a General Data Protection Regulation (GDPR, ou Regulamento Geral de Proteção de Dados) para proteger as informações de usuários e clientes de empresas, de modo a evitar o uso indevido desses dados. Contudo, o que era para ser um fator positivo acabou se tornando um entrave para os negócios na Europa. Críticos afirmam que a legislação estimula a concentração de mercado ao privilegiar grandes empresas. E mais: ao exigir que o chamado “ecossistema de startups” seja obrigado a investir muito mais na segurança e na gestão dos dados, haverá menos dinheiro disponível para investimentos de risco — a ponto de um bom número de empreendedores prever um “inverno da inovação”.
[ccj id=”oeste-blocker-2″]
Antes mesmo de o regulamento entrar em vigor, em maio de 2018, pequenos negócios como a Verve, que gerencia uma plataforma de marketing móvel baseada em dados de localização, anunciaram que encerrariam suas atividades no continente europeu porque “o ambiente regulatório não favorece o modelo de negócio da empresa”. Seguiram o mesmo caminho a Uber Entertainment, que faz games on-line, e a Gravity Interactive, criadora dos jogos Ragnarok e Dragon Saga, entre outras.
As empresas que não cumprirem as exigências da lei poderão sofrer multas de até € 20 milhões (R$ 129,4 milhões) ou 2% de seu faturamento anual. O valor é salgado para o bolso do empreendedor. Além disso, uma loja on-line nos Estados Unidos ou em qualquer outro país terá, por exemplo, de se adaptar à GDPR se quiser enviar produtos a clientes na União Europeia (UE).
Nos EUA, estima-se que o custo para adequação de empresas norte-americanas à GDPR foi de mais de US$ 150 bilhões (R$ 834 bilhões), conforme levantamento da consultoria PricewaterhouseCoopers, a PwC. O mesmo estudo registra que mais de três quartos das empresas com mais de 500 funcionários gastaram, no mínimo, US$ 1 milhão (R$ 5,5 milhões) para se adequar. A paisagem ainda é nebulosa no Brasil.
Modelo importado
Como de hábito, importamos a ideia e criamos a Lei Geral de Proteção de Dados. Conhecida como LGPD e de relatoria do deputado comunista Orlando Silva, ela foi aprovada em dezembro de 2018, mas só passou a vigorar em 18 de setembro deste ano, depois de vários adiamentos em razão de dificuldades burocráticas — entre elas a criação da Autoridade Nacional de Proteção de Dados (ANPD). As multas, punições ou sanções administrativas, contudo, poderão começar a ser aplicadas apenas a partir de agosto de 2021, tempo que as empresas terão para correr atrás do prejuízo.
Subordinada à Presidência da República, a ANPD terá 36 cargos. “A agência vai fiscalizar o cumprimento da LGPD, elaborar as diretrizes do Plano Nacional de Proteção de Dados e aplicar as penalidades administrativas contra empresas que desrespeitarem a legislação”, detalhou Marcelo Chiavassa, professor de Direito Digital da Universidade Presbiteriana Mackenzie, de São Paulo.
Assim como o GDPR, a LGPD promete regulamentar o armazenamento de informações, evitar que dados de pessoas acabem vazando e permitir que eles sejam apagados. A partir de agora, empresas e órgãos públicos e privados precisarão adotar várias medidas para se adequar à nova realidade. Caso uma companhia queira utilizar os dados de seus clientes, terá de pedir e esclarecer com qual objetivo as informações serão usadas.
“Entende-se por dados nome, endereço, CPF, número de RG, e-mail, idade, estado civil e situação patrimonial”, explicou a Oeste Marco Antônio Loschiavo, professor universitário e doutor em Direito pela Universidade de São Paulo. “Há também a proteção dos dados sensíveis, que podem revelar orientação política, sexual e até condições de saúde. Qualquer informação que identifique o titular será passível de proteção.”
Apesar das semelhanças, a LGPD apresenta distinções do regulamento de proteção de dados da UE. O vazamento de informações é uma delas. Caso isso ocorra, a autoridade nacional brasileira e as vítimas terão de ser avisadas. Contudo, não há um prazo específico para isso. No GDPR, a empresa que sofreu quebra de sigilo precisa comunicá-la ao governo e aos usuários em, no máximo, 72 horas depois do ocorrido.
Na LGPD, a pessoa jurídica que desrespeitar a lei estará sujeita a multas que poderão chegar a 2% do faturamento da empresa, sem ultrapassar o montante de R$ 50 milhões. Outro ponto obscuro que ainda deverá ser esclarecido quando a ANPD estiver funcionamento plenamente é se os empreendedores brasileiros terão de se adaptar à legislação europeia e brasileira.
Antes da vigência da LGPD, as empresas seguiam outras regras para tratar os dados de pessoas físicas. Entre elas, as estabelecidas pela Constituição, que declara como direitos fundamentais do cidadão a inviolabilidade de sua privacidade, de seus dados e a autodeterminação informativa. A mais recente legislação seguida pelo Brasil era o Marco Civil da Internet, que, de forma genérica, estabelece princípios, garantias, direitos e deveres para o uso da rede e determina as diretrizes para a atuação da União, dos Estados, do Distrito Federal e dos municípios em relação à matéria.
A LGPD garante que, a partir de agora, vai dar transparência à maneira como serão usados os dados das pessoas físicas em quaisquer meios. O indivíduo terá, segundo a lei, expressamente assegurado o direito ao controle deles e, assim, à proteção de suas informações pessoais e íntimas.
Caminho longo a ser trilhado pelo empreendedor brasileiro
Leva tempo para que se consiga fazer valer todas essas garantias. Estima-se que, na Europa, as corporações tenham demorado dois anos para se adaptar. E as empresas brasileiras terão de enfrentar desafios. Entre eles, requalificar seus funcionários ou aumentar o RH. Na última opção, as mudanças devem ocorrer em três áreas. “Na jurídica, que é a parte legal; na estrutura da empresa [em que um profissional vai repensar o modelo de negócio]; e na tecnologia da informação, de modo a proporcionar a segurança dos dados”, salientou a advogada Mariana Rosa, gerente do departamento jurídico da empresa BRQ Soluções em Informática.
A LGPD também prevê que cada empresa contrate um encarregado de dados, chamado de data protection officer, que também existe na legislação europeia. “Ele vai estabelecer a comunicação entre a empresa, a ANPD e os titulares”, esclareceu Anna Luiza Guerzet, advogada e integrante da Comissão de Startups, Inovação e Proteção de Dados (OAB/ES). Na avaliação dela, porém, essa exigência é inviável do ponto de vista comercial. “Acredita-se que a ANPD, quando estiver regularmente estruturada, flexibilize essa necessidade”, concluiu.
Daniel Becker, advogado especialista em disputas no setor de tecnologia e professor da Future Law, diz que o futuro das empresas brasileiras dependerá da maneira como a ANPD interpretará a legislação. “Espero que ela veja a LGPD como uma lei organizacional e não punitiva, como é a cultura brasileira”, alerta Becker. “Se olharmos para ela como algo punitivo, teremos uma hecatombe digital. O Brasil tem um custo baixíssimo de entrada no Judiciário. Nesse cenário, teríamos diversas ações contra as empresas”, ressaltou, ao mencionar que é urgente o funcionamento da ANPD para dar um norte aos negócios brasileiros.
Leia também:
“A vida com os algoritmos”, a matéria de capa desta edição
“Quem manda nas redes?”, de Selma Santa Cruz