Lei Geral de Proteção de Dados requer especial atenção das empresas, ainda que não esteja em vigor
Além de todos os prejuízos e incertezas relacionados à pandemia de Covid-19, as empresas brasileiras enfrentam outro importante temor neste segundo semestre de 2020: a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018). Aprovada em 2018, a lei entraria em vigor neste mês de agosto, mas, graças à Medida Provisória 959, seu prazo para entrar em vigência passou para maio de 2021.
As datas, entretanto, ainda são incertas. Se o Congresso aprovar a MP e a transformar em Lei, a LGPD manterá sua entrada em vigor em maio do próximo ano, com as sanções tendo início três meses depois, em agosto. No entanto, se a MP não for votada, “caducará” em 28 de agosto de 2020. Dessa forma, o prazo válido para o início da vigência volta a ser 14 de agosto deste ano.
Para o advogado Giovani Agostini Saavedra, sócio do escritório Saavedra & Gottschefksy – Sociedade de Advogados e professor da Universidade Presbiteriana Mackenzie, a confusão com as datas e a incerteza em relação ao início das punições faz com que as empresas subestimem as consequências da LGPD.
“As pessoas estão subestimando os efeitos da Lei, mas é preciso ressaltar que as punições que derivam da norma legal podem chegar a R$ 50 milhões. Além disso, as pessoas não têm uma clara consciência do que sejam dados. Dados não se limitam a RG e CPF, mas toda e qualquer informação que identifique uma pessoa física: uma preferência, uma localização etc.”, explica o especialista.
A lei pode gerar um impacto significativo no setor automotivo, especialmente no varejo, cujas vendas são feitas, em boa parte, a pessoas físicas, alvo de proteção da norma legal. Conforme explica o advogado, a LGPD não busca proteger dados de pessoas jurídicas, apenas de pessoas físicas. Assim, parte dos bancos de dados de determinadas empresas permanecerão seguros, longe de potenciais punições.
Para boa parte do setor, entretanto, o banco de clientes e potenciais clientes está fortemente comprometido a partir das definições impostas pela lei. A norma legal tem o interesse de conceder maior segurança aos usuários e consumidores frente a relação com empresas e marcas. De certo modo, com base no que preceitua o Código de Defesa do Consumidor, a parte consumerista da relação é vista como hipossuficiente, pois necessariamente precisará de proteção em relação às marcas com as quais efetuou operações econômicas ou as que têm possibilidade de realizar.
Ao dar poder a cada consumidor, a lei também permite um sem-número de ações individuais motivadas por pessoas que entendem terem sido lesadas em relação aos seus dados pessoais. “Uma pessoa, sozinha, poderá ingressar com uma ação contra determinada empresa que teria violado sua privacidade ao manipular seus dados. E isso pode trazer um passivo enorme para empresas que não teriam condições de arcar com essas condenações”, completa o especialista.
No âmbito da proteção dos dados pessoais, a LGPD tem como fundamentos o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Além disso, a lei busca definir o que considera ser dado pessoal sensível. Trata-se de dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Esse tipo de dado somente poderá ocorrer quando houver consentimento do titular ou de seu responsável legal. É preciso, entretanto, que esse consentimento seja dado de forma específica e destacada, para finalidades específicas.
“Não é suficiente que o consumidor simplesmente clique em ‘OK’ para uma janela de informação que se abre em um site ou rede social que acessa. Será preciso determinar quais dados serão obtidos do consumidor, em que momento, de que forma, com qual finalidade específica e o prazo em que deverão ser utilizados. Não se trata de um simples consentimento genérico”, explica Saavedra.
Há outro ponto que demanda atenção tanto das empresas quanto dos operadores de Direito que irão atuar na área. A falta de entendimentos judiciais anteriores que possam balizar ou ao menos permitir que se tenha uma expectativa quanto à aplicação da LGPD nos casos concretos.
“A lei diz que as punições não se aplicam ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, por exemplo. No entanto, é muito delicado definir quando há legítimo interesse de uma empresa para usar um determinado banco de dados pessoais, dado que a legitimidade para esse uso sempre será passível de discussão judicial. Por ser algo novo, obviamente ainda não há jurisprudência sobre o assunto, então não podemos assegurar que os resultados de uma ação judicial serão A ou B”, complementa.
Sem saber efetivamente quais serão os entendimentos dos tribunais pelo País em relação ao uso adequado dos dados, as empresas devem adotar a cautela e a precaução como mandamentos nesse momento. Consultorias jurídicas podem ser procuradas para auxiliar aqueles que desejam já neste ano preparar suas atividades com segurança para 2021, antecipando-se à provável vigência da lei.
Importante ressaltar, entretanto, que esse procedimento de consultoria poderá resultar na recomendação de contratar ou designar profissionais para lidar especificamente com o tratamento de dados. Ou seja, custo. Um custo necessário para este momento, já que poderá evitar diversos prejuízos quando a lei efetivamente entrar em vigor.
Um dos primeiros procedimentos é identificar as áreas da empresa em que há tratamentos de dados. Por meio da orientação jurídica, após determinar quais dados são utilizados pela empresa, será possível envolver colaboradores e gestores no processo de qualificar os dados. Ou seja, após entender quais são os dados utilizados, verificar qual a importância destes para o negócio. Assim, compreender os objetivos de sua utilização e as necessidades que derivam do processo de adaptação à lei.
Também é possível entender de que forma os dados são capturados pela empresa. Dessa forma, compreende-se também qual é o nível de consentimento dos usuários que fornecem os dados. Somente após um levantamento completo, a empresa consegue efetivamente entender o tamanho de seu problema e também as oportunidades contempladas por seu negócio. A meta da LGPD não é falir empresas, mas proteger usuários que até então não sabem quais dados são coletados em seu dia a dia, qual a finalidade dessa coleta, bem como qual a extensão de sua privacidade que foi afetada.
Será necessário desenvolver e implementar mudanças em processos que certamente são considerados tradicionais na empresa. As mudanças naturalmente trarão resistência, e por isso é importante que existam determinados profissionais dedicados exclusivamente a este processo de adaptação à LGPD. É importante buscar também ferramentas que facilitem esse processo de identificação e qualificação dos dados capturados.
“É um assunto que demanda estudo e cautela. As empresas devem buscar profissionais qualificados para receber orientação sobre como proceder em relação a dados que já possuem e dados que deverão coletar na dinâmica de seus negócios”, avalia o advogado.
Com base nas orientações do especialista, é possível identificar uma armadilha clara para as empresas do setor automotivo em meio à implementação da LGPD. São tantas e tamanhas as dificuldades trazidas pela pandemia de Covid-19 (não só no Brasil, mas no mundo) que as consequências e os efeitos da lei parecem algo muito distantes. Ainda que entre em vigor em agosto de 2020, as punições só estão previstas para 2021, e, no clássico jeito brasileiro de deixar para depois, muitos empresários mantêm o assunto em segundo plano. Algo a ser pensado após a pandemia. Como o problema de saúde mundial não tem data certa para acabar, há um risco concreto de que diversas empresas somente se atentem aos riscos que podem enfrentar quando for tarde demais para evitar punições.
Assim, uma das principais orientações de Saavedra para as empresas do setor é tratar do tema já neste momento. Inclusive, aproveitando uma época de menor movimento e demandas inferiores para explorar soluções para um problema que está mais próximo do que muitos imaginam.
“A principal recomendação nesse momento é não deixar para depois. Ainda que o cenário atual traga perspectiva de vigência apenas em 2021, isso pode mudar completamente em agosto. Quem não estiver preparado, correrá sérios riscos de sofrer punições que certamente poderão inviabilizar a continuidade de seus negócios.”
Há ainda um outro ponto que poucos estão considerando. Diante de uma necessidade que atingirá a todos, há quem conseguirá tirar proveito da situação e explorar esse processo de adaptação como algo benéfico voltado ao consumidor. Ou seja, explorarão a ideia de que a empresa “saiu na frente”, mesmo antes da vigência da lei, priorizando a privacidade do consumidor e a transparência na captura e no tratamento destinados aos dados. Em meio a uma crise, quem souber se preparar e identificar formas de se diferenciar no mercado, certamente sobreviverá também às novas exigências jurídicas do contexto brasileiro.
Escrito por: Redação