Notícias

Especialista em comércio internacional , Adriane Nakagawa Baptista, abre o 3º painel do Simpósio Regional AASP: “A Lei Geral de Proteção de Dados”.

Aparentemente não houve ainda no panorama das pequenas e médias empresas brasileiras uma real mobilização em relação aos efeitos da General Data Protection Regulation (GDPR), que está prestes a completar um ano, e da Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, depois das mudanças propostas pela MP nº 869/2018.

Muito se tem falado nos círculos especializados sobre a aplicação extraterritorial da legislação europeia (decorrência da aplicação do art. 3º da GDPR) e das vultosas multas, que tanto LGPD e GDPR quanto legislações similares no exterior podem aplicar por violação. Não obstante, para que o “hype” ou onda do Direito Digital produza algo mais do que a sensação de deslumbramento, é necessário localizar as discussões do ponto de vista da realidade regulatória e das possibilidades das pequenas e médias empresas, que correspondem, em termos numéricos, a mais de 90% dos estabelecimentos comerciais, segundo dados do Sebrae.[1]

Mais do que uma mera obrigação formal dos empresários, a adaptação à LGPD envolve, a exemplo da implementação de políticas de compliance anticorrupção, uma reeducação interna que passa pela percepção de que as empresas que atendem ao público são controladoras de dados nos termos da lei, aqui e alhures; pela necessidade de se avaliar passo a passo a atuação das empresas no que concerne ao tratamento de dados, para posterior revisão dessas práticas.

Em comum, essas legislações de proteção de dados deixam claro que sua meta é alçar o direito de proteção aos dados ao patamar de um irretratável dever por parte dos controladores, obrigação pela qual a empresa responde objetivamente.

Proteção setorial ou principiológica: das obrigações particulares às melhores práticas empresariais

A proteção de dados pessoais não é um tema novo no Brasil. O setor bancário, por exemplo, já estava cercado de normas que abordavam de forma direta ou indireta a questão não somente da proteção de dados como direito fundamental, mas da segurança em relação a sua integridade e privacidade. Contribuíram para essa relativa sensação de conforto com a normativa de proteção de dados: a grande participação e envolvimento do setor bancário com o tema da privacidade e proteção, a tradição decorrente do próprio dever fiduciário dessas instituições e a vinda da Resolução nº 4.658 do Banco Central (Bacen), que justamente regula a segurança cibernética das transações.

Isso, contudo, não quer dizer que áreas bancárias disruptivas, como as fintechs, estejam necessariamente a salvo da necessidade de se adaptar. Os modelos de negócios dessas startups precisarão passar por uma avaliação com vistas à adequação à LGPD.

No setor de saúde, a preocupação com a LGPD e também com a GDPR recai sobre o acesso e tratamento de dados de pacientes e uso entre instituições hospitalares e terceiros, além dos institutos de pesquisa e seguradoras. Como lembra uma das poucas especialistas na área com efetiva vivência no ramo hospitalar, Annaluza Bolívar Dallari,[3] não há no Brasil uma abordagem regulatória consolidada em relação às pesquisas clínicas, de modo que, até a efetiva entrada em vigor da LGPD, esperam-se ainda manifestações de órgãos de classe a esse respeito.

O fato de haver movimentação espontânea desses setores, contudo, não significa que se deve aguardar a manifestação de agências reguladoras de cada setor afetado antes de se promoverem as adaptações necessárias. A LGPD, nesse sentido, seguiu o modelo europeu, de alcance amplo e mais fundado em princípios que podem ser aplicados em diferentes indústrias. Esse modelo, que se assenta na noção de boas práticas, condiz com o caráter reputacional, ao mesmo tempo que atenua ou mitiga o caráter punitivo da legislação. Exemplo talvez do que poderá se confirmar como uma tendência é o recente caso da Netshoes.

LGPD no e-commerce ou varejo eletrônico

A Netshoes fechou acordo com o Ministério Público do Distrito Federal pelo vazamento de dados de quase 2 milhões de usuários, que tiveram seus dados de RG, CPF, data de nascimento e nomes expostos, em dezembro de 2017.[4] Foi firmado um Termo de Ajustamento de Conduta (TAC)[5] que determinou uma série de passos de mitigação do dano, associados ao dever de notificação imediata, reforço de infraestrutura de segurança informática e, por fim, o pagamento de multa. O não cumprimento dos termos do TAC pode resultar em duas ações coletivas, a primeira a pretender o pagamento de danos morais no valor de R$ 10 milhões e outra a cobrar danos patrimoniais no valor de R$ 85 milhões.

No preâmbulo do TAC, o Ministério Público do Distrito Federal ponderou que a pronta reação da empresa foi relevante na atenuação das medidas punitivas e assim descreveu os parâmetros iniciais de aplicação das sanções da LGPD: “Considerando, a título de diretriz, que a Lei n. 13.709/18 prevê a necessidade de sopesar, para aplicação de sanções pela autoridade nacional, os seguintes critérios: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano; a adoção de políticas de boas práticas e govenança; a pronta adoção de medidas corretivas, além da proporcionalidade entre a gravidade da falta e a intensidade da sanção” (grifo nosso).

O interessante deste preâmbulo é a apresentação de uma espécie de gradação no processo de determinação das sanções. Nela, há uma distinção que pode ser tecida entre os aspectos previsíveis e imprevisíveis que podem ser levados em consideração por advogados. Não se pode predeterminar a extensão do dano (embora um bom plano de contingência seja recomendado, sobretudo, para empresas de maior porte que busquem, inclusive, alguma cobertura junto a seguradoras) ou a gravidade da infração, todavia, a existência de uma efetiva política de governança a esse respeito é uma medida ao alcance das empresas.

Do ponto de vista organizacional, isto implica algo mais do que a simples inserção de cláusulas contratuais ou avisos pop-ups nas telas iniciais dos sites, contendo frases assegurando o cuidado da empresa com os dados; ou ainda a solicitação do consentimento a respeito de seu armazenamento. As boas práticas em relação à LGPD vão exigir primeiro a compreensão por parte das empresas das etapas de processamento, assim como a criação de um acervo de informações e escolhas para os usuários que desejem saber mais ou decidir pela exclusão de seus dados das bases de lojas.

O planejamento dessas etapas torna-se mais crítico na medida em que a tutela dos direitos desses usuários, embora atribuída à Autoridade Nacional de Proteção de Dados (ANPD), nos termos da MP nº 869/2018, possivelmente acabará sendo dividida também com os órgãos de defesa do direito do consumidor e o próprio Ministério Público, que evidentemente retém seus poderes para defesa dos direitos difusos.

Diante deste cenário – em que figura ainda a legislação de outros países –, o papel do advogado é o de traduzir e intermediar o contato com os entes públicos enquanto avalia conjuntamente com os empresários a conveniência e necessidade de indicação de um encarregado – o data protection officer (DPO) – e organiza o processo de avaliação de riscos nas empresas.

Que saber mais sobre o assunto? Inscreva-se no Simpósio Regional AASP

Adriane Nakagawa Baptista é sócia de Nakagawa Baptista & Baptista e diretora executiva do Atelier Jurídico Prof. Luiz Olavo Baptista. LLM em Direito Comercial Internacional e Europeu pela Universidade de Leiden, onde ingressou com bolsa de excelência LExS Gold Scholarship. Doutoranda em Comércio Internacional pela Universidade de São Paulo (USP). Publicou diversos artigos em livros e periódicos especializados em resolução de disputas. Professora do curso de pós-graduação Diplomacia & Empreendedorismo Corporativo do Irice-FIA.

[1] Disponível em: <http://www.sebrae.com.br/sites/PortalSebrae/ufs/sp/sebraeaz/pequenos-negocios-em-numeros,12e8794363447510VgnVCM1000004c00210aRCRD>.

[2] LEITE, Renato; RAMOS, Pedro; CAMARGO, Ana Paula Collet; FELICISSIMO, Laura. White-Papers: Proteção de Dados no Setor Financeiro. O material pode ser de 2017, mas compila algumas das principais  Disponível em: <http://baptistaluz.com.br/wp-content/uploads/2017/11/Texto-Completo-Prote%C3%A7%C3%A3o-de-Dados-no-Setor-Financeiro-VER.-PORT.pdf>. Acesso em: 30 abr. 2019. Também ver ARRUDA, Daniel Silvieri. Leis de Dados Pessoais e seus Efeitos no Setor Financeiro, publicado no JOTA. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/lei-de-dados-pessoais-e-seus-reflexos-no-setor-financeiro-22082018>. Acesso em: 1º maio 2019.

[3] DALLARI, Annaluza Bolívar. Impactos da Nova Lei Geral de Proteção de Dados na Pesquisa com Seres Humanos. Disponível em: <https://www.conjur.com.br/2018-nov-02/analluza-dallari-impactos-lgpd-pesquisa-seres-humanos>. Acesso em: 3 maio 2019.

[4] Para maiores informações: <https://link.estadao.com.br/noticias/empresas,netshoes-vai-ligar-para-2-milhoes-de-clientes-que-tiveram-dados-vazados,70002206073>. Acesso em: 3 maio 2019.

[5] Para consulta dos termos do TAC: <http://www.mpdft.mp.br/portal/pdf/tacs/espec/TAC_Espec_2019_001.pdf>. Acesso em: 5 maio 2019.