Ana Domingos (*)
No Brasil, a LGPD trouxe à tona um debate até então deixado de lado: como as pessoas enxergam seus dados pessoais? Como empresas cuidam deles?
O que começa a ser percebido é que as empresas precisam tomar medidas cada vez mais rigorosas no tratamento de dados pessoais, mas também que as próprias pessoas devem atribuir valor aos seus dados.
Muito se fala em vazamento de informações, grande parte das vezes atribuído à falta de cuidado das empresas quanto ao tratamento de dados, em relação às medidas de segurança adotadas ou não adotadas. Em 2021, por exemplo, já ocorreram vazamentos históricos, pelos quais milhões de brasileiros, inclusive já falecidos, ficaram expostos na deep web e até na surface web (encontrados em buscadores comuns).
Deste modo, o que vemos é que, mesmo confiando em uma empresa e em seus métodos a ponto de fornecer dados pessoais, ainda vemos vazamentos ou uso indevido. Por outro lado, as pessoas precisam se perguntar “por qual motivo” e “para quem” devem entregar suas informações.
Quantas vezes são fornecidos dados pessoais a supermercados, farmácias ou outro estabelecimento qualquer? Às vezes para participar de alguma promoção, sorteio, um “clube de descontos”, ou mesmo sem motivo algum, sem questionar, apenas e tão somente porque foi solicitado. Apesar da LGPD já ter entrado em vigor em 2020, muitas pessoas ainda não têm consciência da seriedade do assunto e, em razão disso, não vislumbram a necessidade de proteger seus dados pessoais assim como protegem qualquer outro bem de sua propriedade.
Fazendo uso de informações pessoais alheias, pessoas mal-intencionadas encontram facilidade para aplicar golpes, normalmente de caráter financeiro, que podem trazer prejuízos pesados e uma grande dor de cabeça burocrática.
Além do risco de golpes financeiros, quando o assunto é privacidade de dados, é preciso ir além: é necessário esclarecer às pessoas sobre o fato de que seus dados são utilizados o tempo todo para obter perfis comportamentais que determinam, por exemplo, a forma e frequência com que anúncios publicitários, notícias e publicações em redes sociais e outros websites são exibidos.
Ou seja: dados pessoais são coletados e, o todo tempo, analisados por inteligência artificial ou humana, para selecionar pessoas em determinados grupos e predefinir os tipos de conteúdo aos quais esses grupos serão expostos, podendo influenciar em grande escala a sociedade. Esse assunto precisa ser discutido não para causar pânico ou indignação, pelo contrário: para levar conhecimento à população. As pessoas precisam saber que, quando ouvem que “os dados são o novo petróleo” não é exagero.
Um volume massivo de dados pessoais e sensíveis são, já há bastante tempo, os ativos mais importantes para garantir a operação de muitas empresas, em todos os segmentos de mercado, ou seja: dados alimentam negócios. E é por isso que é tão importante ter uma legislação robusta para proteção de dados, bem como cidadãos que entendam a sua relevância.
Nesse contexto, a LGPD cria uma cultura de proteção e privacidade.
Se espera que dentro de algum tempo, o assunto seja tratado com mais naturalidade e que os próprios titulares sejam mais exigentes em relação ao tratamento de suas informações pessoais, fazendo, assim, com que os agentes de tratamento (a exemplo das empresas e do próprio governo) se tornem mais cautelosos ao tratar informações pessoais.
Alinhada a essa ideia, a LGPD trouxe um importante conceito, já praticado por outros países, que é o da autodeterminação informativa, que dá garantia aos titulares de documentos o controle sobre seus dados, instrumentalizada por meio dos direitos previstos no artigo 18 da LGPD. Diante disso, resta a dúvida: como as empresas estão se preparando para garantir o cumprimento desses direitos?
As empresas que desenvolvem softwares devem fazer ajustes para facilitar o controle e rastreabilidade de dados pessoais por seus clientes. Isso porque alguns softwares armazenam uma grande quantidade de dados, que requer um controle avançado da informação. Novas funcionalidades estão sendo adicionadas aos sistemas para viabilizar os relatórios que as empresas devem fornecer aos titulares dos dados e à Autoridade Nacional de Proteção de Dados (ANPD), além de novas funcionalidades nos cadastros e uma função de anonimização.
A LGPD permite que você solicite às empresas um relatório para ter conhecimento de quais dados eles usam e permite que você solicite a exclusão dessas informações dos cadastros da empresa, por isso é necessário ajustar os softwares para facilitar todo esse processo. Entretanto, é importante ressaltar que nem sempre os dados serão excluídos apenas porque o titular está solicitando.
A lei apenas garante o direito de exclusão ao titular quando os dados são tratados com base no consentimento. Para exemplificar, imagine que um médico receitou um remédio de uso controlado para um paciente e a farmácia precisa fazer um cadastro e reter a receita, nesse caso o motivo e a base legal do tratamento dos seus dados independe do seu consentimento, pois se trata do cumprimento de uma obrigação legal/regulatória pela farmácia.
Desse modo a exclusão não pode ser feita. Mas, caso a farmácia mantenha um programa de fidelidade, pontuação, em que o dado é tratado apenas com o consentimento, as pessoas podem solicitar a exclusão. A lei não prevê um procedimento específico para isso, mas o ideal é levar uma formalização desse pedido até a área jurídica ou ao DPO da empresa para que sejam tomadas as providências necessárias.
A LGPD é o ponto inicial para que pessoas e empresas se conscientizem da importância dos dados. As adequações vão muito além dos ajustes tecnológicos nos softwares. A empresa precisa adequar todos os processos, não só os sistemas. Mapear processos, adequar o que está fora do padrão, criar uma política que seja voltada à proteção de dados e treinar os funcionários para que eles cumpram os meios estabelecidos e entendam a importância do cumprimento da lei.
Os dados não são tratados só dentro de sistema, abrangem todas as áreas e processos. As empresas precisam entender o prejuízo real que podem causar ao titular desses documentos caso não cumpram com sua função social que, nesse caso, é a proteção de dados.
(*) – É Data Protection Officer (DPO) da Datainfo.