Um dos assuntos mais recorrentes na mídia, além da covid-19, é a incerteza sobre a vigência da Lei Geral de Proteção de Dados Pessoais (LGDP) brasileira. Embora a questão esteja, em princípio, resolvida pela Medida Provisória 959/2020 (vigência fixada para 3 de maio de 2021), há proposições legislativas em curso que poderão alterar esse cenário. Os especialistas convulsionam de ansiedade a cada emenda parlamentar. As rodadas de votação no Congresso Nacional sobre o tema são acompanhadas com fervor típico de final de copa do mundo de futebol.
Enquanto isso, o Regulamento Geral de Proteção de Dados Pessoais da União Europeia (GDPR) completou dois anos de vigência nessa última segunda-feira, 25 de maio, e essa experiência europeia nos traz valiosas lições para refletirmos e antecipamos problemas que certamente virão quando a LGPD passar a valer.
1. Vai doer no bolso
A regulação da proteção de dados pessoais trará impactos importantes nas finanças das empresas. Empresas europeia se viram obrigadas a ampliar custos com mão-de-obra especializada em privacidade, tecnologia, serviços jurídicos, certificações e provisionamento de contingências (ex.: multas). Uma boa prática adotada é o estabelecimento de orçamento específico para questões de privacidade e proteção de dados pessoais.
2. As mudanças serão graduais
Um dos maiores temores quando do início de vigência da GDPR foi a possibilidade da aplicação de multas milionárias. Muitas empresas naquela época cessaram suas atividades ou deixaram de atender titulares da União Europeia diante da impossibilidade técnica de adequação integral à norma e do risco de sanções pesadas. Passados dois anos de vigência, a realidade mostrou que, na verdade, poucos foram os casos em que houve aplicação de multas significativas (embora haja um número relevante de sanções aplicadas) e, com isso, as mudanças profundas nos modelos de negócios seguem em um ritmo mais lento do que aquele inicialmente projetado pelos especialistas em privacidade. De fato, seguimos testemunhando constantes notícias de violações de privacidade pela mídia mundial.
3. Há uma tendência global de adoção do modelo europeu
O modelo restritivo de tratamento de dados pessoais proposto pelo GDPR é referência e tende a ser adotado como padrão global. Além da LGPD brasileira (fortemente inspirada no modelo europeu), outros países da América Latina e Ásia têm adotado modelos semelhantes. Nos Estados Unidos, há movimento legislativo em curso nesse mesmo sentido, o que trará uniformidade e segurança jurídica para quem lida com dados pessoais em suas atividades. Esse movimento se justifica em razão dos resultados obtidos na União Europeia: sanções têm sido aplicadas pelas autoridade nacionais com frequência, o que possivelmente resultará em mudanças comportamentais no médio e longo prazo.
4. Desafios na inovação
Há um certo consenso no sentido de que as limitações impostas pela regulação inibem o desenvolvimento de novos serviços e tecnologias. Aplicações que lidam com inteligência artificial e machine learning, por exemplo, demandam grandes volumes de dados (inclusive dados pessoais) para que o modelo seja treinado e "aprenda". Adoção de blockchain e ações de marketing digital também ficam claramente expostas pelos riscos da regulação e, consequentemente, poderão sofrer um desestímulo.
5. O remédio (transparência) pode virar veneno
A exigência de informar, de forma clara, quais dados pessoais são tratados, de que forma e por quais motivos, tem sido um dos principais desafios na adequação da regulação. Esse rigor da norma faz com que as empresas sejam exigidas a elaborar documentos cada vez mais densos e extensos para dar publicidade às operações de tratamento de dados pessoais. Ainda que haja louváveis iniciativas de disponibilizar essas informações de forma visual e lúdica, é fato que o excesso de informações é um fator de desestímulo para que os usuários (titulares dos dados pessoais) entendam e exerçam seus direitos. Sejamos francos: quem tem tempo e paciência para ler, na íntegra, os termos e usos e a política de privacidade de uma rede social, por exemplo?
6. Enfraquecimento do consentimento do titular
As dificuldades práticas de se obter o consentimento dos titulares, de forma satisfatória, fizeram com que muitas empresas passassem a adotar outras justificativas legais para tratamento dos dados pessoais, tais como o legítimo interesse. Essa fuga do consentimento poderá resultar no enfraquecimento dos direitos dos titulares que, a depender da justificativa legal, não poderão exercê-los em sua totalidade (ex.: não poderá pedir a exclusão de seus dados pessoais de um banco de dados), e essa consequência vai na contramão da intenção inicial da regulação em promover o "empoderamento" dos titulares.
Enfim, estamos atualmente em uma janela de oportunidade muito interessante para refletirmos sobre essas lições valiosas e, na medida do possível, antecipar os obstáculos experimentados pelos europeus e propor possíveis soluções. Os dois anos de vigência da GDPR podem servir às empresas em geral como um guia para implantar modificações nos seus modelos de negócios e para adoção de medidas de adequação, enquanto aguardamos o desfecho da vigência da LGPD.
*Alex Santos, advogado especialista em Tecnologia do escritório Nascimento e Mourão
