A Lei Geral de Proteção de Dados deve ser igual para todos?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entra em vigor em 2020 e determina multas de até R$ 50 milhões para as empresas que a violarem

Dino Schwingel*

13 de março de 2019 | 12h00

Seguindo o exemplo do Regulamento Geral de Proteção de Dados da União Europeia, foi sancionada em 2018 e entra em vigor em 2020 a Lei Geral de Proteção de Dados Pessoais (LGPD), após mais de dois anos de tramitação no congresso nacional.

A lei brasileira segue uma tendência internacional, pois após diversos casos de vazamento de dados sensíveis e de abusos por parte de empresas e grupos organizados – cujo ápice pode se argumentar terem sido as tentativas de manipulação nas eleições de 2016 nos Estados Unidos – os legisladores da União Europeia, dos Estados Unidos e de países como o Brasil produziram legislações que visam a resguardar os direitos fundamentais de liberdade, intimidade e de privacidade das pessoas naturais.

A LGPD é um avanço importante e nasce da necessidade de regular como as empresas e os órgãos públicos devem tratar os dados pessoais de cidadãos e consumidores na sociedade digital do século 21, pois cada vez mais informação é sinônimo de poder, seja ele político ou financeiro.

Assim, a lei estipula claramente as responsabilidades das pessoas jurídicas que tratam dados pessoais e determina o consentimento do titular dos dados como a única forma aceitável para permitir a coleta, o armazenamento e o tratamento de dados pessoais.

Diversos métodos, processos e acordos contratuais devem ser adotados pelas empresas que tratam e compartilham dados pessoais, com destaque para a exigência de uma visível melhora no relacionamento com consumidores, pois a lei criou novos direitos que os cidadãos podem exercer para se proteger do uso indevido de seus dados pessoais. Agora, um consumidor pode exigir que uma empresa informe se possui algum dados pessoal seu e também pode exigir que a empresa apague todos os seus dados pessoais armazenados por ela.

Claramente, a lei foi pensada para proteger os cidadãos e consumidores de abusos que possam ser cometidos por grandes organizações e grupos de interesse. No entanto, na sua generalidade, a lei entra em vigor e aplica o mesmo rigor tanto para empresas com faturamento multibilionário quanto para pequenas empresas como clínicas médicas, escolas particulares, entidades assistenciais, filantrópicas e ONGs.

Antevendo as dificuldades que as pequenas empresas terão para se adequar à LGPD, cabe aqui perguntar aos legisladores e aos potenciais membros da futura autoridade nacional de proteção de dados se não deveria haver dispositivos na lei para diferenciar o tratamento de dados massivo feito por uma grande empresa multinacional do cadastro de alunos de uma pequena escola particular.

Aqui não se está a argumentar que os dados pessoais de algumas pessoas valem mais do que os de outras, mas sim em busca de razoabilidade, pois as situações acima não são comparáveis do ponto de vista do dano que pode ser causado à sociedade em caso de uso indevido ou vazamento de dados. Ao colocar nas pequenas empresas as mesmas exigências, a lei gera custos muitas vezes proibitivos, que podem inviabilizar pequenos negócios.

Outras jurisdições legais têm adotado critérios para tratar de forma desigual as empresas, com vistas a preservar a concorrência e a viabilidade dos pequenos negócios. Neste contexto, cabe citar a lei do estado da Califórnia, intitulada California Consumer Privacy Act (CCPA), que se aplica somente para empresas com faturamento anual acima de 25 milhões de dólares ou para empresas que processam mais de 50.000 registros de pessoas naturais.

Ciente da sobrecarga administrativa, o legislador californiano foi prudente e legislou pensando em viabilizar os negócios em sua jurisdição. A LGPD é um avanço importante, mas a sua generalidade e o seu rigor podem torná-la uma lei impossível de ser implantada nas pequenas empresas e podem colocar uma parcela importante da sociedade na ilegalidade.

Referências:

1) Regulamento 2016/679 do Parlamento Europeu (Regulamento Geral sobre a Proteção de Dados): https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679

2) Lei Geral de Proteção de Dados: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

3) California Consumer Privacy Act: https://www.caprivacy.orgSeguindo o exemplo do Regulamento Geral de Proteção de Dados da União Europeia, o presidente Temer sancionou a Lei Geral de Proteção de Dados Pessoais (LGPD) em agosto deste ano, após mais de dois anos de tramitação no Congresso

*Dino Schwingel é Mestre e Bacharel em Ciências da Computação pela UFRGS e CEO da
E-trust, empresa especializada em segurança digital