As empresas no exercício de suas atividades econômicas de produzir ou circular bens e serviços recebem, transferem e gerenciam dados de seus clientes. Esses dados são utilizados na própria produção de produtos e serviços ou até de forma estratégica para entender comportamentos, além de criar novas soluções para o mercado.
Severas discussões foram travadas no intuito de entender quais eram os limites da manipulação dos dados pessoais, com foco na geração de inteligência de mercado e até onde o mercado podia ser manipulado diante do poder de influenciar comportamentos que as companhias detinham. Após inúmeros debates, surgiram regularizações da privacidade ao redor do mundo, como o General Data Protection Regulation na União Europeia, a canadense e até legislações estaduais nos Estados Unidos, como a California Consumer Privacy Act.
Assim, em abril de 2014, o Brasil seguiu a tendência mundial ao estabelecer o marco civil da internet, com princípios, garantias, direitos e deveres para o uso da internet no país, dando início à proteção legal de direitos individuais no campo digital. E em agosto de 2018, foi promulgada a lei que dispõe sobre a proteção de dados pessoais no Brasil. A lei criou um sistema complexo de proteção à privacidade de dados que tem uma aplicação ampla, submetendo praticamente qualquer atividade empresarial às suas regras.
A lei entende o acesso da empresa aos dados pessoais como "tratamento de dados", o qual considera toda operação realizada com dados pessoais, desde a coleta até a utilização, processamento, armazenamento ou qualquer manipulação de dados. O ponto de partida do tratamento é o consentimento de seu titular, ou seja, a autorização para a manipulação de dados pela empresa. É necessário que haja a expressa concordância do titular dos dados para que a empresa manipule os dados. A lei chega a exigir a concordância escrita ou alguma prova que houve o consentimento.
Além disso, a empresa precisa garantir o acesso aos dados do titular, bem como fornecer mecanismos de atualização, correção ou até a eliminação dos dados pessoais, caso o titular revogue o consentimento disponibilizado para o tratamento dos dados.
A lei também traz uma proteção especial para os dados pessoais sensíveis, como os sobre origem, raça, religião, posições políticas ou filosóficas e, ainda, sobre a vida sexual. Nesses casos, para que haja o tratamento, é necessário o consentimento específico e destacado, além de se demonstrar a finalidade específica que se pretende dar ao dado.
Os dados de crianças e adolescentes também possuem tratamento especial. Da mesma forma que os dados pessoais sensíveis, é necessário o consentimento específico e em destaque. No entanto, a lei permite que os menores possam ter acesso a jogos ou aplicativos, mesmo sem o consentimento dos pais, devendo, porém, somente solicitar as informações necessárias à atividade.
Diante da disponibilização e consentimento do titular para tratamento dos dados pela empresa, a lei impõe que seja criado mecanismos a fim de garantir o livre acesso, a sua correção e atualização ou até a exigência da eliminação que sejam desnecessários ao fim que se destinam. A lei define as partes envolvidas no processo de proteção de dados, como o controlador de dados, o operador de dados, o titular e o encarregado, chamado também de DPO - Data Protection Officer.
A empresa como controladora dos dados é quem toma as decisões pelo seu tratamento e deve garantir sua proteção. As organizações que possuem processos internos bem desenhados têm mais facilidade para a implantação de um sistema de compliance, pois o rastreamento dos pontos de risco de violação de sigilo é mais rastreável.
Ao passo que, as empresas que não possuem processos desenhados sofrem com a adequação à lei, pois não têm procedimentos uniformes em sua operação, o que pode gerar riscos de violação à privacidade desses dados. O operador, por sua vez, é o responsável por executar o tratamento, ou seja, é quem manipula os dados dentro da empresa. Em geral, existem vários operadores dentro do processo produtivo da organização, por isso, é importante que os colaboradores estejam treinados e conscientes acerca da importância do controle e da proteção de dados dos clientes.
O titular dos dados é a pessoa que os fornece. Parece obviedade, mas nesse contexto, podemos incluir desde clientes até funcionários e fornecedores. Então, deve-se criar mecanismos de proteção dentro da empresa não só dos dados dos clientes, mas qualquer outro pessoal que tenha acesso, como dos colaboradores internos e fornecedores.
Percebemos, portanto, que todas as áreas da empresa são impactadas, desde os departamentos de marketing e vendas - que captam informações dos clientes em potencial -, até os recursos humanos, na proteção dos dados dos colaboradores e, principalmente, na gestão de projetos - ou seja, nos procedimentos internos da empresa.
Finalmente, temos o encarregado ou DPO, que é o responsável por estabelecer a comunicação entre o titular dos dados e a empresa controladora, bem como, prestar contas perante os órgãos reguladores. Essa figura é fundamental e deve estar preparada para gerenciar os processos de controle de dados e prestar contas à sociedade. Importante destacar que o descumprimento da lei pode gerar algumas penalidades para a companhia, desde advertência, publicização da infração, multa diária, até o bloqueio de tratamento de dados.
Portanto, diante desse novo cenário, é imprescindível implantar uma auditoria, que engloba desde a revisão de processos internos da organização, de modo que haja o mapeamento dos processos de tratamento de dados e a criação de pontos de verificação de proteção à privacidade. Em seguida, é importante que seja feita a revisão de contratos e cláusulas contratuais e, por fim, a implantação do sistema de compliance.
A estruturação de um sistema de proteção de dados dos clientes e colaboradores vai garantir com que a empresa esteja em compliance com a nova legislação de proteção de dados e garanta a transparência, segurança e responsabilidade no tratamento de dados.
*Rubens Leite é sócio gestor da RGL Advogados
