Um dos principais objetivos da Lei Geral de Proteção de Dados (LGPD) é garantir a transparência no relacionamento entre empresas e consumidores, agora denominados controladores e titulares. No ambiente da proteção de dados, os titulares devem obter respostas rápidas para perguntas como: "Vocês tratam os meus dados?" ou "Quais são as categorias de dados pessoais que vocês têm sobre mim em seus arquivos e banco de dados?" ou "Quais são os usos específicos que têm feito, o que estão fazendo ou farão com os meus dados pessoais?".
A LGPD estabelece um prazo de 15 dias corridos para que os controladores, empresas ou governos, forneçam essas informações. Prazo esse que será contado a partir do momento em que forem requisitados pelos titulares. É um tempo razoável. Apesar disso e dos anúncios de grandes esforços e investimentos para colocar suas estruturas em conformidade com tais exigências, praticamente ninguém estaria livre hoje de sanções, caso as multas, que só poderão ser aplicadas em agosto do ano que vem, já estivessem em vigência.
Ao enviar requisições de dados pessoais com perguntas entabuladas na LGPD a um grupo de companhias de 22 setores, o melhor resultado que recebemos foi um total de 14,9% das respostas fora do prazo. Enquanto isso, 85,1% das organizações simplesmente ignoraram os pedidos. É preciso lembrar que, embora ainda livres das punições até 2021, nada impede que as empresas sejam alvo de medidas judiciais impetradas por qualquer titular de dados que se sinta prejudicado ao não ter os seus pedidos atendidos.
O levantamento envolveu 80 controladores privados divididos entre os líderes de setores como E-commerce, Bancos, Telecomunicações, Fintechs, Marketing Digital, Automóveis, Plano de Saúde, Locação de Veículos, Portais de Internet, Redes Sociais, Cartões de Crédito, Hardware, Software, Construtoras, Agência de Turismo, Bureau de Crédito, Transportes, Eletrônicos, Laboratórios, Drogarias, Supermercados e Universidades.
Ao analisar os sites desses controladores e as informações que eles prestam aos titulares, tendo como critério os dez princípios da proteção de dados e a forma como esses dados são disponibilizados tecnológica e juridicamente, fica evidente que até agora nenhuma empresa está adequada à LGPD.
A maior parte dos controladores não fornece sequer canais específicos para uma simples requisição de dados pessoais dos titulares. E não adianta implementar as melhores práticas jurídicas e de segurança da informação se o atendimento ao titular é ruim e inadequado. É um conjunto de práticas que precisa estar afinado e direcionado para aquele que é o detentor do direito: o titular de dados.
A segurança jurídica é tão ou mais importante que a segurança tecnológica. Parece óbvio, mas ela não ocorre na prática. Exemplo recente é o cadastramento de chaves PIX, sem o consentimento dos titulares, por instituições financeiras. São casos gravíssimos que impedem a autodeterminação informativa do titular, que tem a sua dignidade usurpada por esses controladores.
Outro sinal de que ainda não temos maturidade suficiente nem uma cultura que forneçam as bases de legitimidade e confiança necessárias para proteger os dados são os vazamentos ocorridos recentemente no governo. Senhas do Ministério da Saúde vazaram expondo dados como CPF, endereço, telefone e doenças pré-existentes de 16 milhões de brasileiros.
Uma mudança de comportamento demandará caminhos que diminuam os abismos jurídicos, tecnológicos e de conhecimento que separam todos os envolvidos na proteção de dados pessoais. Isso, porém, dependerá muito da postura de todos os envolvidos no sistema, para identificar se o tratamento correto, em prol da segurança jurídica e tecnológica, tem sido aplicado a esse ativo tão valioso. É um trabalho coletivo construir soluções.
Ainda hoje o que vemos são situações remediadas geralmente após a ocorrência do problema e de maneira superficial, portanto, sem enfrentar toda a complexidade que envolve temas como o compliance e a segurança da informação. Nesse sentido, todos os esforços para acelerar a formulação de políticas e a alocação de recursos que estimulem uma cultura de proteção de dados serão bem-vindos.
*Victor Hugo Pereira Gonçalves é presidente do Instituto SIGILO - Associação de Defesa dos Titulares de Dados.
