LGPD: os direitos dos titulares de dados
Lucas Paglia e Alan Novaes*
Vivemos em uma era transformacional que é caracterizada por alguns fenômenos. Nela, os consumidores possuem cada vez mais a sensação de poder nas relações de consumo e, no âmbito empresarial, os funcionários começam a ganhar voz fazendo com que sejam atendidos em suas demandas de bem-estar e transparência na relação com as organizações onde trabalham. É um tempo em que diversos aplicativos e ferramentas têm sido criadas dando maior autonomia a seus usuários e, como contrapartida, as empresas que os concebem utilizam os dados dos usuários para mapeamento de perfil e aumento de faturamento.
Sem sombra de dúvidas, somos atores em um cenário complexo e sensível que demandou o estabelecimento de regras novas para garantir mais segurança nas relações sociais e de consumo. Uma das principais derivações dos nossos tempos é o estabelecimento de limites e direitos no uso e tratamento dos dados pessoais.
No Brasil, a Lei Geral de Proteção de Dados (LGPD), sancionada em 2018 pelo ex-presidente Michel Temer e com prazo para entrar em vigência em agosto de 2020, tratou de elencar esses direitos em seu artigo 18, especificando como e quais os prazos para que os titulares possam solicitar junto às empresas as informações sobre quais de seus dados estão em poder de terceiros.
Em termos práticos, o leitor poderá, muito em breve, exigir que qualquer empresa confirme se seus dados (e quais deles) estão em sua base. Poderão solicitar a correção daqueles que estejam incorretos ou desatualizados e, ainda, limitar o uso e mesmo solicitar a exclusão de informações. Ademais, conseguirá exigir a portabilidade das informações no caso de mudar de fornecedor — como quando se troca, por exemplo, de operadora de telefonia.
Impensada antes do advento da Internet, mecanismos como a LGPD são positivos. Afinal, o rol de direitos dos titulares deverá proporcionar mais transparência e integridade em relação ao tratamento dos dados, oferecendo mais segurança, não só aos usuários, mas também a todo o ambiente das relações de consumo.
A visão otimista, entretanto, não elide os riscos. Se as empresas e organizações não adotarem práticas apropriadas, haverá prejuízos financeiros e de reputação. É uma perspectiva inexorável. Na Europa, cujo sistema de proteção — o GDPR (General Data Protection Regulation) — serviu de base à LGPD e está em vigor há quase dois anos, já são diversos os casos de organizações multadas e atingidas por escândalos de reputação.
Uma das multas mais recentes aconteceu na Bélgica. Foram € 2.000 (R$ 9.300) aplicados pela Autoridade de Proteção de Dados belga (DPA – Data Protection Authority) a uma entidade sem fins lucrativos que não atendeu a uma solicitação de uma pessoa que queria acesso a seus dados. Por sorte, a multa envolveu um caso isolado, mas é possível imaginar o estrago financeiro para empresas que gerem massas de informações que ultrapassam os milhares de clientes ou usuários.
Ainda há dúvidas quanto a aplicabilidade e eficácia da nova LGPD no Brasil. Porém, alguns juristas como o ministro do STJ Paulo de Tarso Sanseverino defendem que haverá uma nova onda de demandas ao Judiciário — algo similar ao número de consultas do Crédit Scoring (acima de 200 mil ações).
A esta estimativa, pode-se agregar os casos de mau atendimento e falta de resolução dos problemas dos clientes pela via extrajudicial, sem contar as situações em que haverá demandas por indenização nas esferas judiciais ou extrajudiciais.
A perspectiva parece ser confirmada por um estuda da consultoria Gartner. O levantamento estima que 70% das empresas brasileiras não estarão, em agosto, prontas para atender às exigências da LGPD.
Um exemplo prático dessa possível nova realidade é do aplicativo “We Are David”, que levantou os e-mails dos encarregados de dados (DPOs – Data Proteccion Officer) de todas as grandes empresas da Europa. A ferramenta permite que os usuários enviem mensagens a este encarregado solicitando informações sobre seus dados.
Conforme reza o artigo 19, inciso II, da LGPD, a empresa/terceiro deverá fornecer as informações solicitadas no prazo de 15 dias — metade do prazo mínimo exigido na Europa e um terço do da Califórnia, apenas para ficar em dois exemplos.
Diante do exposto, fica evidente o aumento do poder e da sensação de segurança dos titulares em relação aos seus dados, a imposição de limites e a consequente diminuição na informalidade das empresas e terceiros no tratamento deste material.
Num momento em que as redes sociais potencializam a repercussão de boas e más notícias, criando um cenário de espetáculo frequente, os consumidores reagem de forma mais intensa aos acontecimentos. Estar em conformidade com as leis, atendendo as regras para proteção e privacidade dos dados pessoais dos consumidores, é extremamente necessário e, sendo assim, as empresas devem encarar este momento com seriedade, executando as práticas de compliance e boa gestão para diminuir riscos financeiros e reputacionais. Ainda há tempo de se adequar. Quem optar por correr riscos poderá ter sérios problemas com a LGPD.
*Lucas Paglia, sócio da P&B Compliance, advogado especialista em gerenciamento, mitigação e mapeamento de risco, pós-graduado em Compliance pela Fundação Getúlio Vargas e certificado pelo Insper em Proteção de Dados & Privacidade
*Alan Novaes, analista de Compliance Tech e Data Privacy na P&B Compliance
