Reportagem publicada originalmente em A Tarde, em 01/03/2020

Prevista para entrar em vigor em seis meses, a Lei Geral de Proteção de Dados (LGPD) caminha a passos lentos no Brasil. Aprovada pelo Congresso Nacional em agosto de 2018, a legislação determinou que os setores público e privado teriam pelo menos dois anos para se adequar aos dispositivos do texto, que traz regras sobre como dados pessoais podem ser coletados e tratados, estabelecendo direitos, exigências e procedimentos nessas atividades.

No entanto, o cenário atual aponta que o país ainda não está preparado para seguir as normas, que passam a valer em agosto deste ano. Na Câmara dos Deputados, por exemplo, tramita um projeto de Lei que prorroga para agosto de 2022 a vigência de maior parte da LGPD.

Especialistas ouvidos por A TARDE defendem que a legislação precisa ser implementada rapidamente. Com ela, o cliente vai poder deixar de ver informações pessoais fornecidas no momento da compra de medicamento em farmácia ou na criação de perfil em rede social, por exemplo, serem repassadas, sem consentimento, a outras empresas.

A LGPD é baseada em, pelo menos, três pilares. Um deles é a finalidade. A partir da vigência da lei, empresas privadas e entes públicos precisarão justificar às pessoas como aquelas informações serão utilizadas. O consumidor vai ter que saber também qual a necessidade da utilização de seus dados. Além disso, ele precisará ser informado que suas informações pessoais podem ser fornecidas para outros fins. Com base nisso, o cliente vai poder decidir se quer repassar seus dados.

O objetivo da lei é evitar casos como o da Agência Nacional de Vigilância Sanitária (Anvisa), que recentemente vazou dados pessoais sensíveis de usuários cadastrados para consumir medicamentos à base de canabidiol. Ou também o famoso o episódio envolvendo a empresa americana Cambridge Analytica, que utilizou informações de mais de 50 milhões de usuários do Facebook, sem o consentimento deles, para fazer propaganda política.

Para quem cometer violações como essas, a lei prevê multa de até 2% do faturamento da empresa, com teto de R$ 50 milhões, e outras sanções, que vão de advertência até proibição do direito de exercer atividades relacionadas ao tratamento de dados.

Dificuldades

A LGPD enfrenta, no entanto, dificuldades para implementação a partir de agosto deste ano. Pesquisa divulgada pela Serasa Experian, em meados do ano passado, apontou que 85% das empresas declararam não estarem prontas para atender às exigências da legislação. Outro problema é que a Autoridade Nacional de Proteção de Dados (ANPD), ente que será responsável por fiscalizar o cumprimento do texto, ainda não foi criada e também não teve seus integrantes indicados pelo governo federal.

Especialista em Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Bárbara Simão reclama que o processo de adaptação antes do início da vigência da lei ainda é lento.

“Existe uma grande dificuldade de empresas de se adequarem a isso. Foram dois anos para entrar em vigor, justamente para que as empresas consigam se adequar e realizar seus processos. É urgente que todo mundo comece a fazer isso o mais rápido”, defende ela, que classifica como “preocupante”, o projeto que pretende empurrar para 2022 a vigência da lei.

Ela reforça que a matéria é importante para que o consumidor volte a ter controle sobre a destinação dada a seus próprios dados, principalmente em tempos nos quais eles são facilmente coletados na internet. “O Brasil ainda precisa reforçar essa necessidade, essa cultura da proteção de dados”, pontua.

Direitos

Advogado da área de direito do consumidor, Cândido Sá conta que já atendeu a muitos casos nos quais brigas de casal ou entre sócios levaram à exposição de dados nas redes. Para situações assim ou outras como as citadas na reportagem, a pessoa lesada pode ingressar com ação na Justiça por danos morais e/ou materiais. “Muitas vezes, essas informações geram vários danos, como furtos e roubos, danos patrimoniais, subtração de algum valor”, explica Sá.

Ainda segundo ele, apesar de a LGPD ainda não ter entrado em vigor, ela já é usada como jurisprudência para aplicação de indenizações por exemplo. Ele defende que a aplicação da legislação é importante para combater um “mercado clandestino” de venda de dados.

Uso indevido por ser punido

Além da Justiça, o consumidor pode recorrer a outras instâncias, caso sinta que houve comportamento abusivo de empresa ou ente público ao pedir dados pessoais. Bárbara Simão explica que uma denúncia ao Procon pode ser formalizada ou também uma representação ao Ministério Público do Distrito Federal e Territórios (MPDFT), que possui uma Unidade Especial de Proteção de Dados e Inteligência Artificial. No caso dos baianos, o Ministério Público da Bahia também pode ser acionado.

A lei, no entanto, estabelece casos em que as informações pessoais podem ser usadas sem consentimento. É possível usar dados neste contexto se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Procedimentos

Além de não permitir que seus dados sejam utilizados, o consumidor pode solicitar que eles sejam deletados, revogar um consentimento, transferir informações para outro fornecedor de serviços, entre outras ações.

“A empresa pedir o dado não é ilegal, mas é preciso respeitar critérios, preceitos, para que não seja feita uma festa dos dados”, assinala Bárbara.

Para os setores público e privado, não há apenas obrigação em respeitar o consentimento do cidadão. Caso ele decida que os dados podem ser utilizados - ou a empresa/ente possua detalhes que podem ser coletados sem permissão - ela é obrigada a protegê-los, com administração de riscos e falhas, para evitar possíveis vazamentos. Isso quer dizer que quem gere base de dados pessoais tem a função de redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. É ainda função delas elaborar planos de contingência; realizar auditorias; e resolver incidentes com agilidade.