Você, leitor, sabe o que empresas, bancos, órgãos públicos, hospitais e plataformas eletrônicas de compras e investimento estão fazendo com suas informações pessoais? Tem consciência do valor financeiro atribuído a esses dados? Já foi informado de que sua privacidade e a de sua família evaporaram e que, por essa razão, estão todos sujeitos a constrangimentos de natureza disruptiva? Alguém já lhe contou que, nos arredores da Igreja da Sé, região central de São Paulo, tem gente vendendo, por meio de “pen drives” (aqueles dispositivos que armazenam informações eletrônicas), bancos de dados em que podem constar o número do seu CPF, além de seu endereço residencial, onde trabalha e quanto ganha por mês, seus dados bancários, nomes de seus familiares, quanto você tem investido no bolsa etc.?
Nos Estados Unidos, a Target, uma das maiores redes varejistas do país, conhecida também por ações humanitárias, desconfiou que uma cliente estava grávida ao rastrear sua atividade na internet. A partir disso, começou a enviar àquela cliente, pelo correio, cupons de desconto para itens como fralda e roupas de recém-nascidos. A jovem vivia com os pais e ainda não tinha revelado a gravidez. Quando o pai estranhou a quantidade massiva de cupons que chegava diariamente à sua caixa postal, a verdade veio à tona e foi um Deus-nos-acuda.
Esse exemplo pode ser considerado anedótico por muitos, mas é bom pensar duas vezes antes de tirar essa conclusão. Que direito tem uma empresa de, a partir uma suposição decorrente de um rastreamento de informações não autorizadas, invadir a privacidade de um cliente, neste caso, de uma família?
Na China, onde se vê neste momento um acelerado e disruptivo avanço tecnológico, pivô do que aparenta ter deflagrado a “guerra fria” do século XXI, empresas começaram a traçar o perfil social de cidadãos a partir de seus hábitos de consumo e interesses pessoais, identificados por meio de sua atividade na internet. Com base no perfil social, cidadãos são excluídos da oferta de alguns bens e serviços, inclusive, do acesso a informações que deveriam estar disponíveis a todos.
A China é uma ditadura. Lá, as autoridades não precisam dar explicações sobre barbaridades cometidas pelo Estado contra os cidadãos, que, desta forma, não dispõem de proteção legal contra o arbítrio. Mas e nas democracias? Há proteção? Nesta era digital em que vivemos, em que muitas vezes o Estado e muitas empresas talvez saibam mais de nossas vidas do que a família, o cônjuge e o melhor amigo, é possível se proteger?
O mundo da internet é mais amplo que o mundo onde está inserida. Tem mais coisas que a feira de Caruaru. É maior que o Barra Shopping, o maior dos maiores. Supera em “população” as 20 maiores capitais do planeta, somadas. Na internet, acha-se tudo, inclusive, nada.
Nos EUA, um roteirista de séries para TVs abertas e canais pagos fez pesquisa na rede para saber como se enterra um defunto clandestinamente. Não demorou e o FBI, a polícia federal americana, bateu à porta do indigitado, suspeito de ser um perigoso assassino em série. Essa história é engraçada, mas contempla aspecto que deveria nos incomodar a todos: a perda de privacidade decorrente do uso indiscriminado de informações pessoais por empresas e governos, inclusive, em países democráticos.
Desde o último dia 18, o Brasil tem uma lei (nº 14.010/20) que trata da proteção de dados. Inspirada na legislação europeia, que foi uniformizada para aplicação nos 37 países da União Europeia, a lei brasileira é mais conhecida pela sigla LGPD (Lei Geral da Proteção de Dados).
Antes da LGPD, havia – e ainda há – prescrição legal sobre proteção de informações pessoais, observa o advogado Douglas Leite, na Constituição, no Código Civil, no Código de Defesa do Consumidor, na Lei de Acesso à Informação e no Marco Civil da Internet, além estar presente em mais de 40 normas.
A tramitação da LGPD começou em junho de 2012, foi aprovada em julho de 2019, entrou em vigor apenas no dia 18 deste mês, mas, legalmente, penalidades só podem ser aplicadas a partir de agosto de 2021. A lei fixou em 5% do faturamento das empresas o valor da multa, limitado a R$ 50 milhões por ocorrência, pelo descumprimento das normas.
A lei brasileira é, no papel, mais ampla que a GDPR (sigla em inglês do sistema legal de proteção de dados da UE). Esta cobre seis hipóteses de regulação do uso de dados pessoais, enquanto a do Brasil prevê dez. São elas: consentimento; legítimo interesse do controlador; cumprimento de obrigação legal; execução de políticas públicas; estudos por órgãos de pesquisa; execução de contrato; exercício regular de direitos; proteção da vida; tutela da saúde; proteção do crédito.
Somos bons na elaboração de leis, mas nem tanto na sua aplicação. Integrante da equipe do escritório japonês Licks Attorneys no Brasil, Douglas Leite diz que a legislação aprovada pelo Congresso é boa, mas ele chama atenção para o fato de o país só começar a aplicar as penalidades um ano depois do início de sua vigência.
A razão para isso é que a lei prevê a criação de um novo órgão público – a Autoridade Nacional de Proteção de Dados (ANPD) – para regular essa área, fiscalizar e punir infratores. Ora, isso não aconteceu e, espera-se, que isso seja feito antes de agosto de 2021, do contrário, o espaço para judicialização é grande.
“É bem difícil explicar a nossos clientes estrangeiros, que são a maioria na nossa base de clientes, que a lei está em vigor, mas, as penalidades, não”, diz Douglas Leite.
Em Brasília, o Ministério Público acionou judicialmente a Infortexto Ltda, empresa que supostamente vendia catálogos com informações de consumidores. Os procuradores já se basearam na LGPD. O juiz do caso arquivou a denúncia porque, ao acessar a site da empresa, não havia mais nada lá.
Um aspecto da nova lei que preocupa é a vinculação da futura ANPD à Casa Civil, isto é, à Presidência da República. Portanto, o novo órgão não terá independência operacional como outras agências reguladoras. A lei diz que o modelo funcionará dessa forma durante dois anos, mas não obriga a uma mudança depois desse prazo. (Valor Econômico – 23/09/2020)
Cristiano Romero é editor-executivo e escreve às quartas-feiras – E-mail: cristiano.romero@valor.com.br