Enquanto no Brasil nos preparamos com antecedência para a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o noticiário internacional das últimas semanas já traz com maior frequência situações em que autoridades europeias e norte americanas desejam aplicar multas bilionárias a grandes companhias pelo mau uso de dados pessoais de seus clientes.
Na Inglaterra, o ICO (Information Commissioner’s Office), que é o Gabinete do Comissário de Informação no Reino Unido, anunciou a intenção de aplicar uma multa no importe de £183 milhões (aprox. R$ 850 milhões) à British Airways em razão de um massivo vazamento de dados ocorrido no ano passado, em que informações de cartões de crédito, endereços, detalhes de reservas de viagens e logins de aproximadamente 500.000 clientes chegaram ao conhecimento público.
Em sua declaração sobre o caso, a Comissária Elizabeth Denham pontuou que o vazamento de dados pessoais é “mais do que um inconveniente” e as companhias devem adotar as medidas essenciais “para proteger o direito fundamental à privacidade”, e destacou: “quando dados pessoais são confiados a você, você tem que zelar por eles.”
Lembrando que a GDPR (General Data Protection Regulation) prevê que uma empresa pode ser multada em até 4% de seu faturamento global, sendo que nesse caso a British Airways foi multada em 1,5% da sua receita de 2017.
Do outro lado do Atlântico, a FTC (Federal Trade Commission), entidade norte americana responsável pela proteção dos direitos dos consumidores, aprovou uma multa de US$5 bilhões (aprox. R$18,8 bilhões) contra o Facebook por manuseio indevido de informações pessoais de usuários, no que seria um marco histórico pelo valor da reprimenda, sinalizando uma reavaliação de postura dos órgãos reguladores, agora mais severa.
A autuação ainda tem que passar pela aprovação do Departamento de Justiça dos EUA, que raramente rejeita propostas dessa agência. Segundo o The New York Times, “o tamanho da penalidade ressaltou a crescente frustração entre as autoridades de Washington com a forma como os gigantes do Vale do Silício colecionam, armazenam e usam informações pessoais.”
A investigação que desaguou na autuação bilionária teve sua origem no famoso caso Cambridge Analytica, situação em que o Facebook permitiu à empresa de consultoria que coletasse informações pessoais de seus usuários para construir perfis políticos sem seu consentimento.
A FTC descobriu que o Facebook violava um acordo sobre privacidade de 2011 firmado entre as partes.
E no Brasil, o que esperar da Lei Geral de Proteção de Dados a partir de agosto de 2020?
A Lei n° 13.709/18, em sua versão final, já com as modificações introduzidas pela recém-publicada Lei n° 13.853/19, cria a Autoridade Nacional de Proteção de Dados (ANPD), cabendo a ela, dentre outras atividades, ‘fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso’, podendo ainda, ‘celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657/42’.
Vale dizer que o mau uso de dados pessoais pelos controladores e operadores inclui não só o muito comentado evento de vazamento, mas também de perda e o uso para fins diversos dos que foram coletados.
Se uma das hipóteses de tratamento de dados pessoais estabelecidas pela LGPD é pela obtenção de consentimento do titular, consentimento este que deve ser uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, qualquer tratamento fora desses parâmetros preestabelecidos e acordados poderá ensejar a autuação pela ANPD.
Assim, a despeito de discussões sobre a primordial competência da Autoridade, qual seja, de zelar pela proteção dos dados pessoais, elaborando diretrizes para uma política nacional de proteção de dados pessoais, promovendo na população o conhecimento das normas, estimulando a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, a ANPD poderá se destacar inicialmente pelo rápido uso do poder de polícia que lhe foi atribuído.
A Lei brasileira, em linha com a GDPR, também estabelece a possibilidade de aplicação de multas atreladas ao faturamento da pessoa jurídica (grupo ou conglomerado), podendo chegar a até 2%, limitada, no total, a R$50.000.000,00 por infração.
Da mesma forma prevê a possibilidade de se determinar a publicização da infração após apurada e confirmada a sua ocorrência, ou seja, a divulgação do mau uso dos dados pessoais ao mercado e à sociedade, um duro golpe reputacional, o que indiretamente também pode custar caro à empresa infratora.
Empresas situadas em mercados entendidos como de maior exposição, com perfil de negócio B2C (business-to-consumer), como o de Saúde, de Tecnologia da Informação, Financeiro, Telecomunicação e de e-Commerce, e que não estiverem em conformidade com a nova Lei, certamente poderão ser as primeiras a serem autuadas, correndo o risco de receberem multas elevadas em caráter pedagógico e disciplinar, com a ANPD indicando ao mercado que, desde início, adotará padrões elevados de rigor em um assunto mundialmente aquecido e relevante.
Em tempo: antes mesmo da entrada em vigor da Lei, o Poder Público já busca alinhamento com as novas diretrizes da proteção de dados. Exemplo disso foi o Termo de Ajustamento de Conduta (TAC) firmado no começo deste ano entre o Ministério Público do Distrito Federal e Territórios (MPDFT) e a empresa Netshoes. O acordo foi proposto pela Unidade Especial de Proteção de Dados e Inteligência Artificial do MPDFT após o vazamento de dados de quase 2 milhões de clientes em 2018.
A empresa deverá pagar indenização de R$ 500.000,00, que serão recolhidos mediante depósitos no Fundo de Defesa de Direitos Difusos (FDD).
O MPDFT recomendou ainda que a empresa entrasse em contato com todos os clientes afetados. Apesar de não terem sido reveladas informações como cartão de crédito ou senhas, o incidente de segurança comprometeu dados pessoais como nome, CPF, e-mail, data de nascimento e histórico de compras. Em março deste ano a empresa fez o contato com os clientes atingidos.
Neste cenário, o FIUS, com uma equipe multidisciplinar liderada pela área de Compliance, tem auxiliado seus clientes com as adequações às exigências da nova Lei, realizando, dentre outras atividades, workshops e treinamentos in company para públicos variados e customizados aos riscos e exposições de seus clientes, privilegiando objetividade e eficiência no tratamento do que deverá ser o assunto legislativo mais complexo e relevante às empresas nos próximos 12 meses.
Marco Aurelio Orosz
marco.orosz@fius.com.br