Sensibilidade do tema não pode podar e destruir a criatividade do empreendedor
Imagine um grupo de amigos ou empresários, que queiram vender cachorro-quente e hambúrgueres pela internet após um final de semana delicioso de testes; ou após um brainstorm, estejam idealizando alugar e alienar imóveis por meio virtual; ou, ainda, planejando um site de viagens exóticas ou de compras online de luxo. Todos os negócios acima e muitos outros, disruptivos, incrementais ou singelos (até mesmo aquela pizzaria do seu bairro vendendo por aplicativo aos domingos) estão no mundo atual, virtual ou físico e sujeitos à Lei Geral de Proteção de Dados (LGPD). O simples fato de você coletar ou processar dados com a finalidade de monitorar os comportamentos dos seus usuários, criar estudos comportamentais, análises de mercado etc. o vincula às exigências da LGPD.
O problema é que a maioria dos pequenos e médios empreendedores não possuem conhecimento, infraestrutura e capital para receber e tratar os dados pessoais com todas as restrições e adequações que a lei impõe. Pior, muitas vezes não sabem o ativo intangível que têm nas mãos e a oportunidade (capacidade que poderiam ter) de tratá-los seja para incrementar os seus negócios, seja para aliená-los a outros agentes econômicos, como, por exemplo, agências de publicidade.
Conhecer o seu consumidor, saber seus hábitos, poder de compra, onde mora, quanto ganha, vontades, frustrações, religião, credo, tipo sanguíneo etc., pode ajudar nas ações comerciais e no desenvolvimento de outros produtos.
E fazer isto não é ilegal, mas é importante seguir os parâmetros da LGPD. Uma política de privacidade clara quanto ao tratamento de dados é de vital importância não só como forma de transparência, como também para evitar as sanções administrativas, como aprofundaremos logo abaixo.
A LGPD é direcionada ao tratamento de dados pessoais, ou seja, de pessoas naturais (pessoa física), tem grande importância no mercado de startups, pois segundo os resultados da pesquisa realizada pela empresa Cortex[1] (especialista em inteligência de dados), em 2022, havia 11.562 startups ativas no Brasil, sendo 50% delas (28% no segmento de Tecnologia da Informação, 16% do Varejo e 6% no setor Financeiro), manipulando dados sensíveis de pessoas físicas, justamente o foco na lei em comento.
Naturalmente, o holofote aponta algumas áreas, quando se trata de tratamento de dados, como as empresas de tecnologia Google, Facebook e Twitter (as big techs); as fintechs Pismo, TransferWize, Singu; as indústrias farmacêutica e de telefonia; entre outras, pelo grande fluxo de dados e a chance de “falhas” em sua manipulação[2], sem informação e tampouco, o consentimento do titular.
Com a promulgação da LGPD[3], que regula o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, bem como, a criação da Autoridade Nacional de Proteção de Dados (ANPD) que tem como objetivo regular, normatizar, fiscalizar e sancionar o cumprimento da legislação, através de Guias, Portarias e Resoluções[4], os agentes econômicos sabem as regras do jogo.
É bem verdade, que a LGPD somente aprofundou o tema sobre a proteção de dados pessoais. A Constituição Federal de 1988 já assegurava, no inciso X, do seu Art. 5º[5], a todos, o direito à intimidade. Ao longo do tempo e com o desenvolvimento tecnológico, outras leis como a Lei de Acesso à Informação (Lei nº 12.527/11) e, posteriormente, o Marco Civil da Internet (Lei 12.965/14) sinalizaram a necessidade de regular o tratamento de dados e a sensibilização no que diz respeito ao resguardo dos dados pessoais que transitam dentro das organizações e a interação destas com a sociedade civil.
Explica-se: associações, sociedades empresárias, fundações colhem dados pessoais da população e, não raro, alienam esses dados para terceiros sem o consentimento de seus titulares. No entanto, todas as previsões legais anteriores, previam apenas a reparação a eventuais danos. A LGPD prevê a aplicação de medidas coercitivas em decorrência do não cumprimento às obrigações impostas, sem a necessidade de haver efetivamente um dano.
No mesmo caminho, a própria Agência Nacional de Proteção de Dados (ANPD) deverá se manifestar em breve quanto a possibilidade de tratamento de dados pessoais sensíveis ou somente os dados “comuns” divulgados pelo próprio titular (influencers, jornalistas e artistas por exemplo), sem o consentimento, da mesma forma que prescreve o parágrafo quarto do artigo 7º[6] da LGPD, e da mesma forma entende a jurisprudência[7].
A manipulação de dados conversa com o propósito da empresa (será diferente o propósito da coleta de dados se a empresa é de propaganda ou uma pizzaria) e estáão atreladaos a três grandes princípios da LGPD: finalidade, adequação e necessidade.
Para cumprir a LGPD, o empreendedor deverá adotar uma série de medidas eficazes para atender aos princípios da Lei, de forma a garantir a transparência e a segurança dos dados pessoais dos titulares[8], bem como a elaboração de uma política de privacidade e termos de uso[9] atrelados de forma íntegra aos objetivos do seu negócio e refletindo o real tratamento de dados, justamente para evitar a aplicação de eventuais sanções legais, que podem chegar a multas de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração e podendo resultar em suspensão das atividades de tratamento de dados pelo período de 6 (seis) meses[10].
As sanções aplicadas pela ANPD deverão respeitar a dosimetria da pena, ou seja, a aplicação da pena pela Autoridade deverá sopesar, entre outros pontos, a gravidade e a natureza da infração, a boa-fé do infrator e a reincidência. Os princípios da razoabilidade e da proporcionalidade devem, portanto, serem respeitados.
Deve-se tomar cuidado também com as jurisdições. Empresas que trabalham em vários países devem respeitar as Leis de Proteção de Dados de cada um deles. Curioso destacar que em alguns países, como nos Estados Unidos, cada Estado possui uma regulamentação própria o que dificulta o cumprimento de todas as regras (imagine uma empresa de games virtuais, qualquer cidadão do mundo pode baixar o jogo disponibilizado nas plataformas de compra, como atender às especificidades de cada legislação?).
Em especial quanto as startups, objeto deste artigo, o Marco Legal estabeleceu no artigo 57-J, inciso XVIII, que a ANPD deveria editar regras simplificas para as Startups, diminuindo, assim, os riscos e custos para os empreendedores e protegendo os titulares dos dados.
A ANPD, seguindo essa diretriz, simplificou as regras sobre tratamento de dados com a edição da Resolução CD/ANPD 2 de 27 de janeiro de 2022, definindo que:
a) A empresa escolhe a forma de responder o pedido feito pelo Titular (digital, impresso ou outro meio que possa afirmar a garantia do direito para o Titular);
b) O Mapeamento de Dados pode ser simplificado e o agente de pequeno porte poderá se valer do modelo sugerido pela Autoridade Nacional de Proteção de Dados (ANPD);
c) O agente de pequeno porte terá flexibilização de comunicação de ocorrência de incidentes (Ex: vazamento de dados e uso indevido de informações) e estes serão comunicados a Autoridade Nacional de Proteção de Dados (ANPD) de maneira simplificada;
d) Não há a obrigatoriedade de nomeação de um Encarregado pelo tratamento de dados, no entanto, caso o agente de pequeno porte opte por nomear um, será considerado para a Autoridade Nacional de Proteção de Dados (ANPD) como uma prática de boa governança na empresa;
e) Em caso do agente de pequeno porte não nomear um Encarregado de Proteção de Dados este, ainda assim, deverá disponibilizar um canal de comunicação com nome, e-mail, telefone e endereço para que o Titular de Dados se comunique e exerça seus direitos;
f) O agente de pequeno porte terá direito a criação de Política Segurança de Informação simplificada;
g) Para os agentes de pequeno porte será concedido prazo em dobro para o atendimento a solicitação dos Titulares.
Afora as vantagens acima, é sempre muito recomendado – e atenuante às sanções administrativas[11] – a startup possuir um código de conduta e ética (a cultura da empresa certamente refletirá a forma como ela tratará os dados pessoais) tratando do tema da privacidade, com treinamentos periódicos dos colaboradores e a criação de um comitê de tratamento de dados e a contratação de um DPO.
Por outro lado, a flexibilização da lei não se aplica aos agentes que realizam tratamento de dados de alto risco, na hipótese de alcance de receita bruta superior a 16 milhões de reais ou vínculo a grupo econômico de fato ou de direito que também ultrapasse os limites de faturamento, conforme o caso.
Em um país em que somente 20% das empresas se adequaram a LGPD, mas que, paradoxalmente, 87% dos usuários da internet afirmaram que já deixaram de fazer alguma atividade nela (internet)[12], uma empresa nascente não pode se dar ao luxo de não seguir as importantes regras e princípios da LGPD.
Episódios de vazamentos, utilização de dados de forma inadequada[13] se tornaram tão comuns, que sequer tem destaque nos jornais e sites de notícias[14].
Em um mundo digital e conectado, espera-se, ao contrário, que os fundadores das startups se preocupem com o tema e sigam as regras, mesmo que simplificadas, protegendo a intimidade e a privacidade dos dados coletados de seu público.
A preocupação é grande, mas a latente sensibilidade do tema e a necessidade de propagação da cultura da proteção de dados não pode podar e destruir a criatividade do empreendedor; pelo contrário, espera-se que sabedores dos desafios, os empreendedores consigam prosperar, sem advertência ou multas, só com bons conselhos, cuidando para que no mundo virtual não haja vazamento de dados, diminuindo-se os custos e riscos de seus negócios!
Avante!
Para quem quer saber mais, recomenda-se assistir ao filme Jogador nº 1, de Steven Spielberg, para uma ideia futurística do que será o mundo virtual em 2045 e a leitura do relatório “Análise de Dados de Ações Judiciais relacionadas à LGPD em 2022” aprofundando o tema das ações judiciais no Brasil.
_____________________________________
[1] Pesquisa revela quantidade de startups no Brasil e seus setores de atuação. Gazeta do Povo, 2022. Disponível em: https://www.gazetadopovo.com.br/gazz-conecta/pesquisas-e-tendencias/pesquisa-revela-quantidade-de-startups-no-brasil-setores-atuacao/. Acesso aos 20.jun.2023.
[2] Juizado Especial Cível. Recurso Inominado. Consumidor. Serviços de Telefonia. Falha na Segurança de Dados. Difusão a Terceiros. Golpe do Boleto Falso. Falha na Prestação dos Serviços. Responsabilidade da Operadora de Telefonia. Fortuito Interno. Sentença Mantida. […] 2. Evidente falha na segurança da recorrente, uma vez que dados pessoais – nome completo, data de nascimento, CPF, endereço e e-mail – e dados contratuais – número do contrato e dados sobre a dívida – foram indevidamente difundidos, possibilitando a dissimulada renegociação da dívida por terceiros, seguida do pagamento de boleto falso, em prejuízo da consumidora. 3. Nos termos do art. 6º, incisos VII e VIII, da Lei n.º 13.709/2018 – Lei Geral de Proteção de Dados Pessoais – LGPD, a recorrente, na condição de agente de tratamento de dados, é responsável por cuidar dos dados por ela controlados, observando a boa-fé e os princípios da segurança e da prevenção, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. 4. Uma vez que a operadora de telefonia não zelou pela proteção dos dados da consumidora, permitindo que informações pessoais e contratuais fossem indevidamente difundidas, deve responder objetivamente pelo dano causado, em virtude da falha na prestação do serviço, nos termos do art. 14 do CDC. O tipo de fraude praticada na hipótese é evento que está ligado à organização do negócio explorado – teoria do risco da atividade -, razão pela qual o dever de indenizar os prejuízos causados não pode ser excluído, dado que compreende caso de fortuito interno. Precedentes: acórdãos n.º 1229667 e 1421453. 5. Recurso CONHECIDO e NÃO PROVIDO. Sentença mantida por seus próprios fundamentos. Sem condenação em honorários, ante a ausência de contrarrazões, conforme art. 85, § 2.º, inciso IV do CPC/2015. Na forma do art. 46 da Lei n.º 9.099/1995, a ementa serve de acórdão.
(TJDFT. Processo n. 0701703-75.2022.8.07.0003. Relator: Rita de Cássia de Cerqueira Lima Rocha. Julgado aos: 16.set.2022. DJe: 10.out.2022 – grifos nossos).
[3] Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
[4] Brasil. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências.
[5] Brasil. Constituição da República Federativa do Brasil de 1988. Art. 5º. X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.
[6] Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; […] § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
[7] Agravo de Instrumento. Ação Inibitória. Responsabilidade Civil. Lei Geral de Proteção de Dados. Informações Processuais Disponibilizadas em Plataforma da Internet. Mera Reprodução de Informações Públicas. Caráter Informativo e de Interesse Público. Verificando-se que a plataforma coleta os dados pessoais cujo acesso é público e/ou tornados manifestamente públicos pelos titulares disponíveis em fontes oficiais, como as bases de dados da Plataforma Lattes/CNPQ, dos Diários Oficiais e do INPI, não há que se falar em conduta ilícita – Nos termos do art. 7º, §§ 3º e 4º da LGPD, é dispensada a exigência do consentimento para o tratamento de dados tornados manifestamente públicos pelo titular, observada a finalidade que justifica a sua disponibilização – No caso de dados de processos judiciais, há interesse da comunidade jurídica e mesmo dos cidadãos nas análises e considerações realizadas pelo Poder Judiciário sobre determinado tema. Sobressai, portanto, o caráter informativo e de interesse público dos dados divulgados – Recurso desprovido. (TJMG. Agravo de Instrumento n. 0260186-02.2022.8.13.000. Relatora Lílian Maciel. Data de Julgamento: 19/10/2022. DJe 20.out.2022).
[8] Os princípios aptos a assegurar a proteção de dados pessoais estão descriminados no artigo 6º da Lei nº 13.709 de 2018.
[9] Infelizmente, os textos, muitas vezes são padronizados e desalinhados com os valores e objetivos da startup.
[10] Não é crível punir uma pequena oficina mecânica que atende via aplicativo da mesma forma que gigantes da era virtual como Google e Facebook. A primeira, com esforço seguirá a Lei, que é para todos, lógico, mas as segundas possuem departamentos inteiros só para cumprir e zelar (ou assim se espera) pelos dados coletados.
[11] Brasil. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; IX – a adoção de política de boas práticas e governança.
[12] Dados da Pesquisa Nacional 2022-2023 Privacidade e Proteção de dados pessoais – cenário brasileiro e tendências. Grupo Daryus e Instituto Daryus de Ensino Superior Paulista. Pág. 26.
[13] Apelação Cível. Ação de Indenização Julgada Improcedente. Material […] produzido para compilar indevidamente e expor dados pessoais, informações sigilosas, documentos de identificação, número de telefone, endereços residenciais, comerciais e eletrônicos, de indivíduos identificados por seu posicionamento ideológico e político. Deputado Estadual que potencializou a divulgação do material, com contínua atualização e instigando, com veemência, seus seguidores a providenciarem o fornecimento de novos nomes e respectivos dados, para dar dimensão ainda maior a documento que faz perversa e indiscriminada associação entre as pessoas ali constantes, com ativistas de grupos de extermínio e terroristas. Imunidade parlamentar que não se presta a servir de pretexto ao exercício de práticas fraudulentas, obscuras e artificiosas, tampouco a legitimar atividades ardilosas, com intuito de alterar a verdade da informação, para imputar fato desonroso à reputação de terceiros. Dano moral configurado. Valor arbitrado em R$ 15.000,00. Sentença reformada. RECURSO PROVIDO. (TJSP. Processo n. 1013003-58.2021.8.26.0005. Relator Márcio Boscaro. Julgado aos 16.jan.2023). (realce nosso)
[14] https://g1.globo.com/ma/maranhao/noticia/2023/03/24/justica-do-maranhao-condena-facebook-a-indenizar-brasileiros-que-tiveram-dados-vazados.ghtml, acesso Junho de 2023.
Artigo publicado originalmente no site www.jota.info, em 05 de Julho de 2023.
Comments