Especialista em Direito Digital fala sobre os impactos da LGPD no mercado de marketing

Com a proposta de enriquecer conhecimento sobre os impactos que a Lei Geral de Proteção de Dados vai trazer para o universo digital assim que entrar em vigor (em janeiro de 2021), a Predicta convidou o advogado Caio César de Oliveira para palestrar sobre o tema para seus colaboradores e convidados nesta sexta-feira, 15 de fevereiro. Caio se formou em Direito no Mackenzie, é mestre pela Universidade de São Paulo e professor da Fundação Getúlio Vargas.  Por ser especializado em Direito e Tecnologia, estuda a LGPD desde 2013 e nos trouxe muitos insights (que gostaríamos que compartilhar com vocês). 

• – 6 mitos e verdades sobre Mídia Programática
• – Futuro da Publicidade: como as pessoas estão consumindo propagandas
  – 10 motivos para você começar 2019 investindo em Programática

A palestra levantou uma série de assuntos que envolvem a proteção dos dados de usuários no meio digital, se aprofundando em vários aspectos da lei que, no Brasil, foi sancionada em agosto de 2018, passando a valer por aqui no ano que vem. E aí, já estão preparados? Temos um ano para nos adequar à legislação, então vamos aproveitar para entender porquê ela foi criada e quais mudanças vai trazer: 

Contexto e “empurrões” para a LGPD

Para iniciar e deixar todos na mesma página, o advogado trouxe casos recentes os quais envolveram dados de usuários e explicou o porquê da lei ter sido sancionada recentemente.

O primeiro ponto, fundamental dentro deste contexto, está nas informações que os aplicativos (mas não só eles) pedem acesso quando começamos a utilizá-los e quantas delas são, de fato, necessárias para a sua operação.

Para exemplificar este cenário, Caio citou apps de lanterna que, mesmo oferecendo apenas o recurso de iluminação no celular, pedem acesso a contatos e fotos do usuário. Outro exemplo, o Pokemon Go, febre mundial dos apps no ano passado, pede autorização até para mandar mensagens em nome dos usuários.

Até mesmo os apps de táxi já tiveram problemas por pedir acesso a fotos de seus clientes e até mesmo foram acusados de cobrar corridas mais caras por conseguirem detectar pessoas que estivessem com a bateria do celular por acabar. (Quão invasivo estes serviços podem ser, não?) 

Os casos de vazamentos de dados em grandes empresas também contribuíram para levantar as discussões. No início do ano passado, a Netshoes  anunciou um vazamento de dados de 2 milhões de consumidores. Até empresas de armas já tiveram casos do tipo.

Caio explicou que já existiam 46 leis setoriais que buscavam regulamentar a utilização dos dados, mas elas não eram efetivas o suficiente por falta de fiscalização.

Por mais que esses fatos já sejam suficientes para discutir ainda mais a lei, podemos considerar outros quatro acontecimentos que, de fato, foram os grandes “empurrões” para a LGPD: a vontade brasileira em fazer parte da OCDE (Organização para Cooperação e Desenvolvimento Econômico), o caso Snowden, o GDPR Europeu e o compartilhamento de dados entre Facebook + Cambridge Analytica.

Resumidamente

OCDE: para realizar o desejo de fazer parte da Organização, o Brasil precisa regulamentar a legislação que protege os dados usuários na internet.

Caso Snowden: o ex-funcionário da CIA e NSA divulgou documentos mostrando que os EUA espionavam e-mails no Brasil, inclusive os que envolviam a presidente Dilma Rousseff, o que levantou ainda mais a necessidade de uma fiscalização.

GDPR Europeu: a atualização nas medidas de proteção de dados na UE impuseram a possibilidade de multas de até 20 milhões de euros e impôs barreiras para transferência internacional de dados. Para se manter conectado a esse mercado europeu, o Brasil precisa se adequar a isso.

Caso Facebook + Cambridge Analytica: o Facebbok cedeu dados de 50 milhões de usuários para a empresa que participou da campanha de Trump em 2016, o que gerou polêmica em todo o mundo.

Mas o que são Dados Pessoais?

A Lei considera que dados pessoais são quaisquer dados pertencentes a pessoas naturais, sejam eles identificados ou identificáveis.

Identificados: são os dados que já bastam para identificar um determinado indivíduo. Ex: CPF
Identificáveis: dados que não necessariamente indicam exatamente um indivíduo. Ex: um nome comum que pode remeter a várias pessoas.

Além deles, ainda consta a categorias de dados pessoais sensíveis, como os atrelados a religião, vida sexual, filiação política etc. Para estes, a proteção é ainda maior e as multas ainda mais severas diante de irregularidades.

Outro ponto importante abordado na palestra foi o das 3 figuras que a Lei estipula e suas relações com os dados. São eles:

Titular: pessoa natural que tem o poder sobre os dados. Ele tem o direito a acesso, retificação, cancelamento, exclusão, explicação e portabilidade destes dados.

Controlador: pessoa natural ou jurídica que toma decisões sobre esses dados

Operador: quem segue as ordens do controlador sobre o que fazer ou não com os dados.

Os Princípios da Lei e as Hipóteses para Tratar Dados

A nova lei carrega também alguns princípios que devem ser respeitados diante de qualquer situação, especialmente no que se refere à finalidade da coleta dos dados e de como eles podem ser tratados após essa coleta.

Princípios

> a coleta deve se restringir à finalidade da aplicação, ou seja, não é permitido coletar mais dados do que os necessários para a operação de um aplicativo, ou para baixar um documento, por exemplo.
> as empresas precisam ter o compromisso de zelar pela segurança e prevenção de fraudes que envolvam os dados que coletam, inclusive em situações de vazamento.
> independente de serem sensíveis ou não, os dados não devem ser discriminados em hipótese alguma.

Hipóteses para Tratar os Dados (dentro de quais contextos é permitida o tratamento dos dados)

> Consentimento: livre, informado e para finalidade determinada. Não podem mais cláusulas genéricas. A pessoa precisa aceitar, ser ativa na aceitação;
> Necessidade de cumprimento de contrato: se um usuário faz a compra no site de uma loja com seus dados, mas o produto será entregue por um parceiro dessa loja, é permitido o uso dos seus dados;
> Administração Pública: dados usados para implementar políticas públicas;
> Dados usados para realizar estudo de órgãos de pesquisa;
> Processos Judiciais;
> Cumprimento de um dever legal;
> Proteção a um crédito;
> Tutela da vida e da saúde do indivíduo.

É importante saber que, se uma empresa tem parceiros que também utilizam dados de seus usuários e este parceiro não estiver de acordo com a Lei, a empresa também pode ser responsabilizada. Aliás, todas empresas envolvidas na “trilha” dos dados pessoais deste usuário podem ser penalizadas.

A confiança na efetividade da Lei está apoiada no conceito de Lawrence Lessig, professor da Faculdade de Direito de Harvard que afirma que a regulamentação da internet se apoia em 4 pilares: Direito, Mercado, Normas Sociais e Arquitetura de Rede.

No âmbito do Direito, a lei é sólida, com regras definidas. O mercado, por sua vez, vai se adequar a ela, visto que empresas que estiverem de acordo com as medias serão preferência. Nas normas sociais está o maior problema, que consiste no fato da cultura no Brasil não ser de proteção dos dados, mas de banalização deles. Na arquitetura de rede ela vai atuar desde já, obrigando as empresas a se adequarem a ela.

Surge então uma nova figura: a do Data Protection Officer (Encarregado de Proteção de Dados), cargo ocupado por uma pessoa ou empresa parceira responsável por entender o Business de cada companhia e analisar se o tratamento que ela dá aos dados é adequado e está de acordo com a lei. É possível também que um relatório de proteção a dados pessoais passe a ser exigido e, diante de irregularidades, é passível as seguintes penalizações:

> sanções de até 2% do faturamento ou 50 milhões de reais por infração (qual tiver valor maior)
> Multas diárias
> Publicização da problema
> bloqueio de dados pessoais.