Blog

Lei de proteção de dados da União Europeia completa um ano hoje

Raphael Di Tommaso

O respeito à privacidade é, atualmente, um dos temas mais discutidos no mundo da tecnologia. E não é para menos: após décadas sem qualquer tipo de regulamentação eficaz, o GDPR (Regulamento Geral Sobre a Proteção de Dados) se tornou um marco global para a proteção dos dados pessoais. Além de coibir uma série de abusos frequentemente praticados por empresas de todos os portes, o GDPR vem ganhando o mundo, inspirando leis em países como Japão, Coreia do Sul, Índia, México, Austrália e Brasil.

O GDPR começou a valer há exatamente um ano, em 25 de maio de 2018. Os números até agora indicam que as empresas entenderam o recado e estão se adequando. E as que não levaram a sério estão pagando o preço: até o momento, já foram 56 milhões de euros em multas, valor que pode ultrapassar a casa dos bilhões nesses próximos meses.

De acordo com pesquisa realizada pela Associação Internacional dos Profissionais de Privacidade (IAPP), cerca de 500 mil organizações europeias já contam com DPOs registrados (Data Protection Officers, o equivalente ao “encarregado” da LGPD). Nesse primeiro ano, as autoridades receberam 280 mil casos para análise, 144 mil reclamações individuais e 89 mil notificações de vazamento de dados - e os números não param de crescer.

Agora vamos à pergunta que não quer calar: o que podemos esperar por aqui a partir do ano que vem, quando começa a valer a nossa LGPD (Lei nº 13.709/2018 - Geral de Proteção de Dados Pessoais)? Ainda é cedo para saber. Afinal, como diria o ex-ministro Pedro Malan, “No Brasil, até o passado é incerto”. Alguns casos paradigmáticos, todavia, devem servir de balizadores. Separei os 5 que considero mais relevantes até o momento. Vamos a eles:

 

1. Google: and the winner is…

A gigante Google é detentora de mais um recorde mundial: a maior aplicada até agora por violações da GDPR. Tomou um revés de 50 milhões de euros com a penalidade aplicada pela CNIL, autoridade francesa de proteção de dados, em razão da falta de transparência, informação inadequada e falta de consentimento válido para a personalização de anúncios. De acordo com a CNIL, informações essenciais, como as finalidades do processamento de dados, o tempo de guarda dos registros e as categorias de dados pessoais usadas para a personalização de anúncios estavam excessivamente espalhadas em diversos documentos, requerendo uma série de cliques para acessar informações complementares. Outros fatores também foram destacados, como o fato de a opção para personalização de anúncios estar previamente selecionada no momento de criação da conta. Mas fiquem de olho, pois um caso envolvendo o Facebook pode render à empresa de Zuckerberg multa de até 2 bilhões num futuro próximo (que comecem os jogos!).

O caso é relevante para a LGPD por diversas razões. Em primeiro lugar pelo valor. Nossa lei permite a aplicação de multas de até R$ 50 milhões ou 2% do faturamento anual. A multa aplicada ao Google certamente será utilizada como parâmetro pela ANPD (Autoridade Nacional de Proteção de Dados) e pelo Judiciário quando chegar a hora. Além disso, outros aspectos importantes estão presentes, dentre os quais o princípio da transparência e os requisitos para o consentimento.

 

2. Knuddles: pelo menos você tentou.

O serviço de chat alemão Knuddles é um bom exemplo das vantagens de estar compliant com a legislação. Mesmo sendo responsável por um grave vazamento de dados, que comprometeu as senhas e endereços de e-mail de 330 mil usuários, a empresa foi multada em apenas 20 mil euros, graças às boas práticas adotadas. A punição foi atenuada em razão da agilidade da empresa para comunicar a autoridade e os titulares e da rápida implementação dos procedimentos de segurança recomendados.

A relevância para a LGPD tem fulcro na previsão legal para utilizar por parâmetros aspectos como a boa-fé, a cooperação, a adoção demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas. Em suma, não são apenas a gravidade e a extensão do dano que serão consideradas no caso de incidentes, mas também o comportamento do agente antes e após a ocorrência.

 

3. Centro Hospitalar Barreiro Montijo: ai, que burro, dá zero pra ele!

Se o caso anterior demonstra as vantagens de estar compliant com a lei, esse é o exemplo oposto: as desvantagens de não dar bola para a regulamentação. O hospital português foi multado em 400 mil euros sem que houvesse qualquer vazamento de dados, apenas pelo descaso demonstrado. As autoridades constataram a permissão de acesso aos dados dos pacientes a um grande número de usuários: havia 985 perfis com nível de acesso de médico em um estabelecimento com apenas 296 médicos. E mais: todos podiam acessar os dados de quaisquer pacientes, inclusive os de outros profissionais.

Além de servir como parâmetro para a aplicação de sanções administrativas – dessa vez como mau exemplo – o caso é extremamente relevante para a LGPD por outra razão: diz respeito ao tratamento de dados considerados sensíveis pela legislação, que requerem, portanto, um grau de zelo ainda maior.

 

4. ICO: casa de ferreiro, espeto de pau.

O ICO (Information Comissioner’s Office), órgão regulador de informação no Reino Unido, foi pego de calça-curta. Após um pedido de informação solicitando uma cópia da política de uso dos dados pessoais de sua equipe, teve que responder que “ainda estava em construção”. Eles até tentaram remendar depois, dizendo que a política já havia sido desenvolvida, mas estava sendo atualizada em razão do aumento da equipe (hein?). Disseram, ainda, que os empregados estavam a par das políticas e procedimentos concernentes ao processamento de suas informações pessoais e que a versão final seria publicada no site “em breve”.

Por aqui, a ANPD será vinculada diretamente à Presidência da República e deve observar, portanto, às previsões legais concernentes ao tratamento de dados pessoais pelo poder público. A conferir.

 

5. HMRC: a serviço secreto de Sua Majestade.

O Her Majesty’s Revenue and Customs, responsável, dentre outras coisas, pela coleta de impostos no Reino Unido, decidiu apagar 5 milhões de gravações de voz utilizadas para a criação de identidades biométricas. As vozes dos titulares, gravadas sem consentimento expresso, eram utilizadas como uma espécie de senha de acesso ao sistema, com vistas a acelerar o atendimento aos usuários. Diversos outros bancos e organizações utilizam o mesmo sistema, apelidado de “minha voz é minha senha” e, para que possam continuar a usá-lo, precisarão obter consentimento dos titulares.

Nesse caso estão em análise, mais uma vez, o tratamento de dado pessoal sensível (dado biométrico vinculado a pessoa natural), a obtenção de consentimento e o uso de dados pelo poder público. Além disso, é abordado o direito à eliminação de dados e uma das questões que traz mais incertezas aos agentes de tratamento: como se dará a adequação dos bancos de dados constituídos antes da vigência da LGPD às novas exigências?

 

Esses são apenas alguns casos desse primeiro ano de GDPR e ainda temos mais de um ano pela frente antes da vigência da LGPD. É de se esperar, no entanto, que sirvam de balizadores não apenas para a futura aplicação de sanções, mas também no próprio processo de regulamentação da lei, após a constituição de fato da ANPD. Vale a pena ficar de olho.

Voltar