No dia 14 de agosto de 2018 foi sancionada a primeira Lei Geral de Proteção de Dados (LGPD) do Brasil, sob nº 13.709/18. Com o ceticismo de quem enfrenta há anos o confuso e profuso sistema legislativo brasileiro, a tônica de conversas formais e informais na última semana foi: será que a lei vai pegar? Será que a lei vai me pegar? E, claro, quanto vai custar?
A resposta a todas essas perguntas é tanto dolorosa quanto positiva, por mais paradoxal que isso possa parecer.
Sim, a lei vai pegar. Não ter uma lei especial para a proteção de dados pessoais, ou pior, não aplicar essa lei, significa estar fora do mapa de quase 100 países seguros para coletar e tratar dados de indivíduos de outros territórios sem entraves burocráticos, algo indispensável para qualquer economia relevante no século 21. No mercado interno, indivíduos enfeitiçados com o mundo digital, porém avessos a abusos, prometem fazer valer seus direitos perante as autoridades públicas. Sendo um dos maiores mercados de usuários de internet e, ainda, um país com instituições sólidas no que concerne à defesa de direitos difusos, andar à margem da lei parece uma opção de risco muito elevado.
Sim, a lei vai te pegar. A LGPD se aplica a toda pessoa física ou jurídica, de direito público ou privado, que realize operações de coleta e/ou tratamento de dados realizadas no Brasil, operações que visem à oferta de bens ou serviços no território nacional, ou que tenham por objeto dados de indivíduos localizados no país. Cadastros de clientes estão incluídos nessas hipóteses? Sim. Análise de comportamento de indivíduos para o aperfeiçoamento de produtos ou prospecção de novos mercados? Também. Se há uma atividade econômica organizada para a produção ou circulação de bens ou serviços, no plano físico ou virtual, é quase certo que sejam coletados e utilizados dados pessoais em maior ou menor escala. E, fora das atividades empresariais, a lei é aplicada, salvo em exceções pontuais previstas na LGPD.
Quanto vai custar? Provavelmente mais do que qualquer empresário gostaria, e o motivo é simples: não se trata de uma simples atualização de contratos ou de termos de uso de website. A LGPD exige uma mudança conceitual e estrutural dos seus sujeitos. Finalidade, segurança e acessibilidade são alguns dos princípios que norteiam as regras da nova lei. E não é possível aferir a finalidade de uso dos dados coletados se não houver um mapeamento completo dos processos internos. Da mesma forma, não é possível fornecer acesso ao histórico e às informações de indivíduos se não houver registro do fluxo de coleta, armazenamento e exclusão de dados pessoais. E, ainda, não é possível garantir segurança aos dados coletados e armazenados se não houver uma revisão da infraestrutura de TI e do controle de acesso de cada funcionário e/ou prestador de serviços. Como se pode notar, não se trata de uma missão jurídica, mas um trabalho de longo prazo que envolverá profissionais de marketing, TI, compliance, RH, P&D, e, claro, do corpo legal.
Onde está o lado positivo das respostas? Na reconquista da confiança de usuários da internet quanto ao uso responsável dos seus dados pessoais, em troca de produtos ou serviços cada vez mais personalizados e menos onerosos. Serão mais usuários fornecendo dados pessoais, mais tratamentos realizados, mais algoritmos em desenvolvimento e mais soluções inovadoras e disruptivas a cada dia. A coleta e o uso de dados pessoais trazem enormes ganhos tanto no plano da economia quanto em âmbito individual para o exercício de direitos fundamentais. A troca de dados por benefícios é uma realidade aparentemente irreversível – resta tornar essa troca consciente e justa.
A LGPD chegou para construir as bases de uma economia digital sólida e sustentável. Em tempos em que os dados pessoais são a maior fonte de riqueza do planeta, as boas práticas transformam um direito individual de terceiro em um ativo empresarial.
* Advogado