data-filename="retriever" style="width: 100%;">Foto: Pedro Piegas (Diário)
Academia de Santa Maria trabalha com adequações nos contratos para garantir cumprimento da legislação
Os anúncios de produtos que são objeto de desejo do consumidor que aparecem nas páginas da internet entregam o novo momento do relacionamento entre consumidor e empresa. Os algoritmos parecem conhecer a aspiração dos internautas e isso só é possível porque a tecnologia modificou a forma como compramos e nos relacionamos em sociedade. Uma das maneiras de obter esses dados são os cookies, arquivos de textos que armazenam as preferências de quem navega em um endereço da web. É por isso que muitos sites têm pedido permissão para armazenar cookies. Para regulamentar a posse dessas informações, tanto no ambiente virtual como físico, a Lei Geral de Proteção de Dados entrou em vigor no dia 18 de setembro.
A professora Rosane Leal da Silva é doutora com pesquisa em direito e internet, pesquisadora do Núcleo de Direito Informacional (NUDI), professora da Universidade Federal de Santa Maria e da Universidade Franciscana. Ela explica os perigos do uso indiscriminado dos dados. Segundo ela, as informações pessoais viraram objeto de negociação entre empresas por permitirem, entre outras coisas, a oferta de produtos e serviços e até mesmo a construção de perfis políticos e direcionamento de escolhas em processos eleitorais:
- Empresas como Facebook, por exemplo, constituíram-se e se transformaram rapidamente em gigantes da internet à base dos dados pessoais dos seus usuários. Posteriormente esses dados pessoais dos internautas são negociados com outras empresas e são utilizados para as mais variadas finalidades.
João Pedro Seefedt pessoa, mestre em Direito pela UFSM e pela Universidad de Leon, na Espanha, em linhas de pesquisa sobre cibersegurança, presta assessoria a empresas e pessoas físicas. Ele trabalha há 3 anos como pesquisador e há um ano como advogado na área. Segundo ele, as empresas, os titulares de dados pessoais e a sociedade como um todo precisam entender que o assunto exige em uma mudança cultural:
- Assim como o Código de Defesa do Consumidor, que ordenou uma mudança de postura na década de 90 no mercado, a nova legislação implica no entendimento de que os dados pessoais são ativos da empresa, possuem valor, e que por isso precisam ser protegidos. Não é mais só o direito à privacidade, o consumidor passa a ter o direito de controlar e de ser informado sobre o tratamento dos seus dados pessoais.
O empresário Ericson Urach, 33 anos, proprietário de uma academia de ginástica em Santa Maria já contratou assessoria jurídica para se adequar à lei. A empresa conta com duas unidades e, antes da pandemia, chegava a trabalhar com quase 2 mil alunos. Conforme Urach, a academia está implantando o sistema de reconhecimento facial e já utiliza a biometria para a liberação de catraca de acesso à academia. Como estes dados são considerados sensíveis, a empresa está adequando os contratos com os clientes.
- Estamos tomando os cuidados em relação ao que manda a lei. No novo contrato vamos contemplar tudo que a legislação nova exige. O investimento não é barato, mas como a gente priva pela entrega da prestação do serviço e a nossa ideia é crescer cada vez mais, achamos importante caminhar junto com a lei e passar essa confiança para o cliente - diz Urach.
style="width: 50%; float: right;" data-filename="retriever">
ATUALIZAÇÃO
Um exemplo da necessidade da legislação é a responsabilidade também com a atualização dos dados dos usuários. O assunto fez parte do cotidiano de milhares de brasileiros que precisaram buscar o auxílio emergencial do governo durante a pandemia.
É o caso do estudante de Filosofia Arthur Silva Fachi, 22 anos. Apesar de ter sido desligado da Força Aérea Brasileira em 1º de março, ao tentar acesso ao benefício, algumas semanas depois, ele não conseguiu. É que no banco de dados do governo e do Dataprev, ainda constava o vínculo dele com a FAB. Na época, Arthur tinha um bebê recém-nascido e precisava do dinheiro. Ele acabou procurando um advogado para tentar obter o auxílio.
- Isso atrasou em quatro meses a liberação do benefício e eu tinha um filho pequeno. É uma situação bem incômoda essa desatualização do governo federal e acredito que deve ter sido bem pior com outras pessoas, porque no meu caso ainda se resolveu - diz o estudante.
O supervisor comercial da Câmara de Dirigentes Lojistas (CDL) de Santa Maria Guilherme Borges Severo também ressalta a responsabilidade das empresas com a atualização dos dados cadastrais, entre outras ações. As informações utilizadas para análise de crédito pelo comércio são, em geral, fornecidas pelo Sistema Central de Proteção ao Crédito (SCPC). O banco possui dados como bairro, número de consultas ao CPF, idade, média de renda, entre outras.
De acordo com Guilherme, essas variáveis constroem um perfil do cliente e é esse perfil que fica disponível para a maioria dos empresários. Ele ressalta também que o cuidado com esses dados é uma pauta antiga da entidade:
- Temos o departamento comercial que sempre visita as empresas e orienta na questão da responsabilidade dos dados, das informações, de que a pessoa é responsável pelas próprias atualizações cadastrais. Sempre tivemos essa diretriz. Estou há seis anos na CDL e é algo que sempre trabalhamos.
ADEQUAÇÃO
A partir de agora, as empresas, independente do porte e de atuar ou não com e-commerce, precisam de um plano para gerenciar o banco de dados pessoais de clientes, funcionários e fornecedores. As empresas ainda têm um prazo para se adaptar, já que a aplicação de sanções só passa a valer a partir de agosto de 2021. Mas a professora Rosane Leal alerta:
- Para quem ainda não adotou nenhum procedimento e sequer realizou seu inventário de tratamento de dados pessoais o trabalho de adequação aos parâmetros legais será uma verdadeira "corrida contra e relógio".
Segundo ela, a nova Lei abrange o tratamento de dados pessoais, tanto em meio físico quanto digital, em todo o seu ciclo de vida, do recolhimento ao descarte. Para estarem em conformidade com a lei, as empresas precisam revisar seus web sites, departamentos de marketing e nomear um Encarregado de Proteção de Dados.
- Não se trata apenas de estabelecer uma política de privacidade, pois a legislação exige uma série de providências práticas, como relatório de impacto de risco e soluções de segurança, o que demanda todo um planejamento na área.
O advogado João Pedro Seefedt Pessoa, detalha o que será a figura do encarregado:
- É a pessoa que vai fazer a "ponte" entre a empresa, o titular dos dados e a autoridade nacional de proteção dos dados pessoais.
O especialista também recomenda a contratação de uma assessoria jurídica especializada para redigir e criar aditivos nos contratos com os consumidores e com os colaboradores. Além disso, ressalta a importância da contratação de uma consultoria em TI para garantir a cibersegurança dos dados pessoais digitais.
A cautela com essas informações é ainda maior em clínicas e hospitais, por exemplo. É que, nestes casos, a informações dos clientes são sensíveis, podendo gerar discriminação ao titular. Um dos fundamentos da lei é evitar que os dados de um usuário sejam vazados para obter vantagem econômica. Um exemplo prático é o estabelecimento de preços de planos e seguros de acordo com o risco de adoecimento da pessoa.
As empresas que descumprirem a nova legislação ficam sujeitas a sanções que serão aplicadas pela Autoridade Nacional de Proteção de Dados. Entre as formas de responsabilização estão multa de até 2% do faturamento da empresa, eliminação dos dados e proibição das atividades relacionadas a tratamento de dados. Além disso, o titular pode ajuizar ação individual para ser indenizado, caso tenha sofrido prejuízos em razão do incidente.
CONSUMIDOR
De acordo com a professora Rosane Leal, o cidadão tem o direito de saber quais dados são armazenados pela empresa, requerer que os seus dados sejam transferidos para outra empresa, o chamado direito à portabilidade, e até mesmo pedir a exclusão de dados, em alguns casos.
- Muitas vezes, para fazer uma compra simples no comércio local, são exigidos dados pessoais que ultrapassam a finalidade da transação comercial. É muito comum algumas lojas solicitarem telefone ou e-mail para contatos posteriores, cabendo ao consumidor concordar ou não em informar. Tem que ter consciência que ele é o titular do dado pessoal.
Já no meio virtual, a especialista orienta o consumidor a verificar se as informações solicitadas em compras virtuais são realmente os dados necessários para a expedição da nota fiscal e pagamento.
O advogado João Pedro Seefedt Pessoa dá exemplos práticos de como a lei beneficia o consumidor:
- Quem nunca recebeu uma ligação de telemarketing oferecendo um produto sem saber como a empresa descobriu esse número? Quem nunca aceitou os termos e condições de um aplicativo sem ler o que constava no contrato? Quem nunca recebeu inúmeros e-mails de propaganda ou spam? Espera-se que a legislação traga uma mudança cultural, uma nova forma de conscientização e empoderamento do usuário.
O QUE É
- A Lei Geral de Proteção de Dados regulamenta o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado
O QUE SÃO DADOS PESSOAIS?
- Qualquer informação que identifique ou torne identificável uma pessoa
O QUE SÃO OS DADOS PESSOAIS SENSÍVEIS?
- Aqueles dados que identificam a pessoa como ser humano, como informações sobre origem racial, convicção religiosa, filiação à sindicato, opinião política, dado genético, reconhecimento de íris, de retina, reconhecimento facial, dados referente à saúde, orientação sexual, entre outros
QUAIS ADAPTAÇÕES QUE AS EMPRESAS PRECISAM FAZER?
- Fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para o tratamento de dados em veículos de fácil acesso, preferencialmente em seus sites
- Indicar um encarregado de tratamento de dados pessoais
- Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse
- A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados. O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados
COMO AS EMPRESAS PODEM SER RESPONSABILIZADAS?
- Advertência com prazo para adotar medidas de adequação
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração
- Multa diária
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização,
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
COMO RECLAMAR
- Conforme a lei, os titulares dos dados podem procurar o encarregado pelo tratamento de dados pessoais da empresa
- Se o problema não for resolvido, o usuário pode recorrer ao Procon, se o tratamento ocorreu no âmbito de relação de consumo
- Em casos de incidentes, como vazamentos, hackeamentos ou outros ataques maliciosos
- Outro caminho é encaminhar denúncia à Autoridade Nacional de Proteção de Dados
- É possível, ainda, ajuizar ação cível (ou indenizatória) junto ao Poder Judiciário