O último levantamento da consultoria Norton Cyber Security exibiu um cenário estarrecedor sobre a cibersegurança no Brasil. De acordo com o estudo, 62 milhões de brasileiros foram afetados por algum ataque ou vírus de computador no ano passado, o que teria resultado em um prejuízo de US$ 22 bilhões. No dia 4 de maio deste ano, o mineiro Banco Inter (ex-Intermedium) admitiu o vazamento de quase 20 mil informações de correntistas, o que resultou em uma queda de quase 10% das ações. Os papéis se recuperaram nos dias seguintes, mas depois veio outra má notícia: o Ministério Público mineiro moveu uma ação civil pública contra a instituição financeira e pediu reparação de R$ 10 milhões.

No entanto, a situação poderia teria sido pior se as regras da Lei Geral de Proteção de Dados (LGPD) — sancionada no dia 14 de agosto deste ano — já estivessem valendo no País. Pela lei, a empresa passa a ser responsável pela segurança dos dados, logo poderia ter sido multada em até 2% do faturamento anual, limitado a R$ 50 milhões. No entanto, a multa é apenas parte de uma lei que tem potencial de transformar a sociedade de consumo.

A LEI DE PROTEÇÃO DE DADOS

A LGPD, como o próprio nome sugere, é uma lei que regula o tratamento de dados pessoais (nome e endereço), sensíveis (informações bancárias) e os chamados anônimos (insumos para ferramentas de Google Analytics, por exemplo). A lei também cita os direitos, os deveres e até as punições a serem aplicados em caso de desrespeito à norma. Nesse sentido, a LGPD se assemelha às regras que serviram de inspiração para sua criação: a GDPR, nova legislação europeia de proteção de dados.

Em ambas as legislações, as empresas somente poderão tratar dados se tiverem o consentimento do dono da informação. No entanto, existem exceções: não será necessário pedir autorização sobre uma informação que é importante para a execução de um contrato, uma determinação de um juiz ou para o cumprimento de uma lei. Jornalistas e pesquisadores também não precisam obter o consentimento, desde que o uso esteja vinculado ao exercício da profissão.

Mas como vai funcionar, na prática? Por exemplo, o iFood não vai precisar pedir autorização todas as vezes que os clientes fizerem um pedido pelo aplicativo. A startup vai poder transferir os dados dos consumidores aos restaurantes contratados, pois isso é imprescindível para a prestação do serviço. O mesmo acontecerá com a Uber, que precisa repassar as informações do passageiro para o motorista, a fim de garantir a execução do serviço. Já os dados que não são essenciais para a prestação do serviço precisam ser solicitados ao consumidor. É o que acontece nas redes de farmácia. Atualmente, muitas drogarias solicitam o número do CPF dos clientes sem especificar para qual finalidade o estabelecimento precisa daquela informação. Com a nova lei, isso passa a ser proibido. “A empresa deve pensar assim: por que eu preciso daquele dado e quais informações serão realmente essenciais para a prestação do meu serviço ou para o fornecimento de um produto? O que não for realmente importante precisa da permissão do consumidor”, resume Caroline Teófilo da Silva, advogada e especialista em direito digital.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

Para Caroline e outros especialistas, a Lei Geral de Proteção de Dados é um avanço, mas precisa de ajustes. A maior preocupação se refere ao veto da criação da Autoridade Nacional de Proteção de Dados. Segundo especialistas, o fato de não ter sido criada essa autarquia pode, inclusive, comprometer a longevidade da norma. É que a autoridade de dados teria uma finalidade muito semelhante à da Agência Nacional de Telecomunicações (Anatel) – em relação às empresas de TV a cabo prestadoras de serviços de internet – e à da Agência Nacional de Aviação Civil (Anac) perante as companhias aéreas. Essas agências surgiram para observar tudo o que acontece no seu respectivo mercado. Portanto, se surgisse um problema no setor, especialmente na relação com o consumidor, a Autoridade Nacional de Proteção de Dados poderia intervir na rotina das empresas e, assim, propor um decreto que teria efeitos legais imediatos.

Em outras palavras, a Autoridade de Dados teria o papel de contornar rapidamente os eventuais problemas que possam ocorrer no relacionamento entre empresas e clientes com base na Lei Geral de Proteção de Dados. “Sem a autoridade, penso que a lei será interpretada de diferentes maneiras entre os milhares de juízes de primeira instância do Brasil. Com base na minha experiência dentro do Marco Civil da Internet, sei que isso gerou algumas distorções e isso poderá se repetir na lei de proteção de dados. Foi o caso do bloqueio do WhatsApp a partir da decisão de um juiz da comarca de Lagarto, em Sergipe”, disse Ronaldo Lemos, advogado, especialista em direito digital e colunista em tecnologia para diversos meios de comunicação.

O bloqueio mencionado por Lemos aconteceu em maio de 2016. O juiz de direito penal Marcel Maia Montalvão pediu o bloqueio do WhatsApp após o Facebook (dono do mensageiro) se recusar a dar informações de supostos criminosos que usaram o canal para trocar informações. Embora o pedido tenha sido feito para buscar informações de um criminoso, a lei prejudicou milhões de brasileiros que usam o mensageiro. Uma outra possibilidade seria criar uma autoridade provisória exercida pelos Procons brasileiros, ao menos no que se refere à relação entre consumidores e empresas. Segundo Caroline, a própria lei cita essa possibilidade no artigo 18, parágrafo oitavo. “A lei diz claramente que o consumidor também pode fazer esse pedido diretamente aos órgãos de defesa do consumidor. Ocorre que o próprio governo afirma que vai criar a autoridade por meio de medida provisória ou via projeto de lei. Nesse sentido, temos um cenário em que o Procon pega a queixa e simplesmente a repassa para a autoridade”, afirma Marcel Leonardi, diretor de política públicas do Google.

INSPIRAÇÃO EUROPEIA

A General Data Protection Regulation (GDPR), que entrou em vigor na Europa em maio, foi a grande inspiração para a lei brasileira sobre o tema de proteção de dados. Até por esse motivo, olhar a norma europeia ajuda a entender e a refletir sobre os caminhos que o Brasil deve percorrer daqui para a frente. A principal diferença fica por conta da autoridade de dados que está presente em todos os países da União Europeia e deu origem a uma comissão sobre o tema: a European Data Protection Board (EDPB). No Brasil, a criação da autarquia foi barrada.

O grupo mostrou preocupação sobre o tratamento de dados em diferentes países, incluindo nações do continente europeu. Segundo a entidade, existem quase cem investigações em andamento sobre problemas com essas características.

“Apesar do forte aumento do número de casos no último mês, a situação só não é pior porque a Europa teve dois anos para se preparar para a norma. Assim, os primeiros resultados de casos transfronteiriços (trânsito de dados entre países) devem aparecer somente daqui a alguns meses. Para lidar com as todas as reclamações, as autoridades de supervisão devem conduzir investigações, observar regras processuais, além de coordenar e compartilhar informações com outras autoridades de supervisão. A GDPR não oferece uma solução rápida para o caso de uma reclamação, mas estamos confiantes de que os procedimentos que detalham o modo como as autoridades trabalham são robustos e eficientes”, disse a presidente da EDPB, Andrea Jelinek.

DECISÕES TOMADAS POR ROBÔS 

Independentemente do nome da autoridade, o que não vai faltar é assunto para a agência deliberar. Um tema que chama a atenção é a decisão automatizada, que diz respeito às escolhas feitas por robôs a partir dos dados pessoais dos clientes. Nesse sentido, uma decisão baseada em algoritmos de uma máquina poderia ser revisada ou alterada por um atendente humano. Segundo Ronaldo Lemos, esse cenário poderia transformar o negócio da Uber e de outras empresas de economia compartilhada em um caos burocrático, simplesmente porque o cliente não gostou do carro ou não foi com a cara do motorista. “A lei afirma que a decisão deverá ser retificada por um atendente humano. Se eu ficar insatisfeito com o entregador de comida do iFood, eu posso pedir outro?”, questiona Lemos.

LEGÍTIMO INTERESSSE

Outro ponto controverso e que, segundo especialistas, pode resultar em um grande volume de ações na Justiça é o trecho sobre o chamado legítimo interesse como justificativa para evitar o consentimento do consumidor. A ideia é a seguinte: o legítimo interesse foi uma maneira encontrada pelo legislador para garantir que um contrato seja cumprido. Uma empresa poderia alegar o “legítimo interesse” de não pedir a autorização do consumidor para cumprir uma cláusula do contrato de um plano de saúde ou de um empréstimo, seja ela benéfica ou não para o consumidor. “Quem garante que uma empresa poderá alegar legítimo interesse para transmitir os dados de uma companhia para outra dentro do mesmo grupo econômico? Não faz sentido uma empresa que aluga bicicletas oferecer os dados dos usuários para um banco do mesmo grupo. Penso que a finalidade deve pesar no objetivo do consumidor”, afirma Carolina. Mas e se o legítimo interesse for proporcionar a melhor experiência para o cliente? A lei garantiria a captura de dados para que uma determinada plataforma ofereça um serviço desenhado especialmente para um cliente?

FIM DO CUSTOMER EXPERIENCE?

Há quem diga que até mesmo o customer experience pode ser impactado com a medida, o que poderia indicar um retrocesso no mundo digital. Mas será mesmo? Rodrigo Helcer, fundador e CEO da Stilingue – software de inteligência artificial –, cita uma pesquisa feita por uma plataforma de música por streaming que depende, fundamentalmente, da leitura de dados de navegação para sugerir músicas e artistas baseados nas preferências musicais dos usuários. “O fato de dizer ‘não’ para o uso de dados faz o streaming voltar para uma experiência musical dos anos 1990, sem nenhuma customização”, diz.

E quem paga a conta dos investimentos feitos pelas empresas em diversos mecanismos para detectar os gostos do consumidor e analisar o comportamento com foco na experiência do cliente? Hoje, o que não falta é companhia baseada em customer experience que se abastece de dados de consumidores. “Na TIM, o customer experience, além de um pilar estratégico, representa uma nova cultura corporativa e, por isso, os investimentos permeiam toda a cadeia e o ciclo de vida do cliente”, afirma Maurizio Miniello, diretor de customer relations da TIM Brasil.

O Bradesco é outro exemplo de empresa orientada ao customer experience a partir da inteligência artificial BIA. A ideia do banco é que a IA recolha informações do seu correntista, ajustando, assim, a ferramenta às necessidades do cliente. Já são mais de 21 milhões de interações com feedback positivo de 85%. “A BIA se relaciona com o usuário, respondendo a perguntas sobre produtos e serviços do banco em linguagem natural, por meio de um chat para desktop e mobile, e aprendendo a cada interação”, explica Ricardo Luis Nascimento Silva.

O fato é que a lei pode perder o controle e resultar em uma enxurrada de ações na Justiça. Empresas precisam se debruçar sobre o tema para entender que a lei tem relação com o negócio, segundo André Gentil, diretor de tecnologia da Flex Relacionamento Inteligentes. “Tem muita companhia que ainda não despertou para o tema e precisa fazer o mais rapidamente possível. A contagem regressiva já começou”.