Fechando a última semana do mês de agosto, a Lei Geral de Proteção de Dados (LGPD) completa seis anos desde sua sanção, em 2018.

A lei marcou um ponto de inflexão na história da proteção de dados no Brasil. Promoveu avanços significativos, aumentando a transparência e a responsabilidade no manejo de dados pessoais. E, ao mesmo tempo, trouxe desafios para empresas e entidades reguladoras. Com o país em constante evolução nesse contexto, a LGPD é um pilar na construção de uma sociedade mais segura e consciente sobre direitos digitais.

Em entrevista à Consumidor Moderno, Fabíola Meira Breseghello, sócia do Meira Breseghello Advogados, explora como essa lei transformou o cenário da proteção de dados no Brasil. E o que isso significa tanto para o consumidor quanto para as empresas.

Acompanhe na íntegra!

LGPD: o que mudou?

CM: a implementação da LGPD fez com que as organizações reavaliassem seus processos de coleta de dados. Agora, cada informação coletada deve ter um propósito claro e legal, garantindo a transparência com os titulares dos dados. Do ponto de vista legal, as empresas brasileiras estão preparadas para esse cenário?

Entendo que ainda existem muitas dúvidas. As principais tangem às pequenas e médias empresas sobre como e quando os dados podem ser coletados e utilizados. Ademais, elas têm dúvidas sobre por quanto tempo os dados podem ficar armazenados. E, principalmente, qual é a finalidade da guarda? Por essa razão, o dever de transparência, principalmente da finalidade do tratamento de dados, ainda se revela incompleto e por vezes superficialmente cumpridos.

De toda forma, essa incompletude não vejo como um ilícito. Entretanto, considero algo em constante construção. Afinal, a cada novo tratamento ou necessidade de coleta, os termos de uso ou políticas de proteção de dados vem sendo atualizados. Ou seja: a LGPD está em constante construção e aprimoramento.

Compartilhamento de dados

CM: o compartilhamento de dados agora requer consentimento explícito. Isso significa que as empresas precisam se comunicar melhor com seus consumidores? E explicar por que os dados serão utilizados, fortalecendo a relação de confiança com os clientes?

A LGPD prevê o consentimento explícito apenas para algumas hipóteses, sendo que as demais bases legais não dependem de qualquer consentimento. Só para exemplificar, o consentimento é válido para: o cumprimento de obrigação legal ou regulatória pelo controlador; para a realização de estudos por órgão de pesquisa; para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular.

Ademais, ela prevê o consentimento a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular ou de terceiros; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. O consentimento ainda se estende quando necessário para atender aos interesses legítimos do controlador ou de terceiro (exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais); para a proteção do crédito, bem como os próprio titular torna os dados manifestamente públicos.

Consentimento

CM: como o titular deve requerer o consentimento dos dados?

Importante destacar que apenas nas hipóteses admitidas como base legal é que o consentimento será necessário. Ele deverá ser fornecido por escrito (com cláusula destacada). Seu fornecimento também pode ser por outro meio que demonstre a manifestação de vontade do titular. Nesse caso, deve a empresa apresentar as finalidades do tratamento para fins de consentimento. Os pedidos de autorizações genéricas poderão ser considerados nulos, sendo ainda mais rígida a exigência para tratamento de dados sensíveis. Nota-se, assim, que o dever de informar claramente a finalidade do uso é relevante para a legislação. E mais: esse comportamento de transparência e boa-fé certamente fortalecem a relação e fidelizam o cliente.

Melhor tratamento de dados

CM: diante de tantas opções, como escolher a hipótese de tratamento de dados mais apropriada?

As bases legais dependem, precipuamente, do serviço prestado e do segmento envolvido. Assim, cada empresa deve avaliar bem o tipo de finalidade da coleta de dados para averiguar se existe base legal, se será necessário exigir o consentimento ou se existe alguma sensibilidade. Para produtos e serviços envolvendo crianças e adolescentes, por exemplo, além da preservação do melhor interesse, o consentimento deve ser específico e em destaque e fornecido por pelo menos um dos pais ou pelo responsável legal, salvo quando a coleta for necessária justamente para contatar os pais ou o responsável legal, sendo que nessa hipótese, os dados jamais poderão ser repassados a terceiro sem o consentimento daqueles.

Vale dizer, ademais, que tratar os dados com base no “interesse legítimo” deve ser uma das últimas opções do controlador, pois por se tratar de um conceito aberto e gerar celeumas sobre a legalidade ou não da coleta e tratamento. No caso, podemos considerar como legítimo interesse, por exemplo:

• Ter um relacionamento anterior com o titular de dados e oferecer uma prestação de serviço que o beneficie;
• O tratamento estar dentro das expectativas razoáveis do indivíduo;
• Apresentar uma certa previsibilidade (lastro em situações concretas);
• Compatibilidade com o ordenamento jurídico;
• Vinculação a finalidades legítimas, específicas e explícitas.

Penalidades

CM: coletar e processar dados pessoais sem consentimento pode resultar em penalidades severas. O que as empresas devem fazer para compreender qual base se aplica a cada situação antes de agir?

Sem prejuízo do exposto anteriormente, como bem orientado pela ANPD, para além da escolha adequada da base legal, importante adotar:

• Política de segurança da informação, estabelecendo controles relacionados ao tratamento de dados pessoais;
• Revisões periódicas da política de segurança da informação e atualização de softwares;
• Conscientização e treinamento da organização em todas as esferas;
• Gerenciamento adequado de contratos com cláusulas de segurança da informação que assegurem a proteção de dados pessoais;
• Termos de confidencialidade;
• Implementar mecanismos seguros de controle de acesso, de dados pessoais armazenados, de comunicação;
• Remoção de dados sensíveis desnecessários; ou seja, ter um constante e adequado controle das vulnerabilidades com um comitê devidamente preparado para agir imediatamente em resposta e controle a um incidente.

Segurança do consumidor

CM: a LGPD garante direitos como acesso a informações, correção de dados e revogação do consentimento. Em sua opinião, isso empodera o usuário, ou seja, o consumidor?

Referidos direitos outorgam não apenas mais segurança aos consumidores como incentiva o dever de informar bem como a observância dos demais princípios previstos na legislação, tal como: finalidade; adequação; tratamento mínimo necessário para a realização de suas finalidades; garantia, aos titulares, de consulta facilitada aos dados; exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e cumprimento da finalidade; transparência; segurança; adoção de medidas para prevenir a ocorrência de danos; uso não discriminatório ou abusivo; adoção de medidas eficazes no cumprimento das normas de proteção de dados.

Compliance consumerista

CM: a proteção de dados não é apenas uma obrigação, mas uma oportunidade de construir confiança e valorizar seu relacionamento com clientes?

A proteção de dados é reflexo de boa governança, de compliance consumerista, de responsabilidade social. Por outro lado, também importante reforçar a necessidade de uma educação digital e deveres por parte dos consumidores quando do fornecimento de seus dados, uso de senhas, limitações de acessos para crianças e adolescentes pelos pais, constantes atualizações de segurança, entre outros.

CM: sistemas de IA têm a capacidade de coletar dados pessoais de diversas fontes e integrá-los em bancos de dados. Isso levanta desafios legais significativos, uma vez que um volume crescente de dados identificáveis é utilizado para treinar máquinas, promovendo seu aprendizado e desenvolvimento. Portanto, a curadoria de dados para o treinamento de algoritmos destaca-se como um desafio ético e legal?

Primeiramente, os dados só poderão ser utilizados se houver consentimento ou de acordo com uma base legal. Ainda, a curadoria de dados deve garantir que não haja coleta excessiva ou desnecessária de dados. A partir disso, deve existir extrema diligência para que dados utilizados estejam em conformidade com a LGPD, respeitem os direitos dos titulares de dados e, principalmente não gerem vieses algorítmicos e discriminação.

A governança, a revisão contínua das práticas e a capacitação dos profissionais envolvidos são essenciais, na tentativa de preservar uma dignidade digital, preservar, também, os dados neurais, ou seja, dados coletados diretamente ou indiretamente da atividade do cérebro humano, evitando danos e preservando a integridade neurocognitiva, com a máxima previsibilidade dos impactos sobre os direitos e liberdades fundamentais dos titulares.

LGPD X CDC

CM: a seu ver, quais as principais lacunas da LGPD hoje no que confronto com o Código de Defesa Do Consumidor?

Atualmente, não vislumbro lacunas, mas complementariedade da legislação. É certo que, com o avanço diário da tecnologia, não há possibilidade de a legislação acompanhar e estamos vivendo com a discussão da regulação da IA o que acompanhamos quando da discussão da LGPD logo que publicado o GDPR.

Ponto positivo é que as duas leis apresentam o aspecto principiológico e as Autoridades (ANPD e Senacon) já possuem Acordo de cooperação e estão em constante diálogo.