Por Luiz Sérgio Canário (*)
A Lei Geral de Proteção de Dados, após anos de discussão e tramitação, deve entrar em breve em vigência. Por uma necessidade gerada pela Lei, foi criada por Bolsonaro a Autoridade Nacional de Proteção de Dados, a ANPD. Essa autoridade irá fiscalizar, regular e orientar o cumprimento da lei e terá o poder de penalizar o descumprimento. A lei foi baseada na General Data Protection Regulation (GDPR), legislação da União Europeia sobre proteção de dados.
A lei traz uma série de definições e, em tese, nos protege do uso indevido ou não autorizado de nossos dados pessoais coletados e armazenados por várias empresas e entidades. A lei cria as seguintes definições:
- Dados pessoais: é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
- Dados pessoais sensíveis: é todo dado pessoal relativo à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.
- Titular: pessoa natural a quem se referem os dados pessoais.
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- Anonimização: processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
- Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
- Pseudoanonimização: processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Os titulares dos dados, nós, poderão solicitar, a qualquer momento, das empresas:
- Confirmação da existência de tratamento para proteção.
- Acesso aos seus dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
- Portabilidade dos dados a outro fornecedor de serviço ou produto.
- Eliminação dos dados pessoais tratados com o consentimento do titular
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento.
- Oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na lei.
- Revisão de decisões automatizadas.
Apesar de não ser uma unanimidade a lei ao menos põe certa ordem na selva bilionária da captura, tratamento e armazenamento de dados. A lei obrigará os sites de uma forma geral e as redes sociais em particular a revisar seus processos de coleta e armazenamento de nossos dados. Essas empresas, inclusive as de publicidade e de análise de dados, passam a ser diretamente responsáveis pelo uso de qualquer dado que elas tenham acesso, tratem e armazenem.
Mas Bolsonaro faz um decreto de criação da ANPD seguindo a mesma lógica de tudo do seu governo: um desastre. A Autoridade, que deveria ter independência, é um penduricalho na estrutura da Casa Civil. E dentre outras pérolas tem Conselho Consultivo que se reúne três vezes por ano, virtualmente, e permite a convocação de militares de toda natureza para seus quadros. Um primor bolsonarista que conseguiu desagradar ou no mínimo provocar perplexidade a quase todos. Nem o “mercado” gostou.
O que está por trás de tudo isso é um mercado bilionário, literalmente, capaz de influenciar nossos comportamentos como consumidores e como cidadãos. O que está em jogo é o valor que nossas informações pessoais, de qualquer natureza, têm. Como um pequeno exemplo, na tentativa de privatizar o sistema Zona Azul, de pagamento de estacionamentos nas ruas da cidade de São Paulo, a prefeitura indicou como parâmetro para a fixação do preço o faturamento futuro com a venda do tempo de estacionamento. Natural em todas as licitações de privatização. Se paga um preço sobre a expectativa de renda futura. Mas havia um ativo bem mais valoroso que o estacionamento: os dados das centenas de milhares de usuários diários do sistema. Essa informação, descobriu-se, valia mais que o objeto da licitação e quem ficasse com o Zona Azul levava de graça esse ativo.
A LGPD, além de tratar de proteger a guarda segura de nossas informações pessoais, baliza algo também muito importante: os negócios que são feitos com nossos dados. Usando o exemplo anterior, uma empresa que cruze as informações do Zona Azul, pago com cartão de crédito, com o que compramos ou fazemos usando o cartão logo depois de parar o carro, pode, assim que usamos o crédito para o estacionamento, nos mandar uma mensagem com uma sugestão de compra ou com que filmes estão passando no cinema mais próximo, a depender do nosso comportamento habitual quando paramos o carro naquela região.
Mas, como toda lei no Brasil, ela pode não “pegar”, não é assim tão boa, deve ter brechas que ainda estão sendo analisados e, o pior de tudo, ser fiscalizada por uma entidade chapa branca que fará o que o governo quiser, como é o caso da ANPD criada. Certamente a influência da indústria de dados será muito grande.
De qualquer forma a lei existe, está para entrar em vigor, há uma disputa quanto a data no Senado, e é importante que tenhamos conhecimento dela nesses tempos em que muito da disputa política estar acontecendo nas redes. Todas as redes estão atualizando suas políticas de privacidade para se adequar a nova lei. Aqueles avisos que ninguém lê normalmente estão vindo com instruções de que alternativas são oferecidas para limitar o uso de nossas informações. Principalmente o Facebook, a mais sensível de todas, já oferece nas configurações da conta algumas opções de controle.
Claro que nenhuma lei irá por freio suficiente no que acontece hoje nas redes. Mas precisamos aprender a saber usar o que há disponível. A LGPD ajuda nesse sentido. Podemos impedir, por exemplo, na medida que a lei “pegar”, sempre com essa ressalva, que o Zona Azul do exemplo repasse nossas informações para qualquer um sem nossa autorização. Claro que se não houver fiscalização adequada e multas significativas a tendência é acontecer o mesmo que acontece no mercado de telecomunicações, especialmente com as empresas de celular: é mais barato ser multado do que cumprir certos regulamentos. Precisa custar caro ao Zona Azul usar nossos dados de uma forma que a lei não permita.
Com a aproximação da eleição mais digital de todos os tempos todas as armas devem ser analisadas e usadas. O que aconteceu em 2018 pode ser muito pouco em relação ao que potencialmente pode acontecer em 2020 e um pouco mais além em 2022. Dados pessoais e formas de se chegar nas pessoas são chaves nesse momento. E nós estamos pouco preparados para isso. As fakenews se espalham em função principalmente da forma leniente com que as empresas tratam esse assunto. Para elas quanto menos regulamentação melhor. E o bloqueio ao uso de informações pessoais, que o Facebook vende a peso de ouro, é muito sensível para essas empresas.
(*) Luiz Sérgio Canário é militante petista em São Paulo-SP