Recentemente a Cisco publicou a pesquisa denominada Data Privacy Benchmark Study 2020 (1), a qual foram apontados aspectos importantes relacionados à percepção das organizações com relação aos investimentos em privacidade.
A conclusão do estudo referido foi no sentido de que a maioria das organizações que está investindo recursos em privacidade estão colhendo retornos positivos, representados, em média por benefícios equivalentes a 2,7 vezes o investimento que fizeram, sendo que, mais de 40% relatam benefícios na ordem de pelo menos o dobro do investimento realizado com a implementação da privacidade nas suas empresas. (2)
Além disso, apurou-se vantagens operacionais e competitivas, posto que, mais de 70% das empresas, atualmente, reconhecem obter vantagens comerciais relacionadas aos esforços empreendidos nessa área e que incluem maior vantagem competitiva para os investidores e maior confiança para o cliente. (3)
Essa mudança de percepção merece ser comemorada, pois representa uma mudança de paradigma, onde investimentos em recursos financeiros, tecnológicos, organizacionais e material humano passam a ser encarados como um ativo da empresa, com potencial diferencial competitivo com relação ao mercado.
É possível concluir então que há uma mudança cultural empresarial em torno do tema privacidade e que ignorá-la já não é mais uma opção.
Mas afinal, o que significa privacidade nos dias atuais?
Partindo do princípio que privacidade, trata-se de um direito fundamental do indivíduo, garantido pela Constituição Federal, em seu art. 5, X (4), o qual assegura que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas e considerando-se que dados pessoais são uma extensão da personalidade do indivíduo, garantir a privacidade no ambiente digital, nos tempos atuais, com o constante avanço das tecnologias e dos meios de comunicação, sem dúvida, representa um grande desafio do século XXI.
E, nesse contexto, surgiu o Regulamento Geral de Proteção de Dados (RGPD) (5), o qual influenciou a nossa Lei Geral de Proteção de Dados (LGPD) (6), institucionalizando a defesa da privacidade com foco na proteção de dados pessoais.
Atualmente, a preocupação com a ameaça à privacidade encontra-se expressamente consignada no art. 2 da LGPD (7) na expressão ameaça ao “livre desenvolvimento da personalidade.”
E, não é possível, que se cogite a privacidade sem condicioná-la à autodeterminação informativa por parte dos titulares e que significa dizer que o dado pessoal não é de quem o detém, mas sim, daquele a quem se refere.
A autodeterminação informativa é um dos fundamentos expressos ao lado da “privacidade” e da “intimidade” e se constitui no poder que o indivíduo tem, de exercer o controle sobre os seus dados pessoais, a ponto de decidir se a informação pode ser objeto de tratamento por terceiros, bem como acessar bancos de dados com o objetivo de exigir a correção ou cancelamento das informações.
Em última análise, a autodeterminação informativa objetiva assegurar que “right data are used by right people for the right purposes.” (8)
Em sendo um direito decorrente da CF (9) e da LGPD (10), a autodeterminação informativa é um direito, mas não é absoluto, podendo sofrer restrições com o interesse público ou outros direitos fundamentais, assim como a possibilidade de restrição em face da base autorizadora do legítimo interesse, hipótese legal autorizadora do tratamento para o fim de atendimento dos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados, consoante artigo 7, IX da LGPD. (11)
É inegável que a sociedade da “era da informação” trouxe significativas mudanças sociais, decorrentes da incorporação das novas tecnologias, e o crescente uso da internet, consubstanciando o modelo que se vale da coleta de dados pessoais e informações colhidas e tratadas, como uma poderosa fonte de insumos para as grandes empresas que atuam no segmento tornando o direito à privacidade e o direito à autodeterminação informativa ainda mais vulneráveis.
Entretanto, para bem exercer o direito à autodeterminação, os agentes de tratamento devem disponibilizar todas as informações referentes à sua utilização aos titulares dos dados pessoais, para que estes saibam como serão extraídos, processados e aplicados tendo em vista uma finalidade específica.
Portanto, não basta apenas serem observados os critérios que conferem licitude ao tratamento dos dados pessoais, sendo imperioso que os titulares tenham amplo conhecimento dos dados que serão coletados, para quais finalidades, o tempo de armazenamento e com quem serão compartilhados.
Denomina-se assim o princípio da transparência e que significa, em suma, que o titular dos dados pessoais jamais poderá ser surpreendido.
Nesse sentido, nunca foram tão importantes o conteúdo das políticas e avisos de privacidade que exigem pela Lei Geral de Proteção de Dados (12) que ao titular seja dispensada uma linguagem clara acerca de todos os aspectos que envolvem o tratamento de seus dados pessoais sob pena de se assim não o for, tornar o mesmo ilícito pela afronta ao consagrado princípio da transparência.
E, por fim, a ANPD (Autoridade Nacional da Proteção de Dados) terá a função de regulamentar e fiscalizar os tratamentos realizados tanto na esfera pública como na privada, aplicando também sanções pertinentes às infrações cometidas.
Apesar da atuação da Autoridade Nacional ainda suscitar dúvidas relacionadas sobre como será realizada a sua atuação na prática e por conta de aparentemente haver uma centralização de poder nas mãos desse órgão, é inegável a importância de uma Autoridade Nacional de Dados que se incumba de zelar pela aplicação da lei, nortear a sociedade em relação a como deve ser interpretada, tanto nos aspectos jurídicos como nos técnicos e disseminar a educação, conscientização e cultura da proteção de dados.
São responsabilidades relacionadas à Autoridade Nacional proteger os indivíduos face ao reconhecimento da sua vulnerabilidade e garantir que o desenvolvimento econômico, digital e social do país esteja alinhado com os princípios de privacidade e proteção de dados, bem como, assegurar a efetividade no cumprimento da LGPD.
Para que tais responsabilidades sejam de fato exercidas é esperado que a agência reguladora forneça diretrizes para que as organizações implementem a conformidade em relação à LGPD, com esclarecimentos adicionais levando-se em conta as atividades de tratamento de dados pessoais e os seus riscos, priorizando o desenvolvimento de diretrizes para orientação das organizações, em particular pequenas e médias empresas e startups.
A maioria das formas modernas de tratamento de dados pessoais inclui transferências internacionais e em decorrência, inevitável que muitas violações de dados terão dimensões e implicações internacionais e que exigirá que a ANPD atue colaborativamente com autoridades de proteção de dados internacionais.
O art. 55-J-III da LGPD (13) requer que a ANPD elabore diretrizes para a Política Nacional para Proteção de Dados e Privacidade - Política Nacional e que será o instrumento através do qual a mesma definirá suas estratégias e prioridades.
Também, a ANPD, consoante disposto no art. 50, parágrafo 3 da LGPD (14) , poderá promover e reconhecer programas de boas práticas de governança de privacidade, ajudando as organizações a cumprirem com o artigo 6, X da lei (15) , o qual estabelece que as atividades de tratamento de dados devem seguir os requisitos de responsabilização e prestação de contas - accountability.
Igualmente, serão necessárias regras relacionadas ao compartilhamento de dados pessoais entre controladores e regras relacionadas à portabilidade de dados pessoais, auxiliando as empresas a implementá-las, nos moldes do art. 18-V da LGPD (16), o papel e deveres do encarregado dos dados pessoais - Data Protection Officer e eventuais situações em que as empresas estariam dispensadas do apontamento desta função e regras relacionadas aos prazos para notificação em caso incidentes de seguranças, já que na legislação há apenas referência a necessidade de comunicação dentro de um “prazo razoável”, devendo ser definido o que seria um prazo razoável.
Igualmente, é esperado que seja oferecida clareza sobre o conceito de “risco ou dano relevante aos titulares da dados”, evitando-se sobrecarga desnecessária tanto para a agência quanto para os agentes de tratamento.
Vislumbra-se, pois, que são inúmeros e complexos os desafios que o tema privacidade impõe à uma sociedade cada vez mais digitalizada e em constante evolução tecnológica, restando a convicção de que cada vez mais será fundamental investirmos na conscientização de uma cultura de privacidade que permite o avanço econômico e respeite os direitos dos titulares.
Martha Leal - Advogada especialista em Privacidade e Proteção de Dados, Data Protection Expert pela Universidade de Maastricht e Fellow do Instituto Nacional de Proteção de Dados (INPD)
(1) CISCO CYBERSECURITY SERIES 2020. From privacy to profit: achieving positive returns on privacy investments. Data Privacy Benchmark Study 2020. San Jose: Cisco, jan. 2020. Disponível em: https://www.cisco.com/c/dam/global/en_uk/products/collateral/security/2020-data-privacy-cybersecurity-series-jan-2020.pdf. Acesso em: 03 jan. 2021.
(2)Ibidem.
(3)Ibidem.
(4) BRASIL. (1988). Planalto Federal. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/ConstituicaoCompilado.htm. Acesso em: 10 jan. 2021.
(5) REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 15 jan. 2021.
(6) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 jan. 2021.
(7)Ibidem.
(8) SIEHGART, Paul. Privacy and computer. Londres: Latimer New Dimensions, 1976.
(9) BRASIL. (1988). Planalto Federal. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/ConstituicaoCompilado.htm. Acesso em: 10 jan. 2021.
(10) BRASIL, 2019, loc. cit.
(11) BRASIL. (1988). Planalto Federal. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/ConstituicaoCompilado.htm. Acesso em: 10 jan. 2021.
(12) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 jan. 2021.
(13) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 jan. 2021.
(14)Ibidem.
(15)Ibidem.
(16) BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 jan. 2021.
REFERÊNCIAS
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 03 jan. 2021.
BRASIL. (1988). Planalto Federal. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/ConstituicaoCompilado.htm. Acesso em: 10 jan. 2021.
CISCO CYBERSECURITY SERIES 2020. From privacy to profit: achieving positive returns on privacy investments. Data Privacy Benchmark Study 2020. San Jose: Cisco, jan. 2020. Disponível em: https://www.cisco.com/c/dam/global/en_uk/products/collateral/security/2020-data-privacy-cybersecurity-series-jan-2020.pdf. Acesso em: 03 jan. 2021.
REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016. Jornal Oficial da União Européia. 27 abr. 2016. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 15 jan. 2021.
SIEHGART, Paul. Privacy and computer. Londres: Latimer New Dimensions, 1976.