O paradoxo da privacidade e a LGPD
“Li e aceito a política de privacidade.” Esta frase está presente antes de quase todas as ações no ambiente digital. As empresas pedem acesso aos dados dos usuários em letras miúdas e textos tão longos que, muitas vezes, a pessoa clica só para seguir em frente navegando, sem se dar conta do que acaba de autorizar.
As pequenas empresas costumam usar sua base de dados para enviar aos clientes novidades por e-mail e comunicar horário de funcionamento, por exemplo. Já o Facebook tem dados mais detalhados. Onde a pessoa foi, com quem esteve, do que gosta. Com essas informações, pode vender publicidade, telemarketing ou até mesmo fornecer dados ao governo ou outras redes. Com os dados de alguém mapeados, é possível traçar crenças, ideologias e até o perfil político.
O que cada empresa faz com esses dados não era, até pouco tempo, uma grande preocupação dos cidadãos brasileiros no geral. Mas, pelo grande volume de informações deixadas principalmente para as bigtechs (grandes empresas de tecnologia, como Facebook e Google) e empresas de telecomunicação, acendeu-se um alerta para o governo do país. Essas empresas já possuem mais dados sobre os cidadãos do que o próprio Estado brasileiro e, por isso, a análise dos perfis em redes sociais, rastreamento de chamadas telefônicas e registros de localização são, muitas vezes, o primeiro passo de uma investigação criminal, por exemplo.
E se nada fosse feito, provavelmente em 20 anos, o governo teria de comprar dados dos seus próprios cidadãos de empresas privadas.Para administrar essa nova realidade foi criada a Lei Geral de Proteção de Dados (LGPD), aprovada em julho e sancionada em agosto de 2018. A LGPD foi baseada em uma mais completa e detalhada, a General Data Protection Regulation (GDPR) ou regulamentação geral de proteção de dados da União Europeia. Há um ano em vigor, resultou em mais de 90 multas aplicadas e 56 milhões de euros arrecadados (sendo 50 milhões apenas para o Google, grande detentor de informações pessoais de seus usuários).
Essa legislação determinou que as empresas europeias só podem compartilhar dados com outras empresas que estejam em um mesmo nível de proteção de dados – o que acelerou um movimento mundial na mesma direção. Afinal, organizações de países de fora da Europa não queriam interromper seus negócios que incluem fluxo de dados com empresas do continente.
No Brasil, depois de dois anos de tramitação no Senado, o governo brasileiro viu-se obrigado a acelerar a regulamentação desta lei e se adequar aos moldes europeus. Pela urgência e pressão internacional, a LGPD se apresenta como uma versão compacta e simplificada da GDPR, mas com os mesmos pilares que garantem a privacidade dos usuários digitais.
Basicamente, a nova lei garante proteção de todos os dados que geram identificação ou o cruzamento de dados que identifiquem uma pessoa física. Além disso, implementa a categoria de “dados sensíveis”, aqueles que exigem uma proteção ainda maior, como opiniões políticas, dados genéticos e biométricos ou convicções religiosas, por exemplo.
A lei também prevê a autorregulação das companhias: que todas as empresas que utilizem dados de usuários criem mecanismos de governança de dados e medidas preventivas para que não ocorra vazamento. É preciso ter um “encarregado de dados”, profissional especializado que atue como um fiscal de segurança virtual dentro da empresa. Caso ocorra qualquer descumprimento da lei, serão aplicadas advertências e posteriormente multas que podem chegar a até 4% do faturamento anual da empresa.
A nova regra exige ainda a criação de um órgão nacional para regular a implementação, analisar o cumprimento e interpretar os processos dessa lei, o que se revelou uma das principais travas para a aprovação no Brasil. A criação da Autoridade Nacional de Proteção de Dados, órgão administrativo da Presidência da República regulador da LGPD, enfrentou muita dificuldade para ser aprovada pela falta de verba disponível para um novo órgão.
Passou pelo Senado como uma medida provisória, porque expressa claramente que não haverá novos custos ao governo. E agora, após essa medida expirar, foi finalmente aprovada e convertida dentro dessa lei, publicada no início de julho. Porém, ainda há uma grande incerteza em torno do funcionamento de um órgão com essa responsabilidade, mas sem orçamento.
Apesar dos gastos para se adequar à nova lei, as empresas, no geral, apoiam a regulamentação. As companhias menores não serão tão afetadas, pois muitas vezes o seu banco de dados é pequeno e básico e, por isso, não correm risco de grandes vazamentos. As bigtechs, por sua vez, possuem um banco de dados mais rico de informações sobre seus usuários e, agora, é de seu interesse que outras empresas não tenham acesso a esse material.
Marcar-se em foto, ativar localização, permitir visualização e interagir com amigos dos amigos… Cada clique que fazemos permitindo a publicação de nossas informações são dados que jogamos na rede e disponibilizamos para que as empresas utilizem como quiserem. Mas há um paradoxo nessa liberdade. Ao mesmo tempo que os usuários querem expor suas conquistas na rede, pedem privacidade com aquilo que não consideram tão agradável de se mostrar. Como definir esse limite? Como barrar o Google ou o Facebook, se cada um é responsável por alimentar esse mercado de exposição?
Questionamentos como esses começam a ser feitos pelos brasileiros. A geração mais jovem, que nasceu na era digital, demonstra mais cuidado e preocupação com a sua privacidade. Muitos usam as redes sociais em modo privado, sendo necessária sua autorização para acesso de outros usuários. É provável que, com a aplicação da lei, esse tema se torne cada vez mais frequente nas discussões entre brasileiros de qualquer idade.
Guilherme Garde é Consultor jurídico em Direito Digital no GR1D