(LGPD) Como se diferenciar no mercado e mitigar riscos: os impactos da transparência nos negócios

Privacy Play (Parte I)

Privacy Play (Parte II):

Privacy Play (Parte III):

Artigo completo

A transparência é a “alma” da Lei Geral de Proteção de Dados (LGPD) e a garantia dos direitos das(os) titulares é a sua própria razão de existir. Quanto mais claro e transparente você for no tratamento de dados pessoais, mais satisfeito ficará a(o) titular de dados e menos esforço, tempo e dinheiro será gasto com a garantia dos seus direitos. Certamente, isso tem significativo impacto em boa parte dos negócios. 

Observe que o art. 50, I, “e”, da LGPD, por exemplo, prevê a implementação de um programa de governança em privacidade de dados pessoais que tenha, no mínimo, o objetivo de estabelecer uma relação de confiança com a(o) titular – por meio de atuação transparente e que assegure mecanismos de participação da(o) titular – e que demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais (art. 50, I, “a”, da LGPD).

Por isso, a transparência não pode ser uma letra morta em uma organização. Ela deve fazer parte da sua estrutura e da sua atuação e ter como objetivo estabelecer uma relação de confiança com a(o) titular de dados. Logo, as informações sobre os tratamentos de dados devem objetivar a compreensão plena e eficiente de como os dados são tratados (MENDONÇA, 2019, n.p). Como disse Viviane Maldonado, recentemente, no Seminário Serpro de LGPD, “o titular dos dados pessoais está no centro do palco da legislação” (SERPRO, 2020, n.p).

Na minha última publicação (aqui), o art. 9o, VII, da LGPD, foi analisado sob uma perspectiva mais abrangente, no sentido de que todos os direitos das(os) titulares de dados pessoais deveriam ser informados, e não só os direitos elencados no art. 18 da Lei, tendo em vista o propósito da LGPD; os seus princípios; a autodeterminação informativa; a boa-fé; a governança de dados; as boas práticas e a própria lógica do art. 9o da Lei (MENDONÇA, 2020, n.p). Certo, mas por que informar aqueles direitos que não se aplicam ou que ainda estão pendentes de regulamentação?

A base para essa resposta é a mesma, com uma pitada de realidade. Então, o que vale mais a pena? Comunicar – com transparência – as informações sobre o tratamento de dados e todos os direitos, justificando aqueles que não se aplicam, evitando, assim, diversas solicitações e alguns riscos? Ou receber inúmeras demandas de titulares e ter que informá-las(os) – individualmente – o que poderia ter sido divulgado com clareza para todas(os) as(os) titulares dos dados tratados? 

Para que informar a base legal?

Note que o mesmo ocorre com a informação acerca da base legal do tratamento. Também não está expresso no texto do art. 9o da LGPD, conforme perfeitamente ilustrado por Paulo Vidigal (VIDIGAL, 2019, n.p). Porém, na prática, é possível não informar? Se um direito não se aplica por ter como fundamento outra base legal, a empresa terá que explicar isso à(ao) titular quando solicitado. 

Por sua vez, alguns direitos estão diretamente relacionados a certas bases legais. Esse é o caso do direito à cópia eletrônica integral dos dados – que só se aplica quando o tratamento tiver origem em consentimento ou contrato (art. 19) – e dos direitos à revogação do consentimento (Art. 18, IX) e à informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa (Art. 18, VIII), aplicáveis somente quando a base legal é o consentimento. Também é o caso do direito de opor-se ao tratamento (art. 18, §2º) – que  somente é aplicado nas hipóteses de dispensa do consentimento, quando a LGPD é descumprida.

Marcel Leonardi, ressalta que, equivocadamente, muitas pessoas acham que o consentimento é a única base legal para o tratamento de dados, por ser a mais popular e a única base legal para tratamentos de dados estabelecida no Marco Civil da Internet (MCI). Além disso, ele lembra que a transparência deve ser observada qualquer que seja a base legal do tratamento, pois

“[…] o princípio de qualquer lei de proteção de dados é a transparência. Mesmo que o controlador não precise da permissão do titular, será preciso dar transparência para todo o processo. Avisar em algum lugar o que está acontecendo. E é aí que começa o debate sobre se o tipo de aviso que está sendo dado é bom o ruim” (DE LUCA, 2019, n.p.).

Então, veja a importância de informar a base legal e de ser transparente quanto ao tratamento de dados, independente do fundamento legal do tratamento de dados. Ora, se vai ter que informar de todo jeito, que tal aproveitar essa oportunidade para mitigar riscos e ainda ganhar a confiança das(os) titulares? 

De toda forma, essa é uma decisão que deve ser tomada por cada estabelecimento, de acordo com o nível de transparência, accountability e com o seu apetite de risco (ZANATTA, 2017, n.p). De fato, não se tratam de obrigações abordadas de forma expressa no texto do art. 9o da Lei. É uma interpretação baseada em vários dispositivos e diretrizes da Lei, o que não deixa de ser uma obrigação legal expressa da LGPD, só não está tão clara no art. 9o da norma. 

Para ficar mais lúdico e fácil de entender, vamos simular um caso, como se a LGPD estivesse em vigor e a Autoridade Nacional de Proteção de Dados (ANPD) estivesse devidamente constituída.

O curioso caso de Joana Sabichona e a Plataforma Quase Lá

Joana Sabichona, titular de dados pessoais tratados pela Plataforma Quase Lá, é cliente há 2 (dois) anos e solicita à empresa informações sobre os tratamentos dos seus dados pessoais, com base no princípio do livre acesso (art. 6o, IV, LGPD); no direito de acesso aos dados (art. 18 I e §3º) e de acesso facilitado, nos termos do art. 9o, da LGPD. 

A Quase Lá responde à sua solicitação em 17 (dezessete) dias, informando que os dados tratados são: nome, CPF, IP, endereço, orientação sexual, raça, e-mail, telefone, dados bancários, registros de acesso e dados de transações financeiras realizadas na plataforma.

Ela informa de forma resumida, que os dados são tratados com a finalidade de prestar os seus serviços, bem como de enviar propagandas de produtos e serviços que podem interessar Joana. Também indica que os referidos dados ficarão armazenados por 5 (cinco) anos, de acordo com a prescrição prevista no art. 27 do Código de Defesa do Consumidor (CDC), e que todos os seus dados serão eliminados de modo seguro após esse prazo. Ainda, diz que não recebe dados de terceiros, que compartilha dados com parceiros e fornecedores (sem indicar quem são) e que não faz transferência internacional de dados. Finalmente, cita apenas os direitos do art. 18 da LGPD, as suas responsabilidades quanto ao tratamento de dados pessoais e as medidas de segurança.

Após receber a sua resposta, Joana, ciente de todos os seus direitos e não só os do art. 18 da Lei, reclama do prazo superior a 15 (quinze) dias para a declaração incompleta dos tratamentos dos seus dados, argumentando que tudo o que foi informado está na Política de Privacidade da Plataforma e que as informações foram prestadas de forma simplificada e, nesse caso, deveriam ter sido disponibilizadas imediatamente e não em um prazo inclusive superior a quinze dias.

Joana pede a eliminação dos dados relacionados à orientação sexual e raça, alegando que esses dados são sensíveis e não são necessários, nem adequados para finalidade genérica informada. Ainda, com base no seu “direito à explicação” (MONTEIRO, 2018, n.p), requer explicação sobre os critérios e procedimentos utilizados para a tomada de decisões automatizadas; solicita o OPT-OUT, para não receber mais propagandas; e requer sejam apagados todos os seus dados pessoais, após a portabilidade imediata à Startup “Transparência Total”, do mesmo ramo, porque não gostou da falta de transparência da empresa e do descumprimento da LGPD. 

Vamos lá, respondendo à segunda solicitação de Joana, a Plataforma informa que lamenta o atraso da sua resposta e que não tem condições de dar cumprimento imediato à portabilidade dos seus dados pessoais à empresa Transparência Total, já que está pendente de regulamentação pela ANPD. 

Além disso, informa que não poderia apagar os seus dados necessários à prestação de serviço, devendo guardá-los (para outras finalidades não informadas antes) pelo prazo de 5 (cinco) anos (prescrição do art. 27 do CDC), com base no exercício regular de direito da empresa em caso de eventual processo judicial e/ou administrativo, e alguns dados referentes ao registro de acesso à plataforma (IP, data e hora), por 6 (seis) meses, para o cumprimento de obrigação legal, conforme art. 15 do MCI. Garante, ainda, que apagaria rapidamente os dados tratados em excesso (orientação sexual e raça) e que Joana não receberia mais propagandas dos seus serviços. Por fim, expõe que não há tomada de decisão automatizada no tratamento dos seus dados.

Não satisfeita, ao lembrar do direito de acesso à cópia eletrônica integral dos dados e da garantia de qualidade dos dados (art. 6º, V, da LGPD), bem como da ausência de informação quanto aos terceiros com quem seus dados são compartilhados, Joana faz seu terceiro chamado, requerendo cópia eletrônica integral dos seus dados (art. 19, § 3º, da LGPD), identificação e contato dos encarregados dos outros controladores de dados e a finalidade do compartilhamento (art. 9º, IV e V, da LGPD). Pede também que a Quase Lá comunique todos os terceiros (controladores e operadores) para que eliminem os seus dados.

Mais uma vez, a Plataforma violou os direitos de Joana, atendendo parcialmente o seu pedido em 90 (noventa) dias. Em resposta ao seu terceiro chamado, ela entrega a cópia eletrônica dos seus dados (mesmo pendente de regulamentação pela ANPD), comunica quem são os seus parceiros, diz que já os informou acerca da exclusão dos dados e justifica a finalidade do compartilhamento de maneira genérica. Repassa o contato geral de todos os terceiros, sem indicar quem são os outros controladores e sem o contato específico dos encarregados (ou DPO’s), pois boa parte dos terceiros sequer tem encarregado de dados. 

Desconfiada de que os terceiros não haviam cumprido o seu pedido, ela volta a entrar em contato com a empresa (pela quarta vez), solicitando comprovação de que eles teriam, de fato, apagado os seus dados. Além disso, pede prova acerca da eliminação dos dados tratados em excesso (orientação sexual e raça) pela Quase Lá, com base no princípio de responsabilização e prestação de contas (art. 6o, X, da LGPD) e no dever do controlador de informar imediatamente os outros agentes do cumprimento dos seus direitos, conforme disposto no § 6º do art. 18, da LGPD.

Diante disso, a Plataforma somente juntou cópias de e-mails solicitando o cumprimento dos direitos de Joana, sendo que a maior parte deles não tinha o retorno com a confirmação do terceiro. Realmente, o pedido foi feito, mas o seu cumprimento não foi devidamente comprovado. Igualmente, quanto à eliminação dos dados tratados em excesso, a empresa apenas juntou a cópia de um e-mail de confirmação da área de tecnologia, afirmando ter deletado os dados dela. 

Repare que a empresa não havia informado os direitos de portabilidade de dados e informações sobre os critérios e procedimentos na tomada de decisões automatizadas, tão pouco o prazo de 15 (quinze) dias para ter acesso à declaração completa dos dados tratados e o seu dever de de informar imediatamente os outros agentes do cumprimento dos seus direitos, demonstrando a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. E todos eles foram requisitados.

A Quase Lá demorou 90 (noventa) dias para atender o seu pedido de cópia eletrônica integral dos dados (a Lei não estipula um prazo certo, mas deve ser feito em prazo razoável) e seus outros pedidos. Não comprovou que ela e os terceiros cumpriram com a eliminação dos dados e não alegou nada sobre a finalidade genérica dos tratamentos e do compartilhamento de dados. Só informou quem são os terceiros com quem ela compartilha dados na sua terceira solicitação (de modo incompleto) e só informou a base legal para a retenção dos dados quando requisitada para a eliminação dos seus dados, após a portabilidade à Startup Transparência Total. No entanto, para alguns dados, tratava-se de obrigação legal (MCI) e, para outros, exercício regular de direito. Então, não ela tinha como dar cumprimento a esse direito. Mas por que não informou antes que a guarda era obrigatória? 

Como se vê, a empresa violou diversos dispositivos da LGPD, inclusive alguns expresso no art. 9o da norma. Somado a isso, ela tem um nível baixo de transparência e de comprometimento com os direitos das(os) titulares e o art. 9o da LGPD não traz a boa parte dessas exigências – de forma expressa – para o controlador de dados. Contudo, ela teve que informar e justificar itens que poderiam ter sido amplamente divulgados na sua Política de Privacidade, mesmo os direitos que não se aplicam ao tratamento ou aqueles que não constam do art. 18 da Lei, correto?

Os riscos envolvidos: os impactos da falta de transparência e da violação dos direitos das(os) titulares de dados

Agora, Joana está insatisfeita com a postura da empresa e com a demora para ter garantidos os seus direitos. E o pior, ela detém diversas provas das violações e de que a Quase Lá está descumprindo a legislação. 

Isso é extremamente prejudicial para a Plataforma e representa um risco à sua reputação e, especialmente, para a relação com clientes, já que as suas atitudes reforçam a ideia de que a empresa não está sendo transparente o suficiente e não está demonstrando respeito com a garantia dos direitos das(os) titulares. Sem falar das outras consequências: (i) ela pode peticionar perante a ANPD (risco: multa por infração e outras sanções); e/ou (ii) ela pode acionar o PROCON (risco: processo administrativo e multa, em ação conjunta com a ANPD); e/ou (iii) ela pode ajuizar uma ação contra a Quase Lá por violar os seus direitos como titular de dados (risco: ela ser indenizada pelo mero descumprimento da LGPD) e/ou (iv) a Quase Lá pode ser investigada pelo Ministério Público (risco: inquérito/processo judicial e multa).

Muito embora a ANPD tenha competência exclusiva para a aplicação das sanções da LGPD (caput do art. 55-k), a sua atuação acontecerá em conjunto com outros órgãos e entidades que também detêm competências para aplicar sanções e editar normativas sobre o tema de proteção de dados (art. 55-k, parágrafo único). Esse é o caso dos PROCONs, da Secretaria Nacional do Consumidor (SENACON), do Conselho Administrativo de Defesa Econômica (CADE), de algumas agências reguladoras e de outros órgãos/entidades da Administração Pública (PINHEIRO et al., 2019, n.p).

“Todos parecem reclamar para si uma fatia de protagonismo na efetivação dos direitos decorrentes da LGPD” (PINHEIRO et al., 2019, n.p). E dependemos da devida constituição da ANPD para saber como isso será efetivado na prática, especialmente na esfera administrativa, para evitar a superposição das sanções (PINHEIRO et al., 2019, n.p).

Lembrando, ainda, que as esferas administrativa e judicial são independentes. No caso da Quase lá, os riscos envolvidos são: (i) sanções administrativas (pela ANPD/PROCON); (ii) processos judiciais individuais ou coletivos (de Joana e outras(os) titulares) e (iii) ser investigada, ter um inquérito aberto e ser processada pelo Ministério Público.

Quanto às indenizações de titulares, é importante destacar que o texto da LGPD não trata da responsabilidade objetiva (independente de culpa), de forma clara, exceto quando se trata de relações consumeristas (FERREIRA, 2019, n.p). As hipóteses de violação do direito do titular no âmbito das relações de consumo, de acordo com o art. 45 da LGPD, permanecem sujeitas à responsabilidade objetiva e solidária do Código de Defesa do Consumidor (CDC), a fim de proteger a(o) titular, a parte (hiper)vulnerável da relação (BIONI, 2019, p. 155). 

Observe que a LGPD menciona explicitamente a responsabilidade solidária – pontuando algumas hipóteses de exclusão -, mas a Lei não cita expressamente a responsabilidade objetiva. Podemos entender que a responsabilidade é subjetiva (mediante comprovação de culpa ou dolo) nos demais casos? Não necessariamente. Apesar de ser um tema controverso, existe o risco de vários tribunais entenderem que o tratamento de dados pessoais é uma atividade de risco e, portanto, estaríamos diante de uma responsabilidade objetiva, em qualquer caso (PRIVACY CHALLENGE, 2020). Inclusive, esse é o posicionamento do legislador, conforme consta do relatório do projeto de lei da LGPD (Relator Deputado Federal Orlando Silva):

“A atividade de tratamento de dados pessoais constitui atividade de risco, o que atrai a incidência da responsabilidade objetiva ao agente de tratamento, ou seja, aquela segundo a qual não há necessidade de perquirir a existência de culpa para obrigar o causador do dano a repará-lo. Esta já é a regra geral do direito brasileiro para toda e qualquer atividade de risco, conforme previsto no parágrafo único do art. 927 do Código Civil, como também constitui a base da responsabilização dos fornecedores nas relações de consumo” (BRASIL. CÂMARA DOS DEPUTADOS, 2016, p. 40-41)

E mais, recentemente, no julgamento do Recurso Especial nº 1.758.799-MG, de relatoria da Ministra Nancy Andrighi, a Terceira Turma do Superior Tribunal de Justiça (STJ) entendeu que a violação dos deveres associados ao tratamento – inclusive o dever de informar, sem o devido consentimento da(o) titular – configura dano presumido (in re ipsa) e independe de prova do dano. Esse precedente representa um risco muito alto e mais um motivo para se atentar à transparência e ao dever de informar. Vejamos:

“Assim, a inobservância de qualquer dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do consumidor – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade” (STJ – Resp nº 1.758.799-MG, Rel. Ministra Nancy Andrighi, Data do Julgamento: 12/11/2019, Terceira Turma. Publicado no DJe em 19/11/2019).

Além disso, o risco relacionado à responsabilidade solidária e (talvez) objetiva, em caso de incidentes de segurança ou de descumprimento da Lei, provoca uma verdadeira pressão em toda a cadeia de fluxo de dados. Isso significa que as empresas que já estão em processo de adequação com a Lei não desejam correr riscos por terceiros, ou seja, caso os fornecedores e parceiros não demonstrem estar em processo de conformidade com a LGPD, há o risco dessas relações serem escanteiadas (BIONI, 2019, n.p). Essa é a seleção natural do próprio mercado em relação à conformidade em proteção de dados pessoais.

Com a entrada em vigor da Lei, é possível perceber que diversos outros riscos estão envolvidos na falta de transparência e na violação dos direitos das(os) titulares e que independem da ANPD estar constituída e quando as sanções administrativas serão aplicadas (VAINZOF, 2020, n.p).

Aliás, alguns desses riscos estão presentes mesmo antes da entrada em vigor da Lei, tendo em vista que a transparência e o direito à informação estão presentes tanto no CDC, quanto no MCI. A proteção e a privacidade de dados (art. 3º, II e III, do MCI) são princípios do MCI e estão presentes em diversos posicionamentos em defesa do consumidor, especialmente em casos envolvendo ambientes virtuais (MENDES, 2018, p.66). Também, o direito de acesso a informações claras sobre os dados pessoais e as respectivas fontes consta expressamente no CDC, no seu art. 43. No MCI, de forma mais específica, esse direito vem atrelado à finalidade, à minimização de dados (art. 7º, VIII, MCI) e ao dever de exclusão definitiva de dados ao término da relação entre as partes, com exceção da guarda legal obrigatória de dados (art. 7º, X, MCI). 

E olha que interessante, em 2010, a Escola Nacional de Defesa do Consumidor (ENDC) já havia se posicionado sobre a proteção de dados pessoais nas relações de consumo em ambientes virtuais, expandindo a interpretação do CDC, com o reconhecimento do princípio da finalidade, conforme se verifica do trecho a seguir, extraído do caderno de investigações científicas (volume 2):

“[…] cabe verificar que na doutrina podemos encontrar propostas para uma interpretação de caráter expansivo da normativa do Código de Defesa do Consumidor, de forma a identificar a presença dos princípios de proteção de dados pessoais que se comunicam a outras situações. Assim, por exemplo, entende-se a existência do princípio da finalidade, através da aplicação da cláusula da boa-fé objetiva e da própria garantia constitucional da privacidade, pelo que os dados fornecidos pelo consumidor deverão ser utilizados somente para os fins que motivaram a sua coleta […]” (BRASIL. Escola Nacional de Defesa do Consumidor, 2010, p. 52) (grifo meu).

Ou seja, independente de a Lei estar em vigor ou não, boa parte desses riscos já são reais hoje, principalmente para plataformas digitais. Confira, por exemplo, a forte atuação – em âmbito nacional e independente de provocação da(o) titular – do MPDFT, no caso da Vivo Ads, pela coleta supostamente ilegal de dados de perfil, de localização e de histórico de navegação para comercializar publicidade com terceiros, sem o consentimento expresso e, no caso da InLoco, que chegou a ser investigada, mas teve o seu inquérito arquivado, por ter cooperado e demonstrado boa-fé, boas práticas, transparência, governança em privacidade e cuidados especiais com a proteção dos dados tratados. Esse é um excelente caso para demonstrar o que estou frisando neste artigo: investir em proteção e privacidade de dados é extremamente vantajoso, uma verdadeira “janela de oportunidade” (BIONI, 2019, n.p).

Vale destacar também a atuação do Instituto Brasileiro de Defesa do Consumidor (IDEC), no caso da loja Hering, pela utilização de reconhecimento facial para fins de publicidade direcionada sem o consentimento expresso e, no caso da Linha-4 (amarela) do Metrô de São Paulo (SP), pela coleta de dados nas “portas interativas digitais” sem o devido consentimento da(o) usuária(o). Também, da SENACON, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC), no caso do Facebook, pelo compartilhamento de dados das(os) usuárias(os) sem o seu consentimento e com finalidades não informadas e, no caso do Google, por haver indícios de violação à privacidade dos consumidores na análise do conteúdo dos e-mails pessoais, enviados por meio do Gmail, sem o consentimento expresso da(o) usuário. Tudo em defesa da proteção de dados pessoais, mesmo antes da LGPD entrar em vigor.

Além, claro, do reconhecimento expresso do direito fundamental à proteção de dados pelo Supremo Tribunal Federal (STF) (DONEDA, 2020, n.p), no julgamento das ADIs n. 6387, 6388, 6389, 6393, 6390, que suspendeu os efeitos da Medida Provisória n. 954/2020, a qual previa o compartilhamento de dados pessoais entre as empresas de telefonia e o Instituto Brasileiro de Geografia e Estatística (IBGE). 

Consegue perceber o impacto da transparência e da garantia os direitos das(os) titulares nos negócios? Alguns setores serão extremamente impactados; outros, menos. É verdade, por isso essa análise varia de acordo com cada estabelecimento, conforme o seu mercado, modelo de negócio, porte, bem como o tipo de tratamento, o volume de dados tratados e a sua sensibilidade, bem como o risco para as(os) titulares.

Em todo caso, a Quase Lá perdeu uma cliente pela falta de transparência e não observância da LGPD. Evidentemente, Joana é bem esclarecida a respeito dos seus direitos e estou ciente de que essa não é a nossa realidade. Veja, essa é mais uma razão para ser transparente, pois diversas outras solicitações podem ser muito mais trabalhosas, se a empresa não deixar tudo explícito tanto na sua Política, quanto nas suas respostas às(aos) titulares de dados.

É claro que não estou dizendo que todos os casos serão idênticos ao de Joana, ou que a transparência resolverá tudo e que não haverá mais solicitações de titulares. Com transparência, as solicitações continuarão existindo, mas tendem a ser em menor número e com menos retorno da(o) cliente solicitando mais informações. Se a Quase Lá tivesse informado tudo, de forma eficiente, em um primeiro momento (Política) ou até mesmo nas primeiras solicitações de Joana, todo esse processo seria simplificado e ela estaria satisfeita com o posicionamento transparente e atencioso da empresa, evitando as consequências ruins de titulares descontentes e a auditoria e sanções das Autoridades competentes. 

Pense que Joana é só uma pessoa e olha o trabalho que ela deu e ainda poderá dar, já que a sua solicitação não foi devidamente atendida. Agora, consegue imaginar várias “Joanas” pedindo, diariamente, o atendimento dos seus direitos e insatisfeitas com a falta de transparência e desrespeito da empresa? Qual seria o impacto disso no seu negócio? 

Lembre-se de colocar na conta o tempo e os recursos desprendidos para garantir parcialmente os direitos das(os) titulares, assim como a responsabilidade objetiva e solidária dos controladores e operadores de dados. E que a boa-fé e a adoção de políticas de boas práticas; de governança; de medidas corretivas; de cooperação e de mecanismos e procedimentos internos para minimizar danos são parâmetros importantes na dosimetria da aplicação das sanções e a reincidência é agravante (art. 52, § 1º, II, VIII e IX, da LGPD). Isso significa que a ausência dos fatores atenuantes e a presença de reincidência podem elevar significativamente as sanções aplicadas pela ANPD e as indenizações julgadas no judiciário. 

Como se diferenciar no mercado e mitigar riscos

Repare que, de forma alguma, a minha intenção é desencorajar ou colocar medo nas empresas. Pelo contrário, é mostrar que a chave para mitigar alguns riscos de grande impacto é a transparência na garantia dos direitos das(os) titulares de dados pessoais, para estabelecer uma relação de confiança, e a adoção das medidas atenuantes citadas aqui. Reflexo, claro, da implementação de um constante processo de conformidade da organização.

E que, cedo ou tarde, “a proteção de dados vai bater à porta de todos” (SERPRO, 2020, n.p), lembra Fabrício Mota; pois é uma pauta importante do mundo moderno e mais de 130 (cento e trinta) países já possuem legislação específica sobre o tema. Por que não aproveitar essa “obrigação legal” para se diferenciar no mercado? Segundo Renoir dos Reis, DevSecOps e gerente de produto do Eskive,

“lançar qualquer tipo de conteúdo ou solução que capture dados de usuários (sejam clientes ou não) em 2020 sem a efetiva necessidade e clara explicação não é só mais apenas um risco de compliance, e sim um enorme risco competitivo, financeiro e jurídico. Um exemplo muito claro de entendimento destes riscos é a forma como a Apple vem se posicionando em relação a privacidade, que se tornou um dos diferenciais mais valiosos que uma empresa pode oferecer aos consumidores de agora em diante” (SOUSA, 2020, n.p).

Então, que tal diminuir riscos e ainda lucrar com isso? Você sabia que, no Brasil, as empresas recebem, em média, US $ 3,30 para cada US $ 1 investido em privacidade de dados? E que a média global é de US $ 2,70? (CISCO, 2020).

Uau! De acordo com a pesquisa da CISCO (CISCO, 2020), o retorno do investimento em privacidade no Brasil é superior à média global. Logo, estamos falando de um relevante diferencial de mercado (BIONI, 2019, n.p) que merece toda a atenção! Como diria Bill Gates, “a chave do sucesso nos negócios é perceber aonde o mundo se dirige e chegar ali primeiro”. Vamos lá? 

Quer ver um exemplo de Política de Privacidade transparente, com menção a todos os direitos das(os) titulares, nos termos do MCI e conforme a LGPD, mesmo antes da sua entrada em vigor? Confira a Política em vídeo do meu site!

Referências 

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A Função e os Limites do Consentimento, Editora Forense, Rio de Janeiro, 2019.

BIONI, Bruno. Regulação de dados é uma janela de oportunidade. Publicado em 13/09/2019. Disponível em: http://genjuridico.com.br/2019/09/13/regulacao-de-dados-oportunidade/. Acesso em 02/07/2020.

BRASIL, Assembleia Legislativa. Lei 13.709/2018. Regulamenta a proteção de dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 02/07/2020.

BRASIL. Câmara dos Deputados. Relatório da Comissão Especial sobre o Projeto de Lei n. 40/60/12. Relator Deputado Federal Orlando Silva. Projeto de Lei n. 4060/2012. Publicado em 22/11/2016. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename=. Acesso em 02/07/2020.

CISCO. Cisco Data Privacy Benchmark Study 2020. Disponível em: https://www.cisco.com/c/dam/en/us/products/collateral/security/2020-data-privacy-cybersecurity-series-jan-2020.pdf. Acesso em 02/07/2020.

DE LUCA, Cristina. O legítimo interesse não é um cheque em branco para tratar dados pessoais. Publicado em 14/09/2019. Disponível em: https://porta23.blogosfera.uol.com.br/2019/09/14/o-legitimo-interesse-nao-e-um-cheque-em-branco-para-tratar-dados-pessoais/. Acesso em: 02/07/2020.

DONEDA, Danilo. STF reconhece o direito fundamental à proteção de dados. Publicado em: 09/05/2020. Disponível em: http://www.doneda.net/2020/05/09/stf-reconhece-o-direito-fundamental-a-protecao-de-dados/. Acesso em: 02/07/2020.

FERREIRA, Diogo Ramos. Responsabilidade civil dos agentes de tratamento de dados: subjetiva ou objetiva?. Publicado em: 20/11/2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/responsabilidade-civil-dos-agentes-de-tratamento-de-dados-subjetiva-ou-objetiva-20112019. Acesso em 02/07/2020.

MENDES, Laura Schertel. “O diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor.” Revista de Direito do Consumidor (2018), p. 66.

MENDONÇA, Cristiane Terra. Afinal, quais os direitos das(os) titulares de dados devem ser informados? Publicado em: 23/05/2020. Disponível em: https://www.cristianeterra.com.br/2020/05/23/afinal-quais-os-direitos-dasos-titulares-de-dados-devem-ser-informados/. Acesso em 02/07/2020.

MENDONÇA, Cristiane Terra. LGPD e MCI: Política de Privacidade antes da Lei Geral de Proteção de Dados entrar em vigor. Publicado em: 16/06/2020. Disponível em: https://www.youtube.com/watch?v=ETQpbRVdcxQ. Acesso em 02/07/2020.

MENDONÇA, Suzana. A autodeterminação informativa no contexto de proteção de dados pessoais. Publicado em: 20/10/2019. Disponível em: https://www.conjur.com.br/2019-out-20/suzana-mendonca-autodeterminacao-informativa-protecao-dados. Acesso em: 02/07/2020.

MONTEIRO, Renato Leite. Existe um direito à explicação na Lei Geral de Proteção de Dados do Brasil?. INSTITUTO IGARAPÉ. Artigo estratégico, v. 39, p. 1-14, 2018.

PINHEIRO et al. ANPD: uma necessidade de convergência entre CADE, Anatel e Senacon. Publicado em: 20/10/2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/anpd-uma-necessidade-de-convergencia-entre-cade-anatel-e-senacon-20102019. Acesso em: 02/07/2020.

PRIVACY CHALLENGE com Guilherme Braguim. Instagram. Publicado em 10/06/2020. Disponível em: https://www.instagram.com/p/CBRelzxDVmO/. Acesso em: 02/07/2020. 

RAMOS, Pedro. A regulação de proteção de dados e seu impacto para a publicidade online: um guia para a LGPD. Publicado em: 16/07/2019. Disponível em: https://baptistaluz.com.br/institucional/a-regulacao-de-protecao-de-dados-e-seu-impacto-para-a-publicidade-online-um-guia-para-a-lgpd/. Acesso em 02/07/2020.

SERPRO. O recado foi dado: se ainda não começou, comece já e do jeito que der. Publicado em 20/05/2020. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2020/titular-gestao-direitos-lgpd. Acesso em: 02/07/2020. 

SERPRO. O titular e a gestão de seus direitos. Publicado em 20/05/2020. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2020/titular-gestao-direitos-lgpd. Acesso em: 02/07/2020.

SOUSA, Ramon. São necessárias 191 páginas para listar tudo o que o Spotify coleta sobre você. Publicado em 28/06/2020. Disponível em: https://thehack.com.br/sao-necessarias-191-paginas-para-listar-tudo-o-que-o-spotify-coleta-sobre-voce/amp/. Acesso em: 02/07/2020.

VAINZOF, Roni. A prorrogação das sanções da LGPD e a relevância da ANPD. Publicado em: 12/06/2020. Disponível em: https://www.conjur.com.br/2020-jun-12/rony-vainzof-lgpd-relevancia-anpd. Acesso em: 02/07/2020.

VIDIGAL, Paulo. Bases Legais: mapear ou não mapear, eis a questão. Publicado em: 11/12/2019. Disponível em:https://www.linkedin.com/pulse/bases-legais-mapear-ou-n%C3%A3o-eis-quest%C3%A3o-paulo-vidigal/. Acesso em 02/07/2020.

ZANATTA, Rafael AF. “PROTEÇÃO DE DADOS PESSOAIS COMO REGULAÇÃO DE RISCO: uma nova moldura teórica?”. ANAIS REDE 2017: 175.

2 Replies to “(LGPD) Como se diferenciar no mercado e mitigar riscos: os impactos da transparência nos negócios”

  1. Texto muito bem articulado. É o que todos nós esperamos. Um tratamento de respeito ao nossos direitos, a transparência e não manipulação dos dados para utilização indevida, vendas e controle.
    Por mais profissionais que tenham ética e coragem como você!

    1. Muito obrigada, Tatiane! Realmente, por isso, a proteção de dados é tão importante para tod@s nós!
      Afinal, só queremos saber verdadeiramente como os nossos dados são tratados e a transparência é a chave para garantir os nossos direitos de uma forma eficiente. E para as instituições, esse é o caminho para mitigar riscos e reduzir custos e ainda lucrar com isso!
      Tod@s ganham! Então, Vamos lá! =)
      Obrigada pela sua participação!
      Abraços

Leave a Reply

Your email address will not be published. Required fields are marked *