Entrevista. Advogado explica como a nova legislação pode proteger pessoas e empresas
Vivemos numa era de grandes dados. Já dizia Tim Berners Lee, um dos criadores da internet: We need raw data, now! (Nós precisamos de dados crus, agora!). A ideia é que seja incentivada a coleta de dados, ainda que sem um tratamento prévio (portanto, “crus”), para que possa ocorrer o maior número de associações entre eles: o cruzamento de dados leva à descoberta de diferentes usos e ganhos informacionais.
Segundo o advogado Henrique Cunha Souza Lima, sócio do Cunha Souza Lima Advogados e professor em Direito e Inteligência Artificial, com o progressivo aumento nas práticas de coleta e uso de dados, contudo, os riscos inerentes à essa tendência também aumentam significativamente. Afinal, não apenas os dados pessoais estão mais cobiçados, logo mais vulneráveis, mas o mercado passou a valorizar os players que proporcionam um grau adequado de segurança de informação.
Nesta entrevista ao JORNAL DA CIDADE, o advogado mostra algumas possibilidades para as empresas se adequarem à nova legislação sobre proteção de dados pessoas na Internet.
Por que corremos riscos?
Em 2016, foi editado, na União Europeia, o Regulamento Geral de Proteção de Dados Pessoais, conhecido como GDPR (General Data Protection Regulation). Ele revolucionou a disciplina de dados pessoais na Europa e no mundo na medida em que conta com uma regra de ultraterritorialidade. O regulamento entrou em vigor em maio de 2018 e naquele mesmo ano foram disparados diversos e-mails de empresas informando a alteração de suas políticas de privacidade. Foi quando o Brasil editou sua própria lei para regular como os dados pessoais devem ser tratados: a 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais). Tinha início de vigência prevista para agosto de 2020, motivo pelo qual começou, no País, verdadeira corrida para adequação aos termos da nova legislação.
O que são considerados dados pessoais?
De acordo com o art. 5º, I, da LGPD, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Qualquer dado que permita a identificação de uma pessoa natural (pessoa física), portanto, merece proteção da lei, como nome; CPF; identidade; dados de contato (email, telefone); fotos; endereço; etc. Ainda, conforme o art. 1º, a LGPD se aplica ao tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica. Isso significa que quaisquer dados que uma pessoa trate (física ou jurídica) podem ser objeto de proteção da legislação, e não apenas aqueles cujo armazenamento seja digital. Logo, mesmo nos casos de tratamento de dados em meio físico (papéis, cadernos, anotações), ela pode ser aplicável.
Quais são os exemplos práticos de aplicação da Lei Geral de Proteção de Dados Pessoais?
Por tratamento de dados, a LGPD adota conceito bem abrangente, sendo: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Alguns exemplos práticos de aplicação são a coleta de dados de brasileiros por meio de site hospedado fora do Brasil; armazenamento, por loja de departamento brasileira, do nome e endereço de pessoa estrangeira que está em viagem no Brasil; coleta e guarda de nome e número do cartão de crédito por plataforma de e-commerce; e arquivo físico das fichas cadastrais de pacientes de clínica médica.
Como isso afeta o mercado?
A LGPD também possui hipóteses de aplicação territorial bem abrangente, conforme seu art. 3º. Ela se aplica a qualquer operação de tratamento de dados, independentemente do meio, do país da sede da pessoa jurídica ou do país onde estejam localizados os dados. Mas desde que a operação seja realizada no território brasileiro; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a indivíduos localizados no território nacional; a atividade tenha por objetivo o tratamento de dados de indivíduos localizados no território nacional; e/ou os dados tenham sido coletados no território nacional. Como requisito para qualquer pessoa jurídica ou natural realizar o tratamento de dados pessoais, é necessário possuir uma base legal. Dentre essas hipóteses, estão as situações em que o titular dos dados fornece consentimento, em que há obrigação legal ou quando o tratamento é necessário para atender a interesses legítimos. Mas a lei não se aplica em alguns casos, como o tratamento de dados realizado por pessoa natural para fins exclusivamente particulares e não econômicos e o tratamento para fins exclusivamente jornalísticos e artísticos.
Quais os riscos da falta de adequação? O que fazer?
Os riscos representados pela falta de adequação são diversos, desde ataques cibernéticos e manutenções emergenciais de T.I., até a aplicação de multas e a suspensão das atividades empresariais. A adequação se mostra como uma questão de compliance: investir em proteção de dados é investir em governança corporativa e na imagem da empresa perante o mercado. E essa é uma realidade mundial.
FOTO / Arquivo Pessoal
Portal de notícias de BH e região, com informações sobre eventos empresariais, negócios, economia, política, cobertura social e muito mais.
Seja o primeiro a comentar
Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se identificar algo que viole os termos de uso, denuncie.