Todas as relações humanas implicam na troca de dados pessoais entre indivíduos. As empresas coletam dados pessoais dos consumidores com o objetivo de inovar perante os seus concorrentes.

Dessa forma, o dado pessoal acaba sendo um diferencial competitivo com significativo valor de mercado. Numa perspectiva macro, o contexto que ensejou a necessidade da existência de uma regulamentação sobre privacidade e proteção de dados foi o emblemático Caso Snowden, no qual Edward Snowden, um ex-técnico da CIA, foi acusado de espionagem por vazar informações sigilosas de segurança dos EUA e revelar alguns dos programas de vigilância que o país utilizava para espionar a população. Esse tema tem ganhado tamanha relevância nos dias atuais que não é por menos que, para a conceituada revista britânica “The Economist”, “o dado é o novo petróleo”. 

Já no âmbito doméstico, o processo de digitalização da economia - impulsionado pelos preceitos da Indústria 4.0 e catalisado pelos reflexos da pandemia -, culminou no considerável aumento do fluxo de dados pessoais sem trazer, contudo, o devido acompanhamento por uma legislação que versasse sobre esse tema. Foi nessa toada que a Lei 13.709/2018, conhecida como a Lei Geral de Proteção de Dados ou LGPD, entrou em vigor em 18 de setembro de 2020, fazendo com que muitas empresas buscassem especialistas no mercado para ajudá-las no que diz respeito ao tratamento dos dados pessoais de seus clientes, colaboradores e prestadores de serviços. Vale destacar que a LGPD é uma norma oriunda de uma legislação estrangeira. No caso, a General Data Protection Regulation, conhecida como GDPR, a qual entrou em vigor na Europa em 25 de maio de 2018 e acabou sendo “tropicalizada” à realidade brasileira.

Considerando o lapso temporal de 2 anos e 4 meses entre a vigência da GDPR (Europa) e LGPD (Brasil), faz-se necessário pontuar que a regulamentação europeia está, obviamente, muito mais sedimentada em termos de jurisprudência, enunciados e protocolos. Antes de analisarmos alguns aspectos importantes da LGPD, temos que esclarecer alguns conceitos básicos: (i) dados pessoais consistem em qualquer informação que pode identificar uma pessoa física; (ii) dados pessoais sensíveis dizem respeito à intimidade de uma pessoa natural e são expressos de forma taxativa na LGPD, merecendo, portanto, um tratamento diferenciado por conta de sua própria natureza. Podemos citar como exemplos de dados pessoais sensíveis as informações atreladas à crença política, dados genéticos ou biométricos, etnia, convicção religiosa, opinião política, saúde etc.; e (iii) o tratamento dos dados pessoais se refere à forma de se lidar aquela informação, a qual pode ocorrer por meio de operações de coleta, produção, recepção, utilização, acesso, transmissão, modificação, eliminação, armazenamento etc.

O artigo 41 da LGPD determina que o controlador (i.e., a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais - por exemplo, uma empresa que coleta dados pessoais de seus clientes) deve indicar uma pessoa para atuar como o encarregado pelo tratamento de dados pessoais, também conhecido como DPO (Data Protection Officer). Dentre as principais atribuições do DPO destaca-se zelar pela proteção dos direitos fundamentais de privacidade e liberdade do indivíduo.

Na prática, o DPO atua como um canal de comunicação fazendo a triangulação entre o controlador (e.g., empresa), o titular dos dados (usuário) e a ANPD (Agência Nacional de Proteção de Dados) – autarquia vinculada ao Poder Executivo, cujas principais atribuições são fiscalizar o cumprimento da lei, receber denúncias, aplicar sanções e medidas administrativas, zelar pela proteção dos dados pessoais e criar regulamentação sobre a LGPD.  A área da Privacidade e Proteção de Dados pode ser dividia em três esferas: jurídica, tecnologia da informação e segurança da informação. O DPO atua tanto no âmbito institucional da empresa (junto aos seus próprios funcionários e colaboradores) quanto que fazendo a gestão dos terceiros contratados pela empresa e que atuam em sua cadeia mercadológica (fornecedores, prestadores de serviço etc.) - já que o artigo 42 da LGPD impõe responsabilidade solidária entre os agentes -, bem como exercendo um papel de relações públicas da empresa na medida em que interage com a ANPD.

A Associação Internacional dos Profissionais de Privacidade (IAPP) estimou, antes da entrada em vigor da GDPR na Europa, que seriam necessários ao menos 70 mil cargos de DPO. Após um ano de vigência da GDPR, haviam 500 mil pedidos por tais profissionais – quase que 9 vezes o valor incialmente projetado pela IAPP. 

O Brasil possui cerca de 20 milhões de empresas, 90% das quais são empresas de pequeno e médio porte, constituindo, portanto, um verdadeiro universo de oportunidades para o DPO. Esse cenário tem atraído a atenção de diversos profissionais que têm se especializado para atender a essa demanda de mercado, sobretudo considerando que o salário médio de um DPO é de R$ 21.500,00, podendo variar de R$ 10 mil a R$ 50 mil mensais, dependendo do porte da empresa. O DPO tem uma atuação focada em mapear e entender o fluxo de dados pessoais dentro da empresa, de forma a minimizar os gaps e criar um projeto de governança em privacidade de dados, confeccionando os instrumentos jurídicos adequados a fim de minimizar os riscos para a empresa. Vale lembrar que a existência de um programa de governança em privacidade de dados serve para atenuar ou até mesmo eximir a empresa de sofrer eventuais multas pela ANPD. Tais multas correspondem a até 2% do faturamento bruto da empresa, limitado ao teto de R$ 50 milhões, por atividade, o que significa que a empresa pode levar diversas multas atreladas a um mesmo incidente de segurança - o que levaria, inclusive, muita empresa a quebrar. A aplicação dessas multas pela ANPD entrará em vigor em 1º de agosto desse ano, muito embora o deputado Eduardo Bismarck (PDT-CE) tenha proposto um projeto de lei (PL 500/2021) para adiar essa data para 1º de janeiro de 2022. Esse deputado alega, basicamente, que as empresas brasileiras ainda não estão maduras o suficiente para atender aos parâmetros da LGPD e que a pandemia também acabou atrasando tudo. No entanto, o consenso existente no mercado indica que as multas passarão a ser aplicadas efetivamente a partir de agosto desse ano, sobretudo considerando que a Comissão Europeia já declarou que apenas fará negócios com o Brasil caso possuamos uma legislação semelhante àquela existente na Europa (GDPR) - já contemplando a aplicação de multas.

O Brasil é hoje o segundo pior país do mundo para detectar um incidente de segurança (e.g., vazamento de dados), perdendo apenas para a Turquia. Demoramos de 1 mês a 46 dias, ao contrário de alguns países europeus e dos EUA que demoram de 24 a 48 horas para detectar uma invasão.  No caso do famoso vazamento brasileiro de 220 milhões de dados pessoais, o qual superou, inclusive, a própria população brasileira e que especula-se ter ocorrido pela base de dados do SERASA - um dos nossos maiores coletores de dados -, demoramos nada menos que 1 ano para detectar a ocorrência desse vazamento, o qual foi aparentemente realizado por um cyber terrorista do leste europeu no mercado clandestino conhecido como Deep Web. 

Resta agora aguardarmos para ver como o mercado brasileiro reagirá à essa nova legislação, lembrando que a ANPD ainda deverá criar diversas regulamentações adicionais durante esse e o próximo ano (várias das quais estão sob consulta pública). Por ora, estamos utilizando como parâmetro e termômetro balizador o entendimento europeu, decorrente da aplicação da GDPR, para dirimir diversas questões no Brasil.  

Roberto De Marino Oliveira é advogado pós-graduado em Gestão da Inovação e Tecnologia – Indústria 4.0 pela Fundação Getulio Vargas (FGV-SP) e formado pela Universidade Presbiteriana Mackenzie (SP). Head do Departamento de Privacidade e Proteção de Dados e DPO do André Elali Advogados.