LGPD: desafios e impactos nos negócios

As empresas têm no uso de dados uma ferramenta fundamental para os negócios hoje. Muitos desses dados armazenados estão enquadrados como dados pessoais e, portanto, sujeitos à LGPD. Como não podem abrir mão deles, tão pouco infringir a legislação, será preciso repensar as formas como as empresas tratam os dados dos seus consumidores.

Em vigor há menos de um ano, a Lei Geral de Proteção de Dados é uma realidade ainda repleta de incertezas em relação a sua aplicação prática. A Autoridade Nacional de Proteção de Dados (ANPD), autarquia criada para ser a responsável por disciplinar, regular e orientar as questões relativas à proteção de dados pessoais, é embrionária e padece, além da juventude, da falta de verbas para que possa agir com algum grau de autonomia e um mínimo de capacidade operacional. 

Estabelecida durante o governo do presidente Michel Temer, a ANPD foi criada como um órgão da presidência da República de natureza transitória e sem aumento de despesas, o que a deixa com muitas limitações de atuação, ainda mais num momento de criticidade fiscal como o atual. Foi o mecanismo escolhido naquele momento, para que a criação da ANPD não fosse postergada. Mas, a lei que a criou deixa claro que ela pode vir a ter o regime de autarquia, tal qual agências regulatórias como a ANVISA e a ANS. Segundo a sócia da LEC e do escritório especializado em Compliance e Proteção de Dados GCAA, Alessandra Gonsales, a avaliação disso deve acontecer em dois anos. “O ideal seria que ela se convertesse realmente numa autarquia. Isso daria a ela orçamento próprio e, ao menos em tese, mais independência de atuação”, diz a advogada, que também é sócia-fundadora da LEC. 

A própria legislação tem uma série de aspectos que carecem de orientação mais clara, bem como outros que demandam regulamentação da entidade. Embora muitas dessas questões não devam ser tratadas tão rapidamente, o fato é que a lei está valendo e, as dúvidas e hipóteses em relação a sua aplicação, sendo discutidas pelo mercado.

Uma dessas discussões é sobre se a responsabilidade prevista na lei será considerada objetiva, que independe de conduta e dolo da companhia, tal qual acontece com a Lei Anticorrupção local. 

Uma corrente de pensamento diz que se a empresa tomou todas as providências cabíveis, e mesmo assim aconteceu uma violação da lei, por um ataque externo, por exemplo, ela teria aí uma linha de defesa. Para esse grupo, uma vez que acreditam que a responsabilidade só poder ser objetiva se estiver expressa na lei (o que não está), a empresa só teria responsabilidade se ficasse comprovado que foi o controlador ou o operador que deixou vazar o dado e, ainda, se o vazamento gerou dano.

A outra vertente entende que a responsabilidade é objetiva e ponto final.

Embora o texto da LGPD não seja explicito em relação à responsabilidade objetiva (e se a intenção do legislador era essa, então deveria estar), Priscila Sansone, Sócia da área de Direito de Consumo do Veirano Advogados, fazem uma analogia com o Código de Defesa do Consumidor, que diz que nas relações de consumo, a responsabilidade da empresa é objetiva. “Essa é a tendência mais forte. Aqui no escritório, acreditamos que a responsabilidade será objetiva, porque o Código de Defesa do Consumidor já prevê, ainda que indiretamente, a responsabilização em relação à utilização de dados dos consumidores”, lembra a sócia do Veirano.

Ela explica que, no mundo real, a LGPD se valeu de alguns direitos já assegurados aos consumidores, como o que se relaciona ao ônus da prova. É o controlador ou o operador dos dados que precisam apresentar provas que o dado do cliente não foi vazado numa acusação dessa natureza. Por isso, Sansone acredita que se a LGPD tende a proteger o dono do dado, a responsabilização tende a ser objetiva. Mas, a advogada lembra também que, em alguns casos, não se pode exigir do fornecedor (seja ele o controlador ou o operador) a prova negativa. “Nesse ponto, acho que vamos ter um impasse até ver em algum caso concreto como o judiciário vai reagir”, pontua.

Objetiva? Talvez. Solidária? Com certeza

Outro ponto importante, a responsabilidade solidária dos envolvidos em caso de vazamento de dados pessoais é explícita. Controlador e operadores respondem conjuntamente por violações à lei, o que coloca toda a cadeia de valor da empresa que, de alguma forma, trata os dados controlados por ela, sob pressão. “É a mesma lógica do Código de Defesa do Consumidor. Todas as empresas envolvidas irão responder perante o titular do dado, que pode entrar com ação judicial contra quem ele quiser, seja um, sejam todos os envolvidos na infração”, diz a sócia do Veirano.

Independentemente do número de sancionados, o valor determinado como reparação será o mesmo, dividido entre as partes, ou assumida por uma delas, muito provavelmente o controlador, com quem a pessoa costuma ter o relacionamento. Nesses casos, num momento posterior, é possível aplicar o direito de regresso entre quem pagou a multa no valor integral e os outros envolvidos no caso. Esse processo é disciplinado pela LGPD que diz que na prática, se forem condenados, serão solidários. 

Isso tem levado a um processo intenso de adequação de contratos entre as empresas e seus fornecedores e parceiros de negócios que lidam com dados pessoais sob sua responsabilidade ou em seu nome. Nessas adequações, cláusulas robustas para as questões relacionadas ao tratamento desses dados e a assumpção de responsabilidade dos fornecedores, inclusive em termos de ressarcimento financeiro estão sendo incluídas.

Nesse contexto de solidariedade, existem situações que podem ser mais complexas, nas quais um mesmo operador lida com dados de vários controladores. Dados iguais, não raro. Assim, as empresas precisarão se preocupar se os dados que ela controla e estão em alguma plataforma externa estão segregados. “Se acontece um vazamento da plataforma, ela vai ter que identificar de qual caixinha vazou, da empresa A ou da empresa B?”, lembra Alessandra Gonsales.

Mudança de mindset

Com a lei em vigor, o desafio que se impõe às empresas é como equilibrar o uso mais intensivo de dados em cada vez mais aspectos do seu negócio (e o dados pessoais são peça chave nisso) sem infringir a lei e, pior do que tudo, desrespeitar a vontade e a privacidade dos consumidores. 

A busca por esse equilíbrio não é fácil. Com a digitalização do ambiente de negócios em diferentes frentes o acesso a dados pessoais de toda natureza (daqueles mais pessoais mesmo, como CPF e RG, até indicadores relacionados a hábitos de consumo) ficou muito mais fácil. Qualquer empresa que tenha alguma atividade comercial acumula hoje um mar de dados nos quais a maioria não sabe navegar, mas que estão nas entranhas de algum sistema da empresa e, por isso, expostos. Apenas empresas de varejo geram 40 terabytes de dados por hora. Se antes, o desafio residia em como organizar, extrair e tratar esses dados de consumidores e de consumo tão importantes, agora, antes de pensar em fazer isso, será mandatório obter consentimento de quem é o verdadeiro dono daquela informação: a própria pessoa. “As empresas e particularmente as áreas de Marketing trabalharam por muito tempo acreditando que os dados, pessoais ou não, uma vez dentro da casa, eram um ativo da empresa. E não são”, afirma Gonsales. “Seria como fazer uma avaliação do seu patrimônio com um bem que naquele momento está com você, mas que não lhe pertence. Os dados pessoais não são das empresas. E elas há tempos sabem disso”, emenda.

Dessa forma, para que áreas como Vendas e Marketing trabalhem com o uso de dados dentro do novo cenário jurídico, não existe outra opção que não a de se reinventar na forma como estabelecem o relacionamento com os seus clientes. O desafio é que não necessariamente estamos falando de uma mudança de formato ou plataforma: da carta para o telefone, do telefone para o e-mail, do e-mail para a comunicação nas redes sociais… Até porque todos esses meios continuam existindo e, todos eles, se valem dos dados pessoais. 

“É preciso ter clareza de que não dá para se adequar à LGPD sem uma mudança de postura das empresas”, explica a Sócia do Veirano.  Se de um lado, não faz sentido a empresa abrir mão dos dados, é preciso sim estabelecer processos e mecanismos sobre a forma de tratá-los. “As empresas podem pensar em alternativas para não tornar a aplicação da LGPD tão onerosa (em termos de limitação no uso dos dados). Temos assessorado clientes nesse sentido, mas (a lei) esvazia um pouco a ideia original do que fazer com esses dados”, diz Priscila Sansone.

A compra e a venda de bases de dados de clientes para fazer “aquecimento” de leads, por exemplo, é um grande problema. Isso faz com que na área de Marketing, a lei bata de forma mais dolorosa do que em outras áreas. Pode-se pensar em mecanismos, mas não dá para fugir do aceite e do consentimento do usuário no uso dos dados, se a empresa não tiver outra base legal para tratar os dados.

A LGPD exige dos profissionais nas empresas entender quais dados estão sendo tratados e, antes disso, se esses dados podem ser tratados. Se o consumidor quer o CPF na nota, você não pode simplesmente capturar esse dado e abastecer o banco de dados da empresa com as informações de compras dele sem que ele aceite formalmente isso. “O CPF será utilizado apenas para a emissão da notal fiscal ou também para um programa de fidelidade? Você consente enquanto for afiliado do programa? Então a empresa não precisa descartar os seus dados”, lembra Gonsales, do GCAA. Ao mesmo tempo, pela natureza do programa – que quando bem executado tende a gerar engajamento e relacionamento constante –, é possível manter o aceite do consumidor atualizado. Até porque uma vez que são as próprias compras do cliente com a empresa que estão mantendo os seus dados atualizados na base. “O dado tem que ter finalidade específica em relação ao seu uso. Posso deixar isso pré-aprovado com os consumidores e, se não ficar mudando as políticas, o aceite vai bastar. O Compliance com a LGPD está muito relacionado a essa autorização” reforça Sansone. Ela diz que tem recomendado estruturar vários cenários do que pode ser feito com os dados, como envio de mensagens promocionais e de vendas da empresa; envio de mensagens por parceiros da empresa; ou permitindo o contato por telefone. “Estabelecendo com o consumidor essa dinâmica, tudo bem. Agora, é preciso fazer esse combinado e cumpri-lo”, diz a sócia do Veirano.

Um problema é no caso de pessoas que entram no programa, colocam os seus dados, mas acabam não fazendo negócios com a empresa. Uma situação comum. Aí será preciso estipular a partir de quanto tempo aquele dado deverá ser descartado, para não expor a empresa desnecessariamente.

Ser transparente é só o começo

Outro bom exemplo sobre a nova realidade que a LGPD impõe as atividades comerciais e de negócios das empresas foi o comunicado da nova política de privacidade de dados do WhattsApp, no qual a empresa pontuava que uma quantidade relevante de dados dos usuários estavam sendo compartilhados para o Facebook (empresa que controla o WhattsApp e, também, o Instagram) e outros parceiros. As plataformas de mídias sociais tem no uso dos dados de interesse de cada usuário, obtidos por diferentes meios, o pilar central do seu modelo de venda de publicidade. A transparência ao extremo expôs que o aplicativo de mensagens estava totalmente infringente à lei de proteção de dados local. Na ocasião, em janeiro deste ano, o PROCON notificou a empresa a se explicar. O comunicado foi retirado e voltou a circular novamente apenas no final de fevereiro, com ajustes.  “As Big Tech tiveram muito problema na Europa e buscaram desenhar uma política bem transparente. O problema é que não é só falar o que você faz. É preciso autorização do dono do dado antes de fazê-lo”, explica Gonsales. 

Isso faz com que mesmo em empresas do mesmo grupo econômico, o compartilhamento de dados precisa estar amarrado e autorizado. Em meio a tantos riscos de compartilhar os dados até quem está sob o mesmo guarda-chuva, o que dizer dos riscos de trocar esses dados com outras empresas, sob a qual não se pode ter controle nenhum. “Aconteceu comigo. Descobri numa farmácia, que o meu CPF me dava descontos porque estava na base deles como cliente de outra rede de varejo. E a pessoa na farmácia ainda me disse que eu teria desconto por ser cliente dessa rede de varejo. Ou seja, compartilharam meus dados com a farmácia sem que eu autorizasse”, relata Alessandra Gonsales. Nesse caso, tanto a farmácia quanto a rede de varejo poderiam ser responsabilizados. A sócia do GCAA reconhece que para as redes de varejo e outros setores que lidam com muitos dados pessoais, o controle disso pode ser uma loucura. Daí a importância dessas empresas criarem mecanismos de atualização obrigatórios. Tendo em vista a complexidade, é possível que muitas empresas assumam o risco de manter o uso dos dados sem estar totalmente aderente à LGPD. “Por isso temos que ter enforcements. Ou temos uma atuação forte das autoridades ou existe o risco de as empresas não respeitarem a Lei e causarem danos aos titulares”, alerta Alessandra Gonsales.

Dados pessoais anonimizados

Outro mecanismo que pode ser utilizado pelas áreas de Marketing e Comunicação da empresa e até com parceiros, é a anonimização dos dados. Dados só são pessoais quando passíveis de identificar pessoas. Muitos dados com informações pessoais não se enquadram nesse critério.

Mais companhias estão tentando trabalhar em estratégias que disfarçam os dados pessoais, o que diminui o engessamento na forma de trabalhar, uma vez que não se acessa os dados específicos de uma consumidora. “Uma publicidade dirigida para mulheres entre 40 e 50 anos que consomem pílula. Se tiver acesso a um conjunto de dados anonimizados que eu saiba que está dentro desse intervalo, ok. Claro que uma vez anonimizado, o dado não poderá mais ser desanonimizado”, exemplifica a sócia do Veirano. É uma alternativa a tentativa do consentimento, que tem uma fragilidade elementar: o consumidor pode sempre revogá-lo. Hoje, existem softwares que fazem o processo de anonimização e impedem a sua reversão. Na busca por alternativas, empresas estão fazendo anonimização para objetivos variados, de pesquisa até testes de novos produtos. 

As empresas vão ter que ser criativas na forma de lidar com esse tratamento hoje em dia. Isso porque embora exista uma série de hipóteses que autorizam tratamento de dados, muitas não valem numa relação entre consumidor e fornecedor. Ao fim, sobram a obrigação legal de responder a autoridade; casos de cumprimento de contrato, como uma compra feita que precise ser entregue; o próprio consentimento; e, uma quarta hipótese: legítimo interesse, que segundo Sansone ainda é uma zona super cinzenta. “A própria GDPR (a legislação europeia de proteção de dados pessoais) não tem muito bem definido o que se enquadra como legítimo interesse. Mas são essas quatro hipóteses”, pontua a advogada do Veirano, para quem é possível uma mudança de mentalidade mesmo sem os enforcements. “A LGPD agregou, mas antes dela estar em vigor já foram aplicadas multas milionárias para empresas, tanto por órgãos de defesa do consumidor quanto pelo Ministério Público com base no código de defesa do consumidor”, lembra. Isso deixou as empresas assustadas e serviu de base para uma mudança de mentalidade. 

Antes de ações de fiscalização ou autuações, espera-se da ANPD uma ação forte em termos de comunicação e educação. “Não podemos ter uma explosão de anúncios de fiscalização e ações judiciais (na área do direito do consumidor) como tivemos 15 anos atrás. Somos hoje mais conscientes em termo de sociedade, as empresas também são mais conscientes e a própria presença do Compliance já ajuda nesse sentido”, conclui Sansone. 

Competência de quem?

A ANPD tem competência exclusiva para tocar os processos e aplicar as sanções por violações à LGPD na esfera administrativa contra as empresas. Mas, como lembra Alessandra Gonsales, do GCAA, o risco relacionado a conflito de competências sempre existe. Por isso, é importante ressaltar o acordo de cooperação técnica assinado no final de março entre a autoridade e a Secretaria Nacional do Consumidor (Senacom) para ações conjuntas nas áreas de proteção de dados pessoais e defesa do consumidor. Os dois órgãos atuarão de forma integrada para uniformizar entendimentos e na coordenação do endereçamento de reclamações de consumidores. Para a ANPD, a atuação conjunta é importante, principalmente nos casos relacionados a incidentes de segurança envolvendo dados pessoais de consumidores. A Senacon pretende compartilhar informações contidas na base de dados do Sistema Nacional de Informações e Defesa do Consumidor (Sindec) e na plataforma virtual Consumidor. gov.br que contenham reclamações relacionadas à proteção de dados pessoais demandas, denúncias e notificações. “Com o acordo, abre-se a oportunidade de que sejam fixadas interpretações necessárias à aplicação da Lei Geral de Proteção de Dados nos casos concretos”, disse em comunicado Waldemar Gonçalves, presidente da ANPD. Além da Senacom, agências de defesa dos consumidores, como o PROCON, também vão ter um papel importante na defesa dos interesses dos consumidores em casos de vazamentos de dados.

Entretanto, nada nesse acordo ou na legislação tira a competência do Ministério Público para entrar com uma ação judicial cível pública, caso entenda que a violação à lei tenha acarretado  danos à sociedade. Por isso, os casos mais graves de vazamento devem precisar responder tanto para a ANPD quanto para o Ministério Público. Empresas como a varejista digital Netshoes (parte do Magazine Luiza) e o Banco Inter foram processados e fecharam acordos com o Ministério Público em seus respectivos casos de vazamento.

À diferença da Lei Anticorrupção, é que casos de vazamento de dados, por maior que sejam, são bem mais difíceis de gerarem acusações criminais contra as empresas. Se os dados vazaram por conta de um ataque de um hacker, o perpetrante será denunciado criminalmente. Mas, e o gestor da empresa? Ele também vai responder nessa esfera, mesmo sendo uma das vítimas no caso? “É uma discussão maior, mas se a empresa for vítima de um ataque externo e tinha um programa de compliance em proteção de dados, o Ministério Público terá dificuldade em responsabilizar criminalmente as pessoas físicas que atuam no Controlador”, pontua Gonsales. 

A Polícia Federal também terá papel relevante no processo de investigação e estaria começando a criar núcleos especializados. Os agentes federais podem atuar a pedido da ANPD, mas também tem autoridade para agir por conta própria sempre que enxergar indícios de crime, caso dos mega vazamentos que envolveram venda de dados, inclusive de ministros do Supremo Tribunal Federal. No caso dessa investigação, foi feito um short list de empresas que poderiam ter tantos dados assim e foram bater na porta das empresas. “O único caminho para as empresas envolvidas com eventuais incidentes ou desconformidades com a LGPD, será preciso mostrar o que a empresa fez para evitar que aquilo acontecesse, ou seja, que possui um Programa efetivo de Proteção de Dados ”, finaliza a sócia do GCAA.

Artigo publicado originalmente na edição 31 da Revista LEC.

Imagem: Freepik