Por Frederico Cortez
cortez@focuspoder.com.br
O ano de 2019 foi marcado por vazamento de dados de clientes e usuários de serviços do setor privado. O segmento mais afetado foram as empresas de tecnologia, dando destaque para as companhias de telefonia móvel e de redes sociais. Somente no ano passado, o Facebook apresentou uma falha em seu sistema de governança de dados, permitindo o vazamento de informações de cerca de 300 milhões de perfis. Segunda a empresa especializada CyberSecurtity Ventures, o crime cibernético causará um prejuízo de US$ 6 trilhões em todo o mundo até o ano de 2021.
No Brasil, em julho de 2019 houve um vazamento de um banco de dados com 250 GB contendo documentos digitalizados de brasileiros clientes pertencentes a diversas instituições financeiras. O banco Pan ( ex-Panamericano) foi um dos alvos dos hackers, onde foi possível ter acesso aos documentos dos seus clientes, tais como: o RG, CPF, CNH, comprovantes de endereço, contratos, ordens de pagamento, holerites e até cartões de crédito. Outro caso conhecido no país, aconteceu há menos de três meses com a Vivo. De acordo com pesquisadores, o sistema de segurança da operadora de telefonia deixou uma brecha para o acesso aos dados de pele menos 24 milhões de clientes.
O tema governança de dados, que envolve a segurança das informações, pode ser novo, mas a legislação brasileira já tem previsão sobre a responsabilidade das empresas sobre as informações cadastrais de seus clientes. Nada mudou, houve apenas uma transição do conhecimento sobre os dados dos clientes. O que antes ficar adstrito tão somente aos arquivos do sistema das empresas, agora a invasão acontece em cloud (nuvem).
O Código Civil de 2002, preleciona em seu art. 186 acerca da negligência quanto ao ilícito cometido contra outrem. O fato é que a responsabilidade sobre a tutela dos dados dos clientes é objetiva, cabendo indenização em casos de violação sobre as informações pessoais dos usuários dos serviços/produtos. Em ações condenatórias pela exposição dos dados pessoais, a empresa arca com o pagamento do dano na medida da sua extensão, como assim reza o art. 944 da mesma coluna legal. O governo brasileiro multou o Facebook em R$ 6,6 milhões pela falha em seu sistema de segurança. Já no vazamento da Vivo, a penalidade pode chegar ao valor de R$ 10 milhões.
Faltando menos de seis meses, a Lei Geral de Proteção de Dados entrará em vigor e exigindo das empresas a sua conformidade com as novas regras. De acordo com o art. 2º da Lei 13.709/18, a proteção de dados terá como fundamento as seguintes diretrizes: roteção de dados pessoais tem como fundamentos: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A Argentina e o Uruguai são os únicos países da América Latina com as conformidades adequadas à proteção de dados. A legislação argentina já existe desde 1994, e pelo modelo atual há a proteção dos dados armazenados em todas as plataformas de processamento, públicas ou privadas.
Até o presente momento, está mantida o início da vigência da LGPD brasileira. No entanto, está tramitando na Câmara dos Deputados o Projeto de Lei 7762/19 que prorroga 15 de agosto de 2022 a entrada em vigor da lei de proteção de dados. Vale lembrar, que a LGPD já teve uma primeira prorrogação com a edição da Medida Provisória 869/19, levando o início da aplicação da legislação de fevereiro para agosto deste ano. Nesse ponto, vislumbro três cenários a se conhecer. Primeiro, a LGPD brasileira foi uma imposição do mercado externo, como forma de dar maior segurança jurídica no trato com os dados dos clientes e usuários das empresas.
Assim já acontece na Europa desde o ano de 2018, com a General Data Protection Regulation– GDPR (Regulamento Geral de Proteção de Dados na União Europeia). Um segundo adiamento, traria para o país uma sensação de insegurança nas transações comerceias entre os dois continentes. Já numa segunda visão, sem a prorrogação e com o início da legislação para 15 de agosto de 2020, cerca de 85% das empresas não estão prontas para a LGPD, o que já as colocariam como alvos em pontencial das penalidades aplicáveis afeitas à lei específica. Assim, a linha do governo federal é de não prejudicar quem quer empreender, algo que vai contra as sanções imediatas da LGPD. Por fim, e o que acredito ser o mais ponderado a acontecer, será a terceira via, quanto ao adiamento para 2020 tão somente quanto às multas, tendo assim um caráter transitório pedagógico para as empresas se adequarem. Aqui, a via legislativa eleita seria feita por outra Medida Provisória.
Diante dos inúmeros casos de vazamento de dados já presenciados, depreendendo-se assim uma falha na governança de dados dos clientes pelas empresas. Na União Europeia, a GDPR aplicou multa no valor de US$ 230 milhões à companhia aérea British Airways pela violação de dados de apenas um cliente, tão somente. Na França, uma imobiliária foi multada pelo uso indevido de dados de uma câmera de vigilância. Enfim, as penalidades inerentes à LGPD também irão se espalhar aqui no Brasil. Ainda há tempo, para os empresários iniciarem a sua adequação as novas regras de proteção de dados. Esperar para um segundo adiamento, talvez seja um risco empresarial a não se pagar. Penso!
Leia Mais
+ ICPD- Protect Data alerta sobre a importância da Lei Geral de Proteção de Dados
+ Empresas podem compartilhar meus dados cadastrais? “Cortez responde”
+ O direito fundamental à proteção de dados, por Frederico Cortez
+ LGPD e a segurança jurídica, por Eugênio Vasques
+ A Declaração de Direitos de Liberdade Econômica e LGPD, por Eugênio Vasques
+ A eficácia da Lei Geral de Proteção de Dados, por Eugênio Vasques
