Você faz compras online, de itens como artigos do vestuário e está acostumado a receber diversas comunicações dos sites nos quais você possui cadastro? Já percebeu que as mensagens eram bastante personalizadas e dirigidas, não só relacionadas a produtos similares aos de compras anteriores, e também com artigos que curiosamente são expostos exatamente de acordo com suas preferências de estilo, cor e tamanho?
Se positivo, você provavelmente recebeu nesse último mês uma série de e-mails avisando sobre a mudança da política de privacidade de sites em que está cadastrado. O motivo é a entrada em vigor, a partir de 25 de maio, do Regulamento 2016/679 do Parlamento e do Conselho Europeus, que estabelece um novo marco regulatório para a proteção de dados no velho continente (GDPR). O fato de ser uma norma comunitária europeia, porém, não significa que ela não crie obrigações para empresas localizadas em outras partes do mundo – incluindo o Brasil –, cujo descumprimento pode resultar em multas pesadas.
O GDPR aplica-se ao tratamento de dados de pessoas que se encontrem na União Europeia (UE) – ou seja, não apenas cidadãos e residentes, como também turistas – mesmo que a empresa que efetue tal tratamento (ou uma subcontratada para essa finalidade) não esteja estabelecida na UE. Nesse caso, a norma incide se a empresa monitora o comportamento de indivíduos localizados em algum dos Estados-Membros, ou se oferece de bens e serviços (ainda que sem pagamento) para tais pessoas. Nesse sentido, o mero fato de o site ser acessível na UE não é suficiente para configurar oferta, mas são indícios o uso de idioma ou moeda de algum dos Estados-Membros, ou fazer referência a clientes locais.
Em outras palavras, empresas brasileiras que forneçam bens ou serviços, ou que apenas coletem, armazenem e processem dados de indivíduos localizados na UE estão sujeitas às regras previstas no GDPR, ainda que não possuam escritório ou representação na Europa. Da mesma forma, o responsável pelo tratamento dos dados deve assegurar que seus subcontratados (o que pode incluir empresas brasileiras) cumpram com as obrigações do Regulamento, sendo todos solidariamente responsáveis por indenizar a pessoa titular das informações em caso de violação. Assim sendo, é de se esperar que grupos multinacionais exijam de seus prestadores de serviços no Brasil adequação ao GDPR.
Ou seja, mesmo que não tenham filiais na Europa, as empresas brasileiras devem observar as obrigações previstas pelo Regulamento, sobretudo porque seu descumprimento pode resultar em sanções severas. O GDPR estabelece, no caso de violação, multas que chegam à casa dos R$ 20 milhões de euros ou até 4% do volume de negócios anual a nível mundial do grupo a que pertença o causador do dano, prevalecendo a maior quantia. Dado o valor substancial, não é de se admirar que, com pouco mais de um mês da entrada em vigor do GDPR, uma série de reclamações já foram apresentadas na Alemanha, Áustria, Bélgica e França por associações sem fins lucrativos (que, conforme a norma, podem representar indivíduos no exercício de seus direitos referentes ao tratamento de dados, incluindo exigir indenizações) em face de grupos como Google, Facebook, Instagram, Amazon e Apple.
Mas, afinal, quais são as obrigações criadas por essa nova norma? Primeiro de tudo, a validade do consentimento para tratar dados passa a depender de uma série de regras mais rígidas. Isto é, o mero aceite dos termos e usos padrão – que, convenhamos, poucos usuários leem – deixa de ser suficiente. Agora, as empresas terão que obter uma manifestação de vontade livre, específica, informada e inequívoca. Mas o que isso significa na prática?
O pedido para tratar os dados deverá ser claro, conciso, em linguagem simples e de fácil compreensão – em outras palavras, deve ser evitado o excesso de termos técnicos e jurídicos que pouco digam ao usuário. Assim, deve se destacar (i) quais dados serão recolhidos, usados e consultados, (ii) a identidade do responsável pelo processamento de tais informações, bem como (iii) os riscos, regras, garantias e direitos associados ao tratamento, e (iv) os meios para exercer tais direitos. Isso, por sua vez, não pode afetar a precisão do pedido, que deve ir direto ao ponto e não pode atrapalhar a utilização do serviço para o qual os dados serão fornecidos (ou seja, nada de pop-ups insistentes).
Atenção especial deve ser dispensada ao tratamento de dados fornecidos por crianças. O aceite somente será válido se manifestado por maiores de 16 anos. Abaixo dessa idade, é necessário anuência dos pais ou responsáveis legais, ficando os Estados-Membros autorizados a reduzir o critério etário até o mínimo de 13 anos. Fica como obrigação da empresa se certificar de que o usuário tem idade suficiente para consentir com o tratamento de seus dados ou a existência de autorização parental, se aplicável.
O GDPR também proíbe que silêncio e omissão sejam aceitos como consentimento: é necessário um aceite claro e expresso. Da mesma forma, a manifestação de vontade deve cobrir todas as atividades a serem realizadas para determinada finalidade do tratamento, e, em havendo fins múltiplos, deve ser dado consentimento para cada um deles. Nesse sentido, a anuência para uma finalidade não pode estar atrelada ao aceite para outros fins – ou seja, o usuário tem direito de concordar com uma finalidade específica e não autorizar as demais.
Mais ainda, os dados só podem ser colhidos, armazenados e usados se a finalidade do tratamento não puder ser alcançada por outros meios, e deverão se limitar às informações adequadas, pertinentes e estritamente necessárias para os fins do tratamento. De igual maneira, as empresas não poderão condicionar a prestação de serviços ou fornecimento de bens ao tratamento de dados que não sejam essenciais para a realização dessas atividades.
As imposições do GDPR não se restringem ao consentimento do usuário. A norma também regularizou o direito ao esquecimento, tema que vem provocando controvérsia em diferentes jurisdições (inclusive o Brasil) pela falta de previsão legal específica. De acordo com o GDPR, o usuário tem o direito de requerer que seus dados sejam apagados se (i) deixarem de ser necessários para a finalidade para a qual recolhidos, (ii) o usuário retirar a autorização para seu tratamento, ou (iii) caso haja violação ao Regulamento. Essa prerrogativa, no entanto, não pode afetar o direito ao esquecimento de terceiros (isto é, deletar informações sobre pessoas que não pediram pela sua eliminação) e não se aplica caso os dados sejam necessários para fins de liberdade de expressão, cumprimento de obrigação legal ou interesse público.
Os dados, porém, não devem ser apagados apenas mediante exercício do direito ao esquecimento por parte do indivíduo que os forneceu. O GDPR obriga as empresas a conservarem as informações pelo tempo mínimo necessário, após o qual deverão ser excluídas. O prazo para remoção deverá ser previamente estabelecido e informado aos usuários. Além disso, é necessário efetuar varredura recorrente (cuja periodicidade também deve ser divulgada) para verificar que as informações antigas foram devidamente deletadas.
Além do direito ao esquecimento, a norma atribui ao indivíduo as prerrogativas de (i) ter acesso aos dados que lhe digam respeito, bem como informações sobre o tratamento, (ii) receber tais dados em formato estruturado, de uso corrente e de leitura automática, (iii) transmiti-los a outro responsável pelo tratamento (o chamado direito de portabilidade), e (iv) solicitar a retificação de dados inexatos.
Independentemente do exercício desse último direito pelo usuário, as empresas deverão adotar medidas razoáveis para que dados inexatos sejam apagados ou corrigidos. Da mesma forma, o GDPR as obriga a garantir a integridade e confidencialidade das informações (inclusive por meio dos procedimentos necessários para evitar ataques virtuais), impedindo o acesso ou uso por pessoas não-autorizadas das informações ou equipamento utilizado para o tratamento. Nesse sentido, atenção especial deve ser dada para informações sensíveis, por exemplo, que possibilitem a identificação de origem social ou étnica.
Para evitar danos aos indivíduos no caso de vazamento de dados, o GDPR sugere algumas medidas de segurança, como a encriptação e pseudonimização – dificultando a identificação pessoal –, e a adoção de códigos de conduta e procedimentos de certificação a serem aprovados pelas autoridades de controle (órgãos ao quais cada Estado-Membro atribuirá competência para fiscalização das obrigações impostas pelo Regulamento). Além disso, quando a possibilidade de vazamento criar alto risco para direitos e liberdades dos indivíduos – seja pelo caráter sensível das informações envolvidas, seja pela adoção de novas tecnologias no tratamento –, a empresa deverá, antes de qualquer coisa, realizar uma avaliação de impacto (a norma não define, porém, quais seriam esses casos). Se esse estudo apontar que o responsável pelo tratamento não é capaz de mitigar os riscos existentes, este deverá, antes de iniciar o tratamento, consultar a autoridade de controle competente.
Caso as medidas previstas não sejam suficientes, de modo que ocorra violação dos dados (como roubo ou vazamento), a empresa deverá avisar a autoridade de controle em até 72h. Em seguida, os usuários afetados deverão ser alertados dentro de prazo razoável. O GDPR, contudo, não estabelece os critérios para se aferir qual seria o tempo adequado para tal comunicação.
Um ponto que interessa particularmente ao Brasil é a nomeação obrigatória de representante por empresas não estabelecidas no continente europeu que efetuem ou subcontratem tratamento de dados de pessoas localizadas na UE. Essa regra, no entanto, não se aplica se o tratamento (i) for ocasional, (ii) não incluir em larga escala categorias especiais de dados (que revelem, por exemplo, origem racial ou étnica, opinião política, convicção religiosa, orientação sexual, estado de saúde ou características genéticas e biométricas), (iii) não tratar de dados relativos a condenações penais e infrações e (iv) não ser suscetível de implicar riscos para direitos e liberdades. Esses critérios (como tratamento ocasional ou riscos a direitos e liberdades) não foram delimitados pela norma, o que pode gerar dúvidas quanto a sua aplicação.
Outro ponto de atenção é a exigência de determinadas garantias para a transferência de dados para países que não tenham um nível de proteção adequado aos padrões da UE (como é o caso do Brasil). Para tanto, as empresas terão que provar às autoridades de controle competentes que o nível de proteção previsto no GDPR será assegurado aos usuários, por exemplo, por meio da adoção de cláusulas-padrão (a serem definidas pelas próprias autoridades de controle e pela Comissão Europeia), códigos de conduta ou procedimentos de certificação. No caso de transferências internacionais dentro de um mesmo grupo empresarial, as autoridades de controle aprovarão regras vinculantes a todas as entidades que o compõem, bem como seus funcionários, garantindo os direitos dos usuários previstos pelo Regulamento
Para além da aplicação direta para algumas empresas brasileiras, o GDPR deve influenciar a edição de normas semelhantes no nosso país – hoje, praticamente desprovido de regras para a proteção e privacidade de dados. Atualmente, circulam no Congresso dois projetos de lei relativos a matéria (PL 4060/2012 e PLS 330/2013), cujas discussões devem ganhar força com a entrada em vigor do Regulamento europeu.
Em meio aos casos recentes que tomaram o noticiário, como a venda de informações de usuários pelo Facebook à Cambridge Analytica (com possíveis impactos na última eleição presidencial americana), e o roubo massivo de dados do Yahoo e da Netshoes, não é de se surpreender que os legisladores de diferentes países, inclusive o Brasil, se sintam pressionados a disciplinar esse mercado novo, altamente rentável e com implicações políticas diretas.
Numa época em que cada vez mais informação é poder, os dias do Big Brother podem estar contados, até mesmo para os grandes portais como ASOS, Net-a-Porter e outros players do mercado da moda, que deverão cumprir com o regulamento e encontrar novas formas (lícitas) de engajar seus consumidores.
Luiz Guilherme Valente,
Advogado especialista em Propriedade Intelectual
Doutorando em Direito Comercial (USP)