Victor Hugo Pereira Gonçalves*
Um dos principais objetivos da Lei Geral de Proteção de Dados (LGPD) é garantir a transparência no relacionamento entre empresas e consumidores, agora denominados controladores e titulares. No ambiente da proteção de dados, os titulares devem obter respostas rápidas para perguntas como: “Vocês tratam os meus dados?” ou “Quais são as categorias de dados pessoais que vocês têm sobre mim em seus arquivos e banco de dados?” ou “Quais são os usos específicos que têm feito, o que estão fazendo ou farão com os meus dados pessoais?”.
A LGPD estabelece um prazo de 15 dias corridos para que os controladores, empresas ou governos, forneçam essas informações. Prazo esse que será contado a partir do momento em que forem requisitados pelos titulares. É um tempo razoável. Apesar disso e dos anúncios de grandes esforços e investimentos para colocar suas estruturas em conformidade com tais exigências, praticamente ninguém estaria livre hoje de sanções, caso as multas, que só poderão ser aplicadas em agosto do ano que vem, já estivessem em vigência.
Ao enviar requisições de dados pessoais com perguntas entabuladas na LGPD a um grupo de companhias de 22 setores, o melhor resultado que recebemos foi um total de 14% das respostas fora do prazo. Somente 1% cumpriu a regra, e 85% das organizações simplesmente ignoraram os pedidos. É preciso lembrar que, embora ainda livres das punições até 2021, nada impede que as empresas sejam alvo de medidas judiciais impetradas por qualquer titular de dados que se sinta prejudicado ao não ter os seus pedidos atendidos.
O levantamento envolveu 80 controladores privados divididos entre os líderes de setores como E-commerce, Bancos, Telecomunicações, Fintechs, Marketing Digital, Automóveis, Plano de Saúde, Locação de Veículos, Portais de Internet, Redes Sociais, Cartões de Crédito, Hardware, Software, Construtoras, Agência de Turismo, Bureau de Crédito, Transportes, Eletrônicos, Laboratórios, Drogarias, Supermercados e Universidades.
Ao analisar os sites desses controladores e as informações que eles prestam aos titulares, tendo como critério os dez princípios da proteção de dados e a forma como essas informações são disponibilizadas tecnológica e juridicamente, fica evidente que até agora nenhuma empresa está adequada à LGPD.
A maior parte dos controladores não fornece sequer canais específicos para uma simples requisição de dados pessoais dos titulares. E não adianta implementar as melhores práticas jurídicas e de segurança da informação se o atendimento ao titular é ruim e inadequado. É um conjunto de práticas que precisa estar afinado e direcionado para aquele que é o detentor do direito: o titular de dados.
A segurança jurídica é tão ou mais importante que a segurança tecnológica. Parece óbvio, mas não ele não ocorre na prática. Muitos controladores ignoram os titulares de dados em seus serviços e práticas. Exemplo recente é o cadastramento de chaves PIX, sem o consentimento dos titulares, por bancos. São situações gravíssimas que impedem a autodeterminação informativa do titular, que tem a sua dignidade usurpada por esses controladores.
A mudança de comportamento dos controladores, antigos donos e possuidores incontestes dos dados dos titulares, será a construção de caminhos que diminuam os abismos jurídicos, tecnológicos e de conhecimento que separam todos os envolvidos na proteção de dados pessoais.
Dependerá muito da postura de todos os envolvidos no tratamento de dados ao identificar se o tratamento correto, em prol da segurança jurídica e tecnológica, tem sido aplicado a esse ativo tão valioso, que é o dado pessoal. A construção de soluções precisa ser encontrada no coletivo e no social. Ainda não há maturidade suficiente nem uma cultura de proteção de dados que forneçam as bases de legitimidade e confiança necessárias para acreditar num novo paradigma. Exemplo disso são os inúmeros vazamentos ocorridos nas últimas semanas tanto em empresas como em governos. Os titulares estão expostos e não conseguem se defender.
Ainda hoje o que vemos são situações remediadas geralmente após a ocorrência do problema e de maneira superficial, portanto, sem enfrentar toda a complexidade que envolve temas como o compliance e a segurança da informação. Nesse sentido, todos os esforços para acelerar a formulação de políticas e a alocação de recursos que estimulem uma cultura de proteção de dados serão bem-vindos.
*Victor Hugo Pereira Gonçalves é presidente do Instituto SIGILO – Associação de Defesa dos Titulares de Dados.
Publicado no jornal O Estado de São Paulo aqui.