Liberdade de Expressão

Sorria? Seus dados estão sendo compartilhados

Pular para conteúdo
Whatsapp
comentários

Capítulo 1

O mundo dos dados

Em novembro do ano passado, a startup Strava, conhecida como a “rede social dos atletas” por monitorar dados de corridas e pedaladas mundo afora, atualizou seu “mapa de calor” interativo que mostra as rotas mais utilizadas pelos usuários. A plataforma agrupou três bilhões de pontos de GPS que, somados, cobriam 5% da superfície terrestre.

Dois meses depois, analistas de segurança denunciaram que, acidentalmente, o mapeamento fez mais do que apenas conectar entusiastas do estilo de vida fitness. Ao mostrar dados rastreados de todos os usuários, o mapa ficou muito “iluminado” em regiões como os Estados Unidos e a Europa. Ao mesmo tempo, em locais onde a utilização era menor, como no Oriente Médio, analistas apontaram que o Strava entregou de bandeja informações de militares usuários da plataforma lotados em bases secretas e suas rotinas de patrulha.

O exemplo internacional parece estar muito distante da realidade brasileira, mas basta pensar no teste do Facebook que permite a usuários simular sua aparência do gênero oposto. A aplicação, desenvolvida pela startup russa FaceApp e compartilhada por sites como Kueez, ganha acesso ao e-mail da pessoa, lista de amigos e outras fotos dos usuários que fazem o teste.

Casos como os da Strava e do FaceApp revelam que o uso de dados pessoais é a base de uma economia bilionária – e do cotidiano das pessoas. Informações sobre movimentações, acesso a páginas e o manejo de um smartphone subsidiam bancos de dados que são monetizados de diversas formas.

Na prática, dados pessoais se tornaram o combustível para o sucesso financeiro de uma boa parte da economia. Por isso mesmo, uma das discussões mais polêmicas de 2018 trata dos limites e a forma com que as companhias podem usá-los.

Um grande passo nesta área será a entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR) na Europa, em maio deste ano. A medida estabelece critérios mais restritos a empresas e confere uma série de direitos a cidadãos.

No Brasil, não há uma lei geral que trate do tema nem uma entidade dedicada a aplicar regulações, a despeito do que acontece em mais de 100 países, inclusive vizinhos como Argentina e Uruguai.

Para empresas que têm nos dados sua principal fonte de recursos, a reclamação é de que falta segurança jurídica no seu uso, o que pode afetar a concorrência do mercado.

Um exemplo é a Ação Civil Pública (ACP) ajuizada pelo Ministério Público do Rio de Janeiro (MP-RJ) contra a Decolar.com em janeiro deste ano. Ela teve início com um relatório elaborado pela empresa Booking.com, sua concorrente.

A companhia é acusada de cobrar preços diferentes a partir da localização dos usuários – técnica conhecida como geo-princing. No caso, a cobrança era diferente entre clientes brasileiros e argentinos.

A ação tramita na 7ª Vara Empresarial do Tribunal de Justiça do Rio de Janeiro (TJ-RJ). O juiz Ricardo Campos negou o pedido de tutela antecipada e o caso segue.

Segundo o promotor Guilherme Martins, a empresa infringiu regras previstas no Código de Defesa do Consumidor e no Marco Civil da Internet e o MP recorrerá da decisão judicial[GG1] .

“O maior problema neste caso é ausência de consentimento do consumidor. Se fosse previamente consultado sobre o uso dos dados pessoais, isso justificaria a conduta daquela empresa ou do provedor de aplicações de internet”, diz Martins.

No MP-RJ, outros quatro procedimentos apuram práticas semelhantes de grandes empresas. Os casos começaram a ser analisados em 2017 e mostram que o uso de dados pessoais entrou na pauta dos órgãos fiscalizadores.

Enquanto o mundo corporativo questiona tais práticas, consumidores seguem com dúvidas sobre como seus dados são utilizados após serem cedidos, seja em uma farmácia ou em aplicativos instalados em seus celulares.

A discussão é controversa. Para alguns especialistas, regulações costumam dar mais controle aos cidadãos sobre como seus dados pessoais são manejados e seriam essenciais para garantir tratamento justo e sem discriminação. Outros alegam que o excesso de burocracia pode barrar a inovação ou até trazer mais insegurança jurídica.

“Um marco legal organizado, que crie um sistema de gestão e proteção de dados pessoais, com princípios, regras e desenhos institucionais, confere estabilidade aos consumidores que têm os dados à disposição e às empresas que querem crescer e se desenvolver usando dados pessoais como um ativo que possa gerar vantagem competitiva”, afirma o advogado Vinicius Carvalho, sócio do escritório VMCA e ex-presidente do CADE.

Uma pesquisa da consultoria Accenture, realizada em 2017 com 24 mil pessoas de 33 países, dá uma pista sobre a vontade dos consumidores: 87% deles consideram ser importante que as empresas garantam a segurança de seus dados pessoais.

Capítulo 2

O Brasil e a “colcha de retalhos”

“Vazio normativo” já foi abordado por magistrados

Quando são convidados para falar sobre o cenário de regulação de internet e de proteção de dados pessoais no Brasil, especialistas brincam que sempre recorrem à mesma tática: citar os progressos obtidos com a aprovação do Marco Civil da Internet e contar que o país não possui uma regulação específica para dados pessoais.

“Já se tornou uma ‘ladainha’”, diz um estudioso do tema ao JOTA. “Acaba sendo um ambiente de dados difícil de explicar para quem pretende operar por aqui”, completou.

A “ladainha” parece fazer sentido. Desde 2012, três projetos de lei tramitam no Congresso Nacional para aprovar uma regulação clara quanto ao uso de dados de cidadãos por empresas.

Esse “vazio normativo” já foi abordado por magistrados. Em uma ação já extinta entre o banco Daycoval e a operadora GVT a respeito de acesso a dados pessoais após um ataque virtual, o juiz Marcos Gadelho Júnior anotou um interessante trecho. Segundo ele, o “vazio normativo” antes do Marco Civil da Internet era preenchido com os fundamentos da Constituição ou leis especiais, como o Código de Defesa do Consumidor.

“Normas estas que, em sua essência, no entanto, não tinham o condão de prover integralmente disciplina mínima e adequada em casos de conflitos de interesses, antinomia de regras, e tensão entre direitos subjetivos dos usuários e provedores da Internet”, escreveu. Com o MCI, ficaram claros os princípios, direitos e deveres para a disciplina adequada. Por isso, o marco deveria ser aplicado ao caso.

É a este tipo de situação que os especialistas se referem quando pedem uma lei específica para dados pessoais.

Hoje, o país tem uma “colcha de retalhos” judicial. Regulam o tema, além do artigo 5º da Constituição e do Marco Civil da Internet, dispositivos do Código de Defesa do Consumidor, Lei de Acesso à Informação e alguns regulamentos específicos. Há mais de 30 normas sobre o tema, somadas as regulamentações setoriais.

De fato, seria impreciso dizer que não existem regras quanto a dados pessoais, mas, para pesquisadores, há lacunas ou entendimentos que poderiam ser sanados.

“A ideia de uma lei geral é ter normativas transversais que seriam um ‘manual de instruções’ com direitos e deveres para coletar, processar e compartilhar dados pessoais”, diz o advogado Bruno Bioni, da assessoria jurídica do Núcleo de Informação e Coordenação do Ponto BR/NIC.br. “Quando se tem setores regulados e não-regulados, há um quadro não-uniforme. Perde-se várias oportunidades de negócios e até políticas públicas dentro disso.”

Esse cenário também gera diferentes entendimentos para o assunto. O caso do site “Tudo sobre todos”, que veiculava informações pessoais de milhões de brasileiros, é um exemplo. Em agosto do ano passado, a Justiça Federal do Rio Grande do Norte entendeu que ele violou os direitos à intimidade e à vida privada.

Ao mesmo tempo, em 2015, o Tribunal de Justiça do Rio Grande do Sul negou danos morais a um cidadão que entrou com uma ação contra a empresa Procob. Ele alegou que ela vendia dados pessoais, como endereço, CPF, data de nascimento e telefone, sem a sua autorização. Segundo ele, os dados poderiam ser comprados por R$ 1,37.

Para os desembargadores da 9ª Vara Cível do tribunal, as informações comercializadas pela empresa ré não são sigilosas, tampouco correspondem a “dados sensíveis”. “Inexiste nos autos qualquer indício de prova de que, em razão do cadastro mantido pela requerida, o autor tenha sofrido qualquer prejuízo”, diz o relatório.

“Na ausência de um marco legal, há uma falta de confiança. Essa seria a grande vantagem de uma lei geral: gerar confiança das pessoas nesses órgãos e entes que coletam dados”, afirma a advogada Laura Schertel Mendes, doutora em direito privado pela Universidade Humboldt de Berlim. “As empresas não sabem até onde podem ir, o que é legal e o que é ilegal. A falta de regras claras traz prejuízos.”

A caça virtual do crédito

Diversos setores da economia brasileira já se utilizam do cruzamento de dados pessoais para aplicá-los em suas operações. Entidades que advogam pelos direitos humanos e do consumidor têm questionado a transparência deste uso.

Um deles é a pontuação de crédito realizada por instituições financeiras, um mercado que fatura R$ 3 bilhões por ano. Em 2014, o Superior Tribunal de Justiça (STJ) entendeu que o sistema de classificação de crédito não é um banco de dados, e sim um uso de informações publicamente disponíveis.

Para o ministro do STJ Paulo de Tarso Sanseverino, relator do caso, “o uso de informações sensíveis e excessivas ou a recusa injustificada de crédito por uso de dados incorretos ou desatualizados pode justificar razoavelmente a compensação ao consumidor”.

Em uma coletânea de artigos com casos do uso de dados pessoais, a organização Coding Rights analisou que as informações usadas para medir a capacidade de pagamento mudaram.

Parâmetros tradicionais como salário, estabilidade no emprego, empréstimos anteriores e histórico de inadimplência se somam a um cruzamento com dados de comportamento em redes sociais, navegação do usuário na internet até o estado civil do potencial credor.

Em estudo, o Instituto Brasileiro de Defesa do Consumidor (IDEC) considerou a decisão do STJ equilibrada por declarar um conjunto de direitos aos consumidores. Ao mesmo tempo, avaliou que há pouca informação sobre as práticas adotadas pelas companhias.

Segundo o documento, consumidores têm o direito de acessar e entender sua classificação para fins financeiros e podem mudar os dados se estiverem incorretos ou imprecisos. “A decisão do STJ é uma ‘janela de oportunidade’ para provocar esse debate e esclarecer o discurso sobre direitos à transparência”, diz o relatório.

A batalha no Congresso

Essa “colcha de retalhos” não existe por falta de propostas. Na Câmara, correm os projetos de lei (PL) 5276/2016, elaborado por seis anos pelo Ministério da Justiça, e o 4060/12. No Senado, tramitam os PLS 330/13, 131/14 e 181/14 – todos relacionados à normatização do tema.

Às vésperas de sofrer o impeachment, a ex-presidente Dilma Rousseff enviou ao Congresso o PL 5276, considerado por especialistas o mais robusto na proteção de direitos dos cidadãos, em regime de urgência. Em julho de 2016, porém, o presidente Michel Temer retirou a urgência da proposta e, na semana seguinte, o PL 5276 foi apensado ao PL 4060. A medida remarcou a indefinição no tema.

No apagar das luzes do ano passado, porém, o PLS 330/13 do Senado recebeu parecer favorável da Comissão de Assuntos Econômicos (CAE) em um novo substitutivo do relator, senador Ricardo Ferraço (PSDB-ES). Também no final do ano passado, começou a circular informalmente uma proposta do governo Temer, à qual o JOTA teve acesso.

“Isso é um problema. Em vez de medir esforços para um marco regulatório único, tem dois trabalhos legislativos paralelos”, diz o advogado Tito Feliciano Malta Neto, sócio do escritório Ambiel, Manssur, Belfiore & Malta Advogados.

Em artigo sobre a disputa no Congresso, o advogado Rafael Zanatta, do IDEC, avaliou que entidades de classe que representam empresas de dados se uniram e elaboraram um posicionamento público sobre a lei. Em oposição, formou-se a Coalizão dos Direitos na Rede, que reúne centros de pesquisa e organizações não governamentais.

De julho de 2016 a fevereiro de 2017, foram nove audiências públicas na Câmara com a participação de mais de 30 entidades acadêmicas, governamentais e do mercado.

As principais disputas se dão em torno do próprio conceito de dado pessoal; o uso de dado biométrico e seu enquadramento como sensível; as regras sobre consentimento; e a responsabilidade objetiva e solidária por danos causados por atores na cadeia de tratamento de dados.

Diante das divergências, o ponto mais pacífico é a criação de uma autoridade para regular o assunto. “Para a segurança jurídica, é importante ter a lei. Mas como será aplicada na prática? Com uma autoridade, cria-se previsibilidade na aplicação das leis”, avalia Bioni.

Capítulo 3

Vazamentos

Um risco permanente

A varejista NetShoes virou manchete no começo do ano depois de dados de dois milhões de seus usuários terem vazado. Neles, constavam informações como nome, data de nascimento e histórico de compras. Entre os clientes, diversos membros de órgãos públicos sensíveis, como a Polícia Federal e o Superior Tribunal de Justiça.

O Ministério Público do Distrito Federal e Territórios (MPDFT) recomendou que a empresa comunicasse os consumidores atingidos pelo incidente de segurança por telefone. A Netshoes acatou a recomendação e prometeu ligar para os dois milhões de clientes afetados.

Parece um procedimento rotineiro, mas foi a primeira vez que houve total divulgação de um vazamento com reação das autoridades. “Essa ação é inédita no Brasil. Não temos uma lei que obrigue as empresas a notificar vazamentos. Estamos usando o CDC e os princípios de necessidade de informação ao consumidor enquanto não há uma lei geral. Ao expor, a ideia é criar um ambiente em que a monetização desses dados por criminosos seja desinteressante”, diz o procurador Frederico Meinberg Ceroy, responsável pelo caso.

Um dos consensos formados após anos de discussões sobre dados pessoais é a falta de uma política quando há vazamentos de dados.

“Existe uma lacuna clara em relação ao vazamento de dados. Sempre se pode fazer uma interpretação sistemática do Código de Defesa do Consumidor, mas seria importante uma lei estabelecendo o que fazer nesses casos”, diz a advogada Laura Schertel Mendes.

Um estudo da IBM e do Instituto Ponemon com 36 empresas brasileiras mostrou que o custo médio de um vazamento de dados é de R$ 4,7 milhões, valor que aumentou 9% de 2016 a 2017.

Clonagem

Uma das consequências de vazamentos de dados pessoais é a fraude e a clonagem de cartões de crédito do mundo. O Brasil é um dos países onde elas mais ocorrem. Para especialistas, isso pode estar associado à facilidade com que dados pessoais vitais, como os de cartões de crédito, circulam.

“Por que a fraude bancária custa tanto no Brasil? O brasileiro não é mais criminoso. Aqui é mais fácil ter acesso a dados e informação de qualidade que permitam clonagem de cartões de crédito”, diz Danilo Doneda, professor de Direito da UFRJ e um dos responsáveis pela elaboração no Ministério da Justiça de um dos projetos de lei que correm na Câmara.

No Brasil, não é possível estimar o número de vazamentos de dados pessoais ocorridos. Em outros países, essa prática é mais comum. No Reino Unido, a autoridade reguladora (ICO, em inglês), por exemplo, registrou um aumento de 19% nos vazamentos reportados nos últimos três meses de 2017 em relação a 2016.

Nos Estados Unidos, o Departamento de Saúde e Serviços Humanos publica os vazamentos de dados pessoais dos últimos dois anos que estão sendo investigados. Ficam expostos os nomes das empresas e a quantidade de pessoas afetadas pelo vazamento de dados. São milhões de usuários afetados pela quebra de segurança de suas informações pessoais.

Por lá, a regulação é setorial, mas alguns casos de vazamentos de dados – como o do birô de crédito Equifax, que colocou em xeque informações pessoais de 145 milhões de americanos – expuseram o comportamento negligente de empresas diante de violações de dados pessoais.

O principal órgão regulador do mercado financeiro americano, a SEC, mudou suas políticas sobre como as companhias devem comunicar esses acontecimentos. O objetivo é que os vazamentos sejam informados de maneira rápida, que executivos de empresas afetadas não comercializem ações por saber do vazamento antes do mercado e nem utilizem investigações de autoridade como motivo para não divulgar o vazamento.

Capítulo 4

O GDPR

A iniciativa europeia

Em novembro de 2017, o aplicativo de transportes Uber informou que escondeu um ataque hacker a sua base de dados. Foram comprometidas informações de 57 milhões de usuários e motoristas da empresa. O vazamento ocorrera em 2016. Em vez de notificar seus usuários ou autoridades competentes, a startup decidiu pagar US$ 100 mil ao hacker.

E se a Uber tivesse a obrigação legal de informar este vazamento em até 72 horas após ter conhecimento dele? E se, caso não obedecesse à norma, pudesse ser multada em até 4% de seu faturamento?

É com determinações como essas, aliadas a novos princípios jurídicos e obrigações de governança, que o Regulamento Geral de Proteção de Dados (GDPR, em inglês), nova regulação da União Europeia (UE), promete mudar o jogo do uso de dados pessoais. A norma passa a valer no dia 25 de maio, com eficácia para todos os dados de cidadãos europeus, manuseados dentro ou fora da União Europeia.

Por isso, gigantes da economia digital, como Google, Facebook e Amazon, mobilizam milhares de pessoas para se adaptarem ao regulamento.

Aprovado em 2016, o GDPR modifica a interação de cidadãos e empresas com a coleta, armazenamento e compartilhamento de dados pessoais. Sua essência é dar mais poder aos usuários e transparência nas operações realizadas pelas companhias.

Além disso, segundo pesquisadores, o GDPR muda a lógica da regulação do consentimento individual de cada usuário para uma concepção coletiva da privacidade.

“Não é só uma questão de saber o que está sendo coletado, mas o processo do conjunto de negociações que acontecem com seus dados quando você se engaja com uma empresa, além do mínimo de precaução de que não será quebrada a expectativa legal dessa coleta e que a empresa não vai repassar esses dados de forma injusta”, diz o advogado Rafael Zanatta.

Os princípios

Para especialistas, uma das virtudes do GDPR é estabelecer uma série de princípios que demarcam os limites ao uso de dados pessoais. Um deles é o da finalidade ou da proporcionalidade.

Segundo ele, dados pessoais deverão ser recolhidos para finalidades “determinadas, explícitas e legítimas” e depois não podem ser tratados de forma incompatível.

Isso pode ser um desafio para empresas. Um estudo conduzido pela Fundação Getúlio Vargas e o Conselho Europeu com 50 plataformas, entre elas as mais populares, mostrou que mais da metade de seus termos de serviços autoriza a coleta de mais dados do que o necessário para sua operação. Segundo a pesquisa, 66% das políticas deixam claro que podem rastrear as atividades de usuários em outros sites.

Entre outras mudanças, o GDPR permite que os cidadãos tenham acesso a quais dados deles as companhias detêm, e como os utilizam e os armazenam.

Trata-se de outro desafio: a pesquisa da FGV mostrou que apenas 20% das plataformas pesquisadas permitem que o usuário acesse uma cópia dos dados enviados a elas. Uma em três “explicitamente afirmam que não permitirão ver e copiar os dados” e 38% nem informam sobre esse ponto.

“O GDPR tem, sim, dentes fortes. Mas há um cenário de abuso no uso de dados pessoais. Não está coerente com os direitos humanos”, avalia o advogado Eduardo Margrari, coordenador do Instituto de Tecnologia e Sociedade (ITS) do Rio de Janeiro e um dos autores do estudo.

Compliance de dados

Segundo o GDPR, as companhias terão uma série de novas atribuições e passam a atuar de forma preventiva no assunto.

Empresas que monitorem sistematicamente dados em larga escala ou processem grande quantidade de dados sensíveis terão de destacar um funcionário para cuidar de dados pessoais, o Data Protection Officer (DPO).

Sua função será manter a organização em conformidade com as regras do GDPR. Será também o responsável por se comunicar com as agências reguladoras.

Além disso, as empresas terão de elaborar relatórios de impacto de suas ações sobre a privacidade e a proteção de dados.

Esse tipo de análise, avaliam especialistas, poderia ter auxiliado a Strava, cujo exemplo de rastreamento de dados em um mapa interativo ilustra o início desta reportagem, a identificar os riscos envolvidos na operação.

O GDPR é claro sobre quem estará sujeito às suas regras. Por exemplo, para que um comércio eletrônico japonês ou brasileiro ofereça produtos em inglês com preços em euro, ele terá que processar pedidos diários de cidadãos dentro da UE e enviar esses produtos seguindo as regras do GDPR.  

ENTENDA O GDPR

I – No GDPR, alguns dos princípios para tratamento dos dados são:

Minimização dos dados: devem ser “adequados, pertinentes e limitados” ao que é necessário para as finalidades;

Exatidão: devem estar exatos e atualizados. Os dados que estejam inexatos devem ser apagados ou retificados “sem demora”;

Limitação da conservação: devem ser conservados de modo a permitir a identificação dos titulares apenas durante o período necessário para as finalidades para as quais são tratados;

Integridade e confidencialidade: devem ser tratados com segurança, assegurando a proteção contra tratamento ilícito e contra a sua perda, destruição ou danificação acidental;

Responsabilidade: do inglês accountability, estabelece que as empresas devem respeitar essas regras e criar mecanismos para segui-las;

II – As bases legais para o uso de dados pessoais:

Consentimento: precisa ser claro para que a empresa processe dados pessoais com um propósito específico

Contratual: o processamento é necessário por causa de um contrato realizado entre empresa e indivíduo

Obrigação Legal: o processamento é necessário para que você esteja de acordo com o requerido pela lei (não incluído em obrigações contratuais).

Interesses vitais: o processamento é necessário para proteção da vida de alguém.

Tarefa Pública: o processamento é necessário para uma tarefa de interesse público ou para cumprimento de funções oficiais com base clara na lei

Interesse Legítimo: o processamento é necessário para o interesse legítimo de uma empresa ou terceiro

Capítulo 5

E o Brasil?

A relação com o GDPR

Na subsidiária brasileira da multinacional Siemens, novas práticas mudaram a rotina de departamentos como os recursos humanos, tecnologia e jurídico. Desde o final do ano passado, quando Reynaldo Goto, diretor de compliance da empresa, acumulou o cargo de Data Protection Officer (DPO), sua equipe vem passando um pente-fino nos contratos que incluam dados pessoais para ver se estão de acordo com o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.

“Minha primeira função como DPO foi me responsabilizar localmente por esses dados pessoais. Por óbvio, tenho que passar essa responsabilidade para um terceiro que manipulará essa informação. Isso pode ser feito com cláusulas ou barrando o acesso de fornecedores a todas as informações que gostariam de ter”, diz Goto.

Para isso, a empresa tem entrado em contato com fornecedores terceirizados para entender seus sistemas de proteção aos dados pessoais. Além disso, investe no treinamento de gestores e pessoas mais expostas a esses dados, como os departamentos de recursos humanos e informática.

“É comum que fornecedores peçam RG, CPF. Às vezes, pedem até mais. Mas se ele tiver esses dados, será meu corresponsável para armazená-los corretamente, destruí-los e deixá-los à mão”, afirma.

As medidas tomadas pela Siemens, porém, não são a média do mercado brasileiro. A partir de maio, se uma empresa brasileira utilizar dados pessoais de cidadãos europeus, terá de se adequar às regras do GDPR. Embora o regulamento venha sendo noticiado em boa escala no mercado do Direito, ainda parece ser um tema lateral no país.

Restam muitas dúvidas sobre como as penalidades previstas no regulamento europeu seriam aplicadas às empresas brasileiras, como multas de até 4% do faturamento.

Gigantes como Google e Microsoft enviaram emails a seus usuários nos últimos dias informando suas providências para a aplicação do GDPR em suas matrizes e filiais.

Advogados de direito digital, por sua vez, não acreditam que as normas devam ser aplicadas logo de início às empresas nacionais. Para Dirceu Santa Rosa, sócio do escritório Montaury Pimenta, Machado & Vieira de Mello, as autoridades europeias devem se focar em companhias do continente assim que a legislação passar a vigorar.

No Brasil, a atenção ao tema tem caráter consultivo. Advogados comentam que clientes os procuram, e muitos já realizaram alguns estudos a respeito da regulamentação europeia. “Mas esse ajuste não vai ser imediato. Só vai ter impacto quando tiver as penalidades”, diz Paulo Perrotti, do escritório Perrotti e Barrueco Advogados Associados.

Uma das orientações que advogados têm dado a empresas é elaborar um relatório de impacto sobre a privacidade (DPIA, em inglês) para ter um cenário de suas práticas de proteção de dados.

“Temos a perspectiva de outros mercados e percebemos que algumas empresas brasileiras se questionam sobre qual seria a norma aplicável. No mundo da economia digital, as fronteiras acabam caindo. Mesmo empresas pequenas têm atuação transnacional”, afirma Elias Abdala Neto, gerente de Assuntos Corporativos e Filantropia da Microsoft Brasil.

Para o advogado Caio Cesar Carvalho Lima, especialista em direito digital e sócio do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados, executivos nacionais querem inicialmente entender a nova realidade do GDPR e, se ela estiver enquadrada em suas regras, fazer os ajustes necessários. “Poucas estão preocupadas com isso até porque muitas empresas sequer cumprem as leis do Brasil”, avalia.

Capítulo 6

Oportunidades à vista

GDPR na Europa deve abrir 28 mil vagas

A implementação do GDPR na Europa deve abrir 28 mil vagas para pessoas que queiram trabalhar com a regulamentação dos dados pessoais no continente e nos Estados Unidos, segundo a IAPP, organização especializada em privacidade. Para o mundo, ela estima que 75 mil vagas do tipo sejam criadas após o GDPR.

É um mercado promissor dentro do Direito, mas ainda inexplorado. Para recrutadores, é uma seara fértil.

“Se um estudante estiver na dúvida, essa é uma ótima área. Até mesmo para implementar em grandes escritórios. É uma chance de ser catapultado a sócio. Até 2020, muita coisa vai acontecer. Quem estiver na vanguarda, terá vantagem”, avalia Ricardo Chazin, headhunter da consultoria britânica Laurence Simmons, especializada em recrutamento jurídico.

Segundo Chazin, o perfil que as empresas têm procurado é de advogados técnicos, com trânsito em Brasília, e que tenham participado das discussões sobre dados pessoais no Brasil.

O interesse também está em alta no mundo acadêmico. Segundo Vinicius Marques Carvalho, sócio do escritório VMCA e professor da Universidade de São Paulo (USP), quatro de seus cinco orientandos de conclusão de curso estão pesquisando sobre dados pessoais.

O advogado Bruno Bioni, que cursou mestrado na USP, avalia que há alguns anos poucas pessoas pesquisavam sobre privacidade. Recentemente, ele passou a ministrar um curso de Direito e dados pessoais na Universidade Presbiteriana Mackenzie que teve 32 alunos inscritos. “Fechamos porque queríamos uma turma mais enxuta”, diz.

A mesma perspectiva está no mercado. No curso do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados sobre o novo regulamento de dados pessoais da União Europeia, o número de inscritos saiu de 20 para 35 desde o ano passado.

O novo compliance?

Advogados traçam um paralelo com o crescimento do setor de compliance, que se ampliou de forma acentuada no país nos últimos anos na esteira da Operação Lava-Jato e da lei 12.846/13. Na Laurence Simmons, o recrutamento para essa área representa 30% do faturamento da empresa. Em 2015, não havia demanda para esse setor.

“Na época, saiu-se numa caça desesperada por funcionários de compliance. Agora começa a haver um bom número deles com experiência”, afirma Chazin.

Para Raphael Falcão, diretor da consultoria de recursos humanos Hays, a grande diferença é que o compliance é uma função clássica dentro da estrutura das empresas. “O grande problema dos dados é que o profissional tem que estar muito atualizado. Geralmente, a área de compliance é mais careta. É difícil alinhar um perfil cibernético e associar a uma questão de comando e controle”, afirma.

Apesar desta projeção futura, o mercado ainda está mais interessado em profissionais que consigam trazer valor aos dados que as empresas geram do que especialistas em dados pessoais. “Hoje, vejo pouca preocupação do controle de dados em si. Poucas empresas estão mergulhando pesado nisso”, diz Falcão.

Capítulo 7

Os governos e os nossos dados

Estados e municípios lidam com o tema

A Índia, com seus 1,3 bilhão de habitantes, está realizando o maior projeto de cartão de identidade biométrico do mundo. Chamado Aadhaar, o programa dá um número de identificação de 12 dígitos aos cidadãos baseado em dados biométricos, como suas digitais e escaneamento da íris. Essa coletânea de informações fica concentrada com o governo indiano.

O caso acionou o alerta para analistas internacionais que consideram o sistema como um estado de vigilância de massa. Em agosto do ano passado, ao julgar uma ação pela inconstitucionalidade do Aadhaar, a Suprema Corte indiana endossou o direito à privacidade como um direito fundamental. Por lá, discute-se se a privacidade é um direito fundamental a tal ponto que o advogado do governo indiano disse que a privacidade poderia destruir os objetivos constitucionais de justiça social.

No governo federal brasileiro, 32% dos serviços são totalmente digitalizados, 39% parcialmente e 29% não estão disponíveis para acesso online, segundo dados parciais de levantamento do Ministério do Planejamento. A pasta calcula que um atendimento presencial custe US$ 14, enquanto o atendimento online, US$ 0,39 em média.

O Documento Nacional de Identidade (DNI), único, digital e biométrico, vai reunir diferentes registros civis dos brasileiros. Ele deve entrar em vigor a partir de julho deste ano. 

Para especialistas, o aumento de medidas para a digitalização dos serviços deixa dúvidas sobre a capacidade de órgãos governamentais garantirem a privacidade dos cidadãos.  

Existem exemplos de como a gestão pública pode usar dados de cidadãos. Em São Paulo, o então prefeito João Dória (PSDB-SP) prometeu privatizar a base de dados do Bilhete Único. A empresa vencedora da concessão teria acesso a uma série de dados como CPF, RG, filiação, foto do rosto, endereço e todos os trajetos realizados pelos usuários. Para analistas, isso permitiria traçar um perfil muito sensível sobre os hábitos dos cidadãos. A privatização está programada para o segundo semestre deste ano.  

Também em São Paulo, a prefeitura decidiu que, para dar continuidade ao programa WiFi Livre SP, os cidadãos passariam a ter de fazer um cadastro ao utilizar a rede. Os dados seriam coletados por uma empresa, numa Parceria Público-Privada, e poderiam ser utilizados para publicidade programática.

Casos polêmicos se repetem pelo Brasil. No Rio de Janeiro, a Organização Coding Rights mostrou que há pouca clareza sobre os dados pessoais das milhões de transações feitas pelo bilhete único da cidade.

Motivados pela falta de transparência, em julho de 2017 a Defensoria Pública e o Ministério Público ajuizaram uma Ação Civil Pública pedindo saída da Federação das Empresas de Transportes de Passageiros do Estado do Rio de Janeiro (Fetranspor) e da empresa RioCard, que pertence à Fetranspor, que administra o bilhete único.

Em fevereiro deste ano, o governo do Rio editou um decreto que acabou com o monopólio da Federação e nova licitação será feita.