Pesquisa Empírica

Pesquisa empírica

GDPR completa um ano e traz reflexões sobre dados pessoais no Brasil

Houve 64 mil ameaças de vazamento de dados e aplicação de € 56 milhões em multas na Europa

Crédito: Mateusz Dach from Pexels
Itaú

Em janeiro de 2019, os diretores do Google receberam a notícia de que a autoridade de proteção de dados da França aplicou uma multa de € 50 milhões contra a empresa. A razão: a gigante de tecnologia não teria sido transparente ao informar os usuários como trataria seus dados pessoais e, por isso, desrespeitou as normas da General Data Protection Regulation (GDPR).

A maior multa já aplicada por descumprimento da GDPR alertou empresas que trabalham com dados pessoais de clientes em território europeu. A lei, que completa um ano em vigor neste sábado (25/5), criou novas normas para o tratamento de dados e deixou a fiscalização muito mais rígida.

A efeméride foi o tema da pesquisa GDPR One Year Anniversaryfeita pelo International Association of Privacy Professionals (IAPP), uma das maiores associações de privacidade de dados do mundo.

De acordo com o estudo, foram identificados 64 mil casos de ameaças de vazamento de dados pessoais — conhecidos como data breach — e foram aplicadas multas que somaram € 56 milhões.

Além disso, a pesquisa aponta que mais de 144 mil reclamações individuais de cidadãos europeus foram registradas, por motivos como: notificações de marketing indesejadas, desrespeito à privacidade de funcionários, remoção de dados, entre outras fatores.

Segundo a pesquisa, 280 casos envolveram violações em mais de um país e, no total, as autoridades de dados espalhadas pela Europa receberam mais de 200 mil casos por alguma infração contra as normas da GDPR.

Advogados especializados em proteção de dados acreditam que a legislação europeia criou um novo mercado para profissionais do Direito. Isso porque a GDPR cria a obrigação de que as empresas tenham um profissional responsável por todo o mapeamento e práticas de tratamento de dados pessoais — o Data Protection Officer (DPO).

Somente na Europa, já foram registrados mais de 375 mil DPO’s. Para completar, a IAPP estima que o número desses profissionais possa chegar a meio milhão.

No Brasil, a Lei Geral de Proteção de Dados (LGPD), que cria normas para o tratamento de dados pessoais no país, também começou a abrir vagas para DPO no mercado, principalmente para advogados, com salários de até R$ 50 mil.

A maior parte dos DPO’s, na Europa, foi registrada na Alemanha. Os outros países que se destacaram foram: França, Itália, Espanha e o Reino Unido.

O que os números significam?

Segundo Fabricio da Mota Alves, professor da FGV e coordenador da área de proteção de dados do Garcia de Souza Advogados, a GDPR causou uma “revolução” em termos regulatórios de proteção de dados em “todo o planeta” porque fez o setor empresarial reconhecer globalmente que é necessário rever modelos de negócio. Além disso, ele destaca que a legislação europeia influenciou outras leis mundiais, como a LGPD, no Brasil.

“O fato é que o GDPR trouxe consigo uma forte mensagem de intolerância ao tratamento antiético dos dados pessoais do cidadão e isso é, por si só, muito positivo”, afirma o advogado.

Sobre os dados levantados pela pesquisa da IAPP, ele destaca o número de reclamações individuais — que ultrapassou a marca de 144 mil. Para ele, ainda é preciso analisar se as autoridades públicas europeias possuem a capacidade administrativa e institucional para um número tão alto de demandas. A pergunta que fica é: como será no Brasil? Segundo o advogado, por aqui, esse tipo de demanda é “endêmica”.

Sobre as multas aplicadas por autoridades de dados europeias, Alves destaca a penalidade de € 400 mil aplicada a um hospital em Portugal em razão das políticas de acesso às bases de dados, que permitiam que técnicos e médicos consultassem processos clínicos dos doentes sem a devida autorização.

“Essa é uma situação absolutamente corriqueira entre diversas entidades hospitalares, muitas das quais sequer atualizam suas políticas de segurança de dados há anos. Esse caso seguramente despertou o interesse do setor e tem um efeito pedagógico surpreendente”, afirma o advogado.

De acordo com Danilo Doneda, advogado e professor do Instituto Brasiliense de Direito Público (IDP), a GDPR não tem o objetivo revolucionar o cenário de proteção de dados europeu. O principal resultado foi o de uniformizar a forma como as autoridades de dados dos países da União Europeia aplicam a legislação sobre o tema.

“É uma lei única e uma penalização única para todos os países. Antes, as normas eram diferentes de um país para o outro. Tinha caso de autoridade que nunca havia nem aplicado uma multa. Agora, todos os cidadãos têm a mesma garantia”, explica Doneda.

Ele acrescenta que, em um primeiro momento, a abordagem das autoridades europeias tem mais o foco de prevenir futuros incidentes de vazamento de proteção de dados ou tratamento inadequado de informações pessoais do que simplesmente “sair multando” as empresas.

Segundo a advogada de proteção de dados Caroline Klamas, a mudança causada pela GDPR ainda é “gradual”. Parte das empresas, avalia a profissional, ainda não sabe como se portar diante das inovações legais.

“A GDPR já mudou muito a forma de atuação das empresas, principalmente como elas têm tratado os dados pessoais. Mas mudanças mais profundas em setores como marketing e recursos humanos são graduais”, diz a advogada.

Caio Lima, sócio do escritório Opice Blum, explica que desde 1995 o continente europeu já tinha uma diretiva sobre tratamento de dados pessoais. Isso, segundo ele, facilitou a aplicação e a eficiência da legislação na Europa. A situação da LGPD no Brasil pode ser diferente, avalia.

“Aqui, ainda temos uma cultura de dados muito reduzida. Não esperamos que a nossa futura autoridade de proteção de dados já inicie aplicando sanções”, diz o advogado, para quem, no início, o órgão deverá ter um papel mais educativo.

E o Brasil?

A criação da LGPD no Brasil teve como base a GDPR. Entretanto, advogados concordam que seria necessário um autoridade para regulamentar e aplicar as normas previstas na lei brasileira.

A Autoridade Nacional de Proteção de Dados (ANPD), entretanto, corre o risco de não ser criada neste momento. Ela foi estabelecida pela Medida Provisória 869/2018 e já passou pela comissão mista no Poder Legislativo. Se a MP não for aprovada até o dia 3 de junho, contudo, a medida perde a eficácia.

Caso a MP passe pelo Congresso, há uma grande preocupação dos advogados de que a ANPD não tenha independência em sua atuação. Isso porque, como está previsto na MP, a autoridade seria diretamente vinculada à presidência da República, sem orçamento próprio e sem sabatina para selecionar os seus membros.

Para Danilo Doneda, a ANPD da forma como está estabelecida na MP pode transformar a LGPD em uma “lei manca”. “A LGPD foi arquitetada em torno da ideia da autoridade. Sem uma real independência, o Brasil pode não ter vantagens de ter uma lei de dados”, afirma.

Já Marcela Mattiuzzo, sócia do VMCA Advogados, afirma que, mesmo com o modelo ligado à presidência da República, seria melhor ter uma autoridade longe da ideal do que a “completa inexistência” de um órgão específico para tratar sobre o tema.

“No mínimo, teríamos um interlocutor com quem conversar. Também é um sinal para o mercado, como um guia para as dúvidas dentro do escopo da LGPD. Dá um tipo de orientação: isso pode fazer, isso não é proibido”, afirma a advogada.

“Algumas ações já são feitas sem a existência da autoridade. Temos o Ministério Público do Distrito Federal e Territórios focado nisso. Mas é algo não centralizado”, avalia a advogada.

A opinião é parecida com a de André Giacchetta, advogado do Pinheiro Neto. Ele defende que a MP deve ser convertida em lei “ainda que a estrutura possível seja vinculada à presidência da República”.

“A ausência completa da autoridade fará com que muitos dispositivos importantes da LGPD não sejam regulamentados, como a transferência internacional de dados. O que vamos fazer com isso sem a autoridade? É um problemaço”, afirma.

Para ele, caso a MP seja convertida em lei, como é esperado pelos profissionais de proteção de dados,  já seria necessário o inicio de um processo de “readequação” da ANPD para que ela faça parte da administração pública indireta. “O impacto disso seria a participação do Brasil como um país com nível adequado de proteção de dados”, afirmou.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito