LGPD: impactos atuais de uma lei ainda não vigente
12 de junho de 2019A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709 de 14 de agosto de 2018, ainda está dentro do período de vacatio legis e entrará em vigor, a princípio, em agosto de 2020.
Por Rachel Ellmann Clemente*
Em pouco menos de um ano de sua promulgação, já é possível perceber os seus impactos, inclusive, sua aplicação por parte de algumas autoridades brasileiras, como é o caso do Ministério Público do Distrito Federal e dos Territórios (MPDFT), que vem atuando de forma expressiva.
A Unidade Especial de Proteção de Dados e Inteligência Artificial do MPDFT (ESPEC) é a primeira iniciativa nacional dedicada exclusivamente à proteção de dados pessoais e da privacidade dos brasileiros (1).
Desde agosto de 2018, o MPDFT já investigou ao menos 13 casos (2) envolvendo dados pessoais e privacidade, fundamentando-se, principalmente, no Código de Defesa do Consumidor, em seu artigo 6º, que assegura o direito à informação.
Um dos primeiros casos envolveu a empresa MyHeritage, especializada em construção de árvores genealógicas e testes de DNA que, em outubro de 2017, confirmou o vazamento de dados de 3.360.814 clientes brasileiros, dentre eles 106.880 menores de idade à época.
A empresa afirmou que não houvera o comprometimento de nomes, endereços ou outros dados sensíveis, e que teria ocorrido apenas o vazamento de e-mails.
A Israeli Privacy Protection Authority (autoridade de dados israelense) encerrou a investigação afirmando que não ocorreu violação à sua legislação.
Os clientes brasileiros da MyHeritage foram orientados a trocar as senhas de acesso ao site, ainda que a empresa tenha garantido que as mesmas possuem criptografia (3).
Outro caso que merece destaque envolve a empresa Boa Vista SCPC. Foi instaurado inquérito civil público e, inicialmente, foi apurado um vazamento que poderia ter afetado mais de 350 milhões de pessoas que fizeram cadastro na empresa (4).
A ESPEC-MPDFT, após cerca de dois meses, concluiu que não houve vazamento de dados, já que, apesar de ter ocorrido uma invasão ao servidor de desenvolvimento armazenado na nuvem, este não continha dados pessoais armazenados (5).
Uma situação ainda mais gravosa aconteceu com a empresa Atlas Quantum, do mercado de criptomoedas, que se tornou ré em uma ação civil pública por danos morais.
O MPDFT pediu a condenação da empresa ao pagamento de milhões de reais pelo vazamento dos dados de mais de 260 mil clientes (6).
Além de investigações, a ESPEC-MPDFT pode solicitar explicações sobre a guarda e proteção de dados, como ocorreu com a Vivo em abril deste ano, com a requisição de um relatório de impacto à proteção de dados pessoais dos clientes dessa empresa.
No Brasil, foi a primeira vez que o Poder Público solicitou esse tipo de relatório. A empresa tem um prazo de 60 dias para elaborar e apresentá-lo, sendo que um dos principais pontos levantados pelo MPDFT aborda a questão de dados coletados para rastrear a geolocalização dos usuários (Vivo Ads).
A Vivo deve explicar sobre o funcionamento dos processos para gerenciar os dados, bem como qual a estratégia para diminuir os riscos relacionados à proteção das informações de seus clientes (7).
O promotor membro da ESPEC-MPDFT, Frederico Meinberg, se pautou nos relatórios feitos na Europa, chamados de Data Protection Impact Assessment – DPIA (8), cujo objetivo é identificar e minimizar os riscos de um projeto e afirmou que se trata de instrumento importante para comprovar que as empresas e órgãos públicos tratam os dados pessoais de forma segura e adequada.
O que se verifica é que, independentemente de entrar em vigor, a LGPD já impacta as empresas e demais que fazem uso de dados pessoais, seja por exigências externas, para dar prosseguimento a negociações; seja pela pressão de órgãos públicos, para que haja eficácia no cumprimento da lei.
De qualquer forma, é inegável que a LGPD vai exigir mudanças consideráveis para todos aqueles que fizerem o tratamento de dados pessoais.
Considerando que já estão sendo feitas exigências antes mesmo da legislação entrar em vigor, recomenda-se que as medidas necessárias para adequação à nova lei sejam tomadas o quanto antes a fim de evitar surpresas, tais como: gestão do consentimento e anonimização dos dados; adoção de medidas de segurança da informação; elaboração de relatório de impacto e due diligence dos dados pessoais.
* Rachel Ellmann Clemente é advogada e sócia da Lee, Brock, Camargo Advogados (LBCA)
Proteção de Dados Pessoais – Responsabilidade do Gestor de Segurança da Informação
Debatedores defendem criação da Autoridade Nacional de Proteção de Dados