A precária proteção dos dados pessoais
Por Francisco Gomes Júnior
Comemorada como grande avanço para a
proteção de dados pessoais (desde dados de nossos documentos até os que dizem à
respeito da orientação sexual, religiosa e partidária) a LGPD (Lei Geral de
Proteção de Dados – Lei nº 13.709/2018) foi um dos assuntos mais comentados em
2021 no meio empresarial e jurídico.
Inspirada na GDPR (General Data
Protection Regulation), a legislação da comunidade europeia para a proteção de
dados, a LGPD nos deu a convicção de que passamos a fazer parte de um rol de
países que tutela os dados pessoais de seus cidadãos. Nada mais necessário em
um mundo que opera digitalmente com a circulação de milhões ou bilhões de dados
diariamente.
Qualquer empresa ou pessoa física que vá
manipular dados pessoais de terceiros deve informar o objetivo da utilização
dos dados, a motivação, a forma que irá armazená-los, excluí-los. E os dados
somente poderão ser utilizados nas hipóteses previstas na lei, seja por meio do
consentimento de seu titular, do cumprimento de obrigação legal ou regulatória,
da execução de contratos ou em casos de proteção da vida e da saúde e demais
bases legais.
A lei trouxe ainda a figura do DPO (Data
Protection Officer), o profissional encarregado de gerir os dados pessoais em
uma empresa. Cabe ao DPO responder a todos os questionamentos sobre a
utilização de dados dos clientes, bem como a gestão interna dessas informações
(medidas de segurança). Por fim, o DPO também é o responsável para sinalizar
qualquer vazamento ou incidente com os dados dos clientes, devendo informar a
autoridade competente nesses casos.
A ANPD (Autoridade Nacional de Proteção
de Dados) tem a competência legal para fiscalizar, orientar e sancionar
infrações à LGPD. É um órgão da administração pública direta federal e
conceitualmente independente.
Em resumo, a LGPD possui conceitos
modernos de proteção de dados e um ente responsável para sua efetiva aplicação,
com poder sancionatório. Nesse cenário, profissionais do Direito e de áreas de
tecnologia apostam na lei para que o país implemente cultura corporativa
de proteção de dados.
Inobstante, todo o cenário perfeitamente
desenhado, a realidade tem sido cruel com a LGPD, colocando em xeque sua
eficácia. Todas as semanas temos notícias sobre vazamentos de dados por invasões
indevidas (basicamente ataques hackers) com milhões de dados colocados em
risco. O malware (instalação de software malicioso para coletar dados do
usuário) e o ransomware (bloqueio do computador ou sistema e pedido de resgate
para sua liberação) cresceram exponencialmente após a promulgação da lei.
Na prática, o bandido notou que pode
pedir um resgate que valha mais a pena para a empresa pagá-lo do que ter que
arcar com uma multa ou pior do que isso, com a perda de credibilidade e de
clientes no mercado. Em um dos casos mais famosos, a JBS admitiu que pagou
resgate milionário para que seus dados fossem “devolvidos”.
E se na esfera da iniciativa privada há
preocupação com a imagem da empresa, preservação de clientes e pagamento de
multas, temos no ambiente público outras dificuldades, como a necessidade de
licitar para promover melhorias em sistemas de cibersegurança, dentre outras.
As empresas públicas e órgãos
governamentais vêm sendo constantemente atacados. Noticiou-se o vazamento de
mais de 300 milhões de dados de variados Ministérios, muitos sites e
aplicativos ficaram e ficam ainda instáveis ou fora do ar, enfim, um cenário
caótico onde a LGPD é insuficiente para encontrar soluções.
E, do ponto de vista do cidadão, há
dúvida sobre a independência efetiva da ANPD e se tal autoridade sancionará
órgãos do Poder Executivo ao qual ela está vinculada.
Ao que parece, até que a cibersegurança
seja aperfeiçoada (e ainda há um caminho considerável para tanto) teremos uma
proteção precária dos dados pessoais. É mais do que necessário que cidadãos,
empresários e governantes tenham consciência do problema e comecem a adotar
medidas efetivas para sua solução. Ainda que a caminhada seja longa, precisamos
apressar o passo.
Francisco Gomes Júnior - Sócio da OGF Advogados. Especialista em Direito Digital e Crimes Cibernéticos. Presidente da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP). Instagram: https://www.instagram.com/franciscogomesadv/
.jpg)
Nenhum comentário