Em minha última palestra, na 8a Conferência Campinas Startups, apresentei os aspectos gerais da LGPD e busquei trazer alguns exemplos de autuações aplicadas baseando-se no Regulamento Geral de Proteção de Dados Europeu, GDPR.
A LGPD, ou ainda, Lei Geral de Proteção de Dados, é a legislação que regula o tratamento de dados pessoais coletados em território brasileiro. A norma elenca princípios, estipula as bases legais para tratamento de dados pessoais, bem como os direitos e garantias que os titulares de dados possuem, além de prever multas e penalidades no caso de infração, entrando em vigor em Agosto de 2020.
Baixe agora a nossa Cartilha de Boas Práticas para LGPD!
Antes de tudo, gosto de iniciar contextualizando o público sobre como chegamos até uma regulação de proteção de dados. Para tanto, remetemo-nos ao final da Revolução Industrial e observamos o surgimento e desenvolvimento da Sociedade da Informação, que tem suas origens na expansão dos veículos de comunicação surgidos na primeira metade do século XX.
Uma revolução tecnológica baseada nas tecnologias da informação começou a remodelar a base material da sociedade em ritmo acelerado, conforme ensina Castells (1999), que acredita, ainda, que esse novo sistema de comunicação fala cada vez mais uma língua universal digital e que assim está promovendo a integração global da produção e distribuição de palavras e imagens de nossa cultura como personalizando-os ao gosto das identidades e humores dos indivíduos.
Neste cenário de desenvolvimento informacional, a fonte de produtividade, conforme Castells (1999), está na tecnologia de geração de conhecimento, processamento de informações e comunicação de símbolos. Explica ainda que é específico ao modo de desenvolvimento informacional a ação do conhecimento sobre o próprio conhecimento como a principal fonte de produtividade. E complementa esclarecendo que
O processamento da informação está focado em melhorar a tecnologia do processamento da informação como fonte de produtividade, em um círculo virtuoso de interação entre as fontes de conhecimento da tecnologia e a aplicação da tecnologia para melhorar a geração de conhecimento e o processamento da informação: é por isso que, voltando à moda popular, chamo esse novo modo de desenvolvimento de informacional, constituído pelo surgimento de um novo paradigma tecnológico baseado na tecnologia da informação.
Nesta toada, Srnicek explica como este paradigma está sendo alterado com as novas práticas capitalistas. Vejamos.
Desde a crise de 2008, houve uma mudança semelhante? A narrativa dominante nos países capitalistas avançados tem sido de mudança. Em particular, houve um foco renovado no aumento da tecnologia: automação, economia compartilhada, histórias intermináveis sobre o ‘Uber for X’ e, desde por volta de 2010, proclamações sobre a Internet das coisas. Essas mudanças receberam rótulos como ‘mudança de paradigma’ da McKinsey e ‘quarta revolução industrial’ do presidente executivo do Fórum Econômico Mundial e, em formulações mais ridículas, foram comparados em importância ao Renascimento e ao Iluminismo.
Com relação à produção de conhecimento, Srnicek segue esclarecendo que os dados podem envolver conhecimento porém essa não seria uma condição necessária. E ainda, faz o alerta a respeito do cuidado que devemos ter ao pensar que a coleta e a análise de dados são processos automatizados e sem atrito. Explica que
Da mesma forma, gerar os algoritmos adequados pode envolver a entrada manual de conjuntos de aprendizado em um sistema. No total, isso significa que a coleta de dados hoje depende de uma vasta infraestrutura para detectar, registrar e analisar.
Argumenta ainda que devemos considerar os dados como matéria-prima que deve ser extraída e as atividades dos usuários seriam como fonte natural dessa matéria-prima. Desta forma, “assim como o petróleo os dados são um material a ser extraído, refinado e usado de várias maneiras. Quanto mais dados tivermos, mais usos podemos fazer deles”. Ensina ainda que
Novas expansões maciças de dados em potencial foram abertas e surgiram novas indústrias para extrair esses dados e usá-los para otimizar os processos de produção, fornecer informações sobre as preferências dos consumidores, controlar os trabalhadores e fornecer a base para novos produtos e serviços (por exemplo, Google Maps , carros autônomos, Siri) e venda com grande quantidade de dados que agora podem ser usados.
Sobre o capitalismo de plataforma, Silveira (2019) explica que
O capitalismo de plataforma é um capitalismo de dados tratados por algoritmos. Assim, os algoritmos assumem a gestão automatizada dos operações em inúmeros campos de nosso convívio social, uma vez que são mais precisos, mais velozes e cada vez mais preditivos.
Neste sentido, diversas ferramentas e aplicações foram sendo desenvolvidas para viabilizar essa necessidade dos indivíduos facilitando a execução de multitarefas e, em contrapartida, efetuando a coleta de suas informações.
Essas aplicações, ao viabilizar a execução de multitarefas, adquirem uma imensidão de informações tanto de sua performance quanto de seu usuário. Com isto, forma-se um vasto e completo banco de dados (Big Data). A partir da aplicação de métodos estatísticos, cruzando diversos banco de dados, é possível perfilar e prever ações dos indivíduos.
Os reflexos deste perfilamento vão desde o aumento no consumo de determinados serviços ou produtos até mesmo à definição de eleições (ver caso Brexit e eleições americanas de 2016). A este novo cenário sócio-econômico-político, a professora Shoshana Zuboff definiu como Capitalismo de Vigilância, podendo ser resumido como:
1. Uma nova ordem econômica que reivindica a experiência humana como matéria-prima livre para práticas comerciais ocultas de extração, previsão e vendas;
2. Uma lógica econômica parasitária na qual a produção de bens e serviços está subordinada a uma nova arquitetura global de modificação comportamental;
3. Uma mutação desonesta de capitalismo marcado por concentrações de riqueza, conhecimento e poder sem precedentes na história humana;
4. O quadro fundamental de uma economia de vigilância;
5. Como uma ameaça significativa à natureza humana no século vinte e um como capitalismo industrial foi para o mundo natural no século XIX e XX;
6. A origem de um novo poder instrumentista que afirma domínio sobre a sociedade e apresenta desafios surpreendentes para a democracia de mercado;
7. Um movimento que visa impor uma nova ordem coletiva baseada na certeza total; 8. Uma expropriação de direitos humanos críticos que é melhor entendida como um golpe de cima: uma derrubada da soberania do povo.
Mas qual a relação com a proteção de dados pessoais?
Proteger os dados pessoais dos indivíduos reflete na preservação da intimidade e garantia das liberdades individuais, seja ela de expressão, pensamento ou opinião. Portanto, podemos observar e interpretar os princípios elencados pela LGPD nesta perspectiva.
E quais são os princípios que balizam o tratamento de dados pessoais segundo a LGPD?
O que podemos aprender com a experiência da GDPR?
A partir do histórico de multas e penalidades impostas pelas autoridades de proteção de dados na UE sob o Regulamento Geral de Proteção de Dados da UE disponíveis no site http://www.enforcementtracker.com, busquei analisar os procedimentos, requisitos e valores das multas por país. O objetivo aqui seria aprender com a experiência do que está acontecendo a partir do RGPD (ou GDPR) traçando um paralelo com a nossa LGPD, ainda que tenha consciência das diferenças culturais, procedimentais e jurídicas.
Isto posto, ao analisarmos as multas aplicadas, verificamos que muitas delas referem-se à não-conformidade com os princípios gerais do processamento de dados. Vejamos:
Assim, nos debruçamos em alguns desses cases, buscando entender quais ações foram cometidas e se estas ações, porventura, ensejam punições sob o viés da LGPD, quando em vigor.
Alguns cases para análise
1. Um grande número de clientes estava sujeito a chamadas de telemarketing, apesar de terem declarado uma opção de exclusão. Isso foi ignorado devido a erros técnico.
Valor da multa: €200.000,00
À luz da GDPR: Artigos infringidos – Art. 5 (1) c); e Art. 25
À luz da LGPD: Artigos infringidos – Art. 6, incisos III e X; Art. 18, incisos VI e IX.
2. Medidas técnicas inadequadas resultaram na exclusão de dados de 8.000 clientes, mediante solicitação.
Valor da multa: €200.000,00
À luz da GDPR: Artigos infringidos – Art. 21 (3), Art. 25.
À luz da LGPD: Artigos infringidos – Art. 6, incisos VIII e X; Art. 18, inciso IX.
3. A multa foi aplicada como resultado de uma inspeção realizada no outono de 2018. A IDdesign processou dados pessoais de aproximadamente 385.000 clientes por um período maior do que o necessário para os fins para os quais foram processados. Além disso, a empresa não havia estabelecido e documentado prazos para exclusão de dados pessoais em seu novo sistema de CRM. Os prazos estabelecidos para o sistema antigo não foram excluídos após o prazo para as informações serem atingidas. Além disso, o controlador não havia documentado adequadamente seus procedimentos de exclusão de dados pessoais. Observação: como a lei dinamarquesa não prevê multas administrativas, como no RGPD (a menos que seja um caso simples e o acusado consentido), as multas serão impostas pelos tribunais.
Valor da multa: €200.850,00
À luz da GDPR: Artigos infringidos – Art. 5 (1) e), Art. 5 (2).
À luz da LGPD: Artigos infringidos – Art. 6, incisos I, III, VII e X.
4. NAIH constatou que havia uso de bases legais inadequadas e que o responsável pelo tratamento não cumpriu o princípio da limitação de finalidade. Além disso, as informações sobre o processamento de dados não foram totalmente fornecidas aos titulares dos dados.
Valor da multa: €92.146,00
À luz da GDPR: Artigos infringidos – Art. 6, Art. 5 (1) b), Art. 13
À luz da LGPD: Artigos infringidos – Art. 6, incisos I e VI; Art. 7.
Baixe agora a nossa Cartilha de Boas Práticas para LGPD!
GDPR e obrigações do empregador
Durante a análise das multas publicadas no Enforcement Tracker, verificamos que algumas delas referem-se a autuações em face de empregadores por descumprimento de princípios e obrigações estipuladas pelo Regulamento Geral de Proteção de Dados da UE.
A seguir, seguem algumas ações praticadas pelas empresas que originaram a aplicação das multas:
- Instalação de câmeras no local de trabalho sem informações sobre o processamento de dados;
- Solicitação de acesso aos dados pessoais não atendida;
- Solicitação de exclusão de informações pessoais de ex-funcionário em página da empresa no Facebook.
Caso tais práticas ocorressem no Brasil e caso a LGPD já estivesse em vigor, seria possível que também gerassem algum tipo de penalidade para o empregador?
A LGPD prevê em seu art. 18, os direitos dos titulares de dados. Dentre esses direitos, estão previstos: a) confirmação da existência de tratamento; b) acesso aos dados; e c) eliminação dos dados pessoais tratados com o consentimento do titular.
Desta forma, acredita-se que há, de fato, o dever do empregador em cumprir o disposto na LGPD, adotando medidas e boas práticas que garantam a segurança e privacidade relativo aos dados pessoais tanto de seus clientes quanto dos seus empregados.
GDPR em números
Visando compreender o cenário e os impactos nos negócios, buscou-se o levantamento de alguns números a partir das informações contidas no Enforcement Tracker. Dividimos em: a) Infrações por artigo GDPR; b) multas e penalidades por segmento; e c) Valor e quantidade de multas por país.
Infrações por artigo GDPR
Quando analisamos o total de multas aplicadas, verificamos que em sua maioria referem-se a infrações relativas aos princípios (Art. 5), discutidas na seção anterior, e falta de adoção de requisitos mínimos em segurança da informação (art. 32).
O art. 32 do GDPR dispõe que
Responsável pelo tratamento e subcontratante Artigo 32. Segurança do tratamento 1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado: a) A pseudonimização e a cifragem dos dados pessoais; b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico; d) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento. 2. Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento. 3. O cumprimento de um código de conduta aprovado conforme referido no artigo 40. o ou de um procedimento de certificação aprovado conforme referido no artigo 42. o pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas no n. o 1 do presente artigo. 4. O responsável pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União ou de um Estado-Membro.
Desta forma, é imperativo que as empresas adotem medidas mínimas em segurança para realização do tratamento de dados pessoais. Ademais, tanto sob à luz do GDPR quanto da LGPD, verifica-se a co-responsabilidade no que tange à proteção de dados pessoais. Ou seja, não basta adotar medidas de segurança e contratar um terceiro que não tenha boas práticas em proteção de dados.
Multas e penalidades por segmento
No tocante ao segmento, verificamos que 35% das autuações por infração a GDPR referem-se ao setor de serviços, seguido dos setores Bancário, Setor Público, Saúde e Telecomunicações.
Em primeiro lugar no ranking, por segmento, em autuações temos o setor de serviço. Dentre as justificativas mais recorrentes encontram-se:
a) Base jurídica insuficiente para o processamento de dados;
b) Medidas técnicas e organizacionais insuficientes para garantir a segurança da informação; e
c) Cumprimento insuficiente dos direitos dos titulares de dados, conforme podemos extrair do gráfico abaixo:
Isto posto, indicamos, àqueles que pretendem estar em conformidade com a LGPD, a adoção das seguintes medidas:
- Conhecer o seu próprio sistema, minimizando a coleta de dados desnecessários, garantindo que as informações coletadas e tratadas possuam uma base legal adequada;
- Adoção de medidas técnicas suficientes para garantia de segurança da informação; e
- Disponibilização de meios que permitam a execução e garantia dos direitos dos usuários (Art. 18 da LGPD).
Ademais, destaca-se aqui um elemento importante que também encontra-se na LGPD. Em ambas as legislações há a possibilidade de a Autoridade Nacional realizar autuações contra Pessoas Físicas que efetuarem o tratamento de dados pessoais de maneira contrária ao disposto na norma. Dentre as ações praticadas por pessoas físicas que resultaram em autuações sob o escopo da GDPR, evidenciam-se:
- Filmagem de outras pessoas físicas em cabine de chuveiro sem o consentimento das mesmas;
- Envio de email em massa sem a ocultação da lista completa de destinatários, possibilitando a identificação destes;
- Utilização ilegal, por outra pessoa física, de uma Dashcam (câmera veicular);
- Utilização de videovigilância, por pessoa física, em área destinada ao uso geral de moradores de um condomínio. A câmera registrava o corredor da casa e filmava os residentes entrando e saindo dos apartamentos ao redor, intervindo em suas vidas pessoais sem o consentimento para registrar seus dados de imagem.
Assim, verificamos que as legislações de proteção de dados tem o potencial de criar uma nova cultura no que tange à segurança da informação com vistas a preservação de direitos humanos, como privacidade, intimidade e liberdade por ter sua aplicação estendida aos entes públicos e privados, além de outras pessoas físicas.
GDPR – Valor e quantidade de multas por país
Ao analisarmos todas as multas disponibilizadas no Enforcement Tracker, constatamos que os países que despontam na aplicação de penalidades são: Hungria, Bulgária, República Tcheca, Espanha, seguidos pela Áustria, Alemanha e Romênia.
Sob o aspecto de valores, verificamos que a Bulgária aparece em primeiro lugar na soma das penalidades aplicadas, cuja soma das multas totalizaram € 3.145.210,00, seguida por Polônia e Grécia. Conforme aponta o gráfico a seguir:
Conclusão
Por todo o exposto anteriormente, verifica-se a importância da adoção de uma cultura de proteção de dados e segurança da informação tanto na esfera individual quanto na esfera coletiva. Neste aspecto, as normas de proteção de dados estudadas possuem a necessária função de disseminar essa cultura através da exigência de transparência ou ainda pela aplicação de multas corretivas.
Apesar de alguns vetos relativos a temas importantes, como a revisão de decisão automatizada, sem dúvidas a LGPD é uma das normas mais importantes na era do capitalismo de vigilância. Caberá, ainda, a nós, cidadãos-usuários, a missão de exigir transparência e segurança da informação por parte de processadores de dados, sejam estes entes públicos ou privados.
Às empresas, ressalto a importância da implementação dos direitos dos usuários e de mecanismos de segurança da informação, frisando-se que um dos elos mais fracos na cadeia de segurança é justamente o fator humano, devendo, portanto, ser realizada a capacitação e treinamento de todo o time, uma vez que os reflexos da lei são abrangentes.
Por fim, destaca-se que normas jurídicas aplicadas à técnica possuem, e devem possuir, natureza principiológica, uma vez que, caso contrário, tornar-se-iam ineficazes e impraticáveis por conta da autonomia da técnica. Sendo assim, a instrução que deixo é: no momento da concepção do sistema/projeto/plataforma, deve-se analisar se a proposta está condizente aos princípios norteadores da proteção de dados e segurança da informação, ou seja, desenvolver o sistema/projeto/plataforma em conformidade by design.
Referências
CASTELLS, Manuel. A Sociedade em Rede. Vol. 1, 2ª Edição. São Paulo: Paz e Terra. 1999.
BRUNO, Fernanda, et al. Tecnopolíticas da vigilância: perspectivas da margem. 1a ed. São Paulo: Boitempo, 2018.
LÉVY, Pierre. Cibercultura. São Paulo: Ed. 34, 1999.
___________. O que é o virtual? São Paulo: Ed. 34 1996.
MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. 2a Ed. Porto Alegre: Arquipélago Editorial, 2019.
SRNICEK, Nick.Platform Capitalism. 1a.Ed. Cambridge,UK: Polity, 2016.
SILVEIRA, Sérgio Amadeu. Democracia e os códigos invisíveis: Como os Algoritmos estão modulando comportamentos e escolhas políticas. São Paulo:Edições SESC, 2019
ZUBOFF, Shoshana. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. 2019
Links úteis, GDPR & LGPD e Proteção de Dados:
Para saber mais sobre LGPD, acesse no artigo sobre a Lei Geral de Proteção de Dados no nosso site.
http://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=3,241,32,146,79,143,149,112 Acesso em 20/10/2019.
http://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=3,241,32,146,79,143,149,112 Acesso em 20/10/2019
http://www.naih.hu/files/NAIH-2019-55_hatarozat.pdf Acesso em 20/10/2019
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038629823&fastReqId=946473298&fastPos=1 Acesso em 20/10/2019
https://www.cpdp.bg/?p=element_view&aid=2177 Acesso em 20/10/2019
https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=34464 Acesso em 20/10/2019
https://www.derstandard.at/story/2000107377808/fussballerinnen-nackt-gefilmt-mostviertler-trainer-muss-strafe-zahlen Acesso em 20/10/2019
https://www.mz-web.de/merseburg/hunderte-adressen-im-verteiler-merseburger-muss-fuer-wut-mails-ueber-2-000-euro-zahlen-32033308 Acesso em 20/10/2019
https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20180927_DSB_D550_084_0002_DSB_2018_00/DSBT_20180927_DSB_D550_084_0002_DSB_2018_00.pdf Acesso em 20/10/2019
https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20181220_DSB_D550_037_0003_DSB_2018_00/DSBT_20181220_DSB_D550_037_0003_DSB_2018_00.pdf Acesso em 20/10/2019
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (LGPD e GDPR) contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (LGPD e GDPR), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.