* Geruza Carniato Bortolotto
Inspirada no Regulamento Geral sobre a Proteção de Dados aplicado na Europa (GDPR), a Lei nº. 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), dispõe sobre o tratamento de dados pessoais e tem como principal objetivo proteger os direitos fundamentais de liberdade e privacidade do indivíduo.
A entrada desta lei em vigor trouxe à tona uma grande discussão acerca das fragilidades existentes nas relações comerciais nacionais e internacionais no que diz respeito a informações relacionadas a proteção de dados. Isso porque, nos últimos anos, com o fortalecimento do e-commerce e do marketing digital, as empresas entraram em uma verdadeira corrida pela criação de ferramentas para captação de informações que possibilitassem e facilitassem a identificação e atração de seus leads, envolvendo o chamado marketing de conteúdo.
Através destas ferramentas, a empresa produz conteúdos em seus canais aumentando o tráfego de possíveis clientes atraindo-os e claro, convertendo em vendas, tornando-se um diferencial competitivo no acirrado mercado não só digital, mas também físico.
Prova disso, que ao pesquisarmos determinado produto na internet, passamos a ser alvos frequentes de propagandas totalmente direcionadas para a nossa intenção de compra. Quem nunca reagiu de forma perplexa ao receber em suas redes sociais, propagandas de produtos adquiridos em farmácias por exemplo?
Ao passo que este movimento criou uma série de facilidades para toda a cadeia consumerista, é fato também, que passamos a assistir inúmeros episódios de vazamentos de dados pessoais utilizados para fins diversos daqueles inicialmente imaginados pelos consumidores. Ao cede-los, o fazemos acreditando na boa-fé de quem os coletou.
Com o advento da LGPD, as empresas passaram a ser obrigadas a tomar medidas de proteção dos dados coletados, se não quiserem sofrer sanções diversas, envolvendo bloqueio e eliminação de dados, publicização da infração, e especialmente as sanções financeiras que podem chegar em até 50 milhões de reais, dependendo do grau de infração.
Se as aplicações de tais sanções podem dizimar inúmeras empresas brasileiras, é inegável que estas estão correndo contra o tempo quando se fala em adequação. Neste caso, é imprescindível que qualquer empresa se faça valer de todo conhecimento possível existente “dentro de casa” e para dar início ao processo de adequação, faça um rigoroso levantamento dos riscos existentes em todo o seu processo produtivo e canais de venda, passando ainda pelas áreas de criação e sourcing, quando lhe couber.
Para as empresas que não possuem um setor específico responsável pelo compliance, é aconselhável que se crie um comitê interno, com a participação de representantes de todas as áreas, para que a criação desse mapa de riscos seja completa e eficaz, pois a principal falha de algumas empresas é pensar que esta adequação à LGPD é problema apenas das áreas jurídica e de tecnologia da informação.
Desta forma, a participação de áreas como a de recursos humanos, compras, segurança e relacionamento com cliente por exemplo, é essencial na criação de ferramentas de correção e adaptação à LGPD. Por isso, esse processo traz para qualquer empresa que esteja objetivando a adequação à lei, uma verdadeira mudança de cultura, revolucionando os seus procedimentos internos até então utilizados. O resultado disso será um relatório de impacto preciso.
Ora, se ao passar na catraca de um parque industrial, qualquer pessoa é identificada através das mais variadas maneiras (desde fornecimento de fotos, documentos até impressões digitais), pode-se dizer que a empresa já corre risco desde a sua porta de entrada. Pense nesse processo da forma digital e encontrará os riscos a serem tratados. Qual a porta de entrada online do seu cliente? Os dados atualmente coletados por sua empresa são de fato necessários? Se sim, informe ao indivíduo o que fará com eles e deixe que ele decida.
A lei estabeleceu alguns princípios que devem nortear as relações, tais como o princípio do dever de transparência, finalidade, necessidade, livre acesso e outros contidos em seu artigo 6º. Sendo assim, a empresa ao criar suas estratégias para proteção de dados, deve atentar-se a estes e às bases legais indicadas no artigo 7º, sendo que as principais delas são: o consentimento, o legítimo interesse e os contratos.
Cabe exclusivamente às empresas a responsabilidade de determinar as bases legais a serem por estas utilizadas em seus procedimentos e um erro neste caso pode trazer inúmeras dores de cabeça ao empresário, mas vale salientar que não só o consentimento é fator determinante para sua adequação. Aqui não tem uma fórmula matemática. Cada empresa deve avaliar a fundo o seu negócio, a fim de determinar a melhor estratégia, pois a lei não é detalhista com relação aos procedimentos e ferramentas a serem adotados.
Uma empresa que atua fortemente no meio digital, deve saber que tanto a LGPD como a GDPR, levaram em consideração a chamada teoria expansionista, ou seja, qualquer dado que possa tornar alguém identificável, deve ser alvo de adequação, portanto, até um cookie, que permite monitorar comportamentos e definir perfis de usuários, quando associado a outros dados, deve ser alvo de reavaliação pela empresa. Atenção redobrada deve ser dada aos chamados dados sensíveis, que são características mais pessoais do indivíduo, tais como religião, origem racial entre outros, respeitando assim o princípio da não discriminação.
As empresas que estão começando agora a atuar no meio digital, têm a oportunidade de iniciar seus processos obedecendo os novos requisitos legais, como por exemplo a criação de formulários de autorização que permitam uma ação positiva do usuário, ou seja, não basta um formulário em formato pré assinalado com a sua concordância e autorização de uso em letras miúdas, pois isso pode ser caracterizado como má fé. É preciso que o usuário saiba de fato o que está autorizando. Sem contar que as empresas terão que ter maior preocupação ao contratar os parceiros de negócio, pois estes em algum momento acessarão estes dados e ainda por vezes os armazenarão.
As empresas que atuam há anos nesse meio, precisam rever suas políticas de privacidade e seus termos de uso, pois não basta mais só dizer ao usuário, por exemplo, que os dados fornecidos estão seguros, é necessário informar onde eles estão armazenados, quem terá acesso e o que a empresa está autorizada a fazer com eles. Atualizando a lista de contatos e as devidas autorizações, na prática, não bastará, por exemplo, a empresa ter a autorização do usuário acerca dos seus dados para envio de notícias e posteriormente passar a enviar ofertas, pois para isso, o usuário tem o direito de ser novamente questionado sobre sua autorização para este fim.
Ao passo que a LGPD traz adequações a serem feitas no chamado inbound marketing, esta não deve ser vista como um limitador à sua aplicação, mas sim, como uma oportunidade de fidelizar os clientes através da atuação transparente da empresa nesta relação.
Engana-se ainda, quem pensa que por conta da falta de regulamentação do órgão competente pela fiscalização do cumprimento da LGPD, as empresas estão ganhando tempo para realizar as adequações, pois já se vê uma série de ações em andamento no judiciário, algumas já com decisões, tratando sobre uso indevido de dados e a comercialização ilegal destes a terceiros, atividade de certa forma comum antes da LGPD e atualmente totalmente incompatível com esta.
Há de se ressaltar, que infelizmente no Brasil, após a implantação do Código de Defesa do Consumidor, é inegável que assistimos o fomento à indústria do dano moral, desta forma, se as empresas não se empenharem na criação de programas internos eficazes, corremos o risco de ver novamente o crescimento de ações no judiciário com esse fim, ou seja, agentes revestidos de má fé, buscando o enriquecimento ilícito.
Pela atipicidade do ano de 2020, muitas empresas tiveram que enxugar seu quadro funcional, por isso, a dificuldade de se ter um grupo interno pensando exclusivamente nas adequações à LGPD está ainda maior, é quase utópico. Desta forma, o ideal é que as empresas procurem especialistas que possam apoiá-las na implantação de melhorias, evitando contingências futuras. Neste ponto, vale ressaltar ainda, que o fato de a lei assinalar expressamente em seu artigo 6º, inciso VI, a proteção aos segredos comerciais e industriais, o profissional de propriedade intelectual possui um diferencial, tendo em vista seu habitual contato com a proteção de bens intangíveis e direitos personalíssimos.
*Geruza Carniato Bortolotto é bacharel em direito pela Universidade do Extremo Sul Catarinense (UNESC) e especialista em Direito Empresarial pela Fundação Getúlio Vargas (FGV). Possui experiência empresarial de mais de 15 anos, tendo atuado em empresas do ramo supermercadista, de mineração e confecção de vestuário, nas áreas de concessão, gestão e recuperação de crédito, relacionamento com clientes e gestão de prestadores de serviços, contratos e brand protection, principalmente no ramo da moda. Atualmente, é consultora em propriedade intelectual da DMK Gestão de Marcas e Patentes, na sede da empresa que fica em Santa Catarina. Para mais informações, acesse www.dmk.group ou pelo instagram @dmk.group