Pedro Baumgarten Cirne Lima
Como advogado militante, além de torcedor e ex-sócio do Sport Club Internacional, tomei conhecimento, através de reportagem no site globo.com[1], das denúncias apresentadas ao clube por sócios, questionando sobre o possível uso indevido de seus dados. Afirmam esses associados, que “teriam recebido contatos de apoiadores e integrantes de chapas com chamados para dar seus votos nas eleições”.
Segundo a mesma notícia, o clube “está realizando a devida apuração dos fatos, para adoção das medidas legais cabíveis contra toda e qualquer inconformidade que vier a ser identificada”.
Deixo claro aqui que, enquanto não existe confirmação das denúncias, não me parece oportuno falar em responsabilidade do clube ou de quem quer que seja pelo eventual vazamento desses dados, o que não me impede de, especialmente à luz da Lei Geral de Proteção de Dados Pessoais (LGPD) que recentemente entrou em vigor, apontar para a importância da efetiva busca da conformidade, pelas pessoas jurídicas em geral, com o que a lei estabelece a respeito do tratamento dos dados pessoais que lhes são confiados por sócios, empregados, colaboradores, fornecedores e pessoas naturais em geral.
A Lei nº 13.709/18, ou LGPD, como se sabe, estabelece normas rigorosas para a proteção dos dados pessoais. Inspirada no Regulamento Geral de Proteção de Dados (RGPD, ou GDPR, na sigla em inglês) da União Europeia, foi objeto de pouco debate entre os agentes da sociedade brasileira exatamente diante da pressão dos governos europeus (e das grandes empresas multinacionais), a partir dos recentes escândalos de vazamento de dados da rede social Facebook – o mais famoso deles o da Cambridge Analytica – , no sentido de restringir transações comerciais de bens e serviços com países que não tivessem legislações de proteção de dados compatíveis com a europeia.
Segundo o disposto na lei acima mencionada, todas as pessoas naturais ou jurídicas, de direito público ou privado, que fazem o tratamento de dados pessoais, devem tomar várias medidas para garantir o cumprimento da nova legislação, que vão desde a implementação de políticas corporativas adequadas até a contratação de recursos de tecnologia da informação, passando pelo treinamento e conscientização do pessoal envolvido com o tratamento de dados, de forma a se espeitarem os direitos dos titulares de dados pessoais (clientes, empregados e outros contratados), inclusive para evitar as sanções previstas na LGPD.
O inc. X do art. 5º da LGPD, estabelece que tratamento de dados é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Parece claro, diante das notícias que vêm sendo publicadas (recentemente, tivemos em São Paulo a primeira condenação em processo judicial contra construtora que teria cedido os dados dos adquirentes de seus imóveis a uma fábrica de cozinhas, que teria passado a importuná-los oferecendo seus produtos), que existe muita retórica e pouca ação no que se refere à proteção desses dados pessoais, incluídos aí, dados sensíveis (como preferências políticas, religiosas, informações relativas à saúde, etc), na medida em que estes seguem sendo objeto de comércio por parte de pessoas interessadas em lucrar com atividade que, infelizmente, até pouco tempo era corriqueira. Quem não se lembra, desde os anos 80, de ter sido procurado por construtoras, corretores em geral, escolas de inglês, bancos, empresas de cartões de crédito, revendas de automóveis e outras empresas que, “do nada”, faziam contato oferecendo seus produtos e serviços e, ao questionar “quem lhe deu meu contato”, ouvir a resposta de que teria havido uma “indicação” de um conhecido?
Os dados cadastrais das pessoas eram (e ao que parece, seguem sendo) objeto de venda, sendo a cessação dessa publicização indevida e não autorizada, em respeito aos direitos à liberdade e à privacidade, um dos principais objetivos da LGPD. O que se constata é que, embora as instituições estejam genuinamente preocupadas com o tema, cercando-se de alertas, formulários, alterações de regulamentos, contratos, termos de uso, políticas de privacidade, etc, na prática, pouco se tem feito para efetivamente proteger esses dados da violação.
Mais importante do que obter autorização do titular dos dados, alertar funcionários e colaboradores a respeito da necessidade de proteção desses dados e procurar resguardar-se da responsabilidade por seu eventual vazamento, movimentos esses que vêm sendo implementados com alguma velocidade e muita publicidade, é que as pessoas jurídicas definam procedimentos e políticas claras, passem a treinar esses funcionários e colaboradores e adotem as ferramentas de TI necessárias para a efetiva proteção, contra qualquer espécie de vazamento ou utilização indevida, dos dados pessoais que lhes são confiados.
A LGPD estabelece, em seu artigo 46, que “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Já no art. 49, a lei determina que “Sistemas de tratamento de dados pessoais devem ser estruturados para atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da LPD e demais normas da autoridade competente.”
Embora, como advogado, não possa ignorar a importância do trabalho jurídico a ser necessariamente desenvolvido, na elaboração de documentos e instrumentos como aqueles anteriormente referidos, entendo que, ao lado desse trabalho, é fundamental – e urgente – que se busque a adoção de medidas técnicas e estruturação de sistemas para que o tratamento dos dados pessoais atenda aos requisitos de segurança que garantam sua efetiva proteção.
Muito mais efetivo do que apurar fatos, encontrar vazamentos e apontar responsáveis, é fazer todo o esforço possível para que isto não ocorra, o que obviamente decorre, além da definição de políticas, contratos e instrumentos jurídicos em geral e do treinamento e orientação de equipes, da adequação técnica dos sistemas de tratamento de dados, para que estes ofereçam segurança contra as tentativas de violação e/ou utilização indevida desses dados.
As áreas jurídica e de tecnologia da informação, portanto, devem, mediante conjugação de esforços e de forma de atuação, necessariamente operar lado a lado, para que a proteção garantida pela lei seja, na prática, oferecida às pessoas naturais que, em razão das mais diversas atividades diárias, profissionais, comrciais ou de lazer, confiam seus dados a terceiros.
……….
[1] https://globoesporte.globo.com/rs/futebol/times/internacional/noticia/inter-apura-denuncia-de-vazamento-e-uso-de-dados-dos-socios-em-eleicao-presidencial.ghtml
……….
Pedro Baumgarten Cirne Lima é advogado, bacharel em Ciências Jurídicas e Sociais pela UFRGS em 1991, inscrito na Ordem dos Advogados do Brasil/RS sob o nº 30.971. Especialista (pós-graduação lato sensu) em Direito da Empresa e da Economia pela Escola de Economia da FGV/RJ em 1998. Especialista (pós-graduação lato sensu) em Direito Internacional – “O Novo Direito Internacional” – pelo Programa de Pós-Graduação da Faculdade de Direito da UFGRS em 2005. Sócio do escritório Sieczkowski, Ulrich & Cirne Lima Adv. Ass., onde atua desde 1991, com foco em assessoria e consultoria empresarial