Por Daniel Cerveira, advogado, sócio do escritório Cerveira
Observamos atualmente um crescimento exponencial no uso da internet e da tecnologia no mundo dos negócios. Por outro lado, as empresas estão cada vez mais agressivas em suas ações de marketing e utilizando os dados pessoais para fins de promover as suas atividades. Ademais, verificamos, rotineiramente, a ocorrência de vazamentos de dados em todos os setores da sociedade, bem como hackers agindo na rede por motivos econômicos e outros tantos que nem podemos imaginar.
A sociedade civil e alguns políticos perceberam a dinâmica acima, o que gerou a criação de leis visando regular estas questões, de modo a proteger os direitos fundamentais da privacidade, liberdade e livre formação da personalidade de cada indivíduo.
O Brasil espelhou a legislação europeia e promulgou a nossa Nova Lei Geral de Proteção de Dados Pessoais (LGPD) que elenca como seus princípios norteadores a finalidade, transparência, não discriminação, necessidade e limitação, segurança, prestação de contas, livre acesso, prevenção e exatidão, bem como determina que as companhias promovam medidas de adequação de suas atividades internas aos termos da legislação e outras providências.
As principais mudanças referem-se à revisão dos procedimentos internos que tratam dados pessoais, cujo início se dá com o registro das operações (Record of Processing Activities, ROPA) o qual permitirá à organização visualizar as áreas mais sensíveis à incidência da Lei e adotar medidas, salvaguardas e mecanismos de mitigação dos riscos identificados.
Ao final deste processo de risk assessment e risk management, a companhia deverá compilar tais dados no Relatório de Impacto (RIPD), documento este fundamental para se provar conformidade frente às autoridades públicas. Por fim, cabem às organizações a nomeação de um Encarregado (Data Protection Officer, DPO), bem como estruturar e estabelecer planos de resposta às solicitações de titulares e de incidentes de privacidade nos prazos legais.
Cabe sempre lembrar que se entende por dados pessoais todas as informações suficientes para identificar uma pessoa natural, tais como os números de telefone e do Cadastro de Pessoais Físicas do Ministério da Fazenda (CPF/MF) ou uma imagem obtida por meio de câmera instalada em uma loja. Ademais, a LGPD denomina como “titular” a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento, bem como “controlador” qualquer pessoa jurídica ou física que usa informações para fins econômicos e a quem compete às decisões sobre o tratamento de dados, existindo, ainda, a figura do “operador” que é quem realiza o tratamento de dados pessoais em nome do controlador.
Nessa esteira, cumpre esclarecer que a LGPD dispõe sobre as regras acerca da responsabilidade dos agentes (controlador e operador) em cenários de incidentes e prevê penalidades administrativas diversas, quais sejam, advertência, multas, bloqueio de dados e publicização da infração. Em resumo, responderá o controlador em primeiro lugar, podendo ser incluído solidariamente o operador quando, em razão do tratamento de dados pessoais, descumprir as obrigações da Lei ou não seguir as instruções lícitas do controlador, conforme os artigos 42 e seguintes.
Este ponto é sensível às redes de franquia, uma vez existindo compartilhamento de dados entre as empresas franqueadora e franqueada, prática esta corriqueira. Vale ressaltar que as penalidades previstas são pesadas, incluindo, conforme acima, a publicização do evento, o que pode representar severo prejuízo à imagem da marca e da rede como um todo.
Na relação franqueado -- franqueador podemos verificar um cenário em que ambos são co-controladores para determinados dados e não para outros (por exemplo, quando há o tratamento em conjunto de dados pessoais dos clientes). Ou ainda uma situação em que o franqueador é operador dos dados controlados pelo franqueado (por exemplo, quando existe o compartilhamento dos dados dos colaboradores dos franqueados com os franqueadores).
Nessa linha, cabe a franqueadora adaptar os seus contratos de franquia e definir as políticas de privacidade da rede sobre a gestão e tratamento dos dados pessoais, além de promover as medidas de segurança da informação compatíveis. Dentro deste escopo, há a necessidade de a franqueadora exigir e viabilizar o respeito dos franqueados acerca de sua política de governança sobre o assunto. Do lado dos franqueados, estes também devem seguir o estipulado na legislação, igualmente considerando as suas características.
Por fim, importante destacar que a conformidade com a LGPD está intimamente relacionada ao processo de “transformação digital”, na medida em que, a partir do avanço tecnológico das organizações, cuidados com a privacidade devem ser intensificados para garantir que os processos internos ocorram de forma sustentável e dentro da legalidade. Frisa-se que os riscos à privacidade dos indivíduos aumentam quando existe a prática de atividades que envolvam a computação em nuvem, internet das coisas, automação e big data.