Temas atuais em discussão sobre a matéria de proteção de dados pessoais

No dia 22/06/2023, ocorreu na cidade de Ribeirão Preto/SP o 2º Fórum de Proteção de Dados do interior paulista, organizado pela Podium Tecnologia.

O evento buscou incentivar a troca de ideias e de experiências entre aqueles que atuam no ecossistema de proteção de dados pessoais, especialmente porque, por se tratar de matéria ainda recente, a construção do seu respectivo debate tem sido realizada pelos próprios operadores do direito, aliados à Autoridade Nacional de Proteção de Dados (“ANPD”) – sendo diversos os temas atuais que merecem atenção seja por parte de tais operadores, seja por parte de empresas ou terceiros que, de alguma forma, estão envolvidos no ecossistema de proteção de dados pessoais.

Com efeito, discute-se, por exemplo, a análise de legislações internacionais de proteção de dados que, por serem mais antigas, podem trazer pontos que complementem eventuais lacunas da legislação brasileira – cabendo relembrar, inclusive, que a Lei Geral de Proteção de Dados Pessoais (“LGPD” – Lei n.º 13.709/2018) tem como principal inspiração a legislação europeia, o General Data Protection Regulation (“GDPR”).

Ainda, há intensos debates acerca da relação entre a inteligência artificial e o direito à privacidade – dado que, hoje, a inteligência artificial já é uma realidade nos mais diferentes modelos de negócio.

E, se por um lado, tal tecnologia otimiza a realização de diversos processos, por meio da automatização de tarefas menos complexas, por outro, se utilizada de forma inadequada, pode violar diversos direitos do indivíduo, tais como o da privacidade e da proteção de dados pessoais. Essa é uma das razões pelas quais a comunidade acadêmica e jurídica entende que é fundamental que a inteligência artificial seja regulada juridicamente pelo Estado – outro tema que vem sendo objeto de intensos debates.

Para as empresas, um ponto de preocupação é a utilização da inteligência artificial para a tomada de decisões automatizadas e para criação perfis dos titulares, como um perfil de consumo ou de crédito. Nestas situações, verifica-se que é necessário que a empresa indique sempre a base legal que fundamenta o tratamento de dados, bem como defina de forma específica as finalidades do tratamento, adote medidas de segurança para proteger o titular de utilizações indevidas ou excessivas dos dados e, havendo pedido de tal titular, revisite tais decisões automatizadas.

Uma boa prática que vem sendo bastante recomendada nessa área, aliás, é a elaboração do Relatório de Impacto à Proteção dos Dados Pessoais (“RIPD”), ocasião em que o agente de tratamento de dados descreve os riscos que determinado tratamento poderá gerar e, desde já, avalia medidas de segurança e outras salvaguardas para mitigar eventuais danos, se ocorridos.

Outro assunto que vem sendo bastante discutido e que merece atenção é sobre a transferência internacional de dados pessoais, que, nos termos do inciso XV do art. 5º da LGPD, é aquela na qual ocorre a transferência de dados pessoais de residentes em território nacional para país estrangeiro ou organismo internacional do qual o país seja membro.

A principal preocupação sobre esse assunto é porque, hoje, ainda não há uma regulação específica sobre o assunto, de modo que se discute a necessidade de uma atuação mais ativa da ANPD para esclarecer, inclusive para empresas que tratam dados pessoais, como esse procedimento deve ser realizado, especialmente em razão da possibilidade de vazamento internacional de dados pessoais que deveriam estar protegidos.

Além de todos esses temas, percebe-se grande influência da LGPD na área de contratos, tendo em vista que tal norma trouxe a necessidade de que tais instrumentos passem a incluir novas obrigações às partes, referentes ao tratamento de dados por elas realizados.

Por exemplo, além das cláusulas que regulam a própria realização do negócio, cabe às empresas estipular, em seus contratos, cláusulas que esclareçam a responsabilidade de cada contratante em relação aos dados pessoais eventualmente tratados naquela relação contratual.

Nesse cenário, deve a empresa apontar qual a base legal (dentre aquelas previstas nos artigos 7 e 11 da LGPD) que fundamenta o tratamento de dados por elas realizado; qual o papel que cada parte exerce em matéria de proteção de dados pessoais (se é controlador ou operador dos dados) e, em razão deste papel, quais as responsabilidades que a parte deverá ter; ou quais os dados pessoais que irão ser tratados na execução do contrato, como, por exemplo, nome, dados bancários, entre outros – sendo que, quanto maior o risco que determinado tratamento poderá gerar ao titular, maior a necessidade de estabelecer salvaguardas nos contratos.

Nesse sentido, um cuidado que as empresas devem ter é de não repetir, simplesmente, nos contratos, aquilo que está na lei, pois isto torna o contrato repetitivo e menos eficiente, inclusive porque o que está legislado não necessita estar expressamente previsto e repetido no contrato.

Nessa seara, o artigo 6º da LGPD traz diversos princípios que, na prática, deverão ser observados pelos titulares e por aqueles que realizam o tratamento de dados, como: boa-fé, finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas; entre outros.

Ademais, no tocante às empresas, é fundamental que estas sejam transparentes com os cidadãos, inclusive citando tais temas em seus respectivos contratos, a respeito das atividades que envolvem o tratamento de dados pessoais, indicando as finalidades da coleta, as bases legais, assim como oportunizando ao titular meios para exercer os direitos previstos na LGPD e, por fim, adotando medidas técnicas de segurança para proteger os dados de eventuais vazamentos e de usos em desacordo com as finalidades previamente informadas.

Tais medidas colaboram na aquisição de mais confiança dos clientes, que, ao notarem que a empresa está adequada à LGPD, estarão mais seguros em contratar serviços e adquirir produtos. Além disso, o respeito à LGPD contribui para que a empresa esteja em acordo com as boas práticas de mercado, as quais exigem que aqueles que tratam dados estejam devidamente regulados.

Por fim, e diante de tantos debates, nota-se que a matéria de proteção de dados pessoais ainda é bastante dinâmica, sendo uma lei “cultural”, ou seja, que reflete as perspectivas do ambiente que está regulando, e que, certamente, será influenciada pela evolução do respectivo debate, seja por parte da ANPD, seja por parte de outros que estejam envolvidos em tal ecossistema.

Todo esse quadro revela que é essencial que as empresas que buscam se adaptar à LGPD e demais normativas da ANPD contem com um time jurídico especializado no assunto, especialmente para adequação de suas práticas em conformidade com tal arcabouço normativo que ainda está se desenvolvendo, especialmente para se prevenir em relação a qualquer tipo de irregularidade que represente algum tipo de risco, notadamente patrimonial, à pessoa jurídica.