Publicado na Exame.com, 04/08/21.
Por Caio Machado, sócio do escritório Filhorini Advogados Associados
Atualmente, muitos atos cotidianos ou exigem a entrega de informações pessoais ou praticamente as extorquem em troca de descontos. Entre outros: registro mediante apresentação de documento de identidade (muitas vezes copiado), dados biométricos, para acesso a condomínios residenciais e comerciais, preenchimento de cadastros para a realização de compras online e até supermercados e farmácias solicitam nossa digital e dados biométricos para nos vender uma simples aspirina.
E todos guardam registro não apenas de nossos dados pessoais, mas também de nossos hábitos, horários, preferências e compras, para dizer o mínimo.
Com o passar do tempo, podem surgir problemas mais graves, tentativas de fraude, ou aborrecimentos, como a invasão de privacidade, mediante a apresentação insistente por vários dias de ofertas de um produto que apenas se pesquisou por curiosidade, ou de cupons e descontos em restaurantes da vizinhança em que alguém se encontra, na hora do almoço — demonstrando que até mesmo nossos hábitos e localização estão sendo ativamente monitorados.
Nesse momento, a pessoa se dá conta que entregou suas informações pessoais tantas vezes, para tantas pessoas e para tantos fins, que já não pode saber quem realmente as tem, seja para fazer cessar os transtornos ou, ao menos, mitigá-los.
Afinal, como se pode saber quem tem realmente seus dados pessoais e como se pode gerenciar isso? E, do outro lado do balcão, que recursos as pessoas e empresas que têm (no jargão legal, “tratam”) dados pessoais de terceiros estão legalmente obrigadas a fornecer?
Quais práticas são consideradas abusivas?
É percepção corrente e, certamente, quase universal, que os dados pessoais coletados aqui e ali, principalmente por empresas, fluem para terceiros de forma indiscriminada e, não raras vezes, são vendidos e utilizados para diversos fins, desde pesquisas, até na seleção de alvos preferenciais de campanhas promocionais, cometendo sérios abusos, seja violando a intimidade da pessoa ou expondo-a ao risco de ser vítima de crimes cibernéticos.
Há inúmeros exemplos de tais abusos retratados na mídia, diariamente: técnicos de operadoras telefônicas que se apropriam dos contatos de clientes para fazer chamadas indesejadas de cunho pessoal, lojas que os cadastram em listas de difusão, via aplicativos de WhatsApp e e-mail, sem sequer consultá-los, geralmente, contra a sua vontade, entre diversos outros.
A verdade é que, se fossem adequadamente informados dos propósitos dessas empresas, jamais voluntariariam seus dados. A grande mudança é que práticas abusivas como essas estão hoje reguladas pela Lei Geral de Proteção de Dados (LGPD) e o mau uso de dados pessoais tem previsões que sujeitam quem desrespeitá-la a sanções administrativas e criminais. Sem mencionar a responsabilidade civil objetiva, ou seja, independente de culpa, e ilimitada, isto é, por danos e prejuízos materiais e morais, inclusive quanto àquilo que o prejudicado deixou razoavelmente de ganhar.
Isto não deve assustar nem apavorar ninguém, exceto os que cometiam tais abusos, pois a LGPD deixa claro que devem ser respeitados os direitos dos titulares de dados pessoais e como tratá-los. Para a maioria das empresas, basta a decisão de se adequar e pôr a lei em prática.
Os direitos do titular dos dados pessoais
Vale lembrar que a LGPD define os dados pessoais como sendo toda e qualquer informação sobre uma pessoa identificada ou identificável e a pessoa a quem esses dados dizem respeito, como titular dos dados pessoais, a quem confere um extenso rol de direitos, diante das empresas que os tratam, conforme estabelecido no seu artigo 18.
Esses direitos se fundam sobre alguns princípios centrais para a LGPD, sobretudo o da Privacidade, Intimidade e Autodeterminação informacional. Ou, dito de outra forma, a ideia de que o titular tem assegurado como seu direito inalienável, a liberdade de controlar o destino das informações que lhe dizem respeito.
E, para tutelar esses direitos, a LGPD estabelece que a pessoa que tratar esses dados, isto é, o controlador dos dados, deve prover ferramentas ao titular que se orientem pelos princípios do Livre Acesso e da Transparência.
Isto significa que o controlador deve oferecer ao titular ferramentas que não apenas lhe assegurem o direito de saber que seus dados pessoais são detidos por ele, mas também o que é feito destes (como são tratados), para que fins são usados, se são transferidos a terceiros e por quanto tempo serão mantidos, por exemplo.
A regra geral é simples e está disposta no artigo 18 da LGPD, garantindo, explicitamente, que o titular tem o direito de requerer diretamente à empresa a confirmação, acesso e correção dos seus dados pessoais e pode, inclusive, exigir informações sobre o compartilhamento com terceiros.
Já no que se refere ao tratamento dos dados pessoais, a LGPD permite ao titular ter acesso às informações sobre o que ocorre, na hipótese de ele não consentir isso e, até mesmo, exigir informações sobre decisões automatizadas que usem seus dados pessoais.
Assim, por exemplo, o titular tem o direito de saber exatamente como seus dados de cartão são usados para calcular um escore de crédito e quais seriam os efeitos se ele recusar esse tratamento.
Para esse fim, o controlador é obrigado a manter um canal facilitado para seus clientes (titulares) obterem essas informações. Esse canal deve ficar sob a responsabilidade do Encarregado de Proteção de Dados, nomeado internamente.
A quem recorrer no caso de irregularidades
Muitas empresas grandes já oferecem esses recursos há bastante tempo. Os leitores podem consultar os seus dados em suas redes sociais e provedores de e-mails, que devem estar disponíveis na seção sobre a conta do usuário. Com certeza terão uma “experiência pedagógica” sobre a quantidade de informações que vêm dispersando pela internet.
Para quem vai implementar esses mecanismos na sua empresa, vale lembrar que os direitos de informação e acesso versam sobre a obrigatoriedade de estarem disponíveis em formato acessível e gratuitamente, inclusive de forma digital ou impressa.
Caso a empresa não acate as requisições diretas do titular, ele pode acionar diretamente a Autoridade Nacional de Proteção de Dados (ANPD) por meio do seu sítio na internet, que então deverá tomar medidas cabíveis e aplicar sanções contra essas irregularidades.
Se o caso for desde logo por demais grave ou se as medidas tomadas pela ANPD forem julgadas insuficientes, resta também a via judicial, quando o titular entender que as violações aos seus direitos exigem o amparo de alguma medida judicial, como uma liminar para impedir o tratamento, ou ainda caso se julgue credor de reparação na esfera cível.
A via judicial, no nosso entender, deve ser a última opção, pois é normalmente mais cara e lenta, embora seja o local mais adequado para as discussões mais difíceis.
É importante que os titulares de dados pessoais conheçam seus direitos e como exercê-los. Começada em agosto deste ano, a ANPD ganhou recursos eficazes e está disponível para responder às demandas dos cidadãos que sintam que seus direitos ficaram prejudicados, sem uma resposta devida da empresa.
Resposta essa, inclusive, que pode ser provocada pela simples ausência de canal adequado para que os titulares exerçam os seus direitos, que é o mecanismo mais básico de transparência e prestação de contas.
Por fim, enfatizamos a recomendação para as empresas instalarem canais efetivos de receber e tratar as demandas dos titulares, pois além de representar maior respeito aos titulares (sejam eles clientes, colaboradores ou qualquer outro envolvido), representa um canal permanente de atualização dos dados e do consentimento do titular e, com isso, deve importar em diminuição significativa do risco de sanções.
