*Rodrigo Albernaz
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no Brasil em setembro de 2020 e, apesar dos avanços e do otimismo de alguns, muita coisa deve ser feita para alcançarmos mudanças significativas na cultura da sociedade brasileira a respeito da privacidade e da proteção de dados pessoais.
Como era de se esperar, mesmo após a LGPD começar a “valer”, uma parcela considerável das empresas se manteve inerte e não iniciou os seus processos de adequação à lei, tampouco a mudança da cultura de privacidade em suas organizações.
Evidentemente que não é possível ignorar a atipicidade do ano de 2020, afinal de contas a maioria das empresas foram obrigadas a direcionar todos os seus esforços para sobreviver à crise socioeconômica causada pela pandemia da Covid-19, não havendo espaço para a maior parcela de instituições se preocupar com os processos de adequação.
Paralelo a isso, desde o início de sua vigência, notícias, artigos e postagens sobre incidentes de segurança e compra e venda de dados pessoais ganharam relevante destaque nos veículos de comunicação e nas mídias sociais, gerando um alvoroço entre os titulares e preocupação para os controladores e operadores de dados.
Decorre que, geralmente, tais informações são intencionalmente propagadas com o propósito de alertar os titulares a respeito de uma suposta violação dos seus direitos ou, até mesmo, sobre os eventuais prejuízos que as empresas podem sofrer em decorrência da ausência de uma política de privacidade e proteção de dados pessoais em suas respectivas estruturas organizacionais.
Todavia, na maioria das vezes, essas notícias enfatizam de maneira isolada o acontecimento em si com a finalidade exclusiva de advertir o titular e/ou o controlador de dados, fugindo do objetivo de esclarecer outros pontos importantes da LGPD.
Exemplo claro disso é que ocorreu uma super valorização do consentimento como a base legal para o tratamento de dados pessoais, tendo provocado, por consequência, a disseminação de um entendimento equivocado de que a concordância do titular através de sua “manifestação livre, informada e inequívoca” é a única forma capaz de permitir que o controlador realize o tratamento de suas informações pessoais.
Por um lado, o titular passou a acreditar que suas informações não poderiam ser tratadas sem o seu consentimento e que, além disso, podia interromper a qualquer momento o tratamento de suas informações ou até mesmo solicitar a sua exclusão do banco de dados do controlador.
Pelo o outro, o controlador, ainda que estivesse seguindo todos os parâmetros exigidos pela legislação no que tange o tratamento de dados pessoais, passou a acreditar que se encontrava em uma situação inteiramente desvantajosa, ante o domínio do titular nesta relação.
O resultado desastroso dessa equação foi que, logo após o início da vigência da lei, inúmeras pessoas pautadas com a ideia equivocada de que o tratamento feito sem o seu consentimento descumpria os requisitos exigidos pela legislação, passaram a solicitar a exclusão de suas informações pessoais dos bancos de dados dos controladores. Por óbvio, cumpre dizer que isso nem sempre será possível, vez que a própria LGPD, assim como outras legislações, exige o armazenamento de informações por um tempo determinado para o cumprimento de obrigações legais.
Nesse sentido, é importante mencionar que a Lei Geral de Proteção de Dados prevê outras bases legais para o tratamento, a exemplo da execução de contratos e até mesmo o legítimo interesse do controlador, ou seja, nem sempre a utilização do consentimento para justificar o tratamento será adequado em determinadas situações.
Diante disso, tem-se que um bom remédio para obstruir esta deseducação em curso encontra-se no trabalho a ser desempenhado pela ANPD (Autoridade Nacional de Proteção de Dados), não apenas como o órgão responsável pela fiscalização no cumprimento da LGPD por parte dos controladores e operadores de dados, como também na fiscalização e na responsabilização daqueles que contribuem com esse processo de desinformação.
*Rodrigo Albernaz é advogado, sócio do Miranda Oellers Ribeiro Caldart Souza Advogados. Encarregado de Dados e Líder do Goiânia Legal Hackers
