Acabou por viralizar, no final do ano passado, a situação de multas sofridas por empresas, em valores que ultrapassaram os sete milhões de reais, pela coleta do CPF dos consumidores no momento da efetivação das compras.
Mas afinal, o que significa essa coleta de CPF? Trata-se de postura ilegal? O que fazem com os nossos dados?
Em matéria de março de 2018 a revista Forbes comparou “dados pessoais” ao petróleo (“data is the new oil”), defendendo que no mercado moderno, dominado pelo cruzamento de informações e publicidade direcionada, aquele que detém as maiores bases de dados são donos de verdadeiros tesouros.
Ora, que a coleta, armazenamento e tratamento de dados são capazes de mudar o rumo, até mesmo, de eleições presidenciais – vide os casos de Donald Trump e Jair Bolsonaro – todos nós sabemos, o que talvez fuja ao conhecimento popular é o que essa coleta desenfreada de dados pode representar para cada um de nós, e o que podemos esperar das regulações mundiais no futuro próximo.
No início de 2016 a União Europeia desenvolveu a GDPR – General Data Protection Regulation – que tem por objeto fixar parâmetros mínimos para a proteção dos dados pessoais de usuários de serviços ou consumidores de produtos, estabelecendo, também, os procedimentos que devem ser adotados por aqueles que processam os mencionados dados e suas respectivas responsabilidades.
Mesmo não se tratando de legislação brasileira, a GDPR abriu as portas para a normatização das condutas referentes ao processamento de dados pessoais no nossos país, vindo a desaguar, em última instância, na elaboração da LGPD – Lei Geral de Proteção de Dados – sancionada em agosto do ano passado pelo então presidente Michel Temer, e que, mais do que profunda inspiração, tira quase que mimetismo da legislação europeia.
Mas o que isso tem a ver com as multas sofridas pelas empresas mencionadas no início deste artigo?
A lei sancionada em agosto de 2018 não começa a vigorar antes do mesmo mês de 2020, mas seus termos já começam a surtir reflexos na aplicabilidade principiológica de legislações pré-existentes no país.
A multa imputada, por exemplo, à Drogaria Araújo, pelo PROCON de Belo Horizonte não tem, como fundamento legal, a Lei Geral de Proteção de Dados, já que, como dito, ela ainda não se encontra em pleno vigor, mas suas diretrizes transparecem com clareza no embasamento teórico da sanção. O Código de Defesa do Consumidor, lei que de fato fundamentou a multa, estabelece que o consumidor deve ter clareza de informações ao utilizar bens ou serviços, e que tal clareza não fora observada pela Drogaria Araújo ao coletar o CPF dos consumidores em troca de descontos, já que não esclareceu, objetivamente, a destinação do referido dado.
Ainda, o órgão entendeu que o condicionamento dos descontos ao informe do CPF constitui medida abusiva e obscura, especialmente por não seguir nenhum parâmetro de segurança. Assim, apesar de se tratar de multa decorrente do Código de Defesa do Consumidor, a decisão inaugura importantíssimo precedente na seara da proteção de dados, e isso há meses do início do vigor de legislação própria.
A Lei Geral de Proteção de Dados tem potencial para se tornar a lei de maior impacto no cotidiano do empresariado brasileiro desde o advento do Código de Defesa do Consumidor, e no que diz respeito à adoção de medidas preventivas, vai superá-lo, em muito.
Empresários que lidam com a coleta e processamento de dados devem buscar aconselhamento especializado o quanto antes, visto que as medidas necessárias ao atendimento da LGDP são incontáveis e de expressiva complexidade, além de contarem com o agravante da multidisciplinaridade, ao estabelecer parâmetros legais, procedimentais, tecnológicos, de compliance e etc.
A multa milionária imputada à Drogaria Araújo é apenas uma pequena amostra do que aguarda o empresariado brasileiro que atrasar a sua adaptação à referida legislação, não apenas por dar visibilidade ao assunto, mas também se levarmos em consideração que as multas impostas pela LGPD variam de 2% do faturamento anual da empresa e se limitam a cinquenta milhões de reais, noção que acaba por dar à multa sofrida pela drogaria, a aparência de pechincha.
O Brasil adentra, com a Lei Geral de Proteção de Dados, em uma nova era de condicionamento de informações pessoais, e, assim como na década de 90 fez o Código de Defesa do Consumidor, a nova lei promete extinguir do mercado os empresários que não souberem se adaptar a novos paradigmas.
De fato a segurança da informação é um assunto cada vez mais presente em nosso cotidiano, vide a criação de regulamentações em diferentes locais do mundo com um mesmo foco, a proteção das informações dos cidadãos. Um ponto que tem gerado muita confusão ao redor do tema LGPD é o que chamamos de princípio da necessidade, em que muitos acreditam ser estritamente necessário o consentimento do usuário, contudo não é bem assim que a Lei explica. Continue aprofundando seus conhecimentos, entenda melhor sobre o princípio da necessidade e entre em conformidade com a Lei Geral de Proteção de Dados.
[wp-review id=”14274″]