A aprovação pelo Senado Federal do projeto de lei de proteção de dados pessoais é um vitória para a sociedade brasileira, que carecia de legislação sobre o tema. Falta agora a sanção presidencial, que virá em um prazo de 15 dias. Talvez alguns pontos sejam vetados, mas com base no texto atual já é possível fazer uma avaliação prévia de quais segmentos serão os mais impactados pelas novas regras. Advogados especializados em direito digital entrevistados por Mobile Time apontam startups, empresas de marketing digital e órgãos públicos como aqueles que terão maior dificuldade para cumprir a nova lei.
Todas as empresas que coletam, armazenam e tratam dados pessoais terão que fazer investimentos para se adequar, incluindo ajustes em seus sistemas, treinamento de pessoal e adoção de mecanismos de segurança. É cedo para estimar valores, até porque ainda falta definir uma série de detalhes que ficarão a cargo da futura autoridade nacional de proteção de dados. O certo é que a lei vale para todos, independentemente do tamanho ou do tipo da empresa. Rafael Pellon, advogado da FAS Advogados e consultor jurídico do MEF, pondera se não seria mais justo que se as exigências fossem mais brandas para startups, pois teme que a lei se torne uma barreira de entrada para novos empreendedores. “Essa possibilidade já está sendo discutida na Europa”, afirma Pellon.
Por sua vez, Eduardo Magrani, pesquisador do ITS-Rio, contra-argumenta em defesa do texto aprovado no Congresso: “As startups investem muito em produto, tendo pouca preocupação com segurança ou privacidade. Acho positivo que tenham que olhar para essas questões e invistam nelas mesmo não sendo o core do seu produto”. Ele lembra ainda que a lei brasileira, embora inspirada na GDPR europeia, é mais branda nas sanções, com limite de 2% do faturamento anual, contra 4% no velho continente.
Governos
Órgãos públicos também terão trabalho. A lei determina, em seu artigo 25, que os dados armazenados por governos “deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública, à disseminação e ao acesso das informações pelo público em geral”. Ou seja, precisará haver algum grau de padronização na forma como órgãos governamentais armazenam os dados coletados dos cidadãos, de maneira que seja possível a interoperabilidade entre eles. Hoje isso existe em certa medida entre órgãos federais, mas não entre governos estaduais, alertam fontes, o que significa muito trabalho e investimento pela frente. “Os órgãos públicos estão totalmente despreparados (para a nova lei). A lei de acesso à informação também exige certo tratamento, mas os órgãos não conseguem cumprir. Agora vão ter que se enquadrar”, diz Magrani.
Marketing digital
Mas a maior dificuldade será enfrentada pelas empresas de marketing digital, que trabalham com retargeting e campanhas personalizadas com base em dados obtidos de terceiros. “O mercado de marketing digital será muito impactado. Dependendo da empresa vai ter que mudar todo o modelo de negócios, porque de repente seu modelo acabou”, prevê Pellon. Muitas empresas trabalham com dados obtidos de outras e não conseguiriam comprovar o consentimento fornecido pelo usuário, o que é uma exigência da lei.
Algumas podem argumentar que utilizam dados pessoais de forma anonimizada, ou seja, sem a possibilidade de identificação do consumidor, o que é permitido pela lei. Magrani, porém, critica o que chama de ‘mito do anonimato’: “o problema é a reidentificação. É fácil individualizar uma pessoa com três dados básicos: gênero, CEP e data de nascimento. Com apenas esses três se consegue identificar 87% das pessoas”.
Problema societário
Por fim, Pellon destaca um ponto que ficou de fora da lei: o tratamento dos dados como um ativo das empresas. O banco de dados tem valor. Quando uma empresa é vendida para outra, a compradora leva em conta esse ativo na precificação – às vezes o próprio banco de dados é o motivo da aquisição. Como será tratada essa questão daqui em diante? Uma adquirente herdará os dados pessoais dos clientes da companhia adquirida? Mas o consentimento do consumidor foi para esta última, não para a primeira. Será preciso revalidar todo o banco de dados? Essas perguntas ainda não têm resposta.
Aprovação
Importante destacar que apesar de apontarem essas dificuldades para determinados segmentos, as fontes entrevistadas por Mobile Time veem a lei de forma positiva. “A lei como marco regulatório para se criar uma cultura de proteção de dados no Brasil é ótima e segue os melhores padrões europeus, que são a regra de ouro do que existe de melhor nesse aspecto. Do ponto de vista do usuário é excelente”, avalia Pellon.
“É superpositivo. Traz para o Brasil as principais diretrizes do GDPR, tanto em termos de princípios quanto em direitos e deveres”, reforça Magrani.
“O Brasil deu um passo importante para atrair investimentos dentro do ecossistema digital na linha do que dispõe a GDPR da União Europeia. Assim ficamos mais seguros”, completa Vitor Magnani, presidente da ABO2O, associação que representa empresas que prestam serviços online to offline.
Eventos
Magrani e Pellon farão palestras no seminário Super Bots Experience, que acontecerá nos dias 8 e 9 de agosto no WTC, em São Paulo. Magrani falará sobre o uso de bots nas eleições deste ano, e Pellon tratará da adaptação dos bots à nova lei de proteção de dados pessoais. A agenda atualizada do evento e informações sobre venda de ingressos estão disponíveis no site www.botsexperience.com.br, ou pelo telefone/WhatsApp 11-3138-4619 ou pelo email [email protected]