Hoje, dia 28 de janeiro, é o Dia Internacional da Proteção de Dados Pessoais. Não vamos lhe julgar caso você tenha sido pego de surpresa — afinal, mesmo sendo celebrada mundialmente, em comparação com outras datas comemorativas, ela ainda não atinge proporções tão amplas ou sequer costuma ser citada na mídia mainstream. Isso mostra também que, infelizmente, ainda vivemos em uma sociedade que não dá o devido valor para tal tema, mesmo que infrações à privacidade sejam cada vez mais comuns.

Antes de mais nada, vale aqui uma rápida retrospectiva: esta data foi instituída em 26 de abril de 2006 pelo Conselho da Europa, como uma forma de celebrar a Convenção 108 de 28 de janeiro de 1981. Tal convenção, assinada por todos os estados-membros que compunham o Conselho na época, foi uma das primeiras normas a ser escrita com o objetivo de garantir o direito fundamental à privacidade e especificar boas práticas no tratamento automatizado de dados de caráter pessoal.

Vale lembrar, porém, que o direito à privacidade é considerado fundamental desde 1948, quando a Organização das Nações Unidas (ONU) proclamou a Declaração Universal dos Direitos Humanos. No artigo 12, lê-se: “ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques”. Trata-se de uma conceitualização bem abstrata de privacidade, que precisou ser expandida com o advento da Era da Informação.

Pioneirismo europeu
A Europa sempre esteve um passo à frente quando o assunto é privacidade e proteção de dados pessoais; trata-se de um reflexo do perturbador histórico de monitoramento da população por parte de governos autoritários, especialmente em países da Eurásia.

Com a chegada e a popularização das novas tecnologias, a coleta e processamento de dados se tornou algo ainda mais comum. Informações pessoais e até mesmo sensíveis se tornaram o novo petróleo, podendo ser utilizadas para estudos em inteligência de mercado e para a aplicação de estratégias competitivas. Para especialistas e visionários, já era óbvio que, mais cedo ou mais tarde, ocorreriam abusos e negligências.

Hoje em dia, já são comuns notícias que denunciam vazamentos de dados (incidentes que permitem que terceiros tenham acesso a dados sigilosos sem a devida autorização) e condutas irresponsáveis no âmbito digital (como aplicativos para celular que rastreiam a sua localização, gravam áudio e registram imagens usando a câmera do aparelho sem que você sequer perceba). Tornou-se essencial a criação de legislações mais duras para impedir atos de espionagem e punir irresponsabilidades de forma mais concreta.

Primeiro, surgiu o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation ou GDPR), criado em 2016 pela União Europeia para garantir a segurança dos dados dos cidadãos de todos os estados-membros da associação europeia. A norma entrou em vigor em 2018 e já foi responsável por aplicar multas pesadíssimas contra grandes empresas que falharam na missão de proteger informações pessoais e sensíveis dos europeus. Quer alguns exemplos?

• Google, €50 milhões (21 de janeiro de 2019): por não apresentar transparência, controles e opções de consentimento o suficiente no processamento de dados pessoais para propósitos publicitários;
• British Airways, £183 milhões (08 de julho de 2019): pelo adoção de medidas de segurança ineficazes que resultaram na exposição de dados de 500 mil clientes;
• Marriot International, £99 milhões (03 de julho de 2019): por não ter realizado uma diligência prévia durante a aquisição da rede hoteleira Starwood, cujos sistemas foram comprometidos em 2014, expondo dados de 339 milhões de hóspedes;
• 1 & 1 Ionos, €9,5 milhões (09 de dezembro de 2019): por adotar tecnologias insuficientes de proteção de dados pessoais, falhando em garantir “medidas técnicas e organizacionais suficientes” em seu call center.

Curiosidade: a multa mais branda registrada pela GDPR até o momento foi aplicada contra um policial alemão cuja identidade nunca foi revelada. Ele estaria processando dados pessoais retirados de redes oficiais de informação, de forma autônoma e para “propósitos ilegais”, sendo condenado a pagar €1,4 mil para as autoridades.

A vez do Brasil
E no Brasil? Bom, a partir de agosto de 2020 finalmente a Lei Geral de Proteção de Dados Pessoais (LGPD ou Lei nº 13.709/2018) passará a vigorar. Claramente inspirada no texto europeu, a norma regula as atividades de tratamento de dados pessoais de brasileiros, orienta sobre as melhores práticas para garantir a privacidade dos cidadãos e estabelece penalidades para quem desrespeitar seus artigos.

A legislação prevê ainda a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir a correta aplicação da LGPD.

Todas as sanções administrativas se encontram no artigo 52 do texto: as empresas infratoras podem levar desde simples advertências até multas de R$ 50 milhões ou 2% do faturamento líquido anual. A ANPD também terá o poder de proibir que alguma companhia colete e processe dados até que ela apresente provas de que esteja devidamente preparada para efetuar tal tratamento com segurança.

Embora a LGPD seja um marco na história do país. Até o momento, a ANPD não está devidamente estruturada; um projeto de lei em tramitação propõe que a norma só passe a vigorar em 2022; por fim, uma pesquisa encomendada recentemente pela Serasa Experian mostrou que 85% das empresas brasileiras ainda não estão prontas para garantir conformidade com a regulação.

Fonte: The Hack
Imagem: Negócio foto criado por pressfoto – br.freepik.com