A partir da Constituição de 1988, foi-se introduzindo no mundo do Direito a percepção de que uma nova forma de sociedade estaria surgindo e, com ela, novos valores a serem protegidos. Basta lembrar seu artigo 5º, inciso XII, que a tornou a primeira constituição do mundo a tratar a proteção de dados como cláusula pétrea.
Durante a construção desse percurso da consolidação da proteção de dados, como um valor a ser protegido e assegurado pelo Direito, tem, com a edição do Código de Defesa do Consumidor, em 1990, a confirmação da mudança já trazida na CF de 1988, onde o artigo 43 reconhece o valor dos bancos de dados de cadastro de consumidores.
Desde a edição dessa norma, as relações de consumo foram se modificando. Estabeleceram-se novas formas e relações jurídicas entre consumidores e fornecedores. Agora, depois de mais de 30 anos da criação do Código de Defesa do Consumidor, um novo indivíduo surge com a consolidação da Lei Geral de Proteção de Dados (LGPD): o titular de dados.
E não se pode confundi-lo com consumidor, usuário ou cliente. Trata-se de um novo e recente sujeito de direito, feito de memórias, esquecimentos e verdades. Traçar as linhas de uma imagem, moldura do que seja esse indivíduo constitui-se de objetivo importante para contextualizá-lo perante as tecnologias de informação e de comunicação. Por isso, torna-se essencial analisar as estruturas jurídicas de relacionamento dos titulares com os controladores dos dados. E não só através das questões relacionadas com o consentimento, o legítimo interesse e de todas as hipóteses legais admitidas para se controlarem tais informações, mas também pelas práticas dos tratamentos de dados. É o titular centrismo em que todos os tratamentos se direcionam para as necessidades dos titulares de dados.
Entender as práticas que dissociam o titular de seus dados nos auxiliará a entender os recentes vazamentos ocorridos nos controladores, sendo que o mais recente, o do Serasa, é o maior da história do país. Os controladores, públicos e privados, por anos a fio, relegaram à segurança da informação o ostracismo gerencial. Nunca investiram o dinheiro suficiente para a implementação de políticas de segurança da informação e proteção de dados e sempre enxergaram esse investimento, quando ocorria, como um gasto desnecessário.
As leis existentes já são suficientes para proteger e ressarcir em face dos abusos cometidos em casos de violação de dados. Entretanto, a labuta diária da proteção de dados ressente-se de uma visão que considere os riscos e os gravíssimos danos trazidos pela incompetência e inépcia dos controladores em assegurarem ou garantirem minimamente a segurança dos dados dos titulares.
A percepção desse novo estado caótico de violação contínua de dados só será alterada com uma mudança de postura dos controladores. Devem eles enxergarem que as suas práticas afetam a realidade das pessoas e que, ao capturar os dados dos titulares para desenvolverem os seus negócios, estão lidando com a vida deles e não com objetos que podem ser descartados ou desconsiderados nas análises de risco do negócio.
É urgente que os controladores de dados não só conheçam os direitos dos titulares de dados, mas os respeitem e sejam punidos pelo mau uso. Assim como é fundamental que todos os titulares sejam educados na cultura da proteção de dados e da privacidade e tenham o pleno conhecimento das leis existentes e que tenham acesso fácil às informações, sem obstáculos, para corrigirem, se oporem e excluírem seus dados.
O artigo 18 da LGPD estabelece, entre outros direitos, o direito de obter do controlador os seus dados, mediante requisição; o direito de confirmação da existência de tratamento de dados; acesso aos dados; correção de dados incompletos; a anonimização dos seus dados; o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei; eliminação dos dados pessoais tratados sem o consentimento do titular. Infelizmente, na prática, a implementação desses direitos não ocorre.
Quando há um investimento pelos controladores, eles o fazem direcionado, principalmente para a área de tecnologia e de projetos. Contudo, seguem alheios aos fatores humanos imprescindíveis para a efetiva implementação dos direitos dos titulares, o que inclui o treinamento de colaboradores e fornecedores e uma melhoria das suas políticas e práticas jurídicas. Muitas vezes, por falta de capacitação e entendimento da proteção de dados, os controladores não conseguem prover os meios necessários para fazer cumprir o sistema protetivo e os direitos dos titulares.
Diante da ausência da efetiva aplicação da legislação, da falta de investimento numa cultura da segurança da informação e de uma área jurídica capacitada, com entendimento completo dos direitos dos titulares, o controlador poderá falhar na aplicação dos direitos dos titulares e não cumprirá as exigências da Autoridade Nacional de Proteção de Dados (ANPD), em termos de adequação e transparência. Como sempre digo há anos, não há segurança jurídica sem segurança da informação e vice-versa.
Para além das tecnologias, os riscos jurídicos da não aplicação da LGPD são muito maiores e significativos. Se as políticas, os contratos e os termos estão em dissonância com as práticas executadas pelo controlador, existe aí uma falha que expõe, juridicamente, o titular a violações de dados pessoais, que podem culminar ou não no vazamento de seus dados. Estar ciente de que as garantias jurídicas têm que acompanhar as tecnológicas e procedimentais envolvidas no tratamento de dados é dever objetivo do controlador. E toda a sociedade deve conhecer e cobrar esses direitos.
*Victor Hugo Pereira Gonçalves é presidente do SIGILO – Instituto de Defesa dos Titulares de Dados e doutor em Direito Comercial pela Universidade de São Paulo.