Em um recente estudo realizado pela consultoria internacional Willis Towers Watson, classificou-se a proteção de dados e as multas decorrentes de sua inobservância como o principal risco que as empresas de Tecnologia, Mídia e Comunicação têm para 2016 e os próximos anos, sobretudo na América Latina.
O setor de tecnologia que atua através da internet por lidar diariamente com inovação, inevitavelmente expõe-se ao risco de forma diferente que outras empresas.
No Brasil, após Marco Civil da Internet, Lei 12.965/2014 que foi regulamentada no último dia do exercício do mandato da Presidente afastada Dilma Rousseff através do Decreto 8.771/2016, há por assim dizer certa insegurança no setor empresarial privado quanto ao que se refere em proteção de dados pessoais, dos usuários de produtos e serviços on line, quanto a sua coleta, proteção e destinação.
Isto porque ainda não se sabe qual o impacto de interpretação judicial (jurisprudência) que esta regulamentação ocasionará. A jurisprudência atual aponta alguns cenários deveras às vezes favoráveis ao consumidor destes produtos e serviços, ou seja os usuários.
Em nossa opinião, a regulamentação não pode em hipótese alguma impedir a inovação, o empreendedorismo o desenvolvimento de novos produtos, serviços e tecnologias que apresentem uma solução as pessoas e empresas.
É bem verdade que a União Europeia também adaptou neste ano sua legislação sobre proteção de dados a esta grande transformação do meio digital em que vivemos. Porém isto teve como objetivo de incentivar o Mercado Único Digital naquele bloco econômico, estabelecendo a confiança dos consumidores nas empresas nos serviços on line. O Regulamento europeu General Data Protection Regulation (GDPR) foi definido para trazer novos requisitos de compliance, no setor.
No Brasil, podemos afirmar que o Marco Civil não é uma lei geral de proteção de dados pessoais, fator como dito que preocupa as empresas de tecnologia, até porque isto esta sendo discutido no âmbito do Projeto de Lei 5276/2016.
Vejamos o artigo 3º da Lei 12.965/2014, que introduziu o Marco Civil:
Art. 3o A disciplina do uso da internet no Brasil tem os seguintes princípios:
(…)
II – proteção da privacidade;
III – proteção dos dados pessoais, na forma da lei;
Embora não seja uma lei geral de proteção de dados pessoais, tem-se que algumas regras principiológicas já devem ser observadas pelas empresas, para evitar a criação de um “passivo digital.” Eis algumas reflexões que podem nortear os empresários.
A busca de um modelo de negócio menos invasivo à privacidade
O artigo 7º do Marco Civil expõe uma série de direitos aos usuários. Por isto a adequação ou busca de modelos de negócios que respeitem a privacidade e principalmente dificultem a violação e uso indevido dos dados pessoal é um diferencial. Isto se faz com uma clara exposição dos termos de uso e politica de privacidade das aplicações por exemplo.
A saber, o inciso VIII e suas alíneas.
São assegurados aos usuários:
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
A relação clara com terceiros. Outras empresas que compõe o produto ou serviço prestado
O consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais, isto segundo o inciso IX do art. 7º da lei em questão.
Porém isto deve ser interpretado sistematicamente com o inciso VII, que impõe:
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
Ou seja, muitas vezes para desenvolvimento de um bom produto ou serviço na internet, as empresas de tecnologia agrupam-se em Joint Ventures, ou outra forma de associação e não se preocupam com esta nova vertente legal.
Por isto, os seus termos de uso e de privacidade devem ser claros, e prever, caso haja fornecimento para terceiros, previsões claras e expressas.
Termos de uso e políticas de privacidade
A clareza na elaboração nos termos e das politicas de privacidade principalmente no uso dos serviços é outro norte que auxilia em uma defesa judicial dos interesses da empresa, e também como exposto acima evita a criação de um “passivo digital” que põe em risco a continuidade das atividades.
É que ela legislação ao iniciar essa regulamentação tratou de criar as “multas” que em nossa opinião são foram muito bem discutidas sob o prisma de melhores critérios para esta penalidade. Vejamos:
Da proteção dos dados
Nos artigo 10º e 11 da lei, dedicou-se uma seção especial para tratar da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas, e no artigo 12 derradeiramente se chega as sanções, que podem ser aplicadas de forma isolada ou cumulativa, sendo elas:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;
III – suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou
IV – proibição de exercício das atividades que envolvam os atos previstos no art. 11.
Tais penalidades, muitas vezes podem inviabilizar a continuidade da empresa e deveriam ser também regulamentadas quanto ao pleno exercício do direito de defesa das empresas já que o Decreto, regulamentou os padrões de segurança e sigilo dos registros, dados pessoais.
A realidade empresarial
Primeiramente devemos acompanhar a discussão do projeto de Lei 5276/2016 que trada de uma Lei Geral de Proteção de Dados Pessoais, pois este projeto tratará de definições importantes quanto a responsabilidade civil objetiva e subjetiva das empresas.
Enquanto isto ao se desenvolver, ou adequar um produto ou serviço a essa nova realidade jurídico digital pós Marco Civil da Internet é importante se perguntar e entender.
• Os contratos estão adequados aos princípios do Marco Civil enquanto lei principiológica?
• As cláusulas contratuais estão adequadas a legislação do setor em que a empresa atua?
• As cláusulas estão de acordo com o Código de Defesa do Consumidor.
• Os dados estão sendo coletados com o consentimento expresso e claro nos termos de uso e politicas de privacidade?
• Qual o nível de segurança de trafego para uso de terceiros quando se faz estritamente necessário a sua utilização e implementação para desenvolvimento do serviço.
Por fim, relembra-se que tais práticas empresariais também começam a ser observadas com muito mais exigência sob o prisma do compliance, sobretudo quando esta junção de varias empresas dá-se entre alguma multinacional do setor de tecnologia.
Grandes corporações que confiam os serviços as empresas de tecnologia utilizam-se de regras rígidas de compliance, e, o Marco Civil, agora regulamentado cria alguns padrões a respeito disto.
Portanto o setor privado deve atentar-se a esta nova realidade jurídica digital para fins de adequação desenvolvimento e continuidade das atividades empresariais, para evitar penalidades.
WILLIAM JÚLIO DE OLIVEIRA, Legal Counsel, sócio na Boschirolli, Gallio & Oliveira Advogados Associados e CEO da BGO Investimentos e Participações, – cursa LLM – Legal Law Master pela Fundação Getúlio Vargas e Pós-Graduando em Direito Digital pela Devry Brasil, inscrito na OAB/PR 45.744.
