A Lei Geral de Proteção de Dados (LGPD) está em vigor desde 18 de setembro, mas há diversas lacunas abertas na regulamentação do tratamento de informações pessoais. O desafio é a implementação da Autoridade Nacional de Proteção de Dados (ANPD), ainda incompleta, o que tem deixado os consumidores sem resolução sobre o vazamento dos seus dados pessoais. A agência foi criada em decreto assinado pelo presidente Jair Bolsonaro em 27 de agosto. Em 15 de outubro, o chefe do Executivo fez cinco indicações para composição do Conselho Diretor do órgão regulador. Os nomes foram aprovados pelo Senado Federal em 20 de outubro. São eles: Waldemar Gonçalves Ortunho Junior, nomeado diretor-presidente; e os diretores Arthur Pereira Sabbat, Joacil Basilio Rael, Nairane Farias Rabelo e Miriam Wimmer.
Um dos problemas apontados nas nomeações para a agência é a presença de militares, característica mais marcante no governo Bolsonaro. Waldemar Junior, Arthur Sabbat e Joacil Basilio têm formação na caserna. A Coalizão Direitos na Rede emitiu uma nota demonstrando preocupação com os nomes indicados. “A opção do governo Bolsonaro de militarizar a ANPD ignora as diretrizes da Lei Geral de Proteção de Dados (LGPD), que aponta para a criação de uma autoridade técnica e independente, desconsidera as recomendações internacionais para a constituição de autoridades do tema, abre espaço para o órgão se imiscuir em atividades de vigilância e repressão e coloca em risco a necessária supervisão do tratamento de dados no país”, diz o texto.
Apesar da nomeação do Conselho Diretor, falta a indicação de diretores de diferentes áreas da agência para que ela seja implementada. O cidadão que se sentir lesado pode recorrer ao Programa de Proteção e Defesa do Consumidor (Procon), plataformas de mediação entre consumidor e empresas — como consumidor.gov.br e o Reclame Aqui —, ou judicializar a questão. Feito isso, a LGPD deve ser aplicada (leia o Para Saber Mais). As sanções administrativas, no entanto, com multas que são previstas em até R$ 50 milhões, dependerão da não-implementada ANPD.
Independentemente do perfil dos integrantes da agência, a atuação da autoridade se torna necessária para regular o tratamento de informações pessoais do cidadão. No site consumidor.gov.br, no DF, este ano, foram registradas pelo menos cinco reclamações de consumidores que tiveram seus dados compartilhados por instituições financeiras ou empresas de serviços de telefonia e internet.
Cobranças e ligações
Apesar do incômodo, poucos consumidores tomam alguma providência, pois intuem que dificilmente obterão alguma reparação. Advogado membro da Comissão de Direito do Consumidor da Ordem dos Advogados do Brasil seccional do Distrito Federal (OAB/DF), Lindojon Bezerra ressalta os limites da judicialização. “Eventualmente, você vai ter uma indenização por aquele problema. E isso não é fácil de provar. Acaba que não dá em nada”, explica.
Nesse contexto, a ANPD seria um importante passo em favor da privacidade do cidadão. “A ideia da agência é mexer no macro porque isto está acontecendo com todos os consumidores. Vai servir de modelo punitivo para as demais”, define o especialista.
Com a regulamentação ainda indefinida, consumidores veem informações pessoais serem compartilhadas impunemente. Assim que teve o telefone fixo instalado em casa, a dona de casa Cíntia Tavares, 46 anos, começou a receber ligações suspeitas. Tratava-se de supostas cobranças sobre uma dívida que ela teria feito em uma loja há mais de 10 anos. Segundo a vítima, as pessoas tiveram acesso ao nome completo, telefone fixo e endereço de e-mail. E pediram o telefone celular e de acesso ao WhatsApp para poder, supostamente, enviar a cobrança.
“As pessoas ligam, sabendo que eu tive o cartão da loja, que eu não paguei e ficam tentando negociar a dívida comigo. Elas têm meu nome, meu e-mail e o meu número, que há mais de dez anos, na época do cartão, eu não tinha. Uma outra empresa vazou. Elas ficam tentando jogar uma conversa, tentando conseguir mais dados pessoais meus”, relata a moradora do Riacho Fundo II.
Caso semelhante ocorreu com o empresário Luiz Fernando Ferreira Borges, 31. Após procurar uma empresa para instalação de internet em sua casa, no Guará, ele começou a receber uma enxurrada de ligações de outros negócios do mesmo ramo oferecendo o serviço. “Eu não tenho certeza de como eles conseguem esses dados, mas imagino que exista um banco de dados que seja compartilhado entre empresas que são parceiras. Eu realmente não sei”, indaga o empresário.
Ele relata ser bastante cuidadoso em relação aos seus dados, por isso, ficou surpreso. “Sou muito atento a quem estou repassando meus dados e quais informações estão sendo pedidas. Sempre faço conferência do endereço do site. Quando me ligam pedindo para conferir os dados, nunca passo minhas informações. Nunca dou dados de chamada que recebi”, completa.
De acordo com Bezerra, da OAB/DF, a maior parte dos dados que trafegam, hoje em dia, está relacionada ao mercado de consumo.
Para saber mais
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18 de setembro e passou a regular a gestão de informações obtidas por empresas de pessoas que utilizam seus serviços. A lei estabelece que dados pessoais são todos aqueles derivados de uma pessoa e que podem levar à sua identificação, direta ou indiretamente. Além disso, determina as bases legais para o tratamento de dados.
Com isso, empresas privadas, bem como as públicas, passam a ter que seguir normas a serem fiscalizadas pela recém-criada Agência Nacional de Proteção de Dados (ANPD). “As empresas podem ser responsabilizadas, inclusive por meio de multa, pelo vazamento de dados”, explica Marina Pita, coordenadora executiva do Intervozes.
As empresas passam a ser obrigadas a informar o cidadão e a ANPD sobre um possível vazamento de dados, para que medidas possam ser exigidas pela autoridade, bem como a garantia de seu cumprimento. A autoridade será capaz de analisar o impacto do vazamento do dado e dedicar esforços para que ações sejam tomadas. “A ideia é que a ANPD seja entidade especializada, capaz e independente para proteger os cidadãos”, completa a especialista.
Em casos em que é necessário o consentimento do titular da informação — por exemplo, aplicativos de celular —, toda a atividade feita com aqueles dados deve ser informada: a finalidade para a qual o dado será processado, o período em que o dado será armazenado e o titular pode pedir a exclusão de suas informações daquela base de dados.