Aos olhos de muitos críticos, a lei de proteção de dados pessoais mais rigorosa do mundo não tem dentes muito afiados, afirma Nicholas Vinocur em reportagem publicada no site Polico.com.

Dentes até que o GDPR tem… O que falta ao Regulamento Geral de Proteção de Dados são braços para alcançar aqueles que continuam a descumpri-lo. Há hoje um sentimento de frustração crescente por falta de ações de fiscalização e de cooperação nas investigações. Mais de dezoito meses após a entrada em vigor do Regulamento Geral de Proteção de Dados, as consequências da lei de privacidade da Europa foram mínimas.

A chefe de privacidade da Irlanda, Helen Dixon, insistiu em uma entrevista que os atrasos têm a ver com a complexidade da aplicação de uma nova lei. As investigações demoram porque os casos precisam enfrentar o escrutínio de todas as 28 nações da UE, bem como em tribunais nacionais. “Vai levar o tempo que for necessário para fazê-lo adequadamente”, disse ela, ecoando os pontos apresentados por alguns outros altos funcionários europeus de proteção de dados.

Outros reguladores, advogados, ativistas da privacidade e grupos de proteção ao consumidor em toda a Europa contestam a argumentação de Dixon. Eles dizem que quanto mais a Europa demorar a impor suas regras de privacidade contra as maiores empresas com fome de dados do mundo, mais o Vale do Silício aproveitará a margem de manobra, circulará reguladores e enfraquecerá o espírito da lei. Será?

Difícil não pensar na nossa Lei Geral de Proteção de Dados ao ler informes como este, que nos chegam do velho continente. Qual é a expectativa que temos em relação à proteção de dados no país? Queremos criar um cultura de proteção de dados ou pura e simplesmente punir as gigantes da Internet por práticas abusivas e ilegais no tratamento dos dados pessoais? Como evitar a fragmentação normativa? Como garantir a fiscalização?

São perguntas para as quais deveremos procurar respostas convincentes ao longo de 2020 e além.

Punitivismo não é um bom caminho

Me parece que a meta a ser perseguida é a de formação orgânica de uma cultura de proteção de dados. Por isso, uma das primeiras tarefas da Agência Nacional de proteção de dados, ao ser criada, deverá ser regulamentar o que ainda precisa ser regulamentado para a aplicação da LGPD. A segunda, ajudar na interpretação da lei. Depois, educar. E só então começar a punir.

Isso porque, como costuma dizer o advogado Fabrício da Mota Alves, recém nomeado pelo Senado como seu representante no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, a Lei Geral de Proteção de Dados ainda é um assunto afeto a uma bolha. Muitas parcelas da sociedade não despertaram para a importância do tema. Hoje, proteção de dados não é um assunto que faça parte do dia a dia do brasileiro. O maior desafio da autoridade será desenvolver a cultura de proteção de dados no país, por meio de um processo educacional. “Não acho que ela deva começar punindo”, comenta ele.

Fabrício tem a convicção de que a aderência à regulação de proteção de dados só ocorrerá com a fiscalização e a aplicação da lei. Mas, pontua  que, no caso do Brasil, começar punindo não será saudável. Pode gerar respostas que, no extremo, podem levar à sabotagem da lei.

“Se o órgão de fiscalização pressionar demais e pressionar errado, os grupos de pressão que ficaram dormentes durante a tramitação da LGPD vão reagir. E a gente não sabe qual pode ser a forma de reação. O risco que se corre é gerar um antagonismo à LGPD, com consequências imprevisíveis”, diz ele.

Na sua opinião, não é difícil gerar convencimento de aderência à lei por meio da educação da sociedade. “Várias empresas que estão passando pelo processo de implementação já estão colhendo resultados em termos de satisfação do consumidor. Várias estatísticas mostram que os consumidores estão atentos”, diz ele.

De fato, pesquisa recente da Accenture Interactive revela que quase sete em cada dez (69%) consumidores deixariam de comprar de uma marca porque ela usa seus dados pessoais de forma invasiva para gerar anúncios. E a preocupação com a “espionagem publicitária” é ainda maior: embora 87% considerem importante que as marcas entendam suas preferências, 75% não se sentem confortáveis com a coleta de dados via microfone ou assistente de voz.

De todo modo, a estruturação da ANPD, encarregada também da fiscalização do cumprimento da LGPD,  tem preocupado aquelas parcelas da sociedade brasileira que já despertaram para o tema. O desafio é o  estabelecimento de um órgão que tenha força, que consiga trabalhar o enforcement próprio da lei e que tenha capacidade técnica e instrumental para tanto. Até porque, uma das maiores críticas às agências reguladoras existentes _ especialmente à Anatel _ diz respeito à sua atuação fiscalizadora. A pirataria segue sendo um problema, tanto para as telecomunicações quanto para a radiodifusão. Do outro lado, o descumprimento de obrigações de qualidade de serviço continua a tornar as operadoras campeãs de reclamações nos órgãos de defesa do consumidor.

O que nos leva a outra questão muito relevante: na prática, não só a ANPD fiscalizará o cumprimento da lei. Os Procons estaduais, o Ministério Público e as associações de defesa de consumidor também terão um papel muito importante a desempenhar no processo de aplicação da lei.

Agora mesmo, o Ministério da Justiça e Segurança Pública, por meio do Departamento de Proteção e Defesa do Consumidor (DPDC) da Secretaria Nacional do Consumidor (SENACON), decidiu aplicar multa de R$ 6,6 milhões às empresas Facebook Inc. e Facebook Serviços Online do Brasil Ltda., pelo compartilhamento indevido de dados de usuários. O caso começou a ser investigado após notícia veiculada pela mídia, em 4 de abril de 2018, informando que usuários do Facebook, no país, poderiam ter sofrido com o uso indevido de dados pela consultoria de marketing político Cambridge Analytica. Sempre ela!

E nos EUA…

O mesmo dilema pela qual passa o GDPR, e passará a nossa LGPD, se aplica à Lei de Privacidade do Consumidor da Califórnia (CCPA), que entra em vigor esta semana, em 1º de janeiro.

A partir da quarta-feira, aproximadamente um em cada dez americanos ganhará o poder de revisar suas informações pessoais coletadas por grandes empresas, incluindo desde históricos de compras e rastreamento de localização até os dados pessoais usados na criação de “perfis” para segmentação. Também poderão forçar essas empresas – incluindo bancos, varejistas e, é claro, empresas de tecnologia – a parar de vender essas informações. A lei define a venda de dados de maneira tão ampla que abrange praticamente qualquer compartilhamento de informações que traga benefícios aos negócios.

O escritório da Procuradoria Geral da Califórnia não deve aplicar sanções até 1º de julho. Mas isso não significa que as empresas tenham ganhado um período de carência. A Procuradoria Geral da Califórnia já avisou que poderá penalizar as empresas de forma retroativa, por violações de privacidade que datem do início de 2020. Como ele vai fiscalizar a aplicação da Lei é algo que ainda não está claro. Seu diretor, Xavier Becera, disse publicamente que o órgão não está equipado para fazer cumprir integralmente a lei. E pressionou pela aprovação de uma emenda, não aprovada, que permitiria aos usuários processar diretamente empresas que a violassem.

Os críticos dizem que as empresas serão capazes de se safar das violações à lei porque o procurador-geral não tem recursos para capturar todas. É… Pode ser. O que, na prática, poderá levar a muitos litígios na Justiça, como já vem acontecendo na Europa.

2020 promete ser um ano decisivo para a proteção de dados, e para os reguladores, que terão apresentar trabalho!

É bom que estejamos todos abertos ao diálogo e à construção de boas práticas que balizem os limites do que será aceitável ou não.