Por Nilson José Franco Júnior
Como toda legislação que imputa uma adequação de conduta complexa à determinado grupo setorial (agentes de tratamento de dados), abstrusa, pois envolve departamentos ainda carentes na maioria das empresas (jurídico e tecnologia, como mais relevantes para a adequação de tratamento), com aplicabilidade de penalidade de importância, exige uma compreensão por aqueles que estarão ordenando tal comportamento – no caso específico um órgão regulatório (por ora, ainda denominado de autoridade)-, para que haja isonomia nas condições de absorção pelas estruturas organizacionais de todos os mandamentos positivados no novo ordenamento de proteção de dados.
A proteção de dados pessoais passou a configurar como direito fundamental pela Constituição Federal, alçando na condição de resguardo constitucional, seu refúgio mais alto e originário legislativo.
Apesar de ostentar tal condição que abarca direitos e garantias individuais, seu principal motivo de existência é a fomentação da circulação de dados, obviamente com o mínimo de garantia para aqueles que são seus titulares, portanto, com razões de cunho econômico.
Contudo, se faz extremamente importante a figuração deste direito com caráter constitucional, pois a essência da proteção de dados reside na autodeterminação informativa (direito individual de caráter personalíssimo), respeitando e trazendo segurança para os titulares de dados que, a todo momento, possuem a exteriorização de suas informações compartilhadas com terceiros.
Desta forma, nossa legislação passa a tratar o valor jurídico da informação como um bem jurídico. É importante destacar que o objeto protegido não são os dados em si, mas a sua comunicação restringida. O que não pode ser violado é a troca de infração por sujeito estranho à comunicação.
A lei não atua diretamente no direito da pessoa, mas cria mecanismos de proteção dos dados pessoais através daqueles que fazem o tratamento de dados, chamados pela legislação específica de controlador e operador de dados.
A questão traz algumas obrigações para empresas que controlam e operam dados, tais como: (i) não devem existir bancos de dados pessoais que sejam secretos; (ii) todo cidadão deve poder ter acesso à própria informação pessoal e a saber como e com quem ela é usada; (iii) a informação pessoal obtida para uma finalidade não poderá ser utilizada para outra finalidade sem o consentimento do titular; (iv) devem existir meios para o titular corrigir ou complementar a sua informação pessoal; (v) toda entidade (controlador e operador de dados) que utilize dados pessoais deve garantir sua qualidade e segurança.
Ocorre que para que uma empresa, com alguns setores mais afetados que outros, como, por exemplo, organizações que tratam de dados sensíveis, não reúnem a estrutura necessária para se adequar com todos os traquejos exigidos pela legislação e pelo cenário hoje existente.
É necessária para que uma estrutura de fato atenda todas as necessidades contemporâneas de mercado e legislação, tendo um departamento de TIC – Tecnologia da Informação e Comunicação, bem como um jurídico, alinhados e capacitados para implementação do programa, além do chamado encarregado de dados – também conhecido no mercado como DPO – para representar a empresa frente aos órgãos regulatórios e aos titulares de dados.
Outrora, a legislação é de sobremaneira importante, tendo em vista que a responsabilização e os mecanismos de segurança com os dados, ganhou extrema relevância na medida em que vivenciamos a chamada quarta revolução industrial, onde o imperativo capitalismo está se movendo e se consubstanciando no mercado digital.
Vivenciamos a experiência de uma economia de plataforma, onde dados são captados a todo momento e compartilhados ou publicizados com terceiros não envolvidos em qualquer relação jurídica.
Desta forma, o próprio mercado, através de suas transformações, trouxe a necessidade da regulamentação da proteção de dados, como forma de causar maior segurança jurídica ao ambiente, proporcionando os pilares necessários para o pleno desenvolvimento da economia digital.
Por outro lado, a ANPD – Autoridade Nacional de Proteção de Dados, com previsão para posterior conversão em agência regulatória também não possui o aparato suficiente para proceder com a fiscalização à nível nacional.
Assim, as empresas brasileiras vão postergando a adequação e implementação, à espera do início de uma efetiva fiscalização pelo órgão competente, o que se mostra extremamente perigoso, na medida que a nova legislação prevê multas de altíssimas montas.
Por fim, o que se espera é que a ANPD consiga, de fato, fazer-se cumprir a legislação para aqueles que se enquadram na condição de agentes de tratamento de dados, permitindo um ambiente negocial de maior segurança para todos e, como consequência, observando o predicativo, agora constitucional, de garantia individual do cidadão.
