lgpd
Cidadania é destaque na transparência da proteção de dados digitais
Um levantamento do escritório de advocacia Peck Advogados – especializado em direito digital – nos sites dos diretórios nacionais de 19 partidos, divulgado pela revista Exame (veja abaixo), mostrou que o Cidadania está entre as legendas que tiveram melhores resultados no cumprimento da LGPD (Lei Geral de Proteção de Dados) quanto à disponibilização de dados de forma mais acessível ao cidadão.
Proteção de dados: às vésperas da eleição, partidos correm para cumprir LGPD
Dois anos após início da vigência da lei brasileira de proteção de dados, a maioria dos partidos ainda não têm sites adequados aos requisitos e oferecem pouca transparência ao cidadão
Carolina Riveira – Exame
As eleições de 2022 podem ser consideradas as primeiras com a vigência na prática da Lei Geral de Proteção de Dados (LGPD). A lei passou a valer em setembro de 2020, somente semanas antes das eleições daquele ano, mas agora precisará se aplicar de vez ao dia-dia dos partidos, segundo entendimento do Tribunal Superior Eleitoral (TSE). Ainda assim, às vésperas da eleição, a adequação das legendas partidárias precisa avançar, segundo novo estudo obtido pela Exame.
Análise do escritório de advocacia Peck Advogados, especializado em direito digital, avaliou as informações relativas à proteção de dados pessoais disponíveis publicamente nos sites dos diretórios nacionais de 19 partidos. O levantamento concluiu que a maioria ainda não indica em seu site, de forma acessível, frentes como o procedimento de acesso aos dados, política de privacidade ou o nome e contato do Encarregado de Dados (DPO, na sigla em inglês para Data Protection Officer), que passou a ser exigido nas instituições após a LGPD.
Dentre os partidos analisados, o PT, o Republicanos e o Cidadania obtiveram os melhores resultados — e disponibilizados de forma mais acessível ao cidadão, o que foi um ponto valorizado na elaboração do estudo.
O União Brasil e o Partido Novo também responderam à reportagem e comprovaram que possuíam DPO e procedimento para os cidadãos acessarem seus dados, o que os fez figurar entre os partidos com melhor adequação, embora os quesitos não tivessem sido identificados na primeira análise ou tenham sido atualizados posteriormente.
Os demais partidos não responderam ou confirmaram que ainda estão trabalhando na adequação.
O estudo do Peck Advogados analisou somente os partidos da porta para fora, isto é, o que estava visível a todos no site. A análise também foi feita só para os diretórios nacionais. Outras frentes, como os diretórios estaduais e a campanha individual dos candidatos, não entraram na análise.
“O que levantamos foi só o que é possível ver no site, só a vitrine”, diz Patrícia Peck, sócia do Peck Advogados. “Agora, como estão essas práticas no dia-dia interno do partido? O fato de poucos partidos terem essa vitrine consolidada acaba sendo um alerta — o que vimos foi só a ponta do iceberg.”
O que falta aos partidos
O estudo levou em conta seis requisitos, na parte visível e pública dos sites dos partidos analisados pelo escritório:
* informação clara sobre procedimentos de tratamento de dados;
* indicação do contato do Encarregado de Dados (o DPO);
* canal de atendimento para direitos dos titulares;
* existência de política de privacidade e proteção de dados atualizada;
* termos de uso;
* possibilidade de filiação online.
O PT foi o único partido dentre os analisados com todos os requisitos cumpridos. Só faltaram à legenda inicialmente os “termos de uso” (que devem ser publicados separadamente da “política de privacidade”). O PT esclareceu em resposta que os termos já existiam, o que foi confirmado pela reportagem. Os termos, porém, não estão facilmente localizáveis no site, um critério valorizado na análise — o que o partido disse que trabalhará para resolver.
Alguns partidos questionaram a metodologia do estudo ou argumentaram que já possuíam as opções exigidas pela LGPD. Partido Novo e União Brasil, por exemplo, indicaram à reportagem as frentes de seu site onde, hoje, é possível encontrar o endereço de contato do Encarregado de Dados e política de privacidade detalhada, e por isso a informação foi incluída na reportagem.
“Assim que a LGPD passou a vigorar, o Novo buscou consultorias especializadas e deu início a implementação dos protocolos de proteção de dados”, disse em e-mail à EXAME o presidente do Novo, Eduardo Ribeiro.
Sobre a filiação online, o União Brasil — que não tem a opção e não pretende adicioná-la por ora — respondeu que não entende essa frente como uma obrigatoriedade da LGPD e que preza pela segurança e “rigor técnico” dos dados dos usuários. “É válido ressaltar que o União Brasil é um partido com mais de 1 milhão de filiados, e, para que um sistema comporte de forma segura os dados de milhares de Titulares de Dados, requer-se robustez de infraestrutura tecnológica. O Partido optou por dar prioridade à salvaguarda dos dados de seus usuários”, disse em resposta escrita à EXAME o Encarregado de Dados do partido, Iago Lora.
Outros partidos responderam que estão trabalhando para se adequar. Partido Verde e PSD disseram que ajustes estão previstos para adequar o site e processos à LGPD e o PTB respondeu que “entende a importância das adequações previstas na LGPD” e que está em curso “projeto de atualização do website respeitando os princípios citados”.
Os demais partidos não quiseram comentar sobre seus planos de adequação à LGPD ou não retornaram os contatos da reportagem.
Do WhatsApp aos filiados, um universo de dados sensíveis
Para além dos requisitos visíveis analisados pelo estudo, muitos dos pontos da LGDP têm de ser cumpridos também da porta para dentro.
Um desafio claro será a forma como os partidos e candidatos usam listas de transmissão com potenciais eleitores, em frentes como números de celular para grupos de WhatsApp ou Telegram, que se tornaram cruciais nas campanhas nos últimos anos. É um universo de informações potencialmente sensíveis, pelos termos da LGPD.
Não só os números e informações de eleitores são complexos: frentes como dados da juventude partidária das legendas ou de candidatos e filiados idosos (dois grupos altamente sensíveis segundo a LGPD) também fazem parte da lista de informações de posse dos partidos. “No ambiente polarizado que vivemos hoje, um possível vazamento de dados de filiados seria muito prejudicial ao cidadão afetado”, explica Peck.
Jéssica Guedes, advogada da Peck Advogados e coordenadora do levantamento, aponta que um reflexo do problema é como os partidos ainda não afirmam com todas as letras em suas páginas iniciais que cumprem a LGPD. “É algo que não é obrigatório, mas que muitas empresas já vêm fazendo como forma de publicidade positiva e que poderia tranquilizar o eleitor e filiado sobre o tratamento de seus dados”, diz a advogada.
Por outro lado, a expectativa é de melhorias daqui para a frente, sobretudo com a tendência de aumento da fiscalização e pressão da opinião pública a respeito. Guedes aponta que um avanço na frente eleitoral desde o início da vigência da LGPD há dois anos é que o TSE, neste ano, publicou uma cartilha sobre obrigações e formas pelas quais os partidos podem trabalhar para se adequar. “Esse processo de educação acredito que ainda avançará muito”, diz a advogada.
Menor interferência possível
Apesar do início do envolvimento do TSE, as punições a quem não cumprir a LGPD em ambiente eleitoral tendem a ser brandas por enquanto.
Quem fiscaliza o cumprimento da LGPD (seja nos partidos ou em outras organizações, como empresas) é a Autoridade Nacional de Proteção de Dados (ANPD), órgão do governo federal e que foi criado junto com a lei. Tanto o TSE quanto a ANPD podem, no limite, impor sanções administrativas ou outras punições aos partidos.
Porém, a ANPD afirmou na própria cartilha de orientação do TSE que entende que, no contexto eleitoral, há “necessidade de evitar a imposição de restrições que afetem a igualdade de oportunidades no processo eleitoral”, e que buscará “a menor interferência possível no debate democrático”.
“A lei tem quatro anos e desses, dois anos de vigência. Mas, como é a primeira eleição com a lei complementar de fato vigente, ainda é um desafio para partidos e candidatos enxergarem sua aplicação no ambiente eleitoral”, diz Peck, que aponta que muitos partidos não haviam entendido, há até pouco tempo, que eles próprios tinham de se adequar à LGPD. “Mas essa é também uma legislação reputacional, e os partidos ainda estão muito atrás. É de interesse de todos trabalhar para avançar.” (Revista Exame – 01/09/2022 https://exame.com/brasil/protecao-de-dados-as-vesperas-da-eleicao-partidos-correm-para-cumprir-lgpd/)
*Texto publicado originalmente no portal do Cidadania23
Haroldo Baraúna: “Open banking” e proteção legal de dados pessoais
No capitalismo informacional, são os dados exatamente o maior agente de fluidez do capital
Haroldo V. Baraúja Jr.
O “open banking”, que vem sendo amplamente divulgado pela mídia nos últimos meses, é uma nova ferramenta de compartilhamento de dados de clientes bancários. Na prática, trata-se de um banco de dados centralizado e gerido pelo Banco Central, em que todas as instituições financeiras podem ter acesso às informações dos clientes bancários que desejarem participar e, assim, sugerir serviços financeiros de forma personalizada. O sistema, que se encontra em implementação por fases, promete que permitirá ao consumidor consultar condições e adquirir serviços em diferentes instituições sem precisar informar todos os seus dados novamente. Alguns analistas de mercado financeiro afirmam que, ao participar plenamente do sistema, os clientes poderão montar “seu próprio banco”, ou seja, como exemplo, o cliente poderá manter uma conta corrente em determinado banco, um empréstimo em outra instituição, uma previdência privada em outra, um seguro em outra ainda, etc.
O sistema vem sendo divulgado pelo Banco Central e pelas instituições financeiras com grande ênfase nas vantagens de que os clientes bancários deverão se beneficiar. Contudo, diante das caraterísticas inerentes ao sistema, o “open banking” merece ser analisado na ótica da proteção legal de dados pessoais em vigor no Brasil. Para tratar sobre o tema, necessário se faz uma breve e sintética imersão nos pontos principais da chamada LGPD – Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018). Editada em 2018 e com vigor desde setembro de 2020 (as disposições sobre aplicação de penalidades pelo descumprimento da lei vigoram desde agosto deste ano de 2021), a LGPD não é uma criação idealizada genuinamente no Brasil. Sua principal norma influenciadora é lei de proteção de dados em vigor na Europa, mas sem perder de vista que há um movimento internacional que visa a proteção de dados pessoais.
No “mundo líquido”, como explicou Zygmunt Bauman, não é o patrimônio ou o capital puro que determinam a riqueza das instituições. No chamado capitalismo informacional, são os dados exatamente o maior agente de fluidez do capital. Deter dados pessoais é a forma que o capitalismo encontrou na sociedade informacional para se fazer presente para o consumidor e criar condições de se estabelecer de forma cíclica e contínua. Afinal, ter os dados pessoais e conhecer os interesses dos mais de 7 bilhões de habitantes da Terra significa poder e dinheiro. Mas a ascensão das empresas gigantes do ambiente informacional, tais como Google, Apple, IBM, Microsoft, Facebook, trouxe o debate sobre a proteção legal de dados para a mesa, em especial nos Estados Unidos e na Europa. O uso indiscriminado de dados pessoais por essas empresas – e uma incômoda e sempre temida sombra do uso de dados pessoais na década de 1930 na Alemanha pelo nazismo para garantir sua ascensão em detrimento dos “inimigos” – acabou por acelerar nos últimos anos a criação de normas protetivas de dados. De tal sorte que se criou uma expectativa de padronização internacional de proteção de dados, tendo a legislação europeia como uma espécie de modelo.
Nessa esteira, a lei brasileira apresenta dez fundamentos ou possibilidades para que uma instituição trate dados pessoais com finalidades econômica: consentimento do titular, cumprimento de obrigação legal, execução de políticas públicas, realização de estudos por órgãos de pesquisa, execução de contrato, exercício de direito em processo judicial, proteção da vida, tutela da saúde, legítimo interesse do controlador e para proteção do crédito. A rigor, qualquer forma de tratamento de dados que não se enquadre em um desses fundamentos será ilegal e, portanto, passível de punição. O tratamento de dados no sistema “open banking” se enquadra no fundamento do consentimento pelo titular. Mas o consentimento do titular dos dados, no escopo da LGPD, deve observar alguns princípios que a própria lei estabeleço. Exemplo: o titular dos dados fornecerá seu consentimento com pleno conhecimento da finalidade a que o tratamento ser prestará, podendo revogar o consentimento a qualquer momento. Mas, por detrás dos aspectos mais específicos e técnicos da lei, está o princípio geral que dá norte a essa legislação, que é a ideia da redução dos dados a serem tratados. Uma espécie de minimalismo no tratamento de dados, em que melhor sempre será tratar menos dados.
Observado por esse ângulo minimalista na divulgação de dados pessoais, o “open banking” caminha exatamente no sentido oposto. O que se deve questionar é se o consumidor de serviços financeiros está/será devidamente instruído sobre os riscos da divulgação massiva de seus dados pessoais na nova plataforma. Ou seja, se o tão propalado “custo-benefício”, que se tornou um chavão da sociedade pós-moderna, está sendo avaliado em favor do consumidor, ou se apenas os interesses das instituições financeiras é que serão atendidos. E há muito a ser preocupar. Todos conhecemos o verdadeiro bombardeiro com ofertas indesejadas de serviços e produtos que as empresas impingem aos potenciais consumidores todos os dias, seja pelas redes sociais, ligações telefônicas, mensagens de telefonia celular, e-mails e outras formas. Números alarmantes de fraudes praticadas por terceiros e de ilegalidades dentro do próprio sistema financeiro (ou seja, praticadas exatamente pelas instituições financeiras) existem máxima atenção. Dados do CNJ – Conselho Nacional de Justiça, órgão de cúpula do Poder Judiciário, dão notícia, por exemplo, que 94% das instituições financeiras brasileiras já sofreram fraudes praticadas por terceiros contra consumidores. E as fraudes ocorrem, naturalmente, sempre com o acesso dos criminosos a dados pessoais dos consumidores (nome, endereço, telefone, e-mail, números de documentos, etc.).
Há quem indague se o sistema financeiro está apto a respeitar a LGPD de forma mais especial a partir da implementação do “open banking”. Porém, há um erro formal nessa indagação, na medida em que, com ou sem LGPD, o sistema financeiro nacional desde 1965 é regrado por lei federal que elege, dentre outros princípios, o sigilo. Sendo assim, supondo que a norma que rege o sistema fosse respeitada, não deveríamos nos ocupar com essa preocupação com a proteção de dados pessoais no “open banking”. Mas aqui temos uma das incontáveis situações na vida cotidiana em que a lei assume um caráter mais formal que prático, parecendo completamente divorciada das situações concretas do dia a dia.
O que importa lembrar é que o consumidor de serviços bancários tem a seu favor não apenas a proteção que a LGPD lhe garante, mas de forma tradicional seus direitos estão assegurados pelas normas de sigilo do sistema financeiro nacional, além do Código de Defesa do Consumidor, que estabelece como pressuposto a vulnerabilidade do consumidor frente ao fornecedor. Essa disposição do princípio da vulnerabilidade – que é absoluta, devemos lembrar – é uma arma poderosa nas mãos do consumidor, que o torna muito forte perante os serviços financeiros. Resta esperar para os acontecimentos práticos que o novo sistema trará.
*Haroldo V. Baraúja Jr. é advogado especialista em direito civil, empresarial e eletrônico. Ele também é professor universitário em cursos de graduação e pós-graduação. Autor de obras jurídicas. Sócio fundador de HBS Advocacia.
