Desde o dia 18 de setembro deste ano, está em vigor uma grande parte da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), que é a legislação brasileira que regulamenta a atividade sobre o uso de dados pessoais por todos os tipos de organizações que atuam em território brasileiro, trazendo diversas sanções aos que não estiverem cumprindo suas determinações.
Apesar do período de mais de dois anos de vacatio legis, que deveria ter sido utilizado para assimilação do conteúdo da lei, bem como de sua existência e exigências; o que se tem visto é que a LGPD ainda não está sendo observada por aqueles que devem seguir suas regras e essa falta de observação pode ser sentida no nosso cotidiano.
Com a referida legislação, passou-se a ter regulamento sobre o que é tratamento de dados cuja definição legal é: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”
Para que se faça o tratamento de dados, uma das principais exigências da lei é o consentimento, ou seja, a organização deverá obter a autorização do titular para utilização de seus dados, de maneira explícita e por ato inequívoco. Por exemplo, se você faz um cadastro em uma loja virtual e coloca o seu número de celular; para que a loja possa utilizar esse dado pessoal para recebimento de propagandas via lista de transmissão, deve obter o consentimento expresso para tal.
Antes da lei, sem a regulamentação, a lojas incluíam o cliente nas listas de transmissão de propagandas e caso houvesse pedido de retirada, assim era feito. Com a atual regra, para que o cliente seja incluído em tais listas, é preciso ter autorização expressa. Mas não é isso que estamos vendo acontecer na prática. Importante lembrar, que os dados que foram coletados antes da vigência da lei, para serem utilizados agora, também se faz imprescindível autorização do titular.
Mas então surge a pergunta: por que a lei não está sendo cumprida?
Uma das possíveis explicações é que as regras quanto às sanções administrativas para o não cumprimento das obrigações somente estrarão em vigor em agosto de 2021. Isto quer dizer que se não for observada a necessidade do consentimento do titular, por exemplo, a aplicação de multa ainda não pode ser aplicada. Mas se essa falta de consentimento vier a gerar danos ao titular, já será passível de condenação judicial de reparação civil.
Ocorre que a condenação indenizatória requer a prova do dano e neste aspecto, é possível que os tribunais ainda venham a firmar entendimento sobre o que configura um dano indenizável no tratamento indevido de dados. As primeiras decisões indenizatórias já foram tomadas, mas todas estão ligadas a compartilhamento indevido de dados e vendas de cadastro.
É de se lamentar que, na nossa cultura, a falta de sanção faça com que a lei não seja corretamente observada e espera-se que as instituições se atentem mais e melhor para as novas práticas de proteção de dados, afinal, estamos tratando de um direito fundamental que é a privacidade.