Faça o que eu digo, não faça o que eu faço
O “nascimento” do Regulamento Geral de Proteção de Dados (RGPD) em 2018 na Europa e de sua congênere brasileira — a Lei Geral de Proteção de Dados (LGPD) neste mesmo ano, mas com vigência a partir de 2020 — geraram verdadeiro booma respeito do tema. Parece inegável que desde então o tema tem se disseminado com grande velocidade, o que é bom especialmente considerando-se que a proteção dos dados pessoais é direito fundamental estabelecido há longa data (ou, como no caso brasileiro, está em vias de se tornar).
Neste contexto, e especialmente considerando-se o Brasil, surgem inúmeros projetos empresariais cujo objetivo é “fazer com que a sua empresa esteja em conformidade com a LGPD”. Por outras palavras, têm aparecido vários projetos de SaaS (Software as a Service) que, em síntese, oferecem uma maneira de fazer com que o cliente consiga cumprir com todas as exigências da LGPD com o objetivo de evitar multas(o que em si já daria um tema para outro texto: o objetivo primário da proteção dos dados pessoais deve ser o de garantir o direito fundamental ou evitar prejuízos financeiros às empresas?).
Por curiosidade, fiz um breve levantamento de 8 destes projetos de “conformidade com a lei”. Meu objetivo não foi o de verificar se tais projetos efetivamente cumprem o que promete — até mesmo porque precisaria ter acesso aos mesmos e não foi o caso –, mas sim algo mais simples: entrei no site dos projetos e verifiquei a política de privacidade e a política de cookies. O resultado, no meu ponto de vista, é razoavelmente preocupante.
Em relação à política de cookies, dos 8 sites que visitei apenas 2 tinham algum mecanismo que efetivamente dá ao visitante a possibilidade de escolher ou não quais cookies quer ter em seu dispositivo. Todos os outros 6 apenas se limitaram a fazer aquela indicação genérica que geralmente têm estas palavras: “Nosso site utiliza cookies. Ao acessar nossas páginas, você concorda que instalemos cookies em seu dispositivo”. Isto me causa muita estranheza, já que cookies são dados pessoais e, portanto, precisam ser tratados com base em um dos fundamentos de licitude previstos no art. 7º da LGPD — e dentre os incisos ali presentes, ao meu ver cookies só podem ser tratados com base no consentimento, já que o interesse legítimo do controlador é desproporcional quando comparado com a garantia dos direitos e liberdades do titular dos dados. Se o site diz que sou obrigado a aceitar cookies ao navegar no site, não tenho opção de escolha — portanto, os dados não são tratados de maneira lícita. Além disso, ao simplesmente indicarem que o site utiliza cookies, não há informação sobre quais são e para que são utilizados, desta vez infringindo o art. 9º da LGPD.
A coisa é ainda por em relação à política de privacidade: dos 8 sites visitados 3 simplesmente não tinham qualquer política de privacidade, privacy noteou algo semelhante; por sua vez, as políticas de privacidade dos outros 5 projetos mais pareciam um contrato, o que novamente, a meu ver, infringe o art. 9º da LGPD por não serem as informações disponibilizadas de maneira clara e adequada — quando mais ostensiva, especialmente considerando-se que a política de privacidade de alguns deles fica razoavelmente escondida no site. Ainda no caso destes 5 projetos que disponibilizam uma política de privacidade, apenas um inclui 5 das informações exigidas neste art. 9º; outro indica 4 das informações ali exigidas, e os outros três indicam no máximo 3 destas informações. Como Rowenna Fielding disse em seu excelente artigo, o enquadramento jurídico que explicitamente está presente em tais textos fazem com que os mesmos sejam “legalmente defensáveis”, mas não buscam efetivamente “proteger direitos e liberdades” — por outras palavras, tais textos têm tudo menos transparência, que é elemento central na proteção de dados pessoais.
(E a propósito, sugiro fortemente a leitura do artigo da Rowenna, que está devidamente traduzido e disponível neste link.)
Tudo isso para dizer o que? Que estas empresas que estão fornecendo projetos de “conformidade com a LGPD” não estão em conformidade com a LGPD. Como diz o ditado, em casa de ferreiro o espeto é de pau. E isso é grave, especialmente considerando-se o objetivo explícito de tais projetos e o impacto que os mesmos terão nas empresas que os contratarem. É claro que não sabemos ainda qual será o posicionamento da futura ANPD a respeito de tais violações — se brando ou mais rígido –, mas os recentes desenvolvimentos do tema aqui na Europa demonstram que as Autoridades Nacionaisnão estão de brincadeira. E considerando-se o espelhamento entre RGPD/LGPD, talvez seja possível esperar que a ANPD também faça o mesmo espelhamento em relação à sua forma de atuação.
Posso ter tido azar em minha pesquisa e ter encontrado exatamente aqueles exemplos que não são bons? Sim, há uma chance disto ter acontecido, especialmente porque a pesquisa realizada não teve, obviamente, nenhuma cientificidade. Mas a recomendação a todas as empresas que queiram adquirir tais soluções é esta: tentem verificar, de alguma forma, se a empresa que vende soluções de conformidade está em conformidade. Caso contrário o prejuízo poderá ser ainda maior.
(Ah, e para quem quiser ver um ótimo modelo de política de privacidade bem feita basta clicar neste link.)