Fernando Menegat
Advogado, doutorando em direito pela USP e professor de direito administrativo da Escola de Direito e Ciências Sociais da Universidade Positivo
Bancos de dados são compartilhados entre empresas para municiar (quase literalmente) setores de telemarketing. Algoritmos de busca esquadrinham nossas preferências e sugerem nossa próxima compra ou destino de viagem. Polêmicas envolvem grandes empresas do setor de tecnologia sobre a suposta quebra de sigilo dos usuários de redes sociais e smartphones – o principal executivo de uma delas tapa a webcam de seu computador com fita adesiva. Brada-se que os microfones de nossos celulares estão ativos 24 horas por dia. A luta pelo mercado é hoje, principalmente, uma luta pela obtenção de dados.
Na obra Como mentir com estatística (1ª. ed. 1954), Darrell Huff demonstra com maestria como dados podem ser manipulados para transmitir a mensagem desejada. Se "a propaganda é a alma do negócio", é certo que, cada vez mais, dados são a alma da propaganda.
Nesse contexto, espanta que até o momento apenas algumas empresas tenham inserido em seu radar a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). Ainda que a entrada em vigência da lei em questão esteja programada apenas para fevereiro de 2020 (ou agosto de 2020, caso seja aprovada a MP 869/2018), a falsa sensação de tempo de sobra já deveria estar sendo substituída por sentimento de preocupação, haja vista a importância dos deveres criados e o imenso impacto que a LGPD terá sobre todas as atividades empresariais.
À medida que a LGPD tem por intuito primordial criar regras para o tratamento (coleta, armazenamento e manejo) de dados pessoais por terceiros, suas regras se aplicam a praticamente todas as empresas, visto que, muito provavelmente, ao menos em alguma etapa da cadeia produtiva elas lidarão com dados de pessoas.
Não poderiam passar imunes à lei os órgãos e entidades da administração pública – aí incluídas as empresas estatais – expressamente submetidos às regras da LGPD por força de seu artigo 3º, que assenta a aplicabilidade da lei para "qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado". Tanto é assim que a LGPD destina capítulo próprio (Capítulo IV, artigos 23 a 32) para regular o tratamento de dados pessoais pelo poder público.
É correto afirmar, assim, que a partir da LGPD incorpora-se um elemento adicional aos programas de compliance das estatais, assim como àqueles das empresas privadas e dos órgãos e entidades da administração pública, que devem passar a se preocupar, na estruturação de seus programas de integridade (notadamente nos aspectos de gestão de riscos e processos), com a previsão específica de uma política interna de tratamento de dados pessoais, de acordo com a LGPD.
Considerando, no entanto, que diversas estatais ainda não se adequaram integralmente às exigências de seu estatuto legal (Lei 13.303/16), vigente desde julho de 2018, resta saber quanto tempo demorarão para, tal qual algumas empresas privadas já o estão fazendo, movimentar-se para se adequar às exigências da LGPD. Em última análise, a pergunta é: quanto tempo levarão as estatais para compreender que, na atual era da informação, tudo são dados?.