Privacidade digital: violações à luz do dia, mesmo após LGPD

O choque veio logo pela manhã, lendo o jornal: “‘Contamos com um banco de dados qualificado de mais de 80 milhões de brasileiros’(...) O volume de dados resulta da área de impressão de documentos de identidade e habilitação”. Segundo o Executivo dessa empresa, ela está estudando a possibilidade de prestar “[s]erviços de análise de crédito e combate a fraudes no comércio eletrônico”.

Não, não era uma reportagem investigativa, era uma reportagem em que o diretor financeiro promovia a nova fase de sua empresa.

• Inscreva-se no EXAME IN e saiba hoje o que será notícia amanhã

Sim, era uma empresa contratada pelo Governo Brasileiro para emitir documentos de identificação e credenciada também a emitir identidade digital, que procurava mostrar suas vantagens competitivas, com base nas informações privadas individuais que obtinha nessa função.

Sim, era um executivo sênior de uma empresa que, completamente dessintonizado com os dias atuais, não estava minimamente preocupado com a invasão da privacidade individual ou em explorar as vantagens de sua relação com o Poder Público.

Sim, era uma contestação à validade e à legitimidade da Lei Geral de Proteção de Dados (LGPD).

Não creio que seja necessário explicar qual é o problema com a exploração, por particular contratado pelo Estado, de dados individuais obtidos em razão de contrato de terceirização de atividade privativa do Poder Público (emissão de documentos de identidade e habilitação). Ou porque é uma afronta à minha privacidade e uma apropriação ilegal de informação do Estado, utilizar as informações assim obtidas em benefício próprio.

Esse exemplo, de tão pitoresco, não precisa servir de base para uma discussão séria sobre quais são os limites da LGPD. Tenho certeza de que os órgãos de compliance dessa empresa irão fazer seus gestores compreenderem que as operações do negócio “incluem a emissão de documentos públicos e a administração e gestão de informações confidenciais, sensíveis, e potencialmente valiosas” e que, por não lhe pertencerem, não podem ser exploradas comercialmente.

Acho mais útil deixar esse exemplo individual de lado e focar em uma prática que está se tornando comum (e não está relacionada com a empresa do exemplo anterior): a criação de bancos de dados de pessoas, a partir de múltiplas fontes e sem autorização individual do titular da informação.

Esses bancos de dados têm sido “vendidos” por empresas de tecnologia, para verificação de identidade on-line, como se estivessem em conformidade com a LGPD, mas não estão.

O argumento de sua legalidade está no fato de a LGPD permitir o tratamento de dados para “garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei”.

Primeiramente, é preciso entender que a LGPD autoriza a manutenção de dados pessoais por pessoas privadas, sem autorização do titular, em duas situações: (i) enquanto os dados estiverem vinculados a uma operação específica, e (ii) quando esses dados pessoais são utilizados em conjunto com uma atividade fraudulenta e (essa é uma explicação não técnica, para facilitar a compreensão).

Fora dessas duas situações, a manutenção de dados individuais por entes privados depende de autorização específica do titular do dado. No termo de solicitação deve constar justificativa para a manutenção do dado, a forma de sua utilização, o prazo de manutenção, a possibilidade (e justificativa) para compartilhamento da informação com terceiros e a explicação do canal para cancelamento da autorização e expurgo dos dados. Sem autorização específica, a informação individual não pode ser incluída nesse banco de dados (especialmente informações biométricas, sujeitas a regras mais restritivas).

As companhias que mantém esses bancos dados tentam escapar dessas limitações afirmando que ele é alimentado por informação de outras empresas e clientes. Esse distanciamento da coleta de dados, entretanto, não elimina a violação à LGPD ou terceiriza a responsabilidade por tal violação, caso não se tenha consentimento específico do titular para o compartilhamento das informações. Em outras palavras, independentemente de quem coletou, caso não se tenha obtido a autorização, a informação pessoal não pode ser incluída no banco de dados.

Esses são alguns exemplos em que empresas em diferentes ramos de atividade embarcam em direta violação à LGPD. Precisamos nos aprofundar mais na prática da proteção de dados, pois “[v]ivemos na economia da confiança. Nessa economia, a moeda é a identidade, e identificação é o que dá valor a ela” e qualquer pessoa que capture a minha capacidade de identificação, sem minha autorização, está se apropriando de um valor que não lhe pertence. A LGPD está aí para lembrar a todos que a identidade é do indivíduo. Vamos respeitá-la.

*Pedro Marcilio é advogado, gestor de recursos, ex-Diretor da Comissão de Valores Mobiliários (CVM)