Para advogados, legislação da União Europeia aumentou conscientização sobre direitos de titulares de dados
De maio de 2018 a janeiro deste ano, empresas europeias já fizeram 41.502 notificações sobre ameaças ou incidentes de vazamento de dados, conhecidos como “data breach”. As notificações são obrigatórias em casos de suspeita de compartilhamento ilegal de informação.
A exigência está no Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), lei responsável por criar regras de proteção de dados para a União Europeia. A legislação obriga que a notificação de um incidente de dados seja feita pelas empresas até 72 horas após a identificação de um vazamento.
Os números de notificações foram apresentados pela pesquisa “GDPR in numbers“, produzida a partir de dados da European Data Protection Board (EDPB), entidade responsável por aplicar as normas da GDPR. A EDPB analisou as notificações desde maio de 2018, quando a lei europeia entrou em vigor.
O estudo mostra que houve crescimento nos avisos das empresas em incidentes de vazamento de dados. Em novembro de 2018, os registros davam conta de 30 mil notificações. Desde dezembro, mais de 11 mil ameaças de data breach foram notificadas.
O estudo também identifica que o número de reclamações da população europeia sobre o uso indevido de seus dados pessoais por empresas aumentou. Desde maio de 2018, as reclamações individuais chegaram a 95.180. Uma reclamação individual pode ser feita por um cidadão quando uma informação pessoal é usada sem consentimento, por exemplo.
Em dezembro, o número era de 60 mil reclamações. Em apenas um mês, portanto, a população europeia emitiu mais de 30 mil novas notificações para as autoridades responsáveis em cada país.
“As notificações de vazamento de dados e reclamações da população mostram que, de fato, a conscientização sobre proteção de dados na Europa cresceu de maneira rápida por causa da GDPR”, avalia o advogado Dirceu Santa Rosa, do Montaury Pimenta Advogados.
Outro fato que influenciou o crescimento das denúncias, segundo Ana Carolina Cesar, sócia do escritório Daniel Advogados, foi a maior visibilidade que o tema ganhou na mídia. Ela cita como exemplo a multa aplicada ao Google no valor de 50 milhões de euros pela agência nacional de dados da França.
A autoridade entendeu que a empresa não foi transparente ao prestar informações sobre a utilização de dados pessoais de clientes. Foi a maior multa aplicada em violações de dados na Europa, que ganhou destaque globalmente.
“O GDPR uniformizou as infrações na área de vazamentos de dados. Antes, cada autoridade dos países europeus tinha uma maneira para lidar com o problema. Agora, a ameaça é reportada pelas empresas em uma única forma indicada pela lei”, diz Ana Carolina.
Somente em 2018, segundo a pesquisa, a palavra GDPR foi mencionada mais de 300 mil vezes em notícias na mídia. No mês de maio de 2018, quando a lei europeia entrou em vigor, buscas no Google sobre a legislação foram superiores a pesquisas por superestrelas americanas como a cantora Beyoncé e a modelo global Kim Kardashian.
“A ampla divulgação do tema gerou esclarecimento para a população acerca dos seus direitos e dos deveres dos agentes de tratamento de dados pessoais, o que ensejou o grande número reportado”, afirma Caio Lima, sócio do escritório Opice Blum.
O estudo mostra que as principais áreas que sofreram reclamações sobre uso indevido de dados pessoais foram telemarketing, e-mails promocionais e vigilância de câmeras sem o consentimento da população.
Segundo Ana Carolina, no caso das empresas de telemarketing e e-mails promocionais, a violação de dados ocorre por causa do uso de bases de informações anteriores à criação da GDPR.
“As mesmas bases são usadas sem readequação à lei e ao consentimento dos titulares dos dados. Usam as informações, enviando e-mails promocionais, por exemplo, sem o titular saber. A GDPR, nesses casos, garante o direito de exclusão dos dados do cidadão na base da empresa”, afirma Ana Carolina.
A pesquisa também registra que houve 255 casos com investigações em autoridades de proteção de dados de mais de um país. Isso ocorre quando uma empresa com problemas de vazamento de dados presta serviços em mais de uma localidade. Caso as autoridades dos países estejam em desacordo sobre o trâmite da investigação, a EDPB funcionará como um órgão de arbitragem para o processo.
Brasil e ANPD
“O papel da recém-criada Agência Nacional de Proteção de Dados (ANPD) será criar no Brasil a cultura de proteção de dados, educando a população acerca dos direitos dos usuários”, avalia Lima.
Para ele, a ANPD, criada nos últimos dias do governo de Michel Temer, por meio da Medida Provisória 869/18, deverá publicizar as infrações de dados pessoais como forma de conscientizar a população brasileira.
A ANPD foi criada após a aprovação, em agosto de 2018, da Lei Geral de Proteção de Dados (LGPD), que cria regras para o tratamento de dados pessoais. As empresas e o setor público têm até agosto de 2020, quando o marco legal entrará em vigor, para se adaptar às normas da legislação.
“As notificações na Europa são de consumidores individuais. Atualmente no Brasil, as reclamações são realizadas por associações de consumidores e pelo Ministério Público, não pela população”, afirma Santa Rosa.
Para os advogados, a menor intimidade da população brasileira com legislações de proteção de dados pode significar um número inferior de reclamações comparados aos números europeus.
“A legislação brasileira ainda não é específica em pontos como o prazo para a notificação em caso de vazamento de dados. A GDPR estabelece 72 horas. Aqui, isso ainda precisa ser discutido. É um processo recente no país”, avalia Ana Carolina.
De acordo com Caio Lima, será função da ANPD editar normas, criar e emitir opiniões para suprir lacunas na LGPD. “O órgão nacional precisa ter uma atuação semelhante à autoridade europeia, monitorando as suspeitas de incidentes”, diz.
Fonte: ALexandre Leoratti - JOTA (https://www.jota.info/pesquisa-empirica/gdpr-vazamento-de-dados-41-mil-casos-06022019), acesso em 07/02/2019.