Um cidadão se dirige a um prédio no qual funcionam diversos estabelecimentos (um consultório médico, um despachante, uma imobiliária etc.). Ao chegar à portaria, alguns dados são requisitados: nome, número do documento de identidade, empresa na qual trabalha… Também é capturada uma foto na recepção. O cidadão fornece todas essas informações, porém, mais tarde ele sai do local refletindo se a coleta era de fato essencial e se pode ter ocorrido algum abuso.

Dados pessoais são muitas vezes
solicitados em portarias de prédiosPixabay

Em situações como a desse exemplo hipotético, os dados de fato podem ser coletados. No entanto, as pessoas não são obrigadas a dar mais informações do que considerem necessárias. Ou seja, caso sejam pedidos mais dados — como endereço, telefone ou e-mail —, o cidadão pode questionar a finalidade do procedimento.

O estabelecimento, por sua vez, é obrigado a justificar o ato. Cada coleta deve ter uma explicação, que deve se inserir no cotidiano do negócio. Assim, uma varejista, por exemplo, pode explicar que precisa do endereço do cliente para entregar determinada mercadoria. Ou apontar a necessidade de fornecimento do CPF para emissão da nota fiscal. No caso da portaria, o motivo é a segurança do local.

Se desejar saber mais informações, o cidadão pode solicitar a política de tratamento de dados da empresa ou o contato do data protection officer (DPO) — o encarregado pela proteção dos dados dos clientes. Caso se sinta lesado, é possível registrar uma denúncia no site da Autoridade Nacional de Proteção de Dados (ANPD).

Tudo isso vale para o exemplo da recepção. “Todos aqueles que fazem o tratamento desses dados em portarias precisam ter a sua política de tratamento, informando as condições de segurança, armazenamento, implementação, as regras da própria Lei Geral de Proteção de Dados Pessoais (LGPD)“, explica o advogado, economista e professor Renato Opice Blum, especialista em Direito Digital e proteção de dados. O descumprimento de tais normas por parte do estabelecimento pode configurar infração.

Boas práticas
De acordo com Adriano Mendes, advogado especializado em Direito Digital e sócio do escritório Assis e Mendes Advogados, a prestação de informações sobre a proteção dos dados não precisa ser burocrática, nem mesmo escrita. Basta “ter um processo claro que possa ser de alguma forma auditado”.

Assim, se a coleta dos dados é oral, a resposta também pode ser oral. O mesmo vale para ligações telefônicas. Não é necessário pedir que o titular dos dados acesse o site da empresa para ver a política de privacidade. No entanto, os funcionários precisam estar treinados para explicar a finalidade da coleta de informações.

Documentos como RG e CPF são alguns
dos dados geralmentes pedidosReprodução

De qualquer forma, a empresa ainda precisa publicar a sua política de privacidade e proteção de dados. “Isso pode estar não apenas no ambiente digital, mas em um display na portaria ou na recepção, que esclareça o motivo da captura daqueles dados pessoais e pelo menos o canal de contato do DPO”, explica Patricia Peck, sócia do escritório Peck Advogados e conselheira titular do Conselho Nacional de Proteção de Dados (CNPD).

Esse aviso pode estar em um quadro, uma placa ou uma nota na entrada do prédio. Assim, é possível resumir, por exemplo, que os dados pessoais são coletados e tratados com a finalidade de identificação, autenticação e segurança. As instituições também têm a opção de disponibilizar uma versão impressa da política de privacidade no balcão da recepção.

Desde que estejam em algum lugar visível, todas essas alternativas garantem transparência e atendem à legislação. Caso tais informações não estejam disponíveis, a empresa está sujeita a multa. Assim, a ostentação gera uma vantagem competitiva.

Mesmo que as informações sejam prestadas oralmente pelo atendente ou porteiro, Peck recomenda a colocação de evidências escritas formais, para evitar problemas e proteger o controlador de eventuais falhas humanas. Isso porque a LGPD possui um regime de evidência: cabe à empresa provar que cumpriu a transparência e apresentou finalidades específicas. Ou seja, é ideal manter registros de que os titulares dos dados foram informados sobre o tratamento.

Tudo isso fica mais fácil nas plataformas digitais. Os sites possuem avisos mais claros sobre política de privacidade, uso de cookies e canais de contato com o DPO. Peck lembra que a LGPD entrou em vigor durante a crise da Covid-19 e, por isso, as instituições foram mais ágeis na adequação de seus ambientes virtuais à lei.

No entanto, ela tem a impressão de que “não foi feito o dever de casa para um ambiente de circulação presencial”, pois muitos funcionários ainda não são orientados a responder corretamente às dúvidas dos titulares. Segundo a advogada, as pequenas e médias empresas demoraram para iniciar a adequação à LGPD, na esperança de que teriam uma flexibilidade maior com a regulamentação do seu regime especial.

Titular dos dados tem o direito de
questionar a coleta das informações123RF

Finalidade
Mesmo com a possibilidade de coleta, os estabelecimentos não podem utilizar os dados para propósitos distintos. Ou seja, as informações prestadas por questões de segurança na portaria de um prédio não devem ser compartilhadas com as lojas do local ou usadas para envio de propagandas e ofertas de produtos e serviços. Para isso, é necessária a autorização expressa do titular — que pode ser solicitada no mesmo ato da coleta.

O cidadão pode sempre revogar o consentimento de uso dos seus dados. No entanto, como aponta Opice Blum, “este não é um direito absoluto”. Existem situações específicas nas quais o controlador pode manter o tratamento dos dados — por exemplo, para uso em eventuais processos ajuizados contra ele.

Além disso, Mendes explica que “nem sempre a relação jurídica é baseada no consentimento”, já que a LGPD possui dez bases legais. No caso da emissão de uma nota fiscal, a base é o cumprimento de obrigação legal ou regulatória. Por isso, o cliente não pode simplesmente pedir o cancelamento da coleta. Da mesma forma, o titular não pode solicitar à portaria de um prédio a exclusão de seus dados após sua visita ao local, pois a base legal é o legítimo interesse.

Legislação em evolução
Apesar das obrigações dos controladores e das medidas que podem ser tomadas para uma melhor transparência, Opice Blum ressalta que não é possível garantir que todos os titulares tomem ciência da política de tratamento de dados: “Esse é um direito que pode ou não ser exercido”.

Peck indica que parte da aplicação prática da LGPD “depende diretamente do próprio cidadão”. Segundo ela, é necessário cobrar das instituições o cumprimento das regras, fazer denúncias e prestigiar as empresas que já estejam em conformidade com a lei, como forma de estímulo para que outras façam o mesmo.

A LGPD, lembra a advogada, tem impacto econômico e gera barreira de negócios. As empresas em desconformidade com a legislação podem perder contratos, clientela e reputação, além de correrem risco de multa.

Proteção de dados pessoais preocupa
cada vez mais os cidadãos brasileirosReprodução

De acordo com ela, se os clientes não exigirem a conformidade, existe a possibilidade de que os empresários continuem postergando as medidas de adequação. No caso da coleta na portaria, a solicitação de certos dados pode ser mantida simplesmente porque não houve cobrança ou questionamento para observância da legislação. Parte disso é fruto da “falsa impressão” de que a LGPD vale apenas para grandes empresas.

As autoridades também têm seu papel. Na visão de Mendes, “falta ainda à ANPD se estruturar e explicar como as empresas devem atender à lei, para que elas façam a lição de casa, se adequem e consigam repassar essas informações para as pessoas físicas”. Opice Blum explica que a ANPD pode fiscalizar a atividade das empresas “a partir da requisição de documentos, denúncias ou até, eventualmente, auditorias in loco”.

“A empresa grande vai começar a exigir que seus fornecedores estejam adequados à LGPD. E esses fornecedores vão passar a exigir que seus fornecedores estejam adequados. Um efeito cascata, que um dia vai chegar em todo o ecossistema de negócios do Brasil”, acrescenta Mendes.

O advogado acredita que, conforme tais medidas se ampliarem, as pessoas terão uma boa ideia sobre os direitos de proteção dos seus dados, mesmo sem conhecerem propriamente a LGPD — algo semelhante ao que ocorre com o Código de Defesa do Consumidor ou a Consolidação das Leis do Trabalho. “As pessoas talvez não saibam ainda que existe uma lei específica que as protege. Mas isso é questão de tempo”.

Segundo ele, isso já acontece na Europa, onde a legislação é mais antiga. E a mentalidade dos brasileiros também vem mudando — cada vez mais há uma preocupação com ligações de spam e vazamentos de dados.

Mesmo assim, Peck destaca a importância (e a falta) de campanhas educativas para que as pessoas saibam melhor sobre seus direitos e deveres relacionados aos dados. Segundo ela, tais ações são fundamentais para “trabalhar a efetividade de uma lei nova”.