Entrevista

Renato Opice Blum

Com a criação da Lei Geral de Proteção de Dados (LGPD), as informações pessoais disponibilizadas a empresas públicas e privadas estarão mais seguras. As novas regras impedem que os dados sejam coletados ou utilizados indiscriminadamente, promovendo a transparência.

No Clube, a lei está sendo devidamente implementada e o trabalho está sendo conduzido por uma Comissão, especialmente nomeada para o projeto, e conta com a colaboração do associado Renato Opice Blum, que é especialista no assunto.

Advogado e economista, o pinheirense é também patrono regente da pós-graduação em Direito Digital e Proteção de Dados da Escola Brasileira de Direito – EBRADI, coordenador da pós-graduação e do curso de Direito Digital e Proteção de Dados da FAAP e professor em cursos no Insper.

Em entrevista à Revista, o especialista esclarece dúvidas sobre a nova lei e revela como será incorporada ao dia a dia do ECP.

O que a Lei Geral de Proteção de Dados (LGPD) muda na vida das pessoas?
Um exemplo prático vai ser quando a pessoa for fazer uma compra. Normalmente, ela vai ver um aviso ou uma notificação do que será feito com aquele dado fornecido. Em alguns casos haverá a solicitação do consentimento, e em outros casos, quando não houver essa necessidade, não haverá. Mas, toda vez que fornecer um dado pessoal, o usuário vai receber algum tipo de informação. É isso o que vai mudar no dia a dia para nós que somos os titulares dos dados. Quem terá de se adaptar são os chamados “controladores”, no nosso caso é o Clube, que é o controlador do banco de dados dos associados.

A LGPD foi inspirada em uma lei europeia. Que benefícios isso garante?
Temos uma lei muito parecida com a europeia, o que é muito bom, porque a Europa já vem pensando nisso há cinquenta anos. Então é uma lei muito bem estruturada. É uma alternativa interessante você quase que copiar a lei, até para aproveitar os precedentes de lá. Tem uma coisa que é muito positiva e até curiosa: na União Europeia, quando a LGPD entrou em vigor, em maio de 2018, aproximadamente 20% das empresas estavam em conformidade. Aqui no Brasil o cálculo que existe hoje é de 20% a 30%. Ou seja, mesmo a gente não tendo essa cultura e tendo um curto tempo de debate, 30% das empresas brasileiras alcançaram um grau de maturidade muito bom. Claro que 30% ainda é pouco, mas, fazendo a comparação, é muito positivo.

Como especialista no assunto, o senhor acha que essa lei vai “pegar”?
Essa lei já pegou, exatamente pelos precedentes que temos. Antes de a lei entrar em vigor, já era usada como apoio em várias decisões envolvendo privacidade. Já houve precedentes com aplicação, mesmo sem aplicação das sanções da lei. O cuidado com os dados hoje é “macro”, quem não tomar cuidado vai ficar excluído do mercado, vai ter uma imagem ruim e uma série de dificuldades até no fechamento de contratos.

Como estão os prazos para as empresas se adaptarem à LGPD?
Em agosto de 2021 terá início a aplicação das sanções às empresas que desobedecerem às regras. As demais obrigações já estão em vigor desde o dia 18 de setembro. Hoje já é comum empresas e até clubes receberem uma pergunta de resposta obrigatória: se eles têm dados que foram tratados em nome dessas pessoas, e de que forma esses dados são tratados, quais são as políticas de segurança, a tecnologia empregada, quais foram as bases legais da lei utilizadas nesse tratamento etc. E a lei diz que você tem quinze dias para responder de uma forma mais completa. Se houver, por exemplo, uma relação de consumo, a empresa que não responder pode ser multada pelo Procon. Não é o caso do Clube, porque não há uma relação de consumo.

Como a lei se aplica no ECP?
No caso do Clube, podemos ter a atuação e a autuação por parte do Ministério do Esporte, das Secretarias Municipais e do Estado, dentro do sistema regulatório, se não houver um cuidado adequado com dados pessoais de atletas. Estamos falando de associados, mas o Clube também tem dados pessoais de esportistas. Tem dados normais e também tem dados sensíveis, que exigem um cuidado maior. O sistema já está funcionando graças às estruturas já existentes. A LGPD vai reforçar, completar e inspirar a atuação desses órgãos que já fazem isso hoje. O que vai mudar no dia 1º de agosto é que vamos ter mais um órgão com capacidade de fiscalizar, auditar e aplicar sanções. O nome desse órgão é Autoridade Nacional de Proteção de Dados, que acabou de ter sua composição aprovada no Senado. Agora só falta tomarem posse, o que vai acontecer nas próximas semanas. O grupo vai interpretar a lei ponto a ponto, inclusive para clubes e associações esportivas. A cada dia teremos novidades sobre isso.

Quando fornecemos nossos dados pessoais, quais são os nossos direitos?
Os direitos dos titulares são compostos da seguinte forma: o direito de questionar a existência desses dados, o direito de aceitar esses dados, o direito de exigir a correção desses dados e até o direito de solicitar que os dados sejam deletados. Este último é relativo, não é absoluto, porque existem hipóteses que a própria lei prevê em que, mesmo que a pessoa peça que os dados sejam deletados, a empresa pode guardá-los para alguns propósitos específicos. Se esses direitos não forem cumpridos, pode haver aplicação futura de sanções por parte da Autoridade Nacional.

Se os dados forem usados de forma incorreta, quem pode questionar a empresa?
O titular pode exigir que isso seja cumprido, se não for relação de consumo, por exemplo, fazendo um questionamento aos órgãos do poder executivo. A pessoa pode usar mecanismos jurídicos para brigar, entrando com uma ação e obtendo uma liminar para que a empresa faça o que está sendo solicitado. Qualquer pessoa que tiver um prejuízo em função do não cumprimento desses direitos e demonstrar isso pode cobrar também.

Já existem muitos casos?
Obviamente nenhuma instituição quer experimentar um vazamento de dados, mas isso tem acontecido com cada vez mais frequência, principalmente na época da pandemia. Isso acontece de forma, muitas vezes, culposa, por não ter havido atualização do sistema. Ou por algo que aconteceu de forma imprevista. A LGPD traz essa responsabilidade objetiva para as empresas, que respondem por essas questões, mesmo que não queiram. Se for comprovado que houve negligência, isso aumenta o valor da indenização que deverá ser paga.

A lei chega, então, em um momento importante?
Sim, sem dúvida chega em um momento muito importante, principalmente pelo fato de estarmos mais digitais do que nunca. E quanto mais se usa isso, naturalmente, mais existe vulnerabilidade. É o que está acontecendo. A LGPD prestigia muito a diligência. Inclusive, quando houver a autuação, havendo demonstração de diligência por parte da empresa, de “olha, fiz tudo o que devia ter feito e mesmo assim aconteceu o vazamento”, isso vai ser considerado na aplicação da multa.

Como o senhor acha que vai ser a implementação da lei no ECP?
O Clube, se compararmos com outras estruturas, tem uma estrutura muito boa e avançada. A direção dos sistemas é feita de forma muito profissional, levando em consideração não só o preço, mas a técnica também. E há uma disposição do Clube, neste momento, em fazer a adequação à lei da melhor forma possível. Estou inclusive, informalmente, ajudando nisso. Informalmente eu digo porque não posso ser contratado. Das instituições esportivas de que já participei profissionalmente ou que tenho acompanhado, as medidas que estão sendo tomadas pelo Clube são muito importantes. Considerando o tamanho do ECP, vai demorar um pouco. Mas o trabalho de casa está sendo feito.

Esse serviço pode ser terceirizado?
Normalmente, esse serviço é terceirizado. As empresas e até clubes não estão preparados para fazer isso internamente. Existem empresas especializadas. Por exemplo, no meu escritório temos mais ou menos duzentos e cinquenta projetos em andamento. Somos contratados por todo tipo de empresa. As empresas não têm essa estrutura preparada, esse serviço tem que ser terceirizado.

É dever do Clube cuidar do banco de dados que já existe?
A atualização faz parte de uma atividade que é feita em conjunto. Não se trata só de o Clube procurar, dentro das suas possibilidades, atualizar, mas também é uma obrigação dos associados informar mudanças e alterações nos seus dados pessoais. A atualização dos dados em si acaba sendo mais uma tarefa do associado, que deve avisar sobre isso, do que do Clube.

Quanto a dados que foram fornecidos antes da lei: os associados devem fazer algo ou é um processo automático?
Os associados não precisam fazer nada. É o Clube que vai optar por fazer algumas ações. Por exemplo, no caso dos dados dos associados, em tese não haveria nem a necessidade direta de obter um consentimento. É algo que chamamos de legítimo interesse com a própria execução da atividade do Estatuto em si. Então é preciso fornecer os dados pessoais para entrar no Clube, para receber informações, para participar das atividades. A lei prevê isso, a execução do contrato e o legítimo interesse. Pode ser que o Clube também peça o consentimento, para que os associados entendam melhor como seus dados serão usados. Ou para eventual utilização para recebimento de descontos ou outras coisas. Depende de a gestão decidir qual é a abrangência para obtenção do consentimento ou não. Eu gosto muito do consentimento, porque ele aproxima mais, dá mais transparência e dá mais abrangência para você utilizar dados.

Agora, quando entramos em alguns sites, vemos um aviso que pede a permissão para utilizar as informações. Tem sites que ainda não têm. Qual é o critério?
Quase todo site deveria implementar esse aviso. Porque isso fala do uso de cookies. De acordo com a LGPD, dado pessoal é não só aquele que te identifica, mas também aquele que pode te identificar. Quase todos os sites usam os cookies porque facilitam a navegação. Aquele que ainda não tem é porque ainda não implementou, mas deveria.

Qual conselho o senhor dá para quem tem uma empresa e precisa se adequar à nova lei?
O mercado esperava que houvesse uma prorrogação, em função da pandemia, mas isso não aconteceu. Muita gente acabou deixando para a última hora. Para aqueles que não começaram ainda, que comecem o mais rápido possível. Para aqueles que estão no processo de adaptação, que continuem. Esse processo não acaba, no Clube também não vai acabar. A gestão desses dados é contínua. Tem a atualização dos sistemas da tecnologia. Tem até um cargo novo, do encarregado de proteção de dados. É um time liderado por uma pessoa. Todas as empresas ou clubes de proporções médias ou grandes vão precisar ter esse time pronto. Esse time vai fazer toda a gestão disso. É uma tarefa para ontem.

^{FOTO: ROMERO CRUZ/OPICE BLUM}