Proteção de dados e as startups: o impacto no Brasil e Europa

Como as leis de privacidade têm impactado a atividade empresarial? Saiba mais na análise de Thiago Vinícius Vieira.

por Thiago Vinícius Vieira, advogado, Diretor na empresa Bevieri Sistemas, especialista em Direito Digital na Instituição Verbo Educacional

Um amplo regramento de privacidade de dados conhecido como Regulamento Geral de Proteção de Dados (GDPR) - (UE) 2016/679 já está sendo aplicado na Europa desde 22/05/2018. O Brasil, por sua vez, utilizou o Regulamento Europeu (legal transplant) para editar seu próprio regramento - a Lei n. 13.709, de 14 de agosto de 2018.

De modo geral, estas leis visam dar aos indivíduos uma proteção sobre seus dados pessoais, privilegiando o "direito ao esquecimento" e a informação.

Um exemplo da proteção de dados está na necessidade das empresas em ter um diretor de proteção de dados (DPO), que deve notificar as autoridades (no Brasil - a ANPD - Agência Nacional de Proteção de Dados) em caso de violação das informações. A lei europeia prevê o prazo de 72 horas para que isso ocorra.

De acordo com a lei brasileira, as empresas têm dois anos para implantar as novas regras. Entretanto, os requisitos impostos pela lei onera muito a atividade empresarial de pequeno porte, que luta para encontrar e rotular informações pessoais em seus bancos de dados.

Com a vigência da lei, um cidadão poderá ir a qualquer organização e pedir uma cópia dos dados que a empresa tem sobre ele, indagar sobre o tratamento dado às informações, com quem foi compartilhado, podendo inclusive requerer a exclusão total. Aos pequenos negócios (startups e outros), este é um procedimento muito delicado.

As empresas que não cumprem com o RGPD podem ter que pagar multas de até 20 milhões de euros ou 4% do faturamento anual global, o que for maior, no caso da Europa (art. 83.º, n.º 5). No Brasil, podem ser tomadas as seguintes sanções administrativas aplicáveis pela autoridade nacional (art. 52): advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração; multa diária; dentre outros.

Healthtechs e a proteção de dados

As startups na área de saúde, também chamadas de healthtechs, são as mais afetadas. A minimização dos dados online, por exemplo, pode afetar a eficácia dos sistemas de Inteligência Artificial (IA), pois eles não poderão mais detectar as informações online de um usuário e fornecer uma análise precisa do progresso e saúde do paciente.

Vale lembrar que as startups estão sendo forçadas a contratar profissionais de proteção de dados que tenham habilidades especializadas e experiência para detectar quaisquer brechas e pontos fracos no sistema de banco de dados de uma organização. As empresas que não têm recursos para contratar o profissional em tempo integral terão que consultá-lo regularmente.

Como consequência, pode haver uma limitação do processo criativo de desenvolvedores de aplicativos e serviços médicos que melhorarão a qualidade dos cuidados de saúde entre os pacientes. As empresas digitais do setor poderão ser responsabilizadas por qualquer violação de dados, em razão do manejo de dados sensíveis.

A complexidade aumenta às healthtechs pois uma série de outras legislações devem ser observadas, a exemplo dos regulamentos da telemedicina, do Conselho Federal de Medicina, e outros.

Descumprimento das leis de privacidade

A empresa que não estiver de acordo com as normas de proteção de dados está sujeita a escrutínio rigoroso pela autoridade de supervisão, que tem o direito legal de aplicar multas administrativas (art. 83.º do RGPD).

Em Portugal, por exemplo, após uma denúncia em outubro de 2018, um hospital foi multado em 400 mil euros por violar o RGPD. A Comissão Nacional de Proteção de Dados (CNPD), constatou ao menos três violações ao Regulamento:

• desrespeito ao “princípio da minimização”, acesso indiscriminado a um número excessivo de usuários.

• violação da integridade e da confidencialidade dos dados resultante da não aplicação de medidas técnicas e organizacionais para impedir o acesso ilícito a dados pessoais.

• incapacidade de garantir a continuidade da confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de tratamento.

Territorialidade da empresa e aplicação da norma

O local onde está sediada a empresa é um dos fatores a ser levado em consideração para o cumprimento das normas de proteção no Brasil e Europa.

Principalmente no Velho Continente, cada estado-membro possui uma lei própria. Embora um dos principais objetivos do RGPD da União Europeia seja a harmonização das regras de proteção de dados em toda o continente, ele também prevê certas áreas onde os estados podem aplicar exceções ao regulamento.

Para maiores informações sobre o status de legislação em cada país consulte: https://iapp.org/resources/article/eu-member-state-gdpr-implementation-laws-and-drafts/