Observamos atualmente um crescimento exponencial no uso da internet e da tecnologia no mundo dos negócios. Por outro lado, as empresas estão cada vez mais agressivas em suas ações de marketing e utilizando os dados pessoais para fins de promover as suas atividades. Ademais, verificamos, rotineiramente, a ocorrência de vazamentos de dados em todos os setores da sociedade, bem como hackers agindo na rede por motivos econômicos e outros tantos que nem podemos imaginar.
A sociedade civil e alguns políticos perceberam a dinâmica acima, o que gerou a criação de leis visando regular estas questões, de modo a proteger os direitos fundamentais da privacidade, liberdade e livre formação da personalidade de cada indivíduo.
O Brasil espelhou a legislação europeia e promulgou a nossa Nova Lei Geral de Proteção de Dados Pessoais (LGPD) que elenca como seus princípios norteadores a finalidade, transparência, não discriminação, necessidade e limitação, segurança, prestação de contas, livre acesso, prevenção e exatidão, bem como determina que as companhias promovam medidas de adequação de suas atividades internas aos termos da legislação e outras providências.
As principais mudanças referem-se à revisão dos procedimentos internos que tratam dados pessoais, cujo início se dá com o registro das operações (Record of Processing Activities, ROPA) o qual permitirá à organização visualizar as áreas mais sensíveis à incidência da Lei e adotar medidas, salvaguardas e mecanismos de mitigação dos riscos identificados.
Ao final deste processo de risk assessment e risk management, a companhia deverá compilar tais dados no Relatório de Impacto (RIPD), documento este fundamental para se provar conformidade frente às autoridades públicas. Por fim, cabem às organizações a nomeação de um Encarregado (Data Protection Officer, DPO), bem como estruturar e estabelecer planos de resposta às solicitações de titulares e de incidentes de privacidade nos prazos legais.
Cabe sempre lembrar que se entende por dados pessoais todas as informações suficientes para identificar uma pessoa natural, tais como os números de telefone e do Cadastro de Pessoais Físicas do Ministério da Fazenda (CPF/MF) ou uma imagem obtida por meio de câmera instalada em uma loja. Ademais, a LGPD denomina como “titular” a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento, bem como “controlador” qualquer pessoa jurídica ou física que usa informações para fins econômicos e a quem compete às decisões sobre o tratamento de dados, existindo, ainda, a figura do “operador” que é quem realiza o tratamento de dados pessoais em nome do controlador.
Nessa esteira, cumpre esclarecer que a LGPD dispõe sobre as regras acerca da responsabilidade dos agentes (controlador e operador) em cenários de incidentes e prevê penalidades administrativas diversas, quais sejam, advertência, multas, bloqueio de dados e publicização da infração. Em resumo, responderá o controlador em primeiro lugar, podendo ser incluído solidariamente o operador quando, em razão do tratamento de dados pessoais, descumprir as obrigações da Lei ou não seguir as instruções lícitas do controlador, conforme os artigos 42 e seguintes.
Este ponto é sensível às redes de franquia, uma vez existindo compartilhamento de dados entre as empresas franqueadora e franqueada, prática esta corriqueira. Vale ressaltar que as penalidades previstas são pesadas, incluindo, conforme acima, a publicização do evento, o que pode representar severo prejuízo à imagem da marca e da rede como um todo.
Na relação franqueado – franqueador podemos verificar um cenário em que ambos são co-controladores para determinados dados e não para outros (por exemplo, quando há o tratamento em conjunto de dados pessoais dos clientes). Ou ainda uma situação em que o franqueador é operador dos dados controlados pelo franqueado (por exemplo, quando existe o compartilhamento dos dados dos colaboradores dos franqueados com os franqueadores).
Nessa linha, cabe a franqueadora adaptar os seus contratos de franquia e definir as políticas de privacidade da rede sobre a gestão e tratamento dos dados pessoais, além de promover as medidas de segurança da informação compatíveis. Dentro deste escopo, há a necessidade de a franqueadora exigir e viabilizar o respeito dos franqueados acerca de sua política de governança sobre o assunto. Do lado dos franqueados, estes também devem seguir o estipulado na legislação, igualmente considerando as suas características.
Por fim, importante destacar que a conformidade com a LGPD está intimamente relacionada ao processo de “transformação digital”, na medida em que, a partir do avanço tecnológico das organizações, cuidados com a privacidade devem ser intensificados para garantir que os processos internos ocorram de forma sustentável e dentro da legalidade. Frisa-se que os riscos à privacidade dos indivíduos aumentam quando existe a prática de atividades que envolvam a computação em nuvem, internet das coisas, automação e big data.
*Daniel Cerveira é advogado, sócio do escritório Cerveira, Bloch, Goettems, Hansen & Longo Advogados Associados, autor do livro “Shopping Centers – Limites na liberdade de contratar”, São Paulo, 2011, Editora Saraiva. “Franchising”, São Paulo, 2021, Editora Thomson Reuters Revista dos Tribunais, prefácio do Ministro Luiz Fux, na qualidade de colaborador, Consultor Jurídico do Sindilojas-SP e atuou como professor de Pós-Graduação em Direito Imobiliário do Instituto de Direito da PUC-RJ, MBA em Gestão em Franquias e Negócios do Varejo da FIA – Fundação de Instituto de Administração e pós-graduação em Direito Empresarial da Universidade Presbiteriana Mackenzie