A Lei Geral de Proteção de Dados (LGPD- Lei nº 13.709/2018) trata da salvaguarda de informações que identifiquem, ou possam identificar, uma pessoa física. Embora a lei não apresente uma relação do que são dados pessoais, até porque seria tarefa de difícil sucesso, são consideradas dados pessoais, por exemplo, as informações dos documentos oficiais de identificação (Registro Geral-RG; Cadastro de Pessoas Físicas-CPF; Carteira Nacional de Habilitação-CNH; Carteira de Trabalho, passaporte, título de eleitor), mas não somente isso. Endereço residencial ou comercial, telefone, e-mail, cookies, endereço IP, fotos, imagens de câmeras de segurança, impressões digitais e placa do carro também trazem informações que podem levar ao reconhecimento e individualização de uma pessoa e, por isso, estão dentro do espectro de proteção legal.
Segundo a LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento daquela norma em todo o território nacional. No entanto, após o primeiro ano de vigência da lei, foram identificadas mais de 500 decisões proferidas em tribunais brasileiros, as quais discutiram em alguma medida a aplicação da LGPD. Isso ocorre porque cada pessoa física é titular dos seus dados e tem o direito subjetivo de proteção e obtenção de informações a respeito do tratamento realizado pelas empresas. Dentre esses direitos incluem-se (i) confirmar a existência de tratamento; (ii) ter acesso aos dados; (iii) corrigir dados incompletos, inexatos ou desatualizados; (iv) obter anonimização, bloqueio ou eliminação de dados desnecessários; (v) portabilidade dos dados a outro fornecedor de serviço; (vi) revogação do consentimento; (vii) saber com quais pessoas o controlador realizou uso compartilhado de dados e (viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa. Diante dessa ampla gama de direitos, constata-se que as demandas sobre dados, tal como ocorrem nas questões de consumo e trabalhistas, podem ser propostas pelos próprios usuários diretamente nas instâncias competentes. Assim, povoam o noticiário notícias sobre investigações ou ações lideradas pelo Ministério Público, Procons e entidades privadas de proteção ao consumidor, para proteção dos direitos previstos na LGPD.
PUBLICIDADE
A indústria marítima tem adotado algumas providências para o compliance com a lei. A Santos Port Authority (SPA) anunciou, em setembro de 2021, que teria constituído o cargo de Data Protection Officer (DPO), adotando uma denominação consagrada no exterior. A LGPD refere-se ao DPO como “Encarregado” de Tratamento de Dados, atribuindo-lhe a responsabilidade por estabelecer a comunicação entre os titulares de dados e controladores de dados, bem como entre estes e a ANPD. A SPA também anunciou a aprovação de política interna de privacidade e segurança de dados, bem como um sistema de gestão de privacidade. Com efeito, a adequação à LGPD é mais um processo e sistema de governança do que um checklist de produtos a entregar. O atendimento a esses requisitos mínimos é medida salutar e que sinaliza, ao menos, a sensibilidade das empresas para o tema em questão. Sob essa perspectiva, em novembro de 2021, foram analisadas 16 empresas de navios de cruzeiros, para verificar se os seus sites oficiais oferecem as informações mínimas sobre a proteção de dados pessoais determinada pela LGPD. Os itens verificados foram: (a) informações sobre o DPO; (b) política de privacidade disponível e (c) informações sobre o uso de cookies pelo site e os resultados são comentados a seguir.
Primeiramente, é preciso salientar que a indústria de cruzeiros opera com passageiros e prestadores de serviços de diversas nacionalidades, de forma que se faz importante verificar qual a lei de proteção de dados pessoais aplicável em cada caso. A LGPD, por sua vez, aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Sendo assim, ainda que a empresa tenha sede no exterior, ou o serviço seja oferecido em território estrangeiro, a LGPD poderá ser invocada para a proteção de indivíduos localizados no Brasil, ou cujos dados tenham sido obtidos em território nacional. Essa característica de extraterritorialidade na aplicação da lei também é prevista em outas legislações de proteção de dados, a exemplo do artigo 13 do Regulamento (EU) 2016/679 (”GDPR”).
Portanto, dentre as disposições da LGPD de aplicação imediata, encontra-se a necessidade de o controlador de dados nomear um Encarregado (DPO). Pode ser considerado “Controlador” qualquer pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Isto é, ainda que a empresa terceirize determinadas ações, como marketing, TI, por exemplo, ainda é a responsável pelas decisões sobre todas as operações dos dados pessoais e, por isso, cabem-lhe determinadas responsabilidades, tal como nomear o Encarregado (art.41 da LGPD). Dentre as empresas pesquisadas, apenas 9 disponibilizaram essa informação em seu site. Sobre a política de privacidade, embora 11 empresas tenham indicado links para acesso, 4 não apresentavam o conteúdo correspondente, muitas vezes ocorrendo erros de página, ou links sem correspondência com uma Política de Privacidade. A informação sobre cookies, no primeiro acesso ao site, estava visível em 8 sites, mas apenas 5 conduziram à obtenção de consentimento e marcação das preferências no próprio site, sem opções pré-marcadas. As indicações para desativação de cookies pelo browser, mas sem opção de alteração no próprio site da empresa, estavam disponíveis.
Em face desse breve levantamento experimental e preliminar, resta evidente a necessidade de que as empresas de cruzeiros passem a conhecer e aplicar os dispositivos legais de proteção de dados pessoais, efetivando o sistema de gerenciamento de proteção de dados de nível internacional, que possa dialogar com as diversas leis sobre o tema em vigor no mundo.
Para além das providências iniciais de divulgar o seu aviso de privacidade, nomear um Encarregado e zelar pela privacidade dos usuários de seu site, tal como nos itens pesquisados, é essencial manter em registro os seus fluxos de dados pessoais, um mapeamento adequado e medidas administrativas e técnicas de controle e segurança da informação. Somente após um diagnóstico multidisciplinar, que envolva pessoas, processos e ferramentas, será possível avaliar quais medidas razoáveis de proteção precisam ser implementadas ou aperfeiçoadas em cada caso. A nomeação do encarregado de dados (ou Data Protection Officer) é mandatória, bem como a implantação de um canal de atendimento aos titulares de dados pessoais, segundo a LGPD.
A depender do lugar de origem do usuário do site ou cliente, exigências legais podem variar, o que não é exatamente uma novidade para uma indústria cuja prática corrente é lidar com uma enorme variedade de legislações e regulamentações. Trata-se, pois, da necessidade de implantação de um ciclo permanente de revisão e melhoria, que se estenderá de forma contínua, tal como já ocorre com as rodadas de auditoria e processos de monitoramento de compliance. Acrescenta-se que tais medidas poderão isentar a empresa de penalidades, ou atenuar sanções aplicadas, possibilitando, ainda, respostas mais rápidas e assertivas às pessoas que requisitarem informações sobre o tratamento dos seus dados.
Ana Carolina Ferreira de Melo Brito é membra da WISTA- Women's International Shipping & Trading Association. Mestre e Doutoranda em Ciências Ambientais (USP). Advogada, sócia, DPO (Data Protection Officer) e Head de Direito Ambiental, Consumidor e Data Privacy em Trigueiro Fontes Advogados