A quem (ou a que) servem as políticas de privacidade.

No Brasil a proteção dos dados pessoais é realizada pela Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), além, é claro, da previsão constitucional (art. 5º, LXXIX da CRFB/1988).

Com a implementação do sistema de proteção de dados pessoais no Brasil, operou-se uma série de atividades e procedimentos em busca da conformidade com a Lei, como, por exemplo, e nos casos em que se aplica, a designação de um encarregado de proteção de dados pessoais (DPO – para importar do inglês o tão conhecido acrônimo).

Dentre os procedimentos para a conformidade, consagrou-se a elaboração de termos de uso e política de privacidade, que teriam como objeto prever as formas de tratamento que poderiam ser realizadas com os dados pessoais coletados, bem como atender à transparência ao titular dos dados, imposta por lei.

Poder-se-ia dizer, portanto, que no plano das ideias as políticas de privacidade (vou simplificar o nome) serviriam para efetiva proteção do titular dos dados pessoais, o que estaria em linha com um dos princípios balizadores do Privacy by Design, que deve ser a sua centralização no usuário (o titular dos dados pessoais).

Contudo, não é o que se tem visto na prática.

As políticas de privacidade, em verdade, têm servido à proteção do controlador e/ou do operador de dados pessoais, sendo o titular dos dados mero coadjuvante no ato de conferir o “de acordo” em um documento extenso, confuso e cheio de tecnicidades que dificilmente algum dia será lido ou compreendido pelos usuários.

Inverteu-se, por completo, a lógica da coisa.

Há um intrigante estudo publicado por Aleecia M. McDonald e Lorrie Faith Cranor[1] no qual as autoras investigam a quantidade de horas que seriam necessárias para que o americano médio realizasse a leitura de todos os termos de uso dos sites que acessa, bem como o seu custo (tradução livre):

Em português claro e simples: é absolutamente fictício imaginar que os usuários realizem a leitura dos termos de uso a que são submetidos assentir.

A grande verdade é que atualmente os termos de uso têm servido aos controladores e/ou operadores de dados pessoais, principalmente para colher o consentimento do titular dos dados pessoais e usuário dos serviços prestados, subvertendo o espírito da lei, especialmente pela efetiva impossibilidade de leitura de todos os documentos assentidos e, mesmo os que são lidos, pelas dificuldades de compreensão do usuário comum.

É necessário, portanto, restabelecer a ordem natural, legal e óbvia de reinserir o usuário/titular no centro do sistema de proteção, deferindo-lhe com clareza e simplicidade as regras a que consente para tratamento de seus dados pessoais.

Seria de grande valia a implementação do visual design para tanto, tema a ser abordado em um próximo artigo.

[1] A Journal of Law and Policy for the Information Society 2008 Privacy Year in Review issue http://www.is-journal.org/

Sobre o autor:

Gustavo Cruz é Mestre em Administração de Empresas, Graduado em Direito, Pós-Graduado em Direito Digital e Proteção de Dados, Pós-Graduado em Direito Público, Pós-graduado em Direito Administrativo e Licitações, Pós-Graduado em Direito Notarial e Registral, Pós-Graduado em Segurança da Informação, MBA em Gerenciamento de Projetos, certificado Data Protection Officer (DPO) pela EXIN, Pós-graduando em Legal Operations: Dados, Inteligência Artificial e Alta Performance Jurídica, Graduando em Engenharia de Software, Graduando em Jogos Digitais, foi professor universitário por 8 (oito) anos em diversas disciplinas jurídicas, dentre as quais pode-se citar como exemplos o Direito Contratual, o Direito Administrativo e o Direito Constitucional, foi coordenador de atividades de estágio em nível superior, atua como advogado no setor privado desde 2006 e é advogado da Agência Brasileira de Desenvolvimento Industrial desde 2013.

https://www.linkedin.com/in/gustavo-cruz-03638012/