“Temos responsabilidade no armazenamento correto das informações coletadas e qualquer compartilhamento deve ocorrer de forma responsável. 1. Processo Seletivo ” Com relação à coleta de dados durante o processo seletivo, a área de recursos humanos possui contato com dados pessoais e sensíveis devido ao recebimento de inúmeros currículos. O candidato poderá ou não ser contratado pela empresa e, portanto, é preciso que o tratamento dado ao currículo se enquadre em uma dessas duas situações: (i) o descarte imediato de currículos que não se encaixam ao perfil da vaga ou empresa; ou (ii) o armazenamento com um período de descarte bem determinado e que não seja excessivo – considerando que currículos são atualizados de maneira rápida e que o prazo de armazenamento não poderá ser estender por anos, por exemplo. Para o caso (ii) é prudente obter autorização para manutenção dos seus dados num processo futuro. Em caso negativo, referido documento deve ser descartado. Tendo em vista as hipóteses apresentadas acima, muitas empresas buscam facilitar seus processos disponibilizando em seu site ferramentas que permitem o preenchimento de fichas/questionários on-line pelo próprio candidato. Se, por um lado, este meio garante agilidade ao processo, por outro, torna a troca de dados mais suscetível a riscos. Por este motivo, devemos buscar minimizá-los nos questionando a quem de fato deve ter acesso a esses dados. Assim, questiono: todas as pessoas com acesso estão validadas e atuam de alguma forma no processo? Pois é uma preocupação minimizar o acesso aos dados apenas para pessoas que são indispensáveis para o seu tratamento. 51
Além disso, outro ponto que merece atenção: as informações solicitadas, e, portanto, coletadas no preenchimento da ficha/formulário, são todas necessárias? Fazem diferença na análise inicial? O princípio da finalidade deve ser observado e a transparência é fundamental, assim como explicar ou justificar o motivo da coleta do dado é importante. Na hipótese de se utilizar consultorias ou terceiros que apoiam os processos, recomenda-se a obtenção de consentimento do candidato para a transferência e compartilhamento. 52
2. Contratação e Desligamento do Colaborador Uma vez que o candidato é aprovado no processo seletivo inicia-se então uma nova etapa: a formalização do contrato de trabalho, que deverá conter cláusulas sobre uso de dados e o seu respectivo tratamento. Hoje, muitas empresas, em razão da LGPD, inserem cláusulas de privacidade e proteção de dados nos contratos de trabalho. As cláusulas refletem o dever de confidencialidade por parte do colaborador durante eventuais tratamentos, como na contratação de cientistas de dados, profissionais da área de tecnologia. Além disso, as cláusulas tratam também sobre o tratamento que será feito pela empresa tendo o seu colaborador como titular de dados. Com relação ao contrato de trabalho, os colaboradores devem concordar com o tratamento dos seus dados e essa manifestação deve ser livre, expressa, informada e inequívoca, sob pena de ser nula a autorização dada e de ser entendido que houve coação na outorga do consentimento. “Hoje, muitas empresas, em razão da LGPD, inserem cláusulas de privacidade e proteção de dados nos contratos de trabalho. ” 53
“Destacamos que os dados sensíveis gozam ainda de maior proteção e apenas devem ser coletados quando imprescindíveis para o tratamento dos dados. ” Nos contratos de trabalho, onde o colaborador assume a função de encarregado e, portanto, é responsável por manusear informações, deve ser expresso que este deverá atuar com ética, confidencialidade e responsabilidade. É possível incluir um anexo ao contrato de trabalho descrevendo todas as responsabilidades da sua atividade, deixando de forma clara a obrigatoriedade de se seguir as melhores práticas, prevendo ainda que, em caso de violação de alguns desses deveres, será atribuído a este profissional a responsabilidade por uma não conformidade, podendo ainda ser aplicada demissão por justa causa, sem prejuízo ao empregador do direito de regresso em caso de incidente de proteção de dados. Destacamos que os dados sensíveis gozam ainda de maior proteção, e apenas devem ser coletados quando imprescindíveis para o tratamento dos dados. Dados que dizem respeito a raça ou etnia, convicção religiosa, opinião política, dados de saúde, dados sobre vida sexual, filiação sindical, organização religiosa, ideologia política ou filosófica, são considerados dados sensíveis. Portanto, fiquem atentos quanto a transferência desse tipo de dados, que apenas devem ocorrer com o consentimento do titular de dados, isto é, do colaborador. Não é incomum que dados de saúde de colaboradores, como seus prontuários médicos, sejam mantidos no departamento de medicina do trabalho de uma empresa. Nesse sentido, essa é uma prática comum e que deve ser vista hoje com muita cautela, pois a identificação de CID em documentos que podem ser retransmitidos a terceiros, sem o consentimento do titular do dado, pode ser interpretado como um incidente de segurança da informação e de proteção de dados. 54
Valeria a pena a inclusão de uma cláusula no contrato de trabalho, que autorize o empregador a transferir os dados pessoais do colaborador a advogados e profissionais que atuem com medicina preventiva dentro de algum programa de saúde específico da organização, sempre detalhando de forma transparente a finalidade. A transferência de dados de colaboradores a órgãos públicos para o cumprimento de obrigações legais está prevista na lei geral de proteção de dados e não requer o consentimento do titular de dados. O empregador, portanto, está autorizado a transmitir dados pessoais e sensíveis ao INSS, ao ministério público do trabalho e demais órgãos públicos requisitantes. E,aindaquealegislaçãopossibiliteaexclusãodedadosousuaportabilidade, o empregador deve manter os dados de seus ex-colaboradores, para eventual comprovação perante órgãos fiscalizadores, ou até para se defender numa eventual reclamação trabalhista. Entretanto, alguns dados podem ser eliminados conforme artigos 15 e 16 da LGPD. 55
Hoje, diante de novas formas de controle de jornada e da possibilidade de contratos de trabalho em diversas modalidades, muitas organizações passam a utilizar aplicativos para controle de jornada, dados biométricos para controle de acessos, geolocalização, entre outras ferramentas. Nesse sentido, a Portaria nº 1.510 do TRT (Tribunal Regional do Trabalho) estabeleceu regras para as marcações de ponto eletrônico. Existem inúmeras opções no mercado e algumas delas utilizam reconhecimento facial ou uso de dados biométricos. A biometria é considerada como um dado sensível e, portanto, para o seu tratamento é necessário colher o consentimento do titular do dado, bem como garantir que a biometria obtida apenas será utilizada para a finalidade informada ao titular. Hoje, em nosso segmento, é comum a ocorrência de terceirização de mão-de-obra e, consequentemente, o compartilhamento de dados pessoais (como, por exemplo, comprovantes de quitação previdenciária dos trabalhadores terceirizados para o tomador de serviços). Nesses casos, a empresa que é a prestadora de serviço compartilha dados com o tomador e os contratos devem refletir essa possibilidade de transferência. “Na hipótese de uso indevido de dados de um determinado colaborador, pode a Organização ser responsabilizada pelos órgãos de fiscalização e responder ainda perante a justiça do trabalho por violação à intimidade, com pedido de indenização por dano moral. ” 56
Não obstante, ainda existe a possibilidade de identificação de colaboradores por meio de crachás, que permitem o acesso a determinados departamentos, ou ainda para registro de ponto na chegada e saída. É uma medida de segurança garantir acesso à organização apenas de colaboradores que apresentem crachá. Com o propósito de estarmos adequados à LGPD, devemos buscar novos formatos em crachás, como, por exemplo, por meio da substituição de fotos pelo primeiro nome do colaborador e um código. Outra possibilidade ainda seria um chip apto a permitir essa transação. Na hipótese de uso indevido de dados de um determinado colaborador, pode a organização ser responsabilizada pelos órgãos de fiscalização e responder, ainda, perante a justiça do trabalho por violação à intimidade, com pedido de indenização por dano moral (artigo 223-G da CLT). Será necessário obter autorização expressa do titular de dados para a transferência de seus dados a terceiros, caso seja oferecido como benefício ao colaborador vale refeição, vale transporte, plano de saúde e dental, seguro de vida, entre outros. Cada vez mais a tecnologia se torna aliada das melhores práticas de RH, apoiando no armazenamento de dados codificados, permitindo acessos restritos e maior segurança, evitando assim possíveis incidentes de segurança. 57
PRÁTICAS COMERCIAIS APLICADAS AO MARKETING 58
59
Breve introdução ao Marketing De forma sucinta, marketing pode ser definido como um conjunto de ações adotadas para alcançar o público-alvo, de forma a promover produtos e serviços que satisfaçam suas necessidades e desejos. Com o avanço de novas tecnologias, é possível observar que o marketing tomou novos caminhos, e por consequência, também suas técnicas, como o inbound e outbound, que são duas formas diferentes de trabalhar as estratégias de marketing de uma empresa. O inbound marketing busca despertar o interesse do cliente, por meio de conteúdo relevante, para que ele chegue ao seu produto, que tem por objetivo aumentar o fluxo de visitas em seu canal de comunicação e, por consequência, transformar o “usuário visitante” da página em um cliente. Já o outbound marketing pode ser considerado um meio mais tradicional, e tem como principal objetivo a busca de clientes por meio de serviços ou produtos, com o uso de propagandas no rádio, TV, jornais, revistas, cartazes, patrocínio de eventos, propaganda em um vídeo na internet, e-mails em massa e pop-ups. De acordo com a própria definição e as características das técnicas de marketing utilizadas, para que seja possível atingir o objetivo almejado, na grande maioria das vezes a utilização de dados pessoais é indispensável. Assim, ressalvadas as exceções previstas na lei geral de proteção de dados (“LGPD”) – lei federal n° 13.709/2018, quando o processo envolver o tratamento7 de dados pessoais, ou seja, todas as ações que eu realizar com dados pessoais, desde a coleta até a exclusão, todos os conceitos, obrigações e procedimentos previstos na LGPD, deverão ser observados pelas pessoas físicas e jurídicas8. 7 Art. 5º, X, Lei Federal nº 13.709/2018 8 Art. 3, caput; Lei Federal n° 13.709/2018 60
“Marketing pode ser definido como um conjunto de ações adotadas para alcançar o público-alvo, de forma a promover produtos e serviços que satisfaçam suas necessidades e desejos. ” LGPD e Marketing A LGPD atua sobre qualquer informação relacionada a pessoa natural identificada ou identificável9. Na prática, isso significa que, além dos dados que facilmente identificam uma pessoa, como CPF e RG, a utilização de informações indiretas, que combinadas indicam um determinado indivíduo, também deverá seguir os preceitos da LGPD. Desta maneira, quando os dados pessoais forem utilizados para atividades de marketing em redes sociais, campanhas de geração de leads, lista de participantes de eventos e nas demais possibilidades, é possível verificar que muitas empresas encontram grandes dificuldades em adequar seus processos de negócio, seja por não possuírem os meios adequados de coleta e tratamentos de dados, seja pelo temor de perder um asset valioso para os negócios. 61
A LGPD altera o conceito de “quantos mais dados melhor” que muitas vezes as instituições utilizam, quando há a coleta de informações, que em um primeiro momento não são necessárias, mas que podem futuramente ser utilizadas. Pois, de acordo com o princípio da necessidade10, as instituições devem tratar apenas os dados estritamente necessários para suas operações. Porém, quando analisamos a LGPD e o seu impacto no marketing, talvez a maior dificuldade seja a necessidade de que a utilização dos dados pessoais esteja sempre amparada em uma das hipóteses previstas na Lei. Tendo em vista que a intenção do presente capítulo não é explorar tais hipóteses e os seus desdobramentos jurídicos, abordaremos apenas as mais utilizadas pela área de marketing. A coleta do consentimento do titular dos dados pessoais, para fins de divulgação de atividades e de serviços desempenhados, é a prática mais comum utilizada pelas instituições para divulgar suas atividades e produtos. Em que pese em um primeiro momento a coleta do consentimento se mostrar razoavelmente simples, alguns pontos devem ser observados. O primeiro é que, de acordo com a LGPD, esse consentimento deve ser livre, informado e inequívoco, de modo que o cliente tenha todas as informações necessárias sobre como seus dados serão utilizados e para quais finalidades11. A obtenção e o gerenciamento do consentimento, no que tange aos processos de marketing, está relacionado aos processos de aceite (opt in) e não aceite (opt out), recomendados para as boas práticas do envio de e-mails de propaganda e divulgação, seja de produtos, serviços ou eventos. 9 Art. 5°, I; Lei Federal n° 13.709/2018 10 Art. 6°, III, Lei Federal n° 13.709/2018 11 Art. 5°, XII, Lei Federal nº 13.709/2018 62
O modelo sugerido para obter o consentimento sem vícios é fazê-lo de forma transparente, segregando a opção de aceitar a Política de Privacidade para o uso dos serviços oferecidos e a opção de aceitar receber e-mails com conteúdo diverso da finalidade do cadastro realizado pelo cliente, por exemplo. Assim, apresentamos um exemplo de coleta de consentimento, de acordo com as observações acima: Conforme apresentado no capítulo “direitos dos titulares de dados”, a LGPD permite que os indivíduos tenham maior autonomia12 sobre o uso de seus dados, podendo consentir com o uso destes para algumas finalidades específicas. 63
Além disso, os clientes poderão solicitar atualizações ou alterações, além de poder retirar o consentimento a qualquer momento13. Dessa forma, faz-se necessário que as instituições tenham canais de comunicação de fácil acesso e mecanismos para atender tais demandas, uma vez que, o ônus da prova que o consentimento foi coletado de maneira correta será sempre da instituição. Pelo exposto, a coleta de consentimento e a utilização dos dados pessoais para a realização de atividades de marketing deverão ser realizadas sempre com transparência e com regras bem definidas, uma vez que a utilização indevida poderá ocasionar, além de multas administrativas, a quebra de confiança e expectativa pelos titulares, acarretando em dano reputacional. Outra base legal que pode vir a ser utilizada em trabalhos de marketing é o interesse legítimo14, que possui um conceito interpretativo mais aberto e flexível, de tal forma que ele consiga se amoldar à diversidade de situações que possam existir na prática15. 64
Isso não significa que ele é completamente livre e pode se aplicar a qualquer situação. É importante observar e respeitar alguns pontos quando se pretende realizar o tratamento de dados com base no legítimo interesse, dentre eles destacamos dois, quais sejam16: I) Finalidades Legítimas: Somente propósitos legítimos, específicos, explícitos e informados ao titular justificarão o fundamento do interesse legítimo. b) Existência de Situação Concreta: O titular deve ter a efetiva expectativa de que seus dados serão tratados, em decorrência da relação prévia que exista entre ele e a pessoa que detém seus dados. Assim, necessária e obrigatoriamente, deve o titular ter passado por alguma situação real e concreta com o detentor dos dados, sendo insuficiente a mera expectativa de que venha a existir algum relacionamento entre ambos. Em outras palavras, em decorrência da relação prévia existente, é autorizado observar as preferências dos usuários e ofertar produtos/ serviços compatíveis, descontos específicos, além de situações que possam beneficiar o titular, como exemplo, mas não se limitando, em questões relacionadas à segurança e antifraude em transações bancárias por meio de compras on-line. “Os clientes poderão solicitar atualizações ou alterações, além de poder retirar o consentimento a qualquer momento. 12 Art. 18; Lei Federal n° 13.709/2018 ” 13 Art. 18, IV; Lei Federal n° 13.709/2018 14 Art. 10; Lei Federal n° 13.709/2018 15 LGPD Lei Geral de Proteção de Dados: NÓBREGA MALDONADO, Viviane e OPICE BLUM, Renato. Revista dos Tribunais. 2ª Edição, 2019. Pág. 194; 16 Idem; 65
Contudo, ao se utilizar a base legal do legítimo interesse, é dever da instituição ao menos possuir evidências do cumprimento dos princípios e das obrigações contidas na Lei. Um modo de documentar a realização dos procedimentos utilizados, do ponto de vista jurídico e técnico, é a elaboração de um relatório de Impacto de privacidade processual, documento que possui o objetivo de detalhar quais dados pessoais estão sendo utilizados, suas finalidades e, principalmente, quais são as medidas realizadas para mitigar os riscos inerentes ao negócio17. Com base nas considerações acima expostas, um exemplo prático de procedimento que deverá ser revisitado pelas instituições é o envio de e-mail. Pois, de acordo com as melhores práticas, é recomendado que as bases sejam segregadas, com o objetivo de levantar se aquele cliente ainda está ativo, e assim, possui a expectativa de receber comunicados e informativos, ou se houve o seu consentimento para o recebimento das informações que a empresa deseja enviar. Desta maneira, será possível identificar qual o real alcance e assertividade das ações realizadas. É sabido que revisitar tais dados e somente realizar a comunicação de marketing com clientes ativos, e nos casos que houver o seu consentimento explícito, poderá impactar negativamente o número de prospects. 17 Art. Art.5°, XVII, Lei Federal nº 13.709/2018 66
“Ao se utilizar a base legal do legítimo interesse, é dever da instituição ao menos possuir evidências do cumprimento dos princípios e das obrigações contidas na Lei. ” Não obstante, o envio de informações indesejadas para clientes, como telefonemas e e-mails, constituem uma das formas mais recorrentes de insatisfação e denúncias aos órgãos de defesa do consumidor, ingresso de ações judiciais e, consequentemente, futuras notificações à autoridade nacional de proteção de dados (“ANPD”). Com foco no inbound marketing, também é possível atrair a visita de usuários para a landing page, blog ou site da empresa, onde haverá um botão de “call to action” (CTA), por meio do qual esses usuários vão fornecer de forma espontânea dados como: nome; e-mail; telefone ou Whatsapp; entre outros, que forem de relevância para a estratégia de comunicação. Contudo, os dados colhidos por meio do CTA, é necessário que a finalidade do uso desses dados fique clara logo no primeiro contato. Ademais, também pode haver a utilização de cookies, que tem por objetivo principal a identificação do usuário, rastreamento e obtenção de dados úteis a seu respeito, especialmente com base em dados de navegação e de consumo18. 18 MARTINS, Guilherme Magalhães. Responsabilidade por acidente de consumo na internet. São Paulo: Revista dos Tributais. APUD BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e o limite do consentimento. Rio de Janeiro: Forense, 2019. P. 18.; 67
Por meio do registro da navegação dos usuários (utilizando os cookies), os anúncios publicitários são personalizados, atrelando com precisão a abordagem ao perfil do potencial consumidor. Isto porque, quando o usuário navega na internet, há uma série de cliques que revelam informações sobre suas predileções, reduzindo os custos da ação publicitária19. Entretanto, quando o usuário navega na internet, há uma série de cliques que revelam informações sobre suas predileções, reduzindo os custos da ação publicitária, que tenha um conteúdo claro e objetivo sobre a finalidade para qual os dados serão tratados, sendo que, seu descumprimento, poderá sofrer sanções da LGPD. Por sua vez, é de suma importância ressaltar que, no caso dos cookies ou quaisquer outras técnicas de marketing que as informações não possam identificar um titular de dados específico, a LGPD não será aplicável20. Assim, a utilização de dados anonimizados ou seja, quando não é possível associar um indivíduo, ensejará a aplicação da lei. A sugestão para estar em conformidade seria oferecer a possibilidade de unsubscribe, ou seja, de solicitar que seus dados deixem de constar na base de dados da instituição. “Quando o usuário navega na internet, há uma série de cliques que revelam informações sobre suas predileções, reduzindo os custos da ação publicitária. ”19 BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e o limite do consentimento. Rio de Janeiro: Forense, 2019. P. 19. 20 Art. 12; Lei Federal n° 13.709/2018 68
Por fim, porém não menos importante, as instituições sempre deverão avaliar os sistemas que utilizam para o tratamento de dados21, como as plataformas de envio de e-mails ou que compartilham informações de clientes, com o objetivo de garantir proteção contra acessos indevidos. Para verificar a conformidade dos requisitos de segurança do sistema, a instituição contratante dos serviços ou produtos poderá requisitar que as equipes técnicas se reúnam visando a verificar os padrões técnicos utilizados, bem como a demonstração de selos e certificações internacionalmente reconhecidos. A necessidade de exigir um alto rigor de segurança advém do fato que, perante os clientes e ao órgão administrativo de controle, os responsáveis serão as instituições que contrataram os sistemas. 21 Art. 49; Lei Federal n° 13.709/2018 69
Penalidades Caso ocorra o descumprimento da proteção de dados pessoais, como vazamento de dados; utilizados de maneira diversa a pretendida; sem autorização para tratamento, dentre outras limitações legais23, ficam sujeitos a possibilidade de advertência, aplicação de multa de até 50 milhões de reais ou mesmo a suspensão parcial ou total das atividades que envolvem o tratamento de dados. Cumpre ressaltar que, as penalidades para quem não cumprir a LGPD não serão aplicadas de imediato, uma vez que esta somente poderá vir a ser aplicada após procedimento administrativo que possibilite a defesa do acusado, de acordo com as especificidades de cada caso. Contudo, já podemos encontrar exemplos no cenário Europeu, de aplicações de sanções da general data protection regulation (GDPR)24, em casos de técnicas de marketing que acabaram por irem contra a respectiva legislação, que tem por objetivo, fornecer aos cidadãos da União Europeia, a segurança do armazenamento de seus dados pessoais coletados pelas empresas, sendo que, seus artigos e entendimentos serviram como inspiração para a criação da LGPD: 70
1. Flybe25 Em agosto de 2016, a Flybe enviou um e-mail para 3,3 milhões de pessoas em seu banco de dados com o assunto “seus dados estão corretos?” Entretanto, essas 3,3 milhões de pessoas haviam anteriormente optado por não receber e-mails de marketing e, portanto, não deram consentimento para serem contatadas, o que ocasionou a aplicação de uma multa no valor de £ 70.000. 2. Honda Motor Europe26 Em um incidente separado, a Honda Motor Europe enviou um e-mail para 289.790 assinantes entre maio e agosto de 2016, perguntando ao banco de dados se eles “gostariam de ouvir a Honda?”. Este e-mail foi enviado para esclarecer quantos dos 289.790 assinantes gostariam de receber e-mails de Marketing no futuro. Este e-mail foi enviado para pessoas que optaram especificamente por não participar, sendo que esse erro rendeu à Honda uma multa de £ 13.000. 3. Morrisons27 No final de 2016, a rede de supermercados do Reino Unido Morrisons relançou seu programa de fidelidade “Match & More”. Em uma tentativa de fazer com que mais membros aproveitem suas ofertas, eles enviaram um e-mail a todos os 230.000 membros de seu banco de dados, pedindo aos assinantes que atualizassem suas preferências de conta. Infelizmente, isso incluiu 131.000 assinantes que haviam anteriormente optado por sair e cancelar a assinatura, o que gerou uma multa de £ 10.500. 71
Esses três exemplos devem atuar como um claro sinal de alerta para as empresas - grandes e pequenas - para garantir que os procedimentos devem ser feitos de maneira correta com relação à proteção de dados. Cumpre ressaltar que, a aplicação de sanções em caso de descumprimento de preceitos legais, não ficarão adstritas somente a LGPD28, uma vez que, o Código de Defesa do Consumidor (CDC) se mostra atuante na proteção do consumidor sobre seus direitos29, além de se ter a fiscalização das campanhas de marketing, que tenham caráter enganoso, ofensivo, abusivo, dentre outros, pelo Conselho nacional de autorregulamentação publicitária (Conar)30. 23 Art. 52; Lei Federal n° 13.709/2018 24 https://gdpr-info.eu/ 25 https://ico.org.uk/media/action-weve-taken/mpns/2013731/mpn-flybe-limited-20170320.pdf 26 https://ico.org.uk/media/action-weve-taken/mpns/2013732/mpn-honda-europe-20170320.pdf 27 https://ico.org.uk/media/action-weve-taken/mpns/2014261/mpn-wm-morrisons-20170616.pdf 28 Art. 52 § 2º; Lei Federal n° 13.709/2018 29 Art. 39; Lei Federal n° 8.078/90 30 http://www.conar.org.br/ 72
Conclusão Por todo o exposto, a transparência no tratamento de dados dos consumidores por parte das empresas, em campanhas de marketing, deve ser respeitada, uma vez que, métodos que não deixem claro para o usuário quais dados estão sendo armazenados e com qual finalidade em que serão utilizados são passíveis de serem interpretados como ilegais e, portanto, poderão acarretar sanções. Neste sentido, caso as premissas determinadas pela LGPD não sejam utilizadas nas campanhas de marketing, faz-se necessário uma reavaliação dos procedimentos, pensando além da venda do produto, em como engajar o cliente, e descobrir seus interesses sobre a marca, sem que ocorra uma violação a seus dados pessoais. Mostra-se razoável que, para obter tais descobertas, o titular dos dados deva consentir em fornecer suas informações, por meu de opt-ins claros e objetivos quanto à finalidade da coleta dos dados, não podendo ser genéricos, pré-preenchidos ou terem finalidade diversa da pretendida, ou, tomando por base a relação preexistente entre as partes, mediante a identificação dos interesses do titular, ofertando produtos e descontos dentro da prévia expectativa deste, por intermédio do interesse legítimo da empresa. Posto isso, todo o escopo da utilização dos dados pessoais nas campanhas de marketing devem estar dispostos para que o titular possa entender o motivo do tratamento de seus dados e quais conteúdos poderá receber, podendo ainda, de forma simples, requerer a qualquer momento o cancelamento de tal permissão. 73
INOVAÇÃO: INTELIGÊNCIA ARTIFICIAL E STARTUPS 74
75
Inovação, inteligência artificial e startups são conceitos que se completam em uma trajetória que tem como propósito mudar o mundo que conhecemos hoje. Muitas são as definições para o termo “inovação”, mas a que melhor representa essa perspectiva da realidade é cunhada por Baregheh et al[1]: “Inovação é o processo de vários estágios pelo qual as organizações transformam ideias em produtos, serviços ou processos novos e, ou aprimorados, a fim de avançar, competir e se diferenciar com sucesso em seu mercado”. Esta definição é de 2009 e, portanto, com mais de 12 anos de existência, e 12 anos em inovação é muito, muito tempo. Os vários estágios pelos quais as organizações e grandes corporações transformam ideias em novos produtos ou serviços sofreu, e vem sofrendo, uma reviravolta que revolucionou a economia nesses últimos 12 anos e promete revolucionar ainda mais nos próximos 12 anos. O motor principal dessa revolução é a chamada “startup”. Em sua grande maioria, eram pequenas empresas formadas por jovens talentosos nas garagens de suas casas no Vale do Silício, que prometiam mudar a forma como as pessoas se relacionavam com a economia. Esses jovens traziam consigo um jeito diferente de ver 76
o mundo e, portanto, uma maneira diferente de resolver os problemas do dia a dia, que na ocasião de sua existência não tomou somente a Califórnia, nos EUA, mas o mundo todo, cunhando um novo termo para esse processo de inovação, o que é amplamente conhecido atualmente como: “Transformação Digital”. Embora esse breve histórico não venha a ser uma definição para o termo “startup”, podemos considerar que toda startup possui algumas características, conforme lembra Karassawa[2]: “(i) Caráter inovador e disruptivo de seus produtos ou serviços; (ii) Operações em situações de forte incerteza; (iii) Seu modelo de negócio é escalável e repetível” O caráter inovador e disruptivo dessas startups traz à tona um velho conhecido do mundo tecnológico, a “Inteligência Artificial”. Essa técnica é uma disciplina da computação que se propõe a elaborar softwares e dispositivos que simulem a capacidade humana de raciocínio, percepção e tomada de decisão em um modelo artificial da inteligência humana. Como se pode notar, não haveria inteligência artificial se não fosse feito através de um processo de inovação disruptivo, em cenários de forte incerteza e conduzidos por mentes brilhantes em suas garagens. A inteligência artificial na saúde não teve início nas startups, e sim “Inovação, inteligência artificial e startups são conceitos que se completam em uma trajetória que tem como propósito mudar o mundo que conhecemos hoje. ”77
em grandes universidades americanas, tais como MIT – Massachusetts Institute of Tecnology, Tufts University e University of Pittsburgh, no entanto, a maneira disruptiva de pensar das startups, traz não somente inovação de aplicabilidade, mas inovação na escalabilidade de uso de dispositivos e algoritmos, outrora caros e inacessíveis. A inteligência artificial, a inovação e o processo de criação e melhoria de produtos e processos das startups sempre esbarra no principal insumo para isso tudo: “os dados”, e é aqui, no trato aos dados que entra a Lei Geral de Proteção de Dados – A LGPD. A LGPD não traz diferenciação de regramento para grandes corporações, médias empresas, pequenas empresas, startups ou até mesmo para profissionais individuais, no entanto, após a adição do inciso XVIII do artigo 55-J feito pela Lei 13.853/2019, sobre as competências da ANPD – Autoridade Nacional de Proteção de Dados, vincula aqui uma esperança de modificação neste cenário de distinção de aplicabilidade da Lei em orientação futura. O artigo 55-J relata que é de competência da Autoridade Nacional de Proteção de Dados: “XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei.” No sentido de regulação direta, é o que se tem até o momento em 78
que foi escrito este artigo, mas é importante ressaltar outros pontos importantes na Lei, que dizem respeito a maneiras inovadoras de se pensar produtos e processos de negócio e no trato ao dado. Um destaque vai para o artigo 20, também com texto original modificado pela Lei 13.853/2019. O referido artigo diz o seguinte: “O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade” Com a maior abrangência no uso de algoritmos de inteligência artificial, e principalmente, a sua aplicação no mapeamento e construção de perfil pessoal, profissional, de crédito, de consumo e porquê não de hábitos em saúde, vale lembrar que em uma correta esteira de adequação a legislação, as entidades ou startups por elas contratadas, deverão manter na íntegra o mapeamento dos dados utilizados nesses tratamentos automatizados, bem como o registro claro das regras e padrões empregados à título de resposta ao regulador ou para atendimento ao Titular, em solicitação a revisão de decisões que o afetem. 79
Muitos são os países com regulações específicas para o tratamento e uso de dados pessoais, dentre eles podemos destacar a União Europeia, berço filosófico de nossa legislação, Estados Unidos, Japão, Argentina, Chile, México, Uruguai, Canadá e Japão. E assim como nesses países, nossa legislação veio propor uma regulação que tornasse as operações de tratamento de dados mais responsável, sem prejuízo às inovações e as operações das empresas. Referências Bibliográficas: [1] Baregheh, Anahita; Rowley, Jennifer; Sambrook, Sally (4 September 2009). “Towards a multidisciplinary definition of innovation”. Management Decision.: 1323–1339. [2] Blum, Renato Opice; Vainzof, Rony; Moraes, Henrique Fabretti. “Data Protection Officer (Encarregado): Teoria e prática de acordo com a LGPD”.: 512-513 – Karassawa, Gisele; Costa, Marcella. 1ªed. São Paulo: Thomson Reuters Brasil, 2020. 80
Expediente: Presidente Conselho de Administração Wilson Shcolnik | Grupo Fleury Vice-presidente Conselho de Administração Leandro Figueira | Alliar Médicos à Frente Conselho de Administração Ademar Paes Jr | Clínica Imagem Cesar Nomura | Hospital Sírio-Libanês Claudia Cohn | Grupo Dasa Eliezer Silva | Sociedade Beneficente e Israelita Brasileira Albert Einstein Lídia Abdalla | Grupo Sabin Diretoria Executiva Milva Gois dos Santos Pagano Redação Eduardo Nicolau Leila dos Santos Paulino Lívia Fernandes da Costa Lucas Bonafé Rogéria Leoni Cruz Walquiria Favero 81
82
Search
