Márcio tem vasta experiência em assuntos relacionados ao uso legal da internet, lidando com empresas dos segmentos de negócios online e tecnologia, tanto no Brasil como no exterior.

Nessa entrevista, aproveitamos todo o conhecimento dele para entender como funcionará a Lei Geral de Proteção de Dados.  

Breve Histórico 

Márcio Cots é sócio do COTS Advogados, escritório especializado em Cyberlaw (Direito dos Negócios Digitais) com sede em São Paulo e, sócio do escritório norte-americano CyberLawStudio PLLC com sede em Nova Iorque;

  • Consultor convidado pelo Senado para debater pontos técnicos do Projeto de Lei Geral de Proteção de Dados;

  • Professor universitário de Direito nos MBAs da FIAP e atua como Professor Convidado nos MBAs da FIA/USP; 

  • Mestre em Direito pela FADISP, especialista em CyberLaw pela HARVARD LAW SCHOOL - EUA, com extensão universitária em Direito da Tecnologia da Informação, pela FGV-EPGE. Membro do Harvard Faculty Club;

  • Consultor jurídico da ABCOMM e Diretor Jurídico da Associação Brasileira de Internet das Coisas (ABINC); 

  • Autor de diversos artigos sobre o tema Direito Digital e coautor do livro Marco Civil Regulatório da Internet – Editora Atlas – 2014;

  • Foi assessor jurídico de órgãos de representação na discussão do Marco Civil regulatório da Internet no Brasil e vem assessorando estas entidades nas discussões do Anteprojeto da Lei de Proteção de Dados Privados;

  • É consultor jurídico do SEBRAE Nacional, para propositura de políticas públicas relacionadas ao comércio eletrônico e inovação (startups), tendo assessorado empresas no Brasil, EUA, França, Chipre e Angola;

  • Foi Diretor Jurídico e de Compliance de empresas de tecnologia por mais de 10 anos.

Como e por que se especializou nesse ramo do direito, voltado para o ambiente digital?

Márcio: Desde a minha formatura no bacharelado de Direito e assim que passei no exame da OAB, sempre trabalhei com empresas de tecnologia. Então desde 2004, a minha atividade profissional vem se desenvolvendo junto a empresas de tecnologia, motivo pelo qual acabei me especializando em questões legais ligadas a esse meio.

Em 2005 fiz uma especialização na Universidade de Harvard no curso de Cyberlaw pelo Berkman Center, que é o centro de pesquisa de Direito Cibernético na Universidade de Harvard. De lá para cá, venho ministrando aulas em MBAs de instituições de ensino, dou palestras tanto no Brasil quanto no exterior, e presto consultoria jurídica para empresas e órgão brasileiros e estrangeiros.

A Lei de Proteção de Dados brasileira, aprovada recentemente, tem muitos pontos em comum com a GDPR (legislação de proteção de dados da União Europeia)?

Márcio: Sim, a Lei Geral de Proteção de Dados brasileira tem como base a GDPR, e por consequência, várias características idênticas a lei europeia. É uma norma que prima pela privacidade, mas na medida do possível tenta manter o equilíbrio para que a inovação e o desenvolvimento tecnológico continuem acontecendo no país com o uso de dados.

Quais os impactos para as empresas brasileiras e para os demais atores do mercado?

Márcio: Essa Lei de Proteção de Dados Pessoais se aplica e deve ser respeitada por toda pessoa física e jurídica de direito privado, como as empresas, e de direito público, ou seja, o Governo também tem a obrigatoriedade de cumprir essas diretrizes estabelecidas pela Lei.

Agora existe uma normativa, com várias regras a serem cumpridas pelas organizações com relação ao tratamento de dados pessoais, seja coleta, armazenamento ou acesso, e esse é o grande impacto que as empresas sofrerão.

Como as organizações devem se preparar para atender essa nova legislação?

Márcio: Serão necessárias várias frentes, mas basicamente deverão atingir três objetivos. Um deles é resolver o passado, todos aqueles dados que já foram armazenados, para que eles estejam a partir de agora dentro da legalidade e possam ser utilizados dentro daquilo que estabelece a lei. O segundo objetivo é estabelecer novos processos, implantar novas tecnologias e capacitar as pessoas para que a organização como um todo passe a cumprir o que a norma estabelece. E o terceiro objetivo, é que toda a área de negócio entenda o que a lei determina, para que os negócios, ações de marketing e novas tecnologias, sejam desenvolvidas dentro de uma legalidade.

Como se adaptar a LGPD: confira os principais passos

Quais os possíveis impactos para a sociedade?

Márcio: No âmbito geral, o maior impacto será o de que agora fica estabelecido em lei que cabe ao titular, o proprietário do dado, o direito de determinar quem pode tratar e utilizar seus dados pessoais e de que forma as empresas poderão utilizá-los. Então o direito das pessoas de disponibilizarem ou não seus dados pessoais para tratamento, será o grande impacto na sociedade.

Casos de vazamento de dados anteriores podem voltar a tona se uma das vítimas levar a justiça nos dias de hoje? (ex-tunc ou ex-nunc)

Márcio: Casos pretéritos a lei, devem ser tratados com a legislação que existia a época. Casos após a vigência da lei, serão tratados dentro daquilo que prevê a norma considerando que há um vacatio legis de 18 meses. Então as empresas, o governo e as pessoas têm um prazo de 18 meses para se adaptarem. Inclusive a própria lei estabelece que irá se regulamentar à forma que o saneamento dos dados existentes antes da lei possa ser legalizado.

Qual o impacto dos vetos sobre a proposta original? Eles atingem a aplicabilidade da lei?

Márcio: Existem dois vetos de assuntos macros, um com relação a alguns tipos de sanções que estavam presentes na lei, que acredito que não impactarão muito, pois continuam existindo outras sanções que são pesadas. Já o outro veto, que é a não criação da Autoridade Nacional de Proteção de Dados, impacta um pouco mais, pois existiam dispositivos que seriam regulamentados por essa autoridade, mas no meu ponto de vista, não anula aplicabilidade da lei.

A normativa também pode ser “fiscalizada” e requerida o seu cumprimento por parte do ministério público, uma vez que quando falamos de um grupo grande de dados, estamos falando de um direito coletivo e difuso. Outra questão é que invariavelmente a coleta dos dados acontece dentro de uma relação de consumo, o que impacta na competência por parte do PROCON, que eventualmente pode exigir o cumprimento dessa lei.

Lei Geral de Proteção de dados: cuide dos dados dos clientes

A LGPD impacta as relações comerciais com empresas estrangeiras e brasileiras?

Márcio: Sim, empresas estrangeiras que eventualmente tratam dados de pessoas que se encontram no Brasil, serão obrigadas a cumprir a Lei Geral de Proteção de Dados. No mais, o Brasil passando a ter uma lei de proteção de dados deixa de constar em uma “blacklist” de países que não tinham um nível de segurança jurídica quanto ao tratamento de dados pessoais, o que facilita novos acordos entre os países.

Como funcionam os mecanismos de regulação na UE? Seriam similares aqui no Brasil?

Márcio: A União Europeia conta com uma Autoridade de Proteção de Dados, que não temos aqui, então lá existe um órgão administrativo que regula, orienta e fiscaliza o mercado.

A LGPD impacta os serviços de nuvem localizados fora do território nacional? De que forma?

Márcio: Mesmo que os dados se encontrem fora do país, algumas ações que são consideradas como tratamento de dados pela lei, como acessar o dado, podem acontecer daqui do Brasil. Consequentemente o fato de estar armazenado fora do país, não necessariamente desobriga empresas que tratam dados, inclusive as que somente acessam os dados, de cumprirem a legislação.

LGPD: proteção de dados e o papel do profissional de TI

Uma empresa que tem dados em uma provedora de computação em nuvem, no caso de vazamento de dados, como será a identificação o responsável pela lei?

Márcio: A identificação ocorre da mesma forma, normalmente se utiliza identificação de IP, uma ordem judicial para que se quebre a identificação do usuário do IP, investigação policial e assim sucessivamente. A lei em si não trata especificamente da questão de identificação, segue o curso normal, como se faz hoje em dia.

Leia também: