Bom velhinho? Papai Noel só quer os seus dados pessoais!

Ainda bem que Papai Noel não existe. Se o bom velhinho fosse de verdade, cumprir a sua missão natalina sem violar os dados pessoais das crianças seria uma tarefa complicada. Já parou para pensar como ele saberia quem foi um bom ou mau menino durante o ano? Com base em quais critérios ele montaria esse perfil? Como os dados seriam coletados? Eles ficariam armazenados no Polo Norte? Por quanto tempo? Será que caberia direito ao esquecimento?

Isso não significa dizer que os bravos heróis que se vestem de bom velhinho em dezembro não estejam isentos de questionamentos sobre o tema. Quanto mais as leis de proteção de dados se tornam conhecidas, mas arriscado fica o exercício da função de Papai Noel em shopping centers, supermercados ou em visitas pontuais na noite de Natal. Para facilitar a vida de quem quer ser Papai Noel, mas está inseguro sobre como responder a perguntas sobre proteção de dados, separamos alguns pontos que podem ajudar na preparação.

Papai Noel é uma história de meritocracia, mas também de violação de dados pessoais. Tudo começa com a seleção sobre quem foi bom ou mal durante o ano. Dessa forma, a distribuição de presentes precisa atender a uma avaliação objetiva sobre os fatos transcorridos nos últimos doze meses. Como o bom velhinho tem acesso a esses dados? No final de 2018 o New York Times revelou que o Facebook teria fechado acordos com outras empresas, como a Amazon e a Netflix, permitindo que elas tivessem um acesso amplo aos dados pessoais dos usuários da rede social, podendo até ler as suas mensagens privadas. Se grandes empresas podem ler as suas mensagens, porque Papai Noel também não poderia? As empresas negaram que esse acesso tivesse sido concedido, solicitado ou utilizado.

Imagine a quantidade de dados pessoais aos quais o bom velhinho precisa ter acesso para fechar a sua lista de distribuição de presentes. É um verdadeiro caso de big data! Para avaliar todas as crianças do mundo, certamente Papai Noel não iria conseguir fazer isso manualmente. Grandes chances então da lenda do Natal se valer de alguma aplicação de inteligência artificial para analisar os dados e decidir se a criança foi boa ou má.

Aqui existe o risco de alguma criança prejudicada pedir a revisão do tratamento automatizado de dados que tenha levado a uma decisão prejudicial. A Lei geral de proteção de dados brasileira (Lei nº 13.709/18) determina em seu artigo 20 que o "titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade." Dessa Papai Noel não escapa. Parece até que o legislador tinha o bom velhinho em mente quando redigiu esse dispositivo legal.

Para tratar essa montanha de dados, vai ser importante também que Papai Noel saiba explicar os motivos pelos quais os dados pessoais foram coletados e o que legitima o tratamento. A forma mais óbvia de legalizar a coleta de dados pessoais é o consentimento. No caso de crianças, deveria ser difícil para Papai ficar correndo atrás do ok de pais e responsáveis pelo mundo afora. Caso seja perguntado sobre o tema, vale sempre lembrar que o consentimento não é a única forma de legitimar o tratamento de dados pessoais. A lei também diz que você pode coletar, armazenar e utilizar dados se for para cumprir um contrato, se isso for uma obrigação legal ou se for no legítimo interesse de quem coleta ou de terceiros, por exemplo.

Pessoalmente acho que vai ser difícil explicar que Papai Noel tem um contrato com a criança e que por isso ele pode coletar e tratar dados pessoais. Seria isso uma espécie de contrato natural? O mesmo vale para obrigação legal. Até onde sabemos Papai Noel faz o que faz de boa vontade e não porque alguma lei o obrigue. Se ele se acerta depois com a Receita Federal é outra questão.

Melhor então legitimar a coleta de dados com base no legítimo interesse. A Lei de proteção de dados diz que o tratamento é permitido quando necessário para atender aos interesses legítimos do "controlador" (no caso Papai Noel) ou de "terceiro". Como é de interesse dos pais que as crianças recebam os seus respectivos presentes, podemos entender que os pais são terceiros interessados em que esses dados sejam coletados e tratados pelo bom velhinho. Problema resolvido.

Na Alemanha, após a entrada em vigor do regulamento de proteção de dados em 2018, a cidade de Roth questionou se deveria mudar o costume de exibir as listas de presentes das crianças em uma árvore de Natal no meio da praça. Depois de matéria publicada no Daily Mail, a Comissão Europeia divulgou nota esclarecendo que, para entregar os presentes, Papai Noel já deveria ter contatado os pais das crianças, então havia consentimento que legitimava o tratamento dos dados.

Várias outras questões sobre dados pessoais poderiam ser levantadas na lenda do Papai Noel. Será que os elfos também tem acesso aos dados pessoais das crianças? Se for o caso, o bom velhinho precisa pôr em prática uma política de privacidade que garanta que nenhum elfo vai vazar esses dados na rede. Caso isso aconteça, Papai Noel poderia ser multado em até 2% do seu faturamento no último exercício.

Esperamos que essas dicas possam fazer com que os interessados em se fantasiar de Papai Noel não o deixem de fazer com receio de ter que responder a perguntas difíceis sobre privacidade. A legislação sobre proteção de dados pessoais não veio para estragar o espírito do Natal e a harmonia familiar na ceia do dia 24.

Mas se esse for o seu objetivo, que tal lembrar a todos que o disparo de fake news no WhastApp nessas eleições teve por base a compra de bancos de dados com números de celulares vazados? É um super tema que envolve dados pessoais e o bate-boca é garantido. Feliz Natal!