Novo marco legal para a privacidade no Brasil passa a valer daqui a 18 meses
Debatida há oito anos no Congresso, a normativa regula como empresas do setor público e privado devem tratar os dados pessoais que coleta dos cidadãos. A lei passa a valer daqui a 18 meses.
Até hoje, o país dispunha de cerca de 40 normas relativas à privacidade. A lei geral prepondera sobre todas, incluindo o Marco Civil da Internet, que desde 2014 regula o ambiente online.
Um dos pontos mais importantes para a eficácia da nova lei é a criação de uma autoridade fiscalizadora, a ANPD (Agência Nacional de Proteção de Dados Pessoais). No entanto,
ela foi vetada do texto.
A motivação foi técnica: o governo entendeu que poderia haver inconstitucionalidade na criação, já que ela foi recomendada pelo Legislativo.
Michel Temer sinalizou que solucionará o problema por meio de um projeto de lei, mas o texto também pode vir na forma de uma Medida Provisória – o que seria mais rápido e não dependeria do apelo político para a votação no Congresso.
Representantes do setor privado, da academia e da sociedade civil que estão próximos ao trâmite legislativo são unânimes na defesa da autoridade.
A proposta é de que ela seja independente, com orçamento próprio e capaz de fiscalizar, impor multas, dialogar com empresários de diferentes setores e estabelecer diretrizes para partes da lei que dependem de direcionamento e interpretação.
O QUE MUDA COM A LEI?
Do ponto de vista dos usuários de serviços, sejam eles online ou offline, a maior mudança diz respeito ao acesso às informações sobre os dados.
Daqui a um ano e meio, os cidadãos poderão saber como empresas públicas e privadas tratam os dados pessoais: como e por que coletam, como armazenam, por quanto tempo guardam e com quem compartilham.
Também terão direito à revogação, à portabilidade e à retificação dos dados.
Do lado das empresas, o trabalho será fornecer essas informações de forma clara, inteligível e simples. Muitas delas já adotam tal prática em seus sites. Com a lei, isso será obrigatório, não mais uma opção.
O QUE SÃO DADOS PESSOAIS?
O conceito adotado na lei é amplo. Pode ser qualquer informação que identifique uma pessoa ou que, se cruzada com outro dado dado, permita identificar uma pessoa.
Exemplos como nome e sobrenome, CPF e RG são dados de uma pessoa identificada, que diretamente levam à identidade de alguém.
Dados como raça, etnia, religião, sexualidade e opinião política podem ser usados de forma discriminatória por agentes mal-intencionados, portanto são considerados "sensíveis" e também recebem proteção.
A depender do contexto, mesmo quando um dado é anonimizado (quando não identifica diretamente um titular), ele também pode ser protegido. Dados anonimizados são comuns para fins de propaganda e para a criação de perfis comportamentais.
A lei não se aplica ao tratamento de dados para fins jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de infrações penais.
O uso de dados de crianças deverá ser feito com consentimento dado por ao menos um dos pais ou responsável legal.
CONSENTIMENTO E INTERESSE LEGÍTIMO
Dois importantes pilares da lei são o consentimento e o interesse legítimo para a captura de dados pessoais.
O primeiro determina que qualquer dado pessoal precisa de autorização do titular: uma “manifestação livre, informada e inequívoca” pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada.
Já o interesse legítimo é um conceito amplo (por isso a importância da autoridade), que define o motivo para uma organização coletar esse dado. A princípio, o consentimento do cidadão e o interesse legítimo da empresa devem estar em sintonia.
Muitas empresas têm receio de que seja o fim de modelos de negócios digitais baseados em publicidade direcionada. Na verdade, eles precisarão ser auditados.
Por exemplo, se uma pessoa compra uma pulseira inteligente que mede batimentos cardíacos, a finalidade é obter informações sobre sua saúde. Se a empresa da pulseira decide compartilhar os dados com uma marca de seguro, a finalidade do consentimento entra em conflito com o interesse empresarial.
A regulação surge para evitar compartilhamentos que não têm segurança jurídica. Nas normas de hoje, o seguro de saúde poderia oferecer um plano mais caro a um cliente por saber que ele tem problemas cardíacos, por exemplo. A empresa não sofreria multa pesada.
Por isso o papel da autoridade é importante, já que estabelece o equilíbrio entre o fornecedor e o captador dos dados.
“A ideia é que a empresa que coleta o dado esteja ciente de que não pode violar nenhum outro direito fundamental do titular dos dados. É sempre um risco jurídico se basear no interesse legítimo”, diz Marcel Leonardi, diretor de Políticas Públicas do Google.
QUEM É O "ENCARREGADO"?
Cada empresa ou entidade que responde juridicamente pela coleta dos dados pessoais (o “controlador”) deve ter um encarregado por aceitar reclamações dos titulares, prestar esclarecimentos, adotar providências, dialogar com a autoridade nacional, orientar os funcionários, entre outras funções.
Qualquer empresa que lidar com grandes bancos de dados precisará dispor desse cargo, o que demandará custo adicional.
"As empresas que se adequarem evitarão problemas regulatórios e poderão transformar a adoção das regras em algo positivo perante os clientes. Custos podem ser encarados como investimentos porque trazem vantagem competitiva no médio prazo", diz Jacqueline de Abreu, advogada do escritório Barroso Fontelles, Barcellos, Mendonça.
A lei diz, no entanto, que a autoridade poderá decidir também pela dispensa dessa figura. Isso, segundo especialistas, dependerá do tipo de negócio: uma pequena padaria de bairro não terá a mesma responsabilidade que o Google ou o Facebook no tratamento de dados.
Algumas empresas já dispõem de comitês de proteção de dados multidisciplinares, compostos por profissionais do jurídico e da segurança da informação.
“A estrutura vai depender muito do contexto empresarial e não é um assunto que o jurídico ou o setor de TI resolverão sozinhos, é uma demanda da companhia”, diz Diego de Lima Gualda, diretor de assuntos jurídicos da 99.
VAZAMENTOS
A lei determina que as empresas devem coletar apenas dados necessários aos serviços que prestam. Em casos de vazamentos de informações, o encarregado deverá informar o órgão competente e os titulares.
Hoje, é recomendável que as empresas adotem essa prática, mas muitas vezes elas tentam omitir o vazamento.
SANÇÕES E MULTAS
Em casos de descumprimento da lei, a ANDP poderá optar por aplicação de advertências e multas. Elas poderão variar de 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 mil por infração.
Há, também, a possibilidade de multa diária.
TRANSFERÊNCIA INTERNACIONAL DE DADOS
Mais de cem países contam com alguma regulação de proteção de dados e privacidade. Agora, o Brasil tem moldes semelhantes ao europeu, o que pode facilitar o comércio internacional com o bloco.
A transferência internacional de dados pessoais será permitida para países ou organizações que proporcionem grau de proteção de dados adequado ao previsto na legislação brasileira.
Em casos de ausência de legislação, a autoridade poderá direcionar para contratos específicos.
Analistas dizem que a lei poderá garantir ao Brasil a entrada na Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
Fonte: Folha Online - 15/08/2018
Postagens
