O Senado aprovou a lei de proteção de dados pessoais (LGPD) em julho e o presidente Michel Temer promulgou a lei com vetos nessa terça-feira (14). A legislação versa sobre o que é aceitável fazer com os dados das pessoas e obriga que empresas e governos informem o que fazem com eles. Para utilizar as informações das pessoas, os serviços devem dizer para que servirão seus dados e pedir a sua autorização.
A lei é importante porque evita imprevistos tanto para as empresas quanto para os usuários de serviços que lidam com dados pessoais. Ao estimular que empresas sejam mais claras em relação ao tratamento de dados, a regulamentação tende a fazer com que termos de uso, por exemplo, se tornem mais padronizados e fáceis de entender. Os usuários ficam menos sujeitos a surpresas desagradáveis e podem pedir a qualquer momento para levar seus dados de uma empresa para outra, mudar de ideia em relação ao consentimento já cedido e ter seus dados apagados se assim desejarem.
O tratamento de bancos massivos de dados virou uma atividade com expectativas de lucros multimilionários, pelo menos em grande parte, em terreno desregulado. Casos recentes de tratamentos de dados feitos por baixo dos panos que tiveram amplos efeitos negativos, como o da Cambridge Analytica, fizeram o coro pela regulamentação engrossar bastante. Por isso, a resposta do mercado à implantação da GDPR, a lei de dados europeia, têm sido acompanhada de perto, assim como levado outros países a aprovarem suas próprias leis nesse sentido.
Com a lei brasileira, as empresas que tratam dados no país ou que foram coletados aqui passam a ter obrigações mais claramente definidas, e assim correm menos risco de tomar grandes invertidas em decisões judiciais.
Abaixo, listamos os principais tópicos para você entender o que muda com a LGPD:
Consentimento
A lei aprovada sublinha a importância do consentimento, mas prevê que o poder público possa usar dados pessoais sem pedir. Isso porque parte do princípio de que a utilização de dados pelo governo ao prestar serviços para a população é guiada pelo interesse público. Também não são cobertos pela lei o tratamento de dados pessoais pelas forças de segurança pública, assim como seu uso para fiscalização e investigações de crimes.
Além disso, a lei não se aplica ao uso de dados pessoais para atividades jornalísticas, artísticas e acadêmicas. Nesse último caso, a lei recomenda que os dados pessoais sejam anonimizados antes de serem usados para trabalhos acadêmicos, ou seja, passem por um processo que desvincule a informação da pessoa a qual ela diz respeito. Para que uma informação possa ser considerada como dado anônimo, de modo que seu tratamento não precise se submeter à lei, a reversão do processo de anonimização não deve ser facilmente realizável. Isso é importante porque já foi demonstrado que certos dados vendidos como “anônimos” podem ser reconvertidos em dados pessoais sem muito esforço.
Para tratar dados de crianças, o pedido de consentimento deve ser feito aos pais/responsáveis. No caso das empresas, o consentimento também poderá ser revogado a qualquer momento, assim como deve ser possível solicitar a suspensão do tratamento de seus dados. Para lidar com esse tipo de demanda, cada empresa que realiza operações com dados pessoais deve ter um funcionário responsável por ser o canal entre você, a firma e o órgão fiscalizador (que ainda não foi definido).
Decisões automatizadas tomadas com base em dados pessoais também deverão se tornar mais negociáveis. Isso porque será possível pedir que uma análise de concessão de crédito que é respondida por algoritmo, por exemplo, seja revisada por uma pessoa. O prestador de serviços também tem a obrigação de atender a qualquer momento pedidos de confirmação sobre qual o tratamento feito com seus dados, permitir a portabilidade dos dados, assim como a correção e eliminação de suas informações.
A lei não se aplica apenas às empresas de tecnologia, pois a farra com CPF dos clientes nos balcões das farmácias, por exemplo, também é um caso de tratamento de dados pessoais. Com a LGPD que passará a ser obrigatório que as empresas informem às pessoas que não ceder seus dados é uma possibilidade. Também será preciso deixar claro o que pode acontecer caso você decida não passar suas informações.
Parece óbvio, mas, no caso das farmácias, os caixas dos estabelecimentos pedem seu CPF sem mais nem menos. Ao mesmo tempo, a ausência de informações sobre alguém em um banco de dados pode ser usada como critério para que uma empresa decida que é arriscado demais vender uma apólice de seguro para essa pessoa.
O que são informações sensíveis?
A lei considera como informações sensíveis dados sobre religião; origem racial ou étnica; as opiniões políticas; as filiações sindicais, filosóficas ou políticas; dados referentes à saúde ou à vida sexual; dados genéticos ou biométricos. Dados sensíveis até podem ser tratados fora do poder público, mas para finalidades bastante específicas, como prevenção de fraude, por exemplo. Nesse caso, os dados sensíveis devem aparecer em destaque no pedido de consentimento para que empresas possam usá-los.
É proibida a venda ou compartilhamento entre empresas de dados sensíveis referentes à saúde, a não ser que o titular queira se valer da portabilidade para transferir suas informações de um serviço para outro. A lei também veta o uso de dados para discriminação ou prática abusiva, reforçando a necessidade de serem respeitados direitos fundamentais.
O que deve ocorrer em casos de vazamento?
A lei define que serviços devem comunicar o vazamento de dados pessoais às autoridades competentes, mas não estabelece prazos. O órgão competente deve determinar, além do prazo, se vem ao caso divulgar o vazamento em veículos de comunicação e aplicar medidas para conter os seus efeitos.
Bancos não curtiram muito
Os bancos não ficaram muito contentes com a possibilidade do consentimento se tornar uma exigência para que eles façam operações com as informações dos clientes. O site Intercept apurou que a federação que representa os bancos, a Febraban, escreveu uma nota para o presidente dizendo que a LGPD pode “extinguir” o cadastro de crédito.
Atualmente, o chamado Cadastro Positivo abrange as pessoas que procuram, por conta própria, fazer parte desse grupo. Sua função de ranquear os consumidores a partir de um leque de dados de pagamento é compatível com a lei, e até o momento cerca de 13 milhões de pessoas voluntariamente entraram nessa lista. Os bancos teriam planos, no entanto, para aprovar uma modificação no Cadastro Positivo que inclui no cadastro todos os brasileiros sem perguntar, o que entraria em conflito com a exigência de consentimento da LGPD. Com essa mudança, esse jogo se inverteria, ou seja, pessoas que desejem sair do Cadastro Positivo é que teriam que realizar o processo de se descadastrar.
Quando vai começar a vigorar? Qual a punição para quem descumprir a lei?
No geral, as multas a serem aplicadas em caso de descumprimento da lei podem chegar a 2% do faturamento da empresa ou grupo empresarial (por exemplo: em um suposto caso de vazamento de dados da iFood ou do SpoonRocket, esse valor pode ser calculado a partir do rendimento do Grupo Movile, a corporação “mãe” das duas empresas) até o teto de R$ 50 milhões. Vale lembrar que a LGPD entra agora em período de adaptação de 18 meses para só então começar a ser aplicada pra valer.
Mesmo que hoje as empresas sejam, na teoria, eternamente responsáveis pelos dados pessoais que coletam, é difícil confiar que elas tenham compromisso com algo além de fazer o que bem entendem quando dá na telha – algumas com mais responsabilidade e outras com menos, claro.
Talvez por isso a lei também tenha artigos que podem incidir sobre bases de dados que já existiam antes de ela entrar em vigor. Se uma empresa quiser mudar o jeito de usar os seus dados em relação ao que você tinha inicialmente consentido, por exemplo, a lei determina que é obrigatória a atualização do consentimento informando sobre essa mudança. Não é claro como será feita a fiscalização dessa obrigação, já que o artigo que dava ao órgão competente o poder de fazer auditorias em bancos de dados acabou ficando fora da lei após os vetos presidenciais. A lei ainda determina, por exemplo, a que o órgão competente possa pedir que “relatórios de impacto à proteção de dados” sejam feitos por empresas e governos, com o objetivo de estimular que boas práticas no tratamento de informações pessoais sejam valorizadas.
Por que tanto se fala em Autoridade Nacional de Proteção de Dados?
Foi vetada por Temer a criação da a Autoridade Nacional de Proteção de Dados. A ANPD seria uma agência reguladora ou órgão competente composto de três diretores que exerceriam mandatos de quatro anos, semelhante ao modelo da Autoridade Europeia com a mesma função. A justificativa do governo é de que só um projeto de lei do próprio poder executivo poderia criar novos cargos, pois isso implica um custo para os cofres públicos.
Um dos redatores da projeto que deu origem à lei, Danilo Doneda, que é doutor em direito civil pela Universidade Estadual do Rio de Janeiro, considera que a fiscalização dos serviços prestados pelo poder público com base em dados pessoais dependeria de um órgão competente independente, como a ANPD. “Ao deixar o poder público de fora da lei o perigo é de certa forma você até fomentar uma certa discriminação. No sentido de que os dados, principalmente das pessoas menos favorecidas no Brasil, sejam tratados fora da regulação”, diz.
Outro veto de Temer foi o artigo 28, que obrigaria os órgãos públicos a manterem registros publicamente acessíveis sobre compartilhamentos de dados feitos entre si. A lei define que queixas em relação a serviços que se valem de dados pessoais também podem ser feitas aos órgãos de defesa do consumidor, assim como ao órgão competente, que ficou vago após o veto da ANPD.
Por que a lei é importante?
O Marco Civil da Internet (MCI) também determina, por exemplo, a necessidade de consentimento para o tratamento de dados, mas se trata de uma lei específica para serviços online. Como o MCI não abrange o tratamento de dados “offline”, ele “continua sendo aplicado, só que quando as duas leis falam sobre a mesma coisa fica valendo a lei de proteção de dados”, diz Doneda.
Para Joana Varon, que organiza pesquisas e ações sobre direitos digitais na Coding Rights, é importante que a lei contenha restrições claras e recomendações de segurança a respeito dos uso dos dados biométricos, que são classificados como informações sensíveis. “O novo marco legal assegura que a coleta e tratamento dos nossos dados estejam de acordo com certos princípios, como o da necessidade, finalidade, transparência e segurança. Com isso, o cidadão passa a ter mais controle sobre o que está acontecendo sobre seus dados pessoais.” No entanto, ela também considera que o veto da Autoridade desconfigura a lei, que teve artigos negociados com vários setores sociais ao longo de oito anos antes de ser aprovada.
O presidente da Associação Brasileira de Hosting e Infraestrutura de Hospedagem na Internet (Abrahosting), Vicente Moura Neto, considera que a lei estabelece um padrão para transferências de dados para servir de base nos negócios do setor. “Atualmente, sem que tenhamos uma legislação própria, há a abertura de caminho no qual se permite que empresas internacionais possam atuar no mercado brasileiro e, muitas vezes, se abrigarem juridicamente em paraísos cibernéticos”, diz.
Imagem do topo: Congresso Nacional. Crédito: Flickr/Senado Federal