25 de novembro de 2024
Brasil

Saiba o que muda com a Lei Geral de Proteção de Dados Pessoais

A lei 13.709 sancionada na terça-feira (14) pelo presidente Michel Temer representa um marco legal para a proteção de dados pessoais e a privacidade no Brasil. 

Debatida há oito anos no Congresso, a normativa regula como empresas do setor público e privado devem tratar os dados pessoais que coleta dos cidadãos. A lei passa a valer daqui a 18 meses.

Até hoje, o país dispunha de cerca de 40 normas relativas à privacidade. A lei geral prepondera a todas, inclusive ao Marco Civil da Internet, que desde 2014 regula o ambiente on-line.

Um dos pontos mais importantes para a eficácia da nova lei é a criação de uma autoridade fiscalizatória, a ANPD (Agência Nacional de Proteção de Dados Pessoais). No entanto, ela foi vetada do texto.

A motivação foi técnica: o governo entendeu que poderia haver inconstitucionalidade na criação, já que ela foi recomendada pelo Legislativo.

Michel Temer sinalizou que solucionará o problema por meio de um projeto de lei, mas o texto também pode vir na forma de uma Medida Provisória -o que seria mais rápido e não dependeria do apelo político para a votação no Congresso.

Representantes do setor privado, da academia e da sociedade civil que estão próximos ao trâmite legislativo são unânimes na defesa da autoridade. 

A proposta é de que ela seja independente, com orçamento próprio e capaz de fiscalizar, impor multas, dialogar com empresários de diferentes setores e estabelecer diretrizes para partes da lei que dependem de direcionamento e interpretação.

O QUE MUDA COM A LEI?

Do ponto de vista dos usuários de serviços, sejam eles on-line ou off-line, a maior mudança diz respeito ao acesso às informações sobre os dados.

Daqui a um ano e meio, os cidadãos poderão saber como empresas públicas e privadas tratam os dados pessoais: como e por que coletam, como armazenam, por quanto tempo guardam e com quem compartilham.

Também terão direito à revogação, à portabilidade e à retificação dos dados.

Do lado das empresas, o trabalho será fornecer essas informações de forma clara, inteligível e simples. Muitas delas já adotam essa prática em páginas de seus sites, por exemplo. Com a lei, isso será obrigatório, não mais uma opção.

O QUE SÃO DADOS PESSOAIS?

O conceito adotado na lei é amplo. Dado pessoal pode ser qualquer informação que identifique uma pessoa ou que, se cruzado com outro dado, venha identificar uma pessoa. 

Exemplos como nome e sobrenome, CPF e RG são dados de uma pessoa identificada, que diretamente levam à identidade de alguém.

Dados como raça, etnia, religião, sexualidade e opinião política podem ser usados de forma discriminatória por agentes mal-intencionados, portanto são considerados “sensíveis” e também recebem proteção.

A depender do contexto, mesmo quando um dado é anonimizado (quando não identifica diretamente um titular), ele também pode ser protegido. Dados anonimizados são comuns para fins de propaganda e criação de perfis comportamentais.

A lei não se aplica ao tratamento de dados para fins jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de infrações penais.

O uso de dados de crianças deverá ser feito com consentimento dado por ao menos um dos pais ou responsável legal.

CONSENTIMENTO E INTERESSE LEGÍTIMO

Dois importantes pilares da lei são o consentimento e o interesse legítimo para a captura de dados pessoais.

O primeiro determina que qualquer dado pessoal precisa de autorização do titular: uma “manifestação livre, informada e inequívoca” pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada. 

Já o interesse legítimo é um conceito amplo (por isso a importância da autoridade), que define o motivo para uma organização coletar esse dado. A princípio, o consentimento do cidadão e o interesse legítimo da empresa devem estar em sintonia.

Muitas empresas têm receio de que seja o fim de modelos de negócios digitais baseados em publicidade direcionada. Na verdade, eles precisarão ser auditados.

Por exemplo, se uma pessoa compra uma pulseira inteligente que mede batimentos cardíacos, ela tem a finalidade de entender informações sobre sua saúde. Se a empresa da pulseira decidir compartilhar os dados com uma marca de seguros, a finalidade do consentimento pode entrar em conflito com o interesse empresarial.

Nesses casos, uma autoridade teria o papel de estabelecer o equilíbrio entre o fornecedor e o captador dos dados.

O que já se sabe é que, se a empresa informou, no momento do consentimento, que não compartilharia o dado com terceiros, já teria infringido uma regra. Se a marca de seguro de saúde oferecesse um plano mais caro a pacientes com problemas cardíacos, colocaria o cidadão em uma situação desfavorável.

“A ideia é que a empresa que coleta o dado esteja ciente de que não pode violar nenhum outro direito fundamental do titular dos dados. É sempre um risco jurídico se basear no interesse legítimo”, diz Marcel Leonardi, diretor de Políticas Públicas do Google.

QUEM É O ENCARREGADO?

Na legislação europeia, a GDPR (sigla de General Data Protection Regulation), sancionada em maio deste ano, existe a figura do Data Protection Officer (oficial de proteção de dados, na tradução para o português). Aqui no Brasil, esse cargo ganhou o nome de “encarregado”. 

Cada empresa ou entidade que responde juridicamente pela coleta dos dados pessoais (o que na lei se chama “controlador”) deve ter um encarregado por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, dialogar com a autoridade nacional, orientar os funcionários, entre outras funções.

Qualquer empresa que lidar com grandes bancos de dados precisará ter esse cargo, o que demanda custo.

“As empresas que se adequarem evitarão problemas regulatórios e poderão transformar a adoção das regras em algo positivo perante os clientes. Custos podem ser encarados como investimento, justamente porque trazem vantagem competitiva no médio prazo”, diz Jacqueline de Abreu, advogada do escritório Barroso Fontelles, Barcellos, Mendonça.

A lei diz, no entanto, que a autoridade poderá decidir também pela dispensa dessa figura. Isso, segundo especialistas, dependerá do tipo de negócio: uma pequena padaria de bairro não terá a mesma responsabilidade que o Google ou o Facebook no tratamento de dados.

Algumas empresas já dispõem de comitês de proteção de dados multidisciplinares, compostos por pessoas do jurídico e da segurança da informação.

“A estrutura vai depender muito do contexto empresarial e não é um assunto que o jurídico ou o setor de TI resolverão sozinhos, é uma demanda da companhia”, diz Daniel de Lima Gualda, diretor de assuntos jurídicos da 99.

VAZAMENTOS

A lei determina que as empresas devem coletar apenas dados necessários aos serviços que prestam. Em casos de vazamentos de informações, o encarregado deverá informar o órgão competente e os titulares. 

Hoje, é recomendável que as empresas adotem essa prática, mas muitas vezes elas tentam omitir o vazamento.

SANÇÕES E MULTAS

Em casos de descumprimento da lei, a ANDP poderá optar por aplicação de advertências e multas. Elas poderão variar de 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 mil por infração.

Há, também, a possibilidade de multa diária.

TRANSFERÊNCIA INTERNACIONAL DE DADOS

Mais de cem países contam com alguma regulação de proteção de dados e privacidade. Agora, o Brasil tem moldes semelhantes ao europeu, o que pode facilitar o comércio internacional com o bloco.

A transferência internacional de dados pessoais será permitida para países ou organizações que proporcionem grau de proteção de dados adequado ao previsto na legislação brasileira. Em casos de ausência de legislação, a autoridade poderá direcionar para contratos específicos.

Analistas dizem que a lei poderá garantir ao Brasil a entrada na Organização para a Cooperação e Desenvolvimento Econômico (OCDE). (Folhapress)


Leia mais sobre: Brasil