Lei de Proteção de Dados: Brasil na vanguarda da proteção de dados, dizem especialistas
Dados dos cidadãos brasileiros. Empresas terão para adaptar-se, na vanguarda internacional dos direitos relacionados a informações pessoais. As novas regras contidas na Lei Geral de Proteção de Dados (LGPD), que rege como as empresas podem armazenar, usar e tratar dados de cidadãos brasileiros, foi recentemente sancionada pelo presidente Michel Temer.
Inspirada na Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia. As novas regras colocam o Brasil em linha com medidas existentes nos Estados Unidos e na Europa e devem impor uma mudança cultural nas empresas brasileiras, que hoje coletam e guardam informações sem necessariamente precisar delas.
Para a lei
Qualquer informação que pode identificar uma pessoa é “dado pessoal”. A lei ainda estabelece uma categoria de “dados sensíveis”, que inclui informações sobre etnia, opinião política e religiosa (bem como filiação a sindicatos ou organizações religiosas e filosóficas), informações sobre a saúde, vida sexual e dados genéticos ou biométricos. São abertas certas exceções para dados que a pessoa decidiu tornar público.
A advogada Luiza Sato, especialista em direito digital, do escritório Lobo de Rizzo Advogados, declara: “A gente vem de uma terra sem lei, que agora será super-regulada. Nosso projeto de lei foi bastante embasado na GDPR, mas é até melhor”.
Toda coleta de dados que possa identificar uma pessoa: nome, idade, estado civil, documentos, só poderá ser feita mediante consentimento do titular daquelas informações e a explicação clara de qual a finalidade para o uso delas.
Daniel Rodrigues Pinto, consultor jurídico da empresa de serviços digitais Atos, aponta: “A lei é clara em estipular que definições genéricas não serão aceitas. A empresa precisa descrever perfeitamente como vai usar aqueles dados e se, por exemplo, vai subcontratar alguém para gerenciá-los”.
Será necessário dizer também como os dados serão tratados dentro da outra empresa e quem será responsável pelas informações dentro dela. “Acontece muito na área de recursos humanos, com a terceirização das folhas de pagamento”, salienta Pinto.
A lei europeia GDPR, que entrou em vigor em maio, foi aprovada em 2016 e substituiu uma regulamentação da União Europeia de 1995, que já previa algumas das regras que o Brasil só agora vai passar a ter, como a obrigação de obter consentimento para processar dados pessoais.
Começar a valer
Finalmente, a Lei Geral de Proteção de Dados (LGPD), foi sancionada pelo Presidente Michel Temer (14/08/2018). Porém, o prazo para a lei entrar em vigor é bastante extenso, cerca de 18 meses. Então, a lei só deve começar a valer em março de 2020. Até lá, o governo também precisa propor uma alternativa à Autoridade Nacional de Proteção de Dados (ANPD), que foi vetada.
Caberá ao novo órgão fiscalizar o cumprimento da lei e definir padrões de segurança para a guarda de dados. Sendo assim, é praticamente obrigatório que o governo proponha a criação desse órgão ou setor e que ele esteja estruturado até 2020 para que a lei possa valer na prática.
Quando estiver valendo
A LGPD vai obrigar qualquer empresa que sofrer incidentes de segurança (como vazamentos) a relatarem o ocorrido para todas as pessoas impactadas. Será preciso informar quais dados a empresa acredita que pode ter perdido. Igualmente como acontece nos Estados Unidos e na Europa. Hoje, as empresas não são obrigadas a apresentar publicamente sobre esse tipo de incidente, o que significa que muitas vítimas de vazamentos jamais ficam sabendo que seus dados foram expostos.
O descumprimento da lei pode gerar multas de até R$ 50 milhões ou obrigar a empresa apagar os dados envolvidos. O governo vetou os artigos que previam a possibilidade de suspender as operações de processamento de dados de uma empresa por seis meses ou até indefinidamente.
Mesmo assim, a possibilidade de sofrer qualquer punição e de ser obrigado a provar que obteve consentimento das pessoas para armazenar e processar suas informações muda o raciocínio das empresas. Hoje pode valer a pena guardar alguma informação “só por guardar”, mesmo que ela não seja necessária. Com a LGPD, toda informação armazenada pode se transformar em uma dor de cabeça.
Este detalhe vai obrigar as empresas a pensarem melhor sobre quais dados vale a pena armazenar e também de que forma isso será feito.
Mundo: proteções de privacidade
Consenso para armazenamento e processamento de dados: exigência prevista na Europa desde a Diretiva de Proteção de Dados, de 1995. Não há regra no Brasil, hoje. A regra será nova com a LGPD.
Autorização dos pais para uso de dados de crianças: previsto desde 1998 pela lei COPPA nos Estados Unidos. De forma semelhante, a LGPD obriga a obtenção do consentimento dos pais.
Notificação de vazamento de dados: a primeira lei a exigir que empresas avisem consumidores sobre dados roubados ou vazados foi aprovada em 2002 no estado da Califórnia, nos Estados Unidos, e entrou em vigor no ano seguinte. A obrigação também valerá no Brasil quando a LGPD entrar em vigor, 17 anos após a lei californiana.
Cookies: o uso de cookies é regulamentado na Europa pela Diretiva de Privacidade de 2002. O termo “cookies” não consta na LGPD e a lei exclui das regras os “dados anonimizados”, como normalmente é o caso com cookies. Será preciso esperar a lei entrar em vigor e aguardar decisões da Justiça ou da autoridade competente sobre o tema.
Spam: o envio de mensagens comerciais é regulamentado na Europa pela Diretiva de Privacidade de 2002 e pela lei CAN-SPAM de 2003 nos Estados Unidos. O Brasil ainda não dispõe de regras sobre spam e não está claro qual vai ser o efeito da LGPD sobre a prática.
Com informações: G1 / Época / Ibmec