Sabe aqueles “textões”cansativos e difíceis de entender que ninguém lê, mas que são necessários em aplicativos e alguns serviços online? Com a nova legislação, a permissão do usuário precisa ser específica e “granular”, ou seja, precisa estar explícito como cada um dos seus dados pessoais será utilizado, com destaque para o uso de informações mais sensíveis.

A LGPD proíbe os termos de uso generalistas, por exemplo aqueles que justificam a coleta de todo tipo de dados para fins de “melhoria dos serviços” e “compartilhamento com terceiros”.

Se você forneceu seu e-mail para se inscrever em um evento, a empresa não pode usá-lo para te enviar mensagens promocionais com base em um termo de uso escondido e genérico que a permite fazer o que quiser com seus dados. Para isso, a empresa deve obter uma nova autorização.

A lei cria um “pacote de direitos” em que cada pessoa tem controle dos próprios dados, podendo consentir a coleta de informações pessoais.

Com a legislação fica garantido o direito de exigir acesso às informações sobre o tratamento dos seus dados. Isto é, você pode solicitar a qualquer empresa informações sobre o que está sendo feito com o seu nome, CPF, informações pessoais ou registros de consumo.

Por exemplo, se você usa um aplicativo de relacionamentos, tipo Tinder ou OkCupid, agora pode solicitar à empresa que te informe quais dados possui sobre você, como eles são tratados e com quem são compartilhados. Ou seja, se o Tinder analisa todos os seus likes para formar um perfil de “parceiro ideal” para você, isso deve ser explicado.

Além disso, a LGPD garante o direito de retificação de informações imprecisas ou incorretas, de oposição à coleta de informações sensíveis (religião e orientação sexual, por exemplo) e de revisão de decisões tomadas de maneira automatizada (por máquinas).

Com a LGPD, fica garantido o direito de exigir acesso às informações sobre o tratamento dos seus dados, isto é, você pode solicitar à farmácia em que compra seus remédios informações sobre o que está sendo feito com o seu CPF, seu registro de consumo e com quem essas informações são compartilhadas.

Além de informar de maneira precisa o que está sendo feito com seus dados, empresas que utilizam informações sobre a sua saúde não poderão utilizá-las para diferenciação de preços sem seu consentimento expresso e informado. 

Agora, ao ceder seu CPF em troca de descontos em farmácias, consumidores têm garantido que seus dados não serão utilizados para a criação de um perfil farmacológico sem seu consentimento, muito menos utilizados para prejudicá-lo. Se você consumir, por exemplo, um remédio de uso contínuo, a farmacêutica não pode se aproveitar disso para cobrar mais caro, porque você precisa dele. 

Empresas de planos de saúde, por exemplo, não podem utilizar históricos de compras de medicamentos que prenunciam uma doença para encarecer a cobertura de planos. Mesmo sendo uma prática ilegal há muito tempo, a LGPD reforça essa proibição.

As empresas que coletam e tratam seus dados (chamadas de “controladoras” e “operadoras”) devem manter registro destes procedimentos. Com a entrega em vigor da Lei, a Autoridade Nacional de Proteção de Dados poderá requerer a qualquer momento um Relatório de Impacto à Proteção de Dados (RIPD).

Caso ocorra algum vazamento de dados, o consumidor e o órgão competente devem ser notificados e informados sobre os riscos e medidas que estejam sendo adotadas. O consumidor pode exigir de qualquer empresa que controle seus dados a reparação  em casos de vazamento, assim como indenização correspondente ao dano causado por ele.

“Câmeras inteligentes”, como a implementada pela empresa Via Quatro no Metrô de São Paulo para coletar dados sobre as emoções de passageiros, sem consentimento, foram proibidas pela LGPD*. Assim como a venda de dados biométricos para terceiros, como empresas de publicidade e marketing digital.

Câmeras e totens de publicidade em locais abertos, como praças e ruas movimentadas, que pretendem capturar suas reações a anúncios também foram vetadas pela lei. Para que essas informações sejam utilizadas, as pessoas precisam concordar por meio de validações no celular (via “QR code”, por exemplo) ou outra forma de permissão.

* Apesar de existirem algumas teorias sobre a existência de tratamento de dados pessoais em tecnologias de reconhecimento facial, para nós o uso destas informações é inegável. Portanto, com base na LGPD, é ilegal o uso do reconhecimento facial sem consentimento ou outra base legal.

Condomínios residenciais terão que pensar duas vezes antes de instalar o equipamento de biometria para autorizar a entrada de moradores e visitantes. Para garantir o cumprimento à LGPD, os condomínios que quiserem fazer a coleta desse tipo de dado pessoal podem discutir a medida em assembleia condominial*, avaliando se é realmente necessária para a segurança do prédio.

Será preciso comprovar que houve concordância e consentimento dos moradores. Se a coleta de dados biométricos for implementada de forma impositiva por administradoras de condomínios, será possível contestar com base na nova legislação.

Também será necessário garantir que existe uma estrutura segura para a coleta e armazenamento de dados biométricos.

* A LGPD autoriza o uso de dados biométricos para combate à fraude e segurança do titular, no entanto, exige que prevaleçam os direitos dos titulares. Por isso, em nossa análise e interpretação da lei, essa é a melhor forma de adequar-se à nova legislação.

Inteligência Artificial já é utilizada em muitos setores para gerar decisões automatizadas sobre consumidores, como por exemplo se você terá acesso a crédito bancário ou se será aceito em uma vaga de trabalho. Geralmente, nem desconfiamos que há uma máquina por trás de alguns processos corriqueiros. 

Com a LGPD, se uma empresa quer selecionar os currículos a partir de uma tecnologia que analisa a simpatia, sorrisos e a linguagem do candidato, deve informar e pedir autorização de seus candidatos. 

Além disso, se a decisão automatizada impacta seus interesses ou pode definir o seu perfil pessoal, profissional, de consumo ou de crédito, você tem direito de pedir a revisão da decisão. Ou seja, se você foi desclassificado da primeira etapa de uma seleção de emprego porque não sorriu o suficiente, você pode pedir a revisão dessa decisão.

É muito comum que testes simples de internet, como “com qual batata você parece”, coletem, além da sua foto de perfil, dados mais personalizados sobre seu comportamento nas redes sociais, como lista de amigos, suas curtidas, seus interesses, data de nascimento e outras informações que você mesmo gera (de graça) para essas empresas.

Com a LGPD, desenvolvedores de testes ou aplicativos devem solicitar o mínimo necessário de dados para realizar um serviço, respeitando o princípio da necessidade, e tratar os dados de acordo com o princípio da finalidade. Caso queiram coletar outras informações, deve explicitar especificamente quais as finalidades do tratamento destes dados, para que então o consumidor decida consentir ou não.

Assim, você pode solicitar ao desenvolvedor do teste o acesso a quais dados foram coletados, o que foi feito com eles e a exclusão das informações do banco de dados da empresa.

Se um site de compras online quiser diferenciar preços com base na localização, registro de busca ou outras informações relacionadas a você, deve informar, explicitamente, para que você decida se aceita ou não, ou então deve ter uma finalidade legítima, que respeite os direitos dos consumidores, por exemplo em prestação de serviços que os beneficiam*.

A discriminação de preços não ficou proibida no comércio eletrônico, mas consumidores devem ter mais controle e informação sobre a relação entre os dados coletados e a formatação de preços individualizados. Caso perceba a diferenciação de preços sem o seu conhecimento, é possível exigir indenização junto aos órgãos de defesa dos consumidores ou à própria empresa.

* Em nossa análise e interpretação da LGPD, o mais adequado em casos de diferenciação de preços é exigir o consentimento dos consumidores. Se houver o legítimo interesse como base do tratamento, as empresas devem operar com transparência e oferecer a possibilidade do titular dos dados opor-se ao tratamento.

Com a LGPD, qualquer pessoa poderá pedir a portabilidade dos dados pessoais de um responsável para outro. Ou seja, você pode pedir para levar seus dados pessoais do Spotify para o Deezer, por exemplo, eliminando um ou outro, ou exigir que o Spotify promova a exclusão ou anonimização de seus dados.

Autoridades de proteção de dados pessoais do mundo todo já estão trabalhando em padrões de interoperabilidade para que essa portabilidade aconteça sem problemas, ou seja, aperfeiçoar a capacidade de fazer com que dois ou mais sistemas se comuniquem de forma eficaz. A ideia é que a portabilidade seja tão comum como é a do telefone celular hoje em dia.