separador
Atualizado:
Imagem: iStock
De “terra sem lei” a um dos países mais avançados no tema. Essa é a transformação pela qual o Brasil deverá passar com a nova Lei de Proteção a Dados Pessoais, aprovada pelo Senado na última semana e aguardando sanção presidencial. Segundo especialistas consultados por Época NEGÓCIOS, do jeito que está, a lei colocará o Brasil, após o prazo de 18 meses que as empresas terão para se adaptar, na vanguarda internacional dos direitos relacionados a informações pessoais.
Inspirada na Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia, que passou a vigorar recentemente, a peça brasileira vem para criar novas obrigações para qualquer pessoa ou negócio que colete informações que possam identificar alguém. Mas tem aspectos específicos que a lei europeia não considera, como os que envolvem informações de crianças, e também os chamados “dados sensíveis”, aqueles sobre questões étnicas, estado de saúde e preferências políticas, sexuais ou religiosas.
“A gente vem de uma terra sem lei, que agora será super-regulada. Nosso projeto de lei foi bastante embasado na GDPR, mas é até melhor”, afirma a advogada Luiza Sato, especialista em direito digital, do escritório Lobo de Rizzo Advogados.
A impressão positiva é compartilhada por Rafael Zanatta, advogado e líder do programa de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec). “Além do conteúdo positivo, essa lei teve algo que há muito tempo não se via: uma ampla coalisão de ONGs, empresas privadas e centros de pesquisas que colaboraram com o projeto, para que nenhuma parte saísse prejudicada.”
Mudanças para todos
O principal ponto da lei é que toda coleta de dados que possa identificar uma pessoa — nome, idade, estado civil, documentos — só poderá ser feita mediante consentimento do titular daquelas informações e a explicação clara de qual a finalidade para o uso delas. “A lei é clara em estipular que definições genéricas não serão aceitas. A empresa precisa descrever perfeitamente como vai usar aqueles dados e se, por exemplo, vai subcontratar alguém para gerenciá-los”, diz Daniel Rodrigues Pinto, consultor jurídico da empresa de serviços digitais Atos.
Nesse último caso, será necessário dizer também como os dados serão tratados dentro da outra empresa e quem será responsável pelas informações dentro dela. “Acontece muito na área de recursos humanos, com a terceirização das folhas de pagamento”.
Há, entretanto, casos em que o “interesse legítimo” da empresa justifica a coleta, mesmo sem consentimento. “Se você contrata uma empresa para entregar uma mercadoria sua em outro local, você consentiu para o uso daqueles dados, mas quem vai receber, não”, afirma Luiza Sato. Assim, a empresa de transporte poderia utilizar a informação do destinatário para a entrega, mas não poderia mantê-la em um banco de dados posteriormente.
Outro caso do tipo são os dados de navegação na internet coletados para cada busca feita no Google. “Seria inviável fazer uma autorização para cada busca realizada”, diz a advogada. Mas, mesmo os serviços digitais de uso recorrente, como o citado, precisam ter políticas de privacidade explicando claramente como usam os dados coletados.
E, seja qual for o interesse legítimo descrito, as medidas de segurança para impedir o vazamento das informações são igualmente necessárias — inclusive para os dados coletados no passado. “Toda empresa precisará reavaliar quais os dados pessoais com os quais trabalha diariamente, como elas os tratam e como os obtiveram: se foi consentido, se há o dever legal de ter aquele dado ou se ele está diretamente ligado à atividade do negócio”, diz Daniel Rodrigues, da Atos.
Há outras formas previstas para a coleta de informações: contratos, por exemplo, são considerados uma forma de consentimento explícito. Da mesma forma, o cumprimento de ação legal e a criação de políticas públicas permitem aos responsáveis manejar informações pessoais, assim como os serviços de proteção ao crédito.
Consumidor empoderado on e offline
Fato é que, desde os pequenos aos maiores negócios, todos têm novas obrigações diante das pessoas físicas. Isso trará uma série de mudanças visíveis no dia a dia, como lista o Idec em seu site.
“Preencheu cadastro em loja, já está valendo. Se a padaria da esquina faz programa de fidelidade, já tem dados pessoais. E vamos parar de receber tanto e-mail de empresas que nunca vimos, porque será proibido vender os dados para terceiros sem que o titular saiba”, diz Luiza.
Na internet, os termos de uso deverão ser mais claros e mostrar como cada informação passada será usada. Se for um conteúdo dirigido para crianças, a linguagem precisará ser ainda mais compreensiva, além de dirigida aos pais. E, para qualquer dúvida ou consulta, um contato específico para tratar dessas questões precisará ser informado — cada empresa que lide com dados pessoais será obrigada a ter um encarregado da área, que necessariamente precisará ser um funcionário registrado.
No caso das informações consideradas sensíveis, novas restrições foram impostas. “Se o iFood está me entregando comida kosher e sabe que sou judeu, essa informação é sensível, e vai precisar de um tratamento diferenciado dentro da empresa”, afirma Rafael Zanatta, do Idec. “O Facebook pode saber minha raça, religião e se eu gosto mais do DEM ou do PSOL. Mas precisa pedir o consentimento específico para obter essas informações, e só poderá usá-la internamente”.
A punição para quem desrespeitar a lei poderá ser severa: a previsão vai desde advertência à suspensão do funcionamento do banco de dados em questão, incluindo possíveis multas de até 2% do faturamento da empresa (com limite de R$ 50 milhões).
Questões pendentes
A regulamentação da lei, que não tem data para vir, deverá detalhar pontos que não ficam claros na peça aprovada. Como o funcionamento da portabilidade de dados, em que os consumidores poderão solicitar as informações que estão em posse de uma empresa para levar a outra. “As atribuições do encarregado de dados também precisam ser melhor definidas, assim como a especificação de qual punição será usada para cada tipo de infração”, diz Luiza.
A maior incógnita, no entanto, é quem fará a fiscalização. A lei prevê a criação de uma Autoridade Nacional de Proteção de Dados, autarquia que seria ligada ao Ministério da Justiça e cuja estrutura seria definida em decreto posterior pelo presidente da República. O trecho, entretanto, pode ser vetado por questões orçamentárias, segundo a advogada, o que criaria um vácuo fiscalizatório na nova lei. “Se não houver a autoridade, não há como garantir o funcionamento. O que se fala é em deixar essa competência com algum órgão que já exista, mas eles já têm trabalho suficiente”.