O Brasil tem, a partir desta terça-feira (14), uma lei geral de proteção de dados pessoais, se colocando ao lado de dezenas de países que já têm legislação sobre o tema, como as nações europeias e boa parte da América do Sul. Ao estabelecer direitos e responsabilidades, a lei vai impacta o cotidiano dos cidadãos, de empresas e dos órgãos públicos. O texto foi sancionado nesta terça pelo presidente Michel Temer.
O texto define dados pessoais como informações que podem identificar alguém (não apenas um nome, mas uma idade que, cruzada com um endereço, possa revelar que se trata de determinada pessoa).
Além disso, coloca regras na forma como as informações são coletadas e tratadas em qualquer situação, especialmente em meios digitais. Estão cobertas também situações como cadastros ou textos e fotos publicados em redes sociais.
A nova regra também cria o conceito de dados sensíveis, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
A lei passa a valer para atividades e pessoas em todo o país, mas também para coletas feitas fora, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Um site, por exemplo, que vende pacotes de viagens com conteúdo em português e ofertas para brasileiros teria as mesmas responsabilidades de uma página sediada aqui.
Exemplos práticos
O uso de dados não poderá ser indiscriminado, mas para uma finalidade determinada.
Os “testes de personalidade”, como o aplicado no Facebook que originou o vazamento de dados de 87 milhões de pessoas, usados pela empesa Cambridge Analytica, inclusive para influenciar eleições, são outro exemplo.
“As empresas vão ter de justificar o tratamento de dados, o que pode fazer com que, em alguns casos, eles não precisem ser usados. Isso tende a racionalizar a coleta e o uso de dados, seja porque a lei pode proibir ou porque ele não vai valer a pena por gerar risco pouco razoável”, comentou Danilo Doneda à Agência Brasil, especialista em proteção de dados e consultor que participou ativamente do processo de discussão da lei.
Além de uma finalidade específica, a coleta só pode ocorrer caso preencha requisitos específicos, especialmente mediante autorização do titular (o chamado consentimento). Ou seja, o pedido de permissão (por exemplo, ao baixar aplicativos) passa a ser a regra, não um favor das empresas.
Se o titular consentir ao aceitar as “regras” em redes sociais, os chamados “termos e condições” usados por plataformas como Facebook, Twitter e Google, as empresas passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que não violem a lei. Contudo, a lei lista uma série de responsabilidades. Entre elas estão a garantia da segurança dos dados e a elaboração de relatórios de impacto à proteção de dados, se solicitados pela autoridade regulatória.
“Não é possível prever todas as situações, especialmente quando se trata de tecnologia. Por isso, é fundamental a previsão de uma norma fluida como o legítimo interesse, capaz de se adaptar às evoluções tecnológicas. Esse conceito indeterminado é justamente o que impedirá que a lei se torne obsoleta diante do usos novos dos dados, inimagináveis hoje”, observou Fabiano Barreto, especialista em política e indústria da Confederação Nacional da Indústria (CNI).
Direitos do titular
O titular dos dados poderá, por exemplo, solicitar informações que determinada empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento.
O titular terá ainda direito à portabilidade de suas informações, assim como ocorre com número de telefone.
Outra garantia é sobre a segurança das informações. Os casos de vazamento têm se multiplicado pelo mundo. Além de assegurar a integridade dos dados e sua proteção contra vazamentos e roubos, as empresas são obrigadas a informar ao titular se houve um incidente de segurança.
O texto listou garantias específicas para crianças e pessoas com idade até 12 anos. A coleta fica sujeita a uma série de restrições, deve ser informada de maneira acessível para esse público e fica condicionada à autorização de pelo menos um dos pais.
Negócios
Ao estabelecer garantias e responsabilidades às empresas, a lei vai ter impacto importante nos negócios realizados no Brasil e com parceiras estrangeiras.
Autoridade regulatória
O texto sancionado ontem pelo presidente Michel Temer foi aprovado com vetos a alguns pontos. O principal diz respeito à criação de um órgão regulador denominado Autoridade Nacional de Proteção de Dados (ANPD). O presidente justificou o veto por um problema jurídico uma vez que a criação do órgão regulador precisaria ser realizada por iniciativa do Poder Executivo, e não por meio de lei aprovada pelo Parlamento.
Também foi vetada a implantação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O órgão seria uma estrutura auxiliar com a prerrogativa de propor estratégias e diretrizes, bem como fornecer subsídios e elaborar um relatório anual da execução da política nacional da área.
Da Agência Brasil
