Foi aprovada por Michel Temer, nesta terça-feira, o PLC 53/2018 que estabelece a lei de proteção de dados pessoais brasileira. Com a assinatura do presidente, as empresas que processam dados no Brasil terão 18 meses para se adaptar à lei. Mas você sabe o que muda com ela?
De forma resumida, a legislação nacional vai exigir que as companhias mudem a forma como lidam com as informações de seus usuários. Segundo a advogada especialista em direito digital Patrícia Peck, as companhias precisarão de consentimento das pessoas antes de poderem mexer com seus dados, terão que fazer de forma transparente e serão obrigadas a garantir a segurança de tudo que armazenam e processam. Reunimos abaixo alguns dos pontos principais tratados pela lei para você entender melhor o que ela significa.
Definição de dados pessoais: O texto define como dado pessoal “qualquer informação relacionada à pessoa natural identificada ou identificável”. Sobre dados sensíveis, no entanto, a lei é bem mais específica, e inclui na conta origem racial ou étnica, convicções religiosas, opiniões políticas, informações genéticas ou biométricas, entre outros pontos.
Consentimento dos usuários: A legislação também é precisa aqui. Consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. As empresas também precisam deixar clara a finalidade (“realização do tratamento para propósitos legítimos, específicos, explícitos e informados”) do uso dos dados e limitar o uso das informações a esse fim.
Transparência: O consentimento citado acima deverá vir por meio daqueles já conhecidos termos de uso, é claro. Mas a lei obriga que as empresas sejam claras em seus textos e específicas na hora de definir a finalidade do uso. “O consentimento deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais”, diz a legislação. O texto também visa garantir que o titular dos dados possa acessar facilmente as informações que as empresas têm sobre ele — e que possa revogar sem dificuldades o consentimento sobre o uso das informações.
Responsabilidade sobre os dados: O “titular” dos dados mencionado acima é a pessoa a que os dados se referem, como especifica a legislação. Já os responsáveis são, como explica Peck, “a pessoa física ou jurídica, de direito público ou privada que realizada decisões sobre o tratamento de dados” — basicamente, as empresas. Mas há uma divisão: o “responsável” propriamente dito decide como vai ser feito o tratamento, enquanto o “operador” realiza o tratamento dos dados. Ambos, no entanto, são responsáveis pela segurança das informações.
Segurança: Falando no tema, o artigo 46 da lei é categórico (e um pouco longo): “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado”. Isso vale para qualquer empresas que entrar no meio do tratamento e também obriga as companhias a informar abertamente (e rápido) quando houver um problema. É algo que muitas já precisam fazer pelo bem dos consumidores, mas que nem todas fazem direito. Com a lei de proteção de dados, isso deverá ser mais facilmente punível.
Alteração e exclusão: Além do cenário mencionado no tópico “Transparência” acima, o PLC também destaca que os usuários têm todo o direito de alterar e excluir os dados que as empresas têm sobre eles. Quer dizer, exceto em casos, como destaca Peck, como quando as informações têm fins fiscais ou é usada por estudos de órgãos de pesquisa (desde que seja garantida a anonimização, claro). O tratamento de dados pessoas também será terminado caso a finalidade seja alcançada, o período de tratamento chegue ao fim, as informações deixem ser necessárias ou o órgão regulador solicite.
Sanções: Quatro artigos definem as punições às empresas que descumprirem as regras, que vão de um advertência a multas diárias de até 2% do faturamento da companhia (com limite de 50 milhões de reais no total por infração).
E a Autoridade Nacional?
O órgão regulador que ficaria responsável pela aplicação da legislação, a ANPD, acabou ficando de fora do texto aprovado por Michel Temer. O governo o considerou inconstitucional, por ser uma despesa para o poder executivo criada pelo poder legislativo. Um novo projeto de lei, separado, deve entrar em tramitação para resolver essa questão.
O veto já era previsto, mas não deixa de gerar uma lacuna na nova lei. “É fundamental ter uma autoridade nacional independente, com meios de alcançar a eficiência e sustentabilidade”, disse Peck, em comunicado. O Comitê Gestor da Internet do Brasil (CGI.br) também ressaltou, em carta aberta, a importância da ANPD, considerando a fundação da autoridade um “requisito sine qua non de eficácia da legislação recém-adotada”.
A sanção sem a criação da Autoridade Nacional também afeta a criação de um Conselho Nacional que também era previsto no projeto original. O órgão, que ficaria sob a tutela do ANPD, também era muito importante na visão do CGI.br, pois seria uma “composição multissetorial” deliberando as “diretrizes estratégias para orientar a Política Nacional de Proteção de Dados Pessoas e da Privacidade no país”.
Fonte: Olhar Digital