O vazamento de dados pessoais de usuários do Facebook, seu uso pela empresa de consultoria Cambridge Analytica e a aprovação do GDPR (General Data Protection Regulation) na Europa ajudaram a dar impulso para um projeto de lei que tramitava na Casa Legislativa Brasileira há 6 anos. No dia 10/07/2018, o projeto de lei nº53/2018 foi aprovado pelo Senado sem alterações. No dia 14/08/2018 a lei foi sancionada pelo presidente do Brasil.
Qual é a importância da Lei de Proteção de Dados?
De acordo com o art. 5º, XII, da constituição brasileira de 1988, a proteção de dados pessoais é um direito fundamental. O Marco Civil da Internet toca neste assunto no âmbito da Internet brasileira e estabelece que a proteção do dado pessoal é um direito do usuário, bem como o não fornecimento dos mesmos. No entanto, conforme vemos em seu art. 11, a lei aborda vagamente sobre o assunto e deixa para uma legislação posterior regular a proteção e privacidade dos dados pessoais.
art. 11 – “Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros”
Neste cenário, a Lei de Proteção de Dados vem para suprir a falta de uma lei para regular a proteção e a privacidade dos dados. Além de conferir mais transparência a este processo e garantir o direito do usuário de ser o proprietário dos seus dados.
Como a Lei de Proteção de Dados impacta plataformas, data providers, marcas e portais?
A lei trará novidades e obrigará plataformas, data provider, marcas e portais a se adaptarem. Isso trará atividades extras para as empresas e também muitos benefícios. Por exemplo:
1. Respaldo jurídico
Os projetos que envolverem dados, dali para frente, terão respaldo jurídico. As empresas saberão até onde podem ir com a segurança de estarem atuando dentro da lei e respeitando a proteção dos dados dos usuários.
2. As mesmas regras do jogo
Independente do tamanho da empresa, do ramo em que atua e de há quanto tempo está no mercado, todas precisarão se adaptar e jogar as mesmas regras. O resultado é um mercado mais justo e competitivo.
3. Papéis claros
Com uma definição com peso de lei, fica clara a compreensão de quem (plataforma, data provider, marca ou portal) é responsável por qual etapa da proteção de dados. Sem a lei, é possível que uma empresa execute uma etapa do que processo que deveria ser de outra. Por exemplo, uma empresa – que não a dona do site – solicitar a autorização de coleta de dados pessoais. Isso é um risco para o cliente e para a empresa que não está realizando a etapa que deveria, pois fica sem a garantia da confiabilidade dos dados. A lei inibirá esta atividade e esclarecerá quem é responsável por qual etapa.
O que mudará com a Lei de Proteção de Dados?
Como o conceito de dados e proteção dos mesmos é bastante amplo, a Lei de Proteção de Dados interferirá em muitos aspectos do mercado digital. Alguns deles são:
1. Acesso, edição e exclusão de dados pessoais
A lei determina que qualquer cidadão brasileiro possa ter seus dados pessoais coletados acessados, editados ou deletados, caso queira. Além disso, assim que a relação entre a empresa e o cliente for finalizada, os dados dos clientes deverão ser excluídos.
2. Consentimento da coleta de dados pessoais
A lei prevê que – antes de coletar os dados pessoais de seus clientes (nome, endereço, CPF, e-mail, idade, estado civil e situação patrinomial) – peça autorização para realizar tal ação.
O consentimento deve ser uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Ou seja, aqueles campos “clique aqui para finalizar o seu cadastro” e logo abaixo “clicando aqui você concorda com os termos e uso e política de privacidade” já não serão válidos. O usuário precisa expressar o seu consentimento. Por exemplo, marcando uma check box.
Além disso, caso esses dados sejam vendidos ou transferidos, o usuário dono do dado precisa ser notificado e uma nova autorização precisa ser solicitada.
Por fim, o usuário terá direito à revogação do consentimento. Ou seja, poderá revogar o consentimento previamente dado ao tratamento de seus dados pessoais.
3. Restrição na coleta de dados de menores de 12 anos
A lei também determina que a coleta de dados de menores de 12 anos só possa ser realizada mediante o consentimento de ao menos um dos responsáveis da criança.
4. Coleta apenas dos dados necessários aos serviços prestados
5. Política de proteção de dados
As empresas deverão expor em forma clara e de fácil compreensão informações sobre a coleta e o processamento dos seus dados. Além disso, a empresa deve deixar claro que o não fornecimento dos dados é uma possibilidade e quais são as possíveis consequências da falta deles.
Por fim, não se pode negar o serviço ao cliente, caso ele não concorde em compartilhar os seus dados.
6. Notificação imediata
Caso a empresa tenha algum problema de invasão de dados que possa representar risco ou dano relevante aos clientes, deverá informar imediatamente os seus clientes que tiveram dados invadidos.
7. Coleta de dados sensíveis
Dados sensíveis, aos olhos da lei, são aqueles relacionados a temas como origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou dados relativos à vida sexual.
Este tipo de dado só pode ser coletado se for utilizado para finalidades especificamente definidas na LGPD, como pesquisa ou prevenção de fraudes, por exemplo. Mesmo assim, a solicitação destes dados devem estar em destaque no pedido de consentimento.
O compartilhamento dos dados sobre saúde é proibido, salvo caso o usuário queira fazer uma portabilidade e transferir seus dados.
8. A transferência de dados pessoais a nível internacional
Os dados pessoais de brasileiros só poderão ser transferidos para outro país, caso o país de destino tenha o mesmo nível de proteção de dados ou se a empresa responsável garantir que eles serão usados dentro do que rege a lei brasileira.
9. Informação sobre o processamento
O usuário terá o direiro de ser informado sobre o processamento dos seus dados.
O que acontece com as empresas que descumprirem a lei?
Em caso de descumprimento, as empresas poderão ser advertidas, multadas ou até mesmo proibidas de realizar atividades relacionadas ao tratamento de dados. As multas podem ser cobradas de forma simples ou diária, correspondendo a até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.
Quais são os próximos passos?
A lei entra em vigor 18 meses após a sanção presidencial. Ou seja, no dia 14/02/2020.
Pela sofisticação que os dados requerem e pelo alto risco financeiro envolvido, conte com uma empresa confiável, com parcerias sólidas e que está há 10 anos atuando neste mercado para realizar o seu projeto de dados. Conte conosco.
Atualizado em 31/08/2018.
