Ao criar um perfil numa rede social, nós somos obrigados concordar com os “termos de uso” por ela determinados para finalizar nosso cadastro.
Em geral, esses termos de uso abrangem a declaração de direitos e responsabilidades do usuário, a política de uso de dados (ou seja, a maneira como as informações que você cede são utilizadas pelos donos daquela rede social) e os padrões da comunidade (que determinam o que é permitido divulgar naquele ambiente).
As empresas também não estão imunes a isto. Seja ao criar uma fanpage no Facebook, ao adquirir algum software específico ou no ato da contratação de uma nuvem para armazenamento de seus dados, pode-se dizer que nenhuma informação está totalmente protegida do acesso indiscriminado por parte de terceiros; inclusive, ao usar a internet, nós mesmos estamos constantemente fornecendo informações, mesmo sem perceber.
Por isso houve a necessidade de criar a Lei Geral de Proteção de Dados Pessoais, que finalmente levará o Brasil a apresentar uma legislação específica para proteger as informações de seus cidadãos.
O que diz a Lei Geral de Proteção de Dados Pessoais (LGPDP)?
A Lei nº 13.709 de 14 de agosto de 2018, entrou em vigor [parcialmente e delimitada a alguns artigos] em dezembro de 2018. A previsão de vigência total é para agosto de 2020.
De qualquer forma, mesmo sem estar completamente vigorante, a norma já chancela e direciona a proteção de dados pessoais. Ela contém dez capítulos e 65 artigos que determinam como dados pessoais podem ser coletados e tratados no Brasil, especialmente no que diz respeito aos meios digitais (porém não limitados a eles)
Mas o que a lei de proteção de dados protegerá especificamente? Quais serão as obrigações das empresas? Quais as punições em caso de descumprimento? Como será feita a fiscalização? São muitas perguntas e, no artigo a seguir, tentaremos respondê-las da forma mais clara possível
Por que a Lei Geral de Proteção de Dados Pessoais é tão importante?
Em primeiro lugar, a Lei nº 13.709 estabelece uma série de regras que as organizações atuantes no Brasil precisarão seguir com o intuito de permitir que o cidadão detenha mais controle sobre o tratamento concedido às suas informações pessoais.
É uma lei que atuará de maneira mais específica, já que a legislação brasileira até então tem sido muito vaga em questões relacionadas a dados pessoais e à privacidade no meio digital — pois embora nossas leis já contemplem o direito à intimidade e ao sigilo nas comunicações, todas foram criadas bem anteriormente à existência deste cenário tecnológico que conhecemos.
Proteção de Dados exige uma legislação específica
Por causa disso, a postura em relação à proteção de dados sempre foi muito evasiva e acabou clamando por uma legislação específica.
A Lei nº 13.709 abrange principalmente os “dados pessoais”, que neste caso são definidos como “uma informação relacionada à pessoa natural identificada ou identificável”. Ou seja: são aquelas informações que, isoladas ou em conjunto, são capazes de levar à identificação de um indivíduo.
Exemplos: nome, apelido, endereço residencial, endereço de e-mail, endereço de IP, fotografias, formulários cadastrais, números de documentos etc.
Como os dados pessoais deverão ser coletados e tratados?
Para início de conversa, todas as organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento do titular. A solicitação deverá ser feita de maneira transparente, para que o cidadão saiba exatamente o que será coletado, para quais fins e se haverá algum tipo de compartilhamento.
Em caso menores de idade, os dados só poderão ser tratados com o consentimento dos responsáveis legais. Caso haja mudança de finalidade ou repasse de dados a terceiros, a empresa deverá solicitar um novo consentimento. E sempre que desejar, o usuário poderá revogar sua autorização, bem como pedir a exclusão, portabilidade ou modificações dos dados.
A lei também prevê o tratamento sobre uma categoria intitulada “dados sensíveis”. São aqueles que abordam informações extremamente particulares, como crenças religiosas, posicionamento político, características físicas, condições de saúde e vida sexual. O uso de tais dados será mais restritivo e a lei preverá punições caso eles sejam utilizados para fins discriminatórios.
Qual o propósito dessa lei?
De modo geral, a ideia é proteger o cidadão do uso abusivo e indiscriminado de seus dados.
As organizações só poderão solicitar os dados caso estes sejam realmente necessários ao fim proposto — e o usuário também poderá questionar se a exigência de algum dado lhe parecer exagerada ou abusiva.
As regras, no entanto, não valerão para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolverem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Estes casos deverão ser abordados por leis específicas.
Vazamentos acidentais e descumprimentos
Sempre que houver vazamentos acidentais ou problemas de segurança que comprometerem dados pessoais de um usuário, estes deverão ser relatados às autoridades competentes em tempo hábil. Casa caso será analisado e as autoridades determinarão os passos seguintes, como a necessidade de divulgação do caso à imprensa, por exemplo.
Já a punição em caso de descumprimento da lei vai depender da gravidade da situação. Se comprovada a infração, a empresa ou organização responsável poderá receber desde advertências até uma multa equivalente a 2% de seu faturamento (porém limitada ao valor máximo de 50 milhões da UFIR).
A empresa ou organização também poderá ter todas as suas atividades ligadas ao tratamento de dados suspensa (total ou parcialmente), além de responder judicialmente a outras violações previstas em lei, se for o caso.
A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja realizada em território brasileiro. Ou seja: se a Google coletar dados de um usuário em território brasileiro, terá de seguir a legislação brasileira (mesmo que os dados sejam processados nos EUA).
A empresa pode até transferir os dados para uma filial ou sede estrangeira, com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou que possa garantir mecanismos de tratamento equivalentes àqueles exigidos aqui no Brasil.
E quando os dados não mais forem necessários, a organização será obrigada a apagá-los, exceto se houver obrigação legal ou outra razão justificável para a preservação dos mesmos.
Fiscalização: como funciona?
Uma medida provisória determinou a criação da ANPD – Autoridade Nacional de Proteção de Dados (ANPD), uma autarquia ligada ao Ministério da Justiça para editar normas, fiscalizar e aplicar sanções em caso de descumprimento da LGPDP.
Ela seria composta por cinco diretores nomeados pelo presidente da República e por um conselho de 23 pessoas indicadas pelo Executivo, Legislativo, Judiciário, Ministério Público, sociedade civil, instituições científicas e empresas. No entanto, a criação da ANPD havia sido vetada na sanção da legislação original sob o argumento de inconstitucionalidade por vício de iniciativa (foi alegado que o Executivo deveria criar o órgão, não o Legislativo) e o governo ainda vive um impasse.
Já no caso das empresas, é provável que cada organização vá ter que nomear um setor responsável para cuidar do tratamento de seus dados, tanto na iniciativa púbica quanto na privada. Assim, quaisquer solicitações ou comunicações referentes a dados pessoais serão tratadas com este setor em especial.
Danielle Fernandes Reis, advogada do Departamento de Risco Legal da Verde Ghaia, reitera que existe uma corrente que classifica a lei como “vaga”, mas mesmo assim destaca a importância da legislação, vista que ao estabelecer uma série de regras sobre o tratamento de dados pessoais, inclusive nos meios digitais, permite, ou pelo menos objetiva, que a sociedade brasileira tenha maior controle a respeito da privacidade e autenticidade dos dados. Danielle declara que a LGPDP representa um marco e assente a importância da proteção de dados, em especial nos meios digitais.
Ainda que não conheçamos totalmente os impactos diretos da Lei nº 13.709, a Verde Ghaia se preocupa com todas as questões legais referentes ao tratamento de dados pessoais, já que possui acesso às mais diversas informações de seus clientes e clientes em potencial.
que a responsabilidade com a segurança da informação é não só um de nossos diferenciais, mas também um de nossos maiores compromissos. Fale conosco!