6 de set de 2018

Entenda a nova lei de proteção de dados pessoais brasileira

Udacity Brasil

Com o avanço diário da tecnologia e o desenvolvimento veloz da Internet das Coisas, torna-se cada vez mais difícil impedir a ideia de que empresas detenham e utilizem alguns de nossos dados pessoais. Controlar o uso que se pode fazer deles, porém, é possível. Essa é a grande ideia por trás da nova Lei Geral de Proteção de Dados Pessoais do Brasil (PLC 53/2018), sancionada pelo presidente Michel Temer em agosto de 2018.

Oito anos se passaram desde que as discussões sobre a lei – que envolveram representantes da sociedade civil, do setor empresarial, do governo e da academia – começaram. Agora que ela virou realidade, haverá um prazo de 18 meses para a adequação às mudanças.

De modo geral, isso significa que a partir de fevereiro de 2020 todas as empresas e órgãos do governo deverão estar aptos a garantir a transparência sobre o uso de dados pessoais coletados dos cidadãos.

As novas regras garantem que os dados pessoais de qualquer pessoa não podem ser usados sem consentimento. São considerados dados pessoais todas as informações que podem identificar alguém, como os seguintes:

  • Nome
  • Apelido
  • Endereços físicos e eletrônicos
  • RG
  • CPF (já parou para pensar quanta gente pede o seu?)
  • Dados médicos
  • Dados de localização

A lei também prevê a proteção dos chamados dados sensíveis, isto é, informações biométricas ou sobre origem étnica, religião, opinião política e sexualidade, por exemplo.

Para Francisco Brito Cruz, diretor do InternetLab, é importante que essa regulamentação ocorra, já que a coleta e o tratamento de dados são hoje uma atividade econômica bastante em voga. “Todo um setor da economia que era desregrado passa a ser regulado”, diz ele. “Isso calibra as relações entre quem fornece e quem consome dados e reconfigura as expectativas, os direitos e as obrigações nessas relações.”

Rafael Zanatta, líder do programa de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), concorda e explica: “A lei veio para fazer um regramento de responsabilização sobre quando dados podem ser coletados, quais são as condições dessa coleta e os princípios de tratamento desses dados”.

E ninguém escapa desse regramento, desde as empresas de tecnologia já consagradas como grandes processadoras de dados, como Google e Facebook, até setores que atuam fora do universo digital, como companhias de seguro e farmácias. Por isso, a lei é vista como um complemento ao Marco Civil da Internet, de 2014, que assegurava os direitos para o uso da internet — ou seja, valia apenas no âmbito do universo digital.

Entenda o que é o Marco Civil da Internet, uma lei brasileira que se tornou referência internacional

Leia também: 10 tecnologias promissoras em 2018, segundo o MIT

O que muda com a nova lei de proteção de dados?

Toda a dinâmica de coleta, armazenamento e uso de dados pessoais passa a ser regulamentada. Com isso, as empresas e órgãos do governo são obrigados a explicar para os cidadãos como e quando as informações coletadas serão utilizadas e só poderão processá-las mediante consentimento explícito (um “sim” bem alto e claro) do portador daqueles dados.

Sempre que a informação for usada para um fim diferente, a empresa precisa de uma nova autorização. Está buscando um produto online e o preço mudou de acordo com sua localização? Vai se preciso explicitar. Aquele quiz sobre "seu castelo dos sonhos" na rede social vai compartilhar seus dados com alguém? Precisa avisar. E assim por diante.

Todas as atividades de tratamento realizadas devem ser registradas, e a empresa deve elaborar relatórios de impacto à proteção dos dados, além de informar eventuais violações de segurança.

O usuário, por sua vez, pode pedir para consultar, revisar, alterar ou excluir dados armazenados, assim como solicitar a portabilidade das suas informações pessoais de uma empresa para a outra (como se faz com número de celular) e revogar seu aval a qualquer momento.

A venda desses dados também fica proibida, a não ser que haja autorização do titular. O governo também não pode repassar informações dessa natureza a empresas privadas.

A lei também incentiva a contratação de um profissional responsável por zelar pela proteção dos dados e pela comunicação com os usuários. Pode bem ser algo parecido com o que a União Europeia, pós-GDPR, já exige: a existência de um Data Protection Officer (DPO), responsável especificamente pelas boas práticas com dados pessoais. “Essa figura precisa entender as tendências da área e não tem que ser um adversário da atividade econômica da empresa, mas alguém que chega para transformar essa questão em um ativo, em diferencial”, defende Francisco.

Para Rafael, todas essas novidades demandam transformações na metodologia de gestão — por isso, ele vê o prazo de 18 meses para a implantação definitiva da lei como razoável. “Esse processo vai exigir uma aproximação dos profissionais de exatas e de humanas, ou seja, o pessoal mais técnico das bases de dados e as pessoas que fazem o relacionamento com o consumidor”, explica.

Ele acredita que a principal mudança para os usuários é de mentalidade, para compreender a importância desses novos direitos. “Temos que entender que somos titulares desses dados: o dado é meu, e a empresa tem que estabelecer uma relação de confiança para utilizá-los com um fim econômico”, diz. “É um pacotão de direitos que aos poucos vão ser assimilados na cabeça das pessoas.” Para começar, o Idec preparou este guia.

Advogados falam sobre a nova lei de proteção de dados brasileira no vídeo acima

Leia também: Data science e Nubank: por que esta fintech investe tanto em cientistas de dados

Fiscalização da lei de proteção de dados

A lei prevê multas de até 50 milhões de reais para as infrações dessas novas regras. No entanto, ao sancioná-la, o presidente Michel Temer vetou a criação do órgão regulador e fiscalizador, a Agência Nacional de Proteção de Dados (ANPD), alegando questões burocráticas. O governo prometeu a criação da agência por outras vias legais.

Francisco e Rafael concordam que sem a atuação dessa instituição a lei fica “manca”. “É difícil falar em regulação de uma lei como essa sem um corpo técnico. O judiciário tem tido essa tarefa ingrata, com a pouca legislação que nós tínhamos, e tem sido desastroso, porque é difícil uniformizar as decisões sem um órgão central para alinhar expectativas e interpretações da lei”, defende Francisco.

Rafael ressalta, ainda, que o caráter da agência reguladora não precisa ser exclusivamente punitivo. “Ela pode funcionar como um órgão muito mais técnico do que punitivo, contratando cientistas da computação e matemáticos para produzir documentos que ajudem o setor privado a fazer as coisas corretamente”, explica. “A nova regulação tem que dar essa segurança jurídica para as empresas, por isso o setor privado apoiou a criação da lei”, completa Francisco.

Experimento do InternetLab mostra reação das pessoas às mesmas perguntas que costumam ser feitas online

Leia também: Uma breve história do Vale do Silício, polo de inovação de 3 trilhões de dólares

Por que a nova lei de proteção de dados é importante?

Leis de proteção de dados têm sido revistas e elaboradas ao redor do mundo como resposta a consequências perigosas do cada vez maior sistema de armazenamento, processamento e comercialização de dados pessoais — vide o caso da venda de informações de usuários do Facebook para a empresa Cambridge Analytica.

Na América Latina, o Brasil não foi o primeiro país a aprovar uma legislação sobre o tema. Chile, Colômbia, Costa Rica, Peru, Uruguai, e Argentina já possuem regras comparáveis ao Regulamento Europeu de Proteção de Dados Pessoais (GDPR), cuja nova configuração, em vigor desde maio, é referência no assunto e inspirou a lei brasileira. (Leia 10 perguntas e respostas sobre a GDPR aqui.)

Para Francisco, essa tendência mostra a importância econômica da coleta e do tratamento de dados. “Isso deixou de ser um insumo da internet e está em todas as atividades econômicas, nos bancos, nas companhias de seguro, nas farmácias, no varejo”, diz.

“A The Economist fez uma analogia de que os dados são o novo petróleo, o novo combustível da economia. Se pensarmos nas controvérsias que o petróleo causou no século 20, tem muitas coisas que podem dar errado com os dados. A lei vem para tentar resolver essas questões difíceis.”

Já Rafael destaca a carga simbólica dessas novas medidas na construção de uma sociedade e de uma economia focada em boas práticas de governança de assuntos tão sensíveis como os dados pessoais.

“É uma legislação centrada na proteção dos valores e da dignidade das pessoas”, afirma. “Isso já não diz tanto sobre a lógica da privacidade, mas sobre a autonomia e o controle sobre o fluxo de dados. Qual é o controle individual e coletivo que vamos conseguir ter sobre isso?”

Vá além:

Sobre o autor
Udacity Brasil

A Udacity, conhecida como a "Universidade do Vale do Silício", é uma plataforma online e global que conecta educação e mercado para ensinar as habilidades do futuro – de data science e marketing digital à inteligência artificial e desenvolvimento. Hoje, há mais de 7 mil alunos ativos no país e 50 mil pelo mundo.