Foi sancionada em agosto de 2018 a Lei Geral de Proteção de Dados nº13.709, que estabelece a coleta e o tratamento de dados dos cidadãos por empresas privadas e instituições do poder público.
A regra, que está em fase de transição, tem até o dia 16 de agosto de 2020 para entrar em vigor, e traz alterações nas ações cotidianas de pessoas físicas, empresas e órgãos da administração pública.
Dentre as novidades requeridas pelo normativo destacam-se que as empresas passarão a ter uma série de obrigações, como a garantia da segurança das informações dos usuários e a notificação do titular em caso de um incidente de segurança.
A lei de proteção de dados tem como principal objetivo proteger direitos fundamentais como a privacidade, intimidade, honra, direito de imagem e dignidade, ou seja, as informações pessoais dos titulares.
De acordo com a lei, informações pessoais são dados que podem identificar um cidadão ou o tornam identificável. Mas não se trata apenas do nome, sendo que um endereço ou até mesmo sua profissão podem ser considerados dados, se permitirem identificar uma pessoa quando cruzadas as informações com outros registros.
A categoria de dado sensível foi criada dentro desse conceito, que corresponde a informações sobre opiniões políticas, vida sexual, origem racial ou étnica, convicções religiosas ou saúde. Registros como esses passam a ter nível maior de proteção a fim de evitar formas de discriminação.
Pode-se pontuar também que a necessidade de leis específicas para a proteção dos dados pessoais surgiu com o desenvolvimento da tecnologia no mundo, como resultado dos desdobramentos da globalização, que trouxe como consequências o aumento da importância e do valor da informação.
A informação nada mais é do que a interpretação dos dados, e são esses elementos que se tornaram um ativo de alta relevância para os governantes e empresários, que buscam o desenvolvimento de seus países e empresas com o poder que ganham com a utilização dos dados.
Desta forma, a atuação das empresas no contexto digital trouxe consigo a necessidade de criação de mecanismos de regulação e proteção dos dados pessoais daqueles que utilizam serviços, compras ou realizam qualquer tipo de transação on-line que envolve o fornecimento de informações pessoais.
Toda situação ou ação realizada no ambiente virtual faz parte da realidade de qualquer pessoa, portanto os direitos no mundo físico também devem ser protegidos no mundo digital.
SUJEITOS À LEI DE PROTEÇÃO DE DADOS
Pessoas físicas e jurídicas que recebem dados pessoais, independente da finalidade, estão sujeitas a força desta lei. A lei também vai valer para coletas de dados realizadas em outros países, desde que estejam ligados a bens ou serviços oferecidos a brasileiros:
- Empresas brasileiras que atuam fora do Brasil;
- Empresas estrangeiras que prestam serviços a brasileiros;
- Empresas estrangeiras que tratam dados de pessoas localizadas no Brasil.
PRINCIPAIS REGRAS DA LEI DE PROTEÇÃO DE DADOS
Clareza e transparência
Anteriormente à lei de proteção de dados, muitas vezes, as organizações explicavam como seriam tratadas as informações coletadas, mas dentro de burocráticos termos de adesão, que os usuários acabavam não lendo. Agora, os objetivos para a utilização dos dados pessoais deverão, de forma obrigatória, ser apresentadas ao consumidor de maneira clara e transparente.
Segurança dos dados
Um fator importante da lei de proteção de dados é que a empresa passa a ser responsável pela segurança das informações que coleta, processa, transmite e armazena.
Antes da lei, se a empresa que hospeda as informações não aplicasse nenhuma segurança sobre os dados e esses fossem atacados por cibercriminosos, a organização não era punida e o maior prejudicado era o cliente, que poderia ter suas informações usadas para atos ilícitos, como golpes e fraudes.
Desta forma, as organizações terão de provar, por meio de relatórios, que possuem estrutura de segurança adequada para garantir a proteção das informações coletadas. Caso a instituição seja vítima de cibercriminosos, seja por caso acidental ou criminoso, ela será obrigada a avisar a todos os usuários e poderá receber multa de até 2% do faturamento ou até R$ 50 milhões de reais por infração.
Acesso às informações pelo usuário
A lei de proteção de dados concedeu ao usuário uma série de direitos. Ele poderá, por exemplo, solicitar as informações sobre o seu cadastro à empresa para quem essas informações foram transmitidas (em situações como a de reutilização por “legítimo interesse”) e com quais objetivos.
Caso tenham erros nos registros, o usuário poderá exigir a correção. Em casos como as notas de crédito ou perfis de consumo, a lei também vai permitir a revisão de decisões automatizadas baseadas no tratamento de dados. Dessa forma, o usuário de mídias sociais, por exemplo, vai poder solicitar a qualquer momento o acesso às suas informações pessoais mantidas nas plataformas.
O usuário ainda contará com o direito à portabilidade dos dados, como acontece com o número de telefone. A autoridade regulatória, com definição prevista pela lei, deverá estabelecer futuramente como isso será feito.
No entanto, no caso dos aplicativos, a possibilidade de levar os dados consigo é importante para que uma pessoa possa trocar de plataforma sem perder seus contatos, fotos ou outras publicações.
SANÇÃO
Dentre as sanções por infrações à lei de proteção de dados está a multa, simples ou diária, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões de reais.
AGENTE FISCAL DA LEI
Está prevista a criação da Autoridade Nacional de Proteção de Dados, instituição pública com a atribuição de fiscalizar o cumprimento da legislação e aplicar as penalidades.
Também será formado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes titulares de diversos órgãos do governo e da sociedade civil, que será responsável pela disseminação do conhecimento sobre o tema, por meio de estudos, debates ou outras ações.
Essas autoridades poderão, por exemplo, exigir relatórios que impactam diretamente à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos.
PRAZO DE ADAPTAÇÃO
A lei entrará em vigor no dia 16 agosto de 2020, desta forma, as empresas têm poucos meses para se adequarem à nova realidade. No entanto, um dificultador é o tempo, já que o processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos de informações é bastante complexo. Um projeto de classificação de dados, por exemplo, pode demorar até 12 meses para ser colocado em prática.