Depois da aprovação da General Data
Protection Regulation (GDPR), a lei de proteção de dados pessoais da Europa, o
Brasil passou a ter sua própria legislação sobre o assunto. O projeto de lei da
Câmara 53/2018 foi sancionado (com vetos) pelo presidente Michel Temer no dia
14 de agosto de 2018 e todas as
empresas brasileiras têm até 18 meses para se adequar.
Se, como falei, a aprovação do GDPR já era
importante mesmo se a sua empresa operasse apenas no Brasil, uma lei de
proteção de dados pessoais aqui no país faz muito mais efeito. Ela traz para a
realidade brasileira muitos dos pontos levantados na lei europeia e embasa
denúncias que podem ser feitas por órgãos de proteção ao consumidor.
Levanto, aqui, os principais pontos da lei
de proteção de dados pessoais e como você pode começar a adequar a sua empresa.
O que diz a lei
Oficialmente, a lei 13.709/2018 (confira a
íntegra), popularmente chamada de Lei Geral de Proteção de Dados Pessoais
(LGPDP), estabelece diretrizes sobre como
os dados dos cidadãos brasileiros podem ser coletados e tratados, tanto
pelas empresas quanto pelo poder público. O próprio Senado reconhece que a
LGPDP foi inspirada na GDPR, então se você leu o meu texto explicando a lei
europeia, já deve ter uma ideia de como precisa se adequar.
O principal ponto é que as empresas só
poderão coletar dados pessoais dos usuários com explícito consentimento do titular. Para efeitos da lei, considera-se
um dado pessoal qualquer informação relacionada a pessoa, como nome, endereço,
e-mail, idade, estado civil, situação patrimonial e outras informações.
No geral, a lei de proteção de dados
pessoais faz com que o usuário tenha
completo controle de como as suas informações são tratadas e coletadas.
Ele tem direito, por exemplo, a:
· acessar facilmente as informações sobre o tratamento
de seus dados. A empresa deve informar a finalidade específica da coleta e
tratamento, além de como a coleta é feita e por quanto tempo;
· pedir para ser anonimizado, ou até mesmo bloquear ou
eliminar dados desnecessários, excessivos ou tratados em desconformidade com a
lei;
· pedir portabilidade dos dados a outro fornecedor de serviço
ou produto, resguardando, claro, os segredos comercial e industrial por parte
da empresa;
· revogar o consentimento de suas informações de forma gratuita
e facilitada;
· pedir para a empresa eliminar seus dados pessoais mesmo que
antes tenha consentido o uso;
· ser informado sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa.
A empresa, quando terminar de tratar os
dados do usuário ou tiver seu uso revogado, deve eliminá-los por completo. No entanto, a lei estabelece
algumas exceções, para as quais a conservação é autorizada, como:
· se as informações podem servir para cumprimento de obrigação
legal ou regulatória, ou seja, se a empresa for obrigada a armazenar esses
dados por outra lei;
· se as informações são usadas para estudo ou pesquisa,
garantida sempre que possível a anonimização dos dados;
· se as informações serão transferidas para outras empresas a
pedido do usuário (portabilidade);
· se as informações são usadas exclusivamente pela empresa,
vedado o acesso por terceiros.
Na prática, caso a sua empresa colete
informações do usuário para marketing, vendas ou inteligência, deve ser
transparente com o usuário e informar como esses dados serão usados; o cidadão deve autorizar especificamente seu
tratamento, sem ser induzido ao erro. Caso o consentimento seja por
escrito ou em contrato, essa cláusula deve ter destaque.
Além disso, o usuário tem direito a não
fornecer algumas informações, mesmo que essenciais; por outro lado, sua empresa
tem direito de privá-lo de certos recursos: não dá para fazer um cadastro sem o
e-mail ou telefone, por exemplo.
Caso
a sua empresa colete informações do usuário para marketing, vendas ou
inteligência, deve ser transparente com o usuário e informar como esses dados
serão usados; o cidadão deve autorizar
especificamente seu tratamento, sem ser induzido ao erro
Com
o GDPR, as grandes empresas de tecnologia já demonstram a aplicação prática de
uma lei de proteção de dados pessoais. O Facebook passou a pedir para os
usuários revisarem os dados para os quais haviam permitido utilização,
facilitou o acesso às informações coletadas e à eliminação desses dados e tanto
o Facebook quanto o Twitter passaram a excluir contas criadas por menores de 13
anos, mesmo que a pessoa já seja maior de idade hoje em dia.
Redobrar o cuidado com dados sensíveis e/ou de
menores
A lei também faz uma distinção sobre dados
pessoais e dados sensíveis;
estes devem ser tratados de forma diferente. A coleta de dados sensíveis deve
ser informada com destaque e deve ser feita apenas para finalidades
específicas, como para estudos e pesquisa ou tutela da saúde.
Segundo o texto, dados sensíveis podem
incluir dados sobre:
· origem racial ou étnica;
· convicção religiosa;
· opinião política;
· filiação a sindicato ou a organização de caráter religioso,
filosófico ou político;
· dado referente à saúde ou à vida sexual; e
· dado genético ou biométrico.
Caso sua empresa lide com esse tipo de
informação, deve redobrar a atenção. Nenhuma organização poderá fazer uso
desses dados para fins discriminatórios, ou seja, proibir pessoas de uma
convicção religiosa ou opinião política específica de acessar algum serviço.
Também será necessário garantir que os dados serão devidamente protegidos.
Quando a empresa trabalha com a área da
saúde, há precauções ainda maiores a serem tomadas: os dados não devem ser
compartilhados com terceiros, exceto em portabilidade, e, sempre que possível,
eles devem ser anonimizados ou pseudonimizados, ou seja, não deve ser possível
identificar o titular das informações.
No caso do tratamento de dados de crianças
e adolescentes (menores de 18 anos), este deverá ser realizado com o
consentimento específico e em destaque por um dos pais ou pelo responsável legal.
O acesso a jogos, sites ou outras
atividades não deve ser condicionado ao fornecimento de informações pessoais
além das estritamente necessárias à atividade; ou seja, não é permitido proibir
algum menor de acessar sua aplicação se algum dado prescindível, como a
localização, não for fornecido.
E quando dados são vazados?
A empresa também deve redobrar sua preocupação com segurança, uma vez que
pode ser penalizada caso os dados pessoais de seus usuários vazem na internet.
Há um capítulo na lei que trata especificamente da segurança e sigilo de dados.
Em suma, é obrigação da empresa "adotar
medidas de segurança, técnicas e administrativas capazes de proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito".
Quando algum vazamento acontecer, as
autoridades e o titular devem ser comunicados em tempo hábil. Antes, era comum
que empresas demorassem meses ou anos para serem transparentes sobre o
vazamento; agora, assim que ele for apurado, os envolvidos devem ser
comunicados. Além disso, deve-se informar prontamente:
· quais dados pessoais foram afetados;
· as informações sobre os titulares envolvidos;
· a indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados, observados os segredos comercial e industrial;
· os riscos relacionados ao incidente;
· os motivos da demora, no caso de a comunicação não ter sido
imediata;
· as medidas que foram ou que serão adotadas para reverter ou
mitigar os efeitos do prejuízo.
Como a empresa pode ser
penalizada
Caso a lei não seja cumprida, há graves
penas às empresas que fizeram a coleta ou tratamento de dados indevidamente. As
sanções podem ocorrer em diversas instâncias, de acordo com a gravidade da
infração:
· advertência, com indicação de prazo para adoção
de medidas corretivas;
· multa simples, de até 2% (dois por cento) do
faturamento da empresa no seu último exercício, limitada a R$ 50 milhões por
infração;
· multa diária, observado o limite de R$ 50
milhões por infração ou 2% do faturamento da empresa;
· publicização da infração
após devidamente apurada e confirmada a sua ocorrência, ou seja, torná-la
pública à sociedade;
· bloqueio dos dados pessoais
dos usuários a que se refere a infração até a sua regularização;
· eliminação dos dados pessoais
dos usuários a que se refere a infração.
A lei informava antes que um banco de dados
que armazena informações pessoais poderia ser suspenso de forma parcial ou
total, ou até mesmo proibido de fazer o tratamento de dados de cidadãos, mas
esses pontos foram vetados pelo presidente Michel Temer.
Vale apontar que o agente fiscalizatório da
lei, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), também foi
vetado pelo presidente Michel Temer por ser um vício de iniciativa. A ANPD geraria gastos ao governo por ser um
novo órgão público, então não poderia ser criada pelo Congresso, apenas pelo
próprio executivo. Sem a ANPD, segundo o Instituto Brasileiro de Defesa do
Consumidor (Idec), a lei fica manca, "pois não há reguladores com expertise e
tampouco estrutura administrativa para monitoramento".
Sem a ANPD, segundo o Instituto
Brasileiro de Defesa do Consumidor (Idec), a lei fica manca, "pois não há
reguladores com expertise e tampouco estrutura administrativa para
monitoramento".
No entanto, o presidente Michel Temer
prometeu enviar um projeto de lei ao Congresso para criar a ANPD, com um texto
bem parecido ao que foi aprovado pelo Senado. "A questão teve vício de
iniciativa. Portanto, vou consertar este vício de iniciativa, nada mais do que
isso. No mais, continua igual", segundo afirmou o presidente para o site de
notícias G1.
Quando a lei começa a valer
Como a legislação faz as empresas passarem
por uma série de adequações na forma em que coletam e tratam dados pessoais de
seus usuários, ela não começa a valer imediatamente. Assim como o GDPR, ela
começa a valer 18 meses após a sua publicação; como ela
foi publicada em 14 de agosto de 2018, sua empresa tem até meados de fevereiro
de 2020 para fazer as adequações.
Ainda que ela não tenha começado a valer, o
seu texto já foi considerado em uma denúncia feita pelo Ministério Público do
Distrito Federal e Territórios (MPDFT). Na ocasião, o promotor instaurou uma
investigação em empresas que comercializavam o acesso a dados pessoais de
brasileiros e reforçou seus argumentos com o que estava disposto na nova lei.
Já mencionei um artigo que explica como o
GDPR muda a forma de desenvolver aplicações. Como diz o artigo, "independente
da linguagem de programação que você usa, do cargo que você tem ou do produto
que você cria, o GDPR requer que você seja mais estruturado e transparente quanto
ao seu modo de fazer as coisas". Durante o desenvolvimento, será necessário
implantar mecanismos que certifiquem que você está prezando pela privacidade
dos dados que você manipula.
Vários dos pontos levantados na lei são
boas práticas consolidadas no processo de desenvolvimento de um projeto
sofisticado, no entanto, agora esses pontos serão cobrados por uma lei
específica e devem ser mais rigorosamente considerados. O próprio Facebook teve
de adaptar vários de seus recursos para estar em conformidade com o GDPR e você
deve lembrar dos e-mails que recebeu de vários serviços sobre a
alteração dos termos de uso. Vale revisar como estão os termos da sua empresa.
Acesse o texto completo da Lei Geral de
Proteção de Dados (LGPD), clicando
aqui
Autor: Bruno
Abreu
CEO & Fundador da One Day Testing e Sofist. Já
participou de mais de 1300 projetos dos mais variados tipos na área de testes e
qualidade de software, que produziram mais de 45 mil bugs como resultado. Hoje
é responsável pela estratégia de crescimento da empresa e geração de novos
negócios. Bruno também é fundador de outros dois negócios: CPF na Nota (www.notafiscalpaulista.mobi)
e OKNOK (www.oknok.com.br).
Gostou da matéria e quer
continuar aumentando os seus conhecimentos com os nossos conteúdos?
Assine, gratuitamente, a
nossa Newsletter Semanal M&M Flash, clicando no link a seguir:
https://www.mmcontabilidade.com.br/FormBoletim.aspx, e
assim você acompanha as nossas atualizações em primeira mão!