Está tudo (bem) protegido?

No último 14 de agosto, a Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo presidente Michel Temer. Ela estabelece regras para coleta e tratamento de informações de indivíduos por empresas e instituições públicas. O objetivo é garantir a segurança dos dados pessoais dos clientes e punir as empresas que não têm proteção adequada ou fazem mau uso dessas informações. A nova lei exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados. Ele também proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva.

Na avaliação de Renato Opice Blum, sócio do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados e coordenador dos cursos de Direito Digital, Privacidade e Proteção de Dados do Insper, esse foi um importante passo para adequação do Direito brasileiro ao de outros países. "É uma lei que afeta todas as empresas brasileiras e, inclusive, várias que estão no exterior. Os próximos meses servirão para que elas se adaptem à nova Lei, que muda radicalmente a forma como o tema dos dados pessoais deve ser encarado pelo setor privado", acrescenta.

Para o senador Ricardo Ferraço (PSDB-ES), relator do PL na Comissão de Assuntos Econômicos (CAE) do Senado, esse marco legal será o ponto de partida para a implementação de uma estratégia social que coloque o indivíduo no controle efetivo dos dados pessoais perante terceiros. "Mais de 100 países já colocaram de pé leis e diretrizes de proteção de dados no ambiente da internet. A internet não pode ser ambiente sem regras. A privacidade é um valor civilizatório", destaca.

Dentro disso, Luis Fernando Prado Chaves, coordenador de Privacidade e Proteção de Dados no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados, professor de Direito Digital, Privacidade e Proteção de Dados, essa é uma Lei que traz ao mundo do direito a importância que os dados pessoais já possuem para a economia digital, onde são considerados o novo petróleo. "Por ser uma lei geral, ela afeta todas as esfera do mercado. Sua aplicação não é limitada a situações de relação de consumo, mas sim abrange relações trabalhistas e comerciais, afetando inclusive negócios que não possuem interação com o consumidor ou usuário final."

Para resaltar essa importância do tema, o advogado Fabrício Posocco pontua que, atualmente, os dados pessoais podem ser considerados as novas moedas da economia digital, qualificando-se como um dos mais relevantes ativos. "Entretanto, diante da falta de regulamentação específica no direito brasileiro sobre a obtenção e tratamento dessas informações, as pessoas jurídicas, de uma maneira geral, se aproveitam dessa nova tendência e se utilizam dos dados pessoais da forma que desejam, sob o pretexto de melhorar seus serviços. Com a posse dessas referências, elas realizam práticas abusivas sem o consentimento efetivo do usuário. Isto fere os direitos basilares da personalidade, como a privacidade e a intimidade, por exemplo", explica.

Agora, com a lei, serão impactadas todas as empresas que coletam qualquer tipo de dados pessoais. E por dado pessoal entende-se qualquer informação que permita a identificação de um indivíduo como: nome, sobrenome, endereço, telefone, e-mail, número de documento, número de cartão de crédito, informações bancárias, dados médicos, etc. A lei engloba também os dados de localização, endereços de IP e cookies. "Ou seja, qualquer empresa que tenha um site que use cookies para armazenar informações de usuários também terá que cumprir a lei", comenta Jeferson Propheta, diretor geral da McAfee no Brasil, reforçando, que com a nova lei as empresas passam a ser responsáveis pela segurança de todos esses dados que coleta, transmite, processa e armazena. "A empresa terá que provar, por meio de relatórios, que tem uma estrutura de segurança preparada para assegurar a proteção dos dados, onde quer que eles estejam armazenados. Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber sanções."

O executivo resalta, entretanto, que o processo de adaptação é mais complexo do que aparenta. Para atender às exigências de segurança da lei, Propheta detalha que não basta comprar e instalar novas soluções e esperar que elas resolvam tudo sozinhas. "A segurança envolve mais do que produtos, ela depende de tecnologias, processos e pessoas. As soluções são necessárias, a integração entre elas também, mas os processos e as pessoas não são menos importantes. Se os processos não estiverem bem alinhados e as pessoas não forem capacitadas, a tecnologia sozinha não irá funcionar", acrescenta.

NOVAS REGRAS

A LGPD considera dados pessoais a informação relacionada a uma pessoa que seja "identificada" ou "identificável". Ou seja, a lei regula também aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo), mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo). Foi criada uma categoria especial, denominada dados "sensíveis", que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).

A lei abrange também as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Assim, por exemplo, por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras. Também é permitida a transferência internacional de dados (como no exemplo citado), desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.

Para coletar e tratar um dado, uma empresa precisa solicitar o consentimento do titular, que deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar. Outra obrigação das empresas é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.

Esta reportagem foi publicada originalmente no ClienteSA. Foto: Onlyyouqj/Freepik