Depois da aprovação da General Data Protection Regulation (GDPR), a lei de proteção de dados pessoais da Europa, o Brasil passou a ter sua própria legislação sobre o assunto. O projeto de lei da Câmara 53/2018 foi sancionado (com vetos) pelo presidente Michel Temer no dia 14 de agosto de 2018 e todas as empresas brasileiras têm até 18 meses para se adequar.

Se, como falei, a aprovação do GDPR já era importante mesmo se a sua empresa operasse apenas no Brasil, uma lei de proteção de dados pessoais aqui no país faz muito mais efeito. Ela traz para a realidade brasileira muitos dos pontos levantados na lei europeia e embasa denúncias que podem ser feitas por órgãos de proteção ao consumidor.

Levanto, aqui, os principais pontos da lei de proteção de dados pessoais e como você pode começar a adequar a sua empresa.

O que diz a lei

Oficialmente, a lei 13.709/2018 (confira a íntegra), popularmente chamada de Lei Geral de Proteção de Dados Pessoais (LGPDP), estabelece diretrizes sobre como os dados dos cidadãos brasileiros podem ser coletados e tratados, tanto pelas empresas quanto pelo poder público. O próprio Senado reconhece que a LGPDP foi inspirada na GDPR, então se você leu o meu texto explicando a lei europeia, já deve ter uma ideia de como precisa se adequar.

O principal ponto é que as empresas só poderão coletar dados pessoais dos usuários com explícito consentimento do titular. Para efeitos da lei, considera-se um dado pessoal qualquer informação relacionada a pessoa, como nome, endereço, e-mail, idade, estado civil, situação patrimonial e outras informações.

No geral, a lei de proteção de dados pessoais faz com que o usuário tenha completo controle de como as suas informações são tratadas e coletadas. Ele tem direito, por exemplo, a:

  • acessar facilmente as informações sobre o tratamento de seus dados. A empresa deve informar a finalidade específica da coleta e tratamento, além de como a coleta é feita e por quanto tempo;
  • pedir para ser anonimizado, ou até mesmo bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a lei;
  • pedir portabilidade dos dados a outro fornecedor de serviço ou produto, resguardando, claro, os segredos comercial e industrial por parte da empresa;
  • revogar o consentimento de suas informações de forma gratuita e facilitada;
  • pedir para a empresa eliminar seus dados pessoais mesmo que antes tenha consentido o uso;
  • ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.

A empresa, quando terminar de tratar os dados do usuário ou tiver seu uso revogado, deve eliminá-los por completo. No entanto, a lei estabelece algumas exceções, para as quais a conservação é autorizada, como:

  • se as informações podem servir para cumprimento de obrigação legal ou regulatória, ou seja, se a empresa for obrigada a armazenar esses dados por outra lei;
  • se as informações são usadas para estudo ou pesquisa, garantida sempre que possível a anonimização dos dados;
  • se as informações serão transferidas para outras empresas a pedido do usuário (portabilidade);
  • se as informações são usadas exclusivamente pela empresa, vedado o acesso por terceiros.

Na prática, caso a sua empresa colete informações do usuário para marketing, vendas ou inteligência, deve ser transparente com o usuário e informar como esses dados serão usados; o cidadão deve autorizar especificamente seu tratamento, sem ser induzido ao erro. Caso o consentimento seja por escrito ou em contrato, essa cláusula deve ter destaque.

Além disso, o usuário tem direito a não fornecer algumas informações, mesmo que essenciais; por outro lado, sua empresa tem direito de privá-lo de certos recursos: não dá para fazer um cadastro sem o e-mail ou telefone, por exemplo.

Caso a sua empresa colete informações do usuário para marketing, vendas ou inteligência, deve ser transparente com o usuário e informar como esses dados serão usados; o cidadão deve autorizar especificamente seu tratamento, sem ser induzido ao erro

Com o GDPR, as grandes empresas de tecnologia já demonstram a aplicação prática de uma lei de proteção de dados pessoais. O Facebook passou a pedir para os usuários revisarem os dados para os quais haviam permitido utilização, facilitou o acesso às informações coletadas e à eliminação desses dados e tanto o Facebook quanto o Twitter passaram a excluir contas criadas por menores de 13 anos, mesmo que a pessoa já seja maior de idade hoje em dia.

Redobrar o cuidado com dados sensíveis e/ou de menores

A lei também faz uma distinção sobre dados pessoais e dados sensíveis; estes devem ser tratados de forma diferente. A coleta de dados sensíveis deve ser informada com destaque e deve ser feita apenas para finalidades específicas, como para estudos e pesquisa ou tutela da saúde.

Segundo o texto, dados sensíveis podem incluir dados sobre:

  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
  • dado referente à saúde ou à vida sexual; e
  • dado genético ou biométrico.

Caso sua empresa lide com esse tipo de informação, deve redobrar a atenção. Nenhuma organização poderá fazer uso desses dados para fins discriminatórios, ou seja, proibir pessoas de uma convicção religiosa ou opinião política específica de acessar algum serviço. Também será necessário garantir que os dados serão devidamente protegidos.

Quando a empresa trabalha com a área da saúde, há precauções ainda maiores a serem tomadas: os dados não devem ser compartilhados com terceiros, exceto em portabilidade, e, sempre que possível, eles devem ser anonimizados ou pseudonimizados, ou seja, não deve ser possível identificar o titular das informações.

No caso do tratamento de dados de crianças e adolescentes (menores de 18 anos), este deverá ser realizado com o consentimento específico e em destaque por um dos pais ou pelo responsável legal. O acesso a jogos, sites ou outras atividades não deve ser condicionado ao fornecimento de informações pessoais além das estritamente necessárias à atividade; ou seja, não é permitido proibir algum menor de acessar sua aplicação se algum dado prescindível, como a localização, não for fornecido.

E quando dados são vazados?

A empresa também deve redobrar sua preocupação com segurança, uma vez que pode ser penalizada caso os dados pessoais de seus usuários vazem na internet. Há um capítulo na lei que trata especificamente da segurança e sigilo de dados.

Em suma, é obrigação da empresa “adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Quando algum vazamento acontecer, as autoridades e o titular devem ser comunicados em tempo hábil. Antes, era comum que empresas demorassem meses ou anos para serem transparentes sobre o vazamento; agora, assim que ele for apurado, os envolvidos devem ser comunicados. Além disso, deve-se informar prontamente:

  • quais dados pessoais foram afetados;
  • as informações sobre os titulares envolvidos;
  • a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • os riscos relacionados ao incidente;
  • os motivos da demora, no caso de a comunicação não ter sido imediata;
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Como a empresa pode ser penalizada

Caso a lei não seja cumprida, há graves penas às empresas que fizeram a coleta ou tratamento de dados indevidamente. As sanções podem ocorrer em diversas instâncias, de acordo com a gravidade da infração:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitada a R$ 50 milhões por infração;
  • multa diária, observado o limite de R$ 50 milhões por infração ou 2% do faturamento da empresa;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência, ou seja, torná-la pública à sociedade;
  • bloqueio dos dados pessoais dos usuários a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais dos usuários a que se refere a infração.

A lei informava antes que um banco de dados que armazena informações pessoais poderia ser suspenso de forma parcial ou total, ou até mesmo proibido de fazer o tratamento de dados de cidadãos, mas esses pontos foram vetados pelo presidente Michel Temer.

Vale apontar que o agente fiscalizatório da lei, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), também foi vetado pelo presidente Michel Temer por ser um vício de iniciativa. A ANPD geraria gastos ao governo por ser um novo órgão público, então não poderia ser criada pelo Congresso, apenas pelo próprio executivo. Sem a ANPD, segundo o Instituto Brasileiro de Defesa do Consumidor (Idec), a lei fica manca, “pois não há reguladores com expertise e tampouco estrutura administrativa para monitoramento”.

Sem a ANPD, segundo o Instituto Brasileiro de Defesa do Consumidor (Idec), a lei fica manca, “pois não há reguladores com expertise e tampouco estrutura administrativa para monitoramento”.

No entanto, o presidente Michel Temer prometeu enviar um projeto de lei ao Congresso para criar a ANPD, com um texto bem parecido ao que foi aprovado pelo Senado. “A questão teve vício de iniciativa. Portanto, vou consertar este vício de iniciativa, nada mais do que isso. No mais, continua igual”, segundo afirmou o presidente para o site de notícias G1.

Quando a lei começa a valer

Como a legislação faz as empresas passarem por uma série de adequações na forma em que coletam e tratam dados pessoais de seus usuários, ela não começa a valer imediatamente. Assim como o GDPR, ela começa a valer 18 meses após a sua publicação; como ela foi publicada em 14 de agosto de 2018, sua empresa tem até meados de fevereiro de 2020 para fazer as adequações.

Ainda que ela não tenha começado a valer, o seu texto já foi considerado em uma denúncia feita pelo Ministério Público do Distrito Federal e Territórios (MPDFT). Na ocasião, o promotor instaurou uma investigação em empresas que comercializavam o acesso a dados pessoais de brasileiros e reforçou seus argumentos com o que estava disposto na nova lei.

Já mencionei um artigo que explica como o GDPR muda a forma de desenvolver aplicações. Como diz o artigo, “independente da linguagem de programação que você usa, do cargo que você tem ou do produto que você cria, o GDPR requer que você seja mais estruturado e transparente quanto ao seu modo de fazer as coisas”. Durante o desenvolvimento, será necessário implantar mecanismos que certifiquem que você está prezando pela privacidade dos dados que você manipula.

Vários dos pontos levantados na lei são boas práticas consolidadas no processo de desenvolvimento de um projeto sofisticado, no entanto, agora esses pontos serão cobrados por uma lei específica e devem ser mais rigorosamente considerados. O próprio Facebook teve de adaptar vários de seus recursos para estar em conformidade com o GDPR e você deve lembrar dos e-mails que recebeu de vários serviços sobre a alteração dos termos de uso. Vale revisar como estão os termos da sua empresa.