O que muda com a nova lei sobre dados pessoais na internet

O presidente Michel Temer sancionou a nova lei que estipula regras para o tratamento e uso dos dados pessoais na internet. O projeto foi aprovado no mês passado no Senado após idas e vindas durante os oito anos que ficou em tramitação no Congresso.

Na prática, a mudança aumenta a autonomia dos usuários em relação aos dados fornecidos. Antes, ao aceitar o termo de compromisso de um aplicativo, por exemplo, não era possível saber de que maneira as empresas armazenariam e usariam os dados pessoais. Agora, é possível pedir para receber todos os dados coletados e se achar necessário, o usuário poderá solicitar que tudo seja apagado. Como costumam dizer os especialistas no assunto: a lei vai “empoderar” o cidadão.

Recentemente o escândalo envolvendo a empresa Cambridge Analytica, que utilizou informações de milhões de usuários para traçar um perfil do eleitorado norte-americano, colocou luz ao tema. Por meio de um simples aplicativo que prometia dizer “qual sua personalidade” na web, as pessoas forneceram informações valiosas, que, na mão de estrategistas, definiam estratégias de campanha.

Com a nova lei, casos como esse poderão ser evitados, uma vez que agora o cidadão terá acesso a uma espécie de “pacote de direitos”, além do que as empresas só poderão captar dados fundamentais para a execução do serviço.

Repercussão é positiva entre entidades

Conforme explica a pesquisadora em direitos digitais do Idec (Instituto de Direito do Consumidor) Barbara Simão, a aprovação da medida vem em boa hora e agora as empresas serão obrigadas a serem mais transparentes:

— É um direito essencial (ter controle dos dados). A nova lei vai dar um controle maior das pessoas sobre o fluxo de dados que elas geram. Tudo que fazemos na internet gera dados. Ao ser sancionada, a lei proporciona mais controle sobre isso. Afinal, nós temos o direito de saber para que as empresas armazenam determinadas informações e o que elas fazem com isso — disse.

Bárbara explica que a nova lei poderá colocar um fim aos termos de uso generalistas, que permitem coletar todos os tipos de dados para fins de “melhoria dos serviços”. Segundo ela, com legislação recém aprovada, a permissão do usuário precisa ser específica, ou seja, precisa estar atrelada a cada tipo de utilização dos dados pessoais.

Apesar de dar mais autonomia, Cassio Brodbeck, diretor da OSTEC Business Security e especialista em segurança virtual, lembra que os usuários precisam sempre ficar atentos às questões relacionadas à privacidade nas redes: não se expor ainda continua sendo a regra de ouro. No entanto, a nova legislação traz um elemento que anteriormente não existia:

— Não acredito que o usuário vai se negar a deixar informações em sites que ele confia e acessa com frequência. Até por que hoje, muito é customizado com base nesses dados coletados e no final o usuário acaba sendo beneficiado por isso. Mas, agora (se for aprovada a nova lei), você poderá ter mais controle e ter a opção de não deixar que determinado site grave dados. Até então não tínhamos essa possibilidade.

Vetos do presidente podem enfraquecer o projeto

Apesar da sanção do projeto e do otimismo quanto à regulamentação de uma lei de dados no Brasil, há dúvidas sobre a efetiva aplicação das medidas após vetos do presidente em alguns artigos que foram aprovados no Senado e na Câmara.

O principal deles é o veto à criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia que estaria vinculada ao Ministério da Justiça e seria o órgão responsável pela devida fiscalização da lei, aplicando punições a quem infringisse as normas. A justificativa divulgada em nota pelo Palácio do Planalto é que a criação da Autoridade deveria ser proposta pelo Executivo. Dessa forma, comprometeu-se a enviar um novo projeto ao Congresso sobre o tema.

Michel Temer também vetou a possibilidade de que empresas que infrinjam a lei tenham suspensão parcial ou total do funcionamento do banco de dados e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Dessa forma, o órgão que será responsável pela fiscalização pode aplicar advertência, multa simples, multa diária, publicização da infração e bloqueio dos dados pessoais referentes àquela infração.

Outro ponto vetado pelo presidente é a exigência de proteger e preservar dados pessoais de jornalistas e cidadãos que fizeram requisições ao portal de acesso à informação. Por fim, também não haverá mais a necessidade de divulgar quando há comunicação ou uso compartilhado de dados pessoais entre órgãos e entidades de direito público, como um caso em que o Ministério da Justiça repassa informações pessoais para o Ministério da Saúde.

O início da cultura de proteção de dados no Brasil

Apesar dos vetos presidenciais, a especialista Andreia Willemin está confiante sobre o impacto da aprovação da lei de dados. Ela atua como professora de proteção de dados desde 2001 na Suíça e têm experiência no tema por também exercer o cargo de Data Protection Officer (DPO), sendo a pessoa que auxilia a adaptação das empresas de tecnologia às novas legislações de proteção de dados. Na sua opinião, a aprovação da medida pode criar uma cultura de proteção de dados pessoais no Brasil.

— O Brasil não é um país com tradição em proteção de dados. A gente tem mais uma tradição da liberdade de expressão do que de proteção de dados. Então queremos que tudo seja público no Brasil. Não entendemos que o indivíduo, independentemente de ter o direito de ter as coisas públicas, ele também tem o direito de se resguardado em alguns pontos com relação a não violar a sua esfera privada — afirma.

A professora também ressalta que, apesar do veto presidencial, ainda é muito importante a criação de um órgão especializado e autônomo para fiscalizar e aplicar as medidas definidas em lei. Ela considera que a legislação está fragilizada enquanto não houver essa definição, já que o Estado é um agente que também precisa ser investigado e não poderia ficar com essa responsabilidade.

— Sem a Autoridade, eu não consigo pegar essa lei e dar efetividade pra ela porque é muito técnica. A lei de proteção de dados envolve direitos que envolvem uma parte de tecnologia muito específica. Então como que eu vou saber como a empresa está guardando ou estocando os dados? Quem vai fazer isso? Como eu posso dizer que os dados estão sendo protegidos ou não? É esse lado da lei que ficou sem proteção. Mas é muito melhor ter a lei, que é um passo muito grande para o Brasil, do que não ter — finaliza.

Empresas estão se adaptando

Talvez o usuário não perceba os efeitos da lei agora, já que as empresas têm um período de adaptação de um ano e meio (18 meses) após a sanção presidencial, ou seja, até fevereiro de 2020. Apesar disso, algumas companhias já começaram a realizar mudanças para que não ocorram sustos, nem correria, afinal são alterações delicadas e que precisam de bastante trabalho para serem colocadas em prática.

Bruno Guerios é gerente de projetos da Cheesecake Labs. A empresa de Florianópolis desenvolve aplicativos personalizados e, por isso, será diretamente afetada pela mudança na legislação.

Desde o maio, países que integram a União Europeia ou que captam dados de quem está em território europeu são guiados pela regulamentação de proteção de dados (ou General Data Protection Regulation – GDPR). A lei brasileira é, em via de regra, uma cópia da legislação do velho continente. Isso facilita o trabalho que precisará ser desenvolvido, explica Guerios.

— Os projetos que precisam seguir a nova lei da Europa já estão prontos. Será uma questão de adaptação. Mas, não é um trabalho fácil. É necessário organizar muito bem os dados. Imagina uma base de mais de um milhão de usuários e se 1% pedir para excluir os dados simultaneamente. Isso precisará ser feito imediatamente. É necessário saber exatamente o que fazer. Construir essa estrutura não é uma coisa da noite para o dia — afirmou.

8 coisas que mudarão na sua vida com a Lei de Dados Pessoais

Lei de Dados Pessoais foi aprovada no Senado e, caso sancionada pelo presidente Michel Temer, mudará a vida de muitos brasileiros. Veja 8 coisas que poderão mudar na sua vida:

1. O fim dos “termos de uso que ninguém lê”

A Lei de Dados Pessoais proíbe aqueles “textões” que ninguém lê ao começar a usar um aplicativo. Proíbe também termos de uso generalistas, que permitem coletar todos os tipos de dados para fins de “melhoria dos serviços” e “compartilhamento com terceiros”. Com a nova legislação, a permissão do usuário precisa ser específica, ou seja, precisa estar atrelada a cada tipo de utilização dos dados pessoais. Além disso, o consentimento pode ser por vídeo e outras formas mais interativas, por meio de ícones e comunicação com robôs.

2. Mais controle do usuário sobre seus próprios dados

A nova lei cria um “pacote de direitos” para o cidadão. Após consentir com a coleta de informações pessoais, ele passa a ter controle dos próprios dados, com direitos de modificação de informações erradas, oposição de coleta de informações sensíveis (religião, por exemplo) e revisão de decisões tomadas de maneira automatizada.

3. Empresas estão proibidas de fornecer dados sobre saúde para fins comerciais

O consumidor terá garantido que os dados fornecidos não serão compartilhados com planos de saúde, para estabelecer preços diferenciados de acordo com seu perfil farmacológico, pois é vedado o compartilhamento de dados de saúde com o intuito de obter vantagem econômica. O cliente também pode exigir, da farmácia, por exemplo, acesso às informações sobre o tratamento dos seus dados, isto é, o que está sendo feito com o seu CPF e registro de remédios comprados.

4. Suas emoções não poderão ser coletadas e vendidas em espaços abertos

Em casos de “câmeras inteligentes”, fica proibido coletar dados de emoções dos usuários sem seu consentimento. É também proibido vender dados biométricos para terceiros, como empresas de publicidade e marketing digital.

O mesmo vale para câmeras e totens de publicidade em locais abertos, como praças e ruas movimentadas. Para que essas informações sejam utilizadas, as pessoas precisam concordar por meio de validações no celular (via “QR code”, por exemplo) ou outra forma de permissão informada, livre e inequívoca.

5. Condomínios residenciais precisarão discutir sobre reconhecimento da digital para controlar a entrada

Em condomínios residenciais que atualmente exigem biometria de forma compulsória, será necessário rediscutir essa questão em assembleia condominial e avaliar se a coleta desse tipo de dados é necessária para fins de segurança, se há concordância e consentimento dos condôminos e se há condições seguras de armazenamento de dados biométricos.

Será possível contestar medidas de coleta de dados biométricos implementados de forma impositiva por administradoras de condomínios, com base na Lei de Dados Pessoais.

6. Os consumidores terão livre acesso a sua pontuação de crédito, como ela foi calculada e quais dados foram utilizados

O livre acesso aos dados pessoais é um direito básico da nova lei. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. Assim, o consumidor pode exigir do bureau de crédito (como Serasa ou Boa Vista SCPC) informações como a finalidade específica do tratamento, a forma e duração do tratamento, acesso aos dados utilizados, qual a origem dessas informações, a correção de dados incompletos, inexatos ou desatualizados e a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos. O bureau é obrigado a responder o consumidor em até 15 dias corridos, por escrito. Ainda, se o cálculo do score for realizado com base em tratamento automatizado de dados pessoais, o titular pode requerer a revisão. Caso não receba as informações claras sobre os critérios utilizados, ele pode exigir uma auditoria para a Autoridade Nacional de Proteção de Dados, órgão que estará vinculado ao Ministério da Justiça.

7. Fim da bonança dos testes de internet

É muito comum que testes simples de internet coletem, além da sua foto de perfil, os seus amigos na rede social, as suas curtidas, interesses, data de nascimento, etc. Tal comportamento será proibido. Os desenvolvedores desses testes ou aplicativos devem se limitar ao mínimo necessário para que o serviço ocorra, respeitando o princípio da necessidade, e realizar o tratamento de acordo com o princípio da finalidade, isto é, com propósitos legítimos, específicos, explícitos e informados ao titular. Caso o desenvolvedor deseje coletar outras informações, deve explicitar as finalidades.

8. Diferenciação de preços em compra online somente com consentimento do consumidor

Se um site de compra online quiser realizar diferenciação de preços com base na localização, registro de busca, ou outras informações relacionadas ao consumidor, deve informá-lo, explicitamente, da existência de coleta e tratamento dos dados e sua finalidade, para permitir a escolha do titular. Percebida a realização de diferenciação de preços sem o seu consentimento, o consumidor pode requerer indenização junto aos órgãos de defesa do consumidor, ou à própria empresa.A discriminação de preços não estará proibida, mas os consumidores terão mais controle e informação sobre a relação entre certos tipos de dados coletados e a formação de preços individualizados.

(Fonte: Idec – Instituto de Defesa do Consumidor)