Varanda Casa Azul

O que vai mudar com a Lei de Proteção de Dados?

Texto pelo convidado da Casa Azul, Lucas Barreto. Lucas é sócio fundador do BMadv, Escritório especializado em Direito Digital, e Sócio Fundador do Cartão Urbis, startup venturada pela Casa Azul!

 

A evolução tecnológica ocorrida na última década (Mundo 4.0) permitiu uma verdadeira inclusão digital das diversas camadas sociais. São crianças, jovens, adultos e idosos, homens e mulheres, de todos os continentes, utilizando seus smartphones e produzindo, dia após dia, as mais diversas informações com o preenchimento de formulários para cadastro em plataformas, apps, sorteios, pesquisas, redes sociais etc.

[Já parou para pensar na quantidade de informações geradas quando você apenas clicou no link para acessar esse artigo? E que, misteriosamente, nos próximos dias (ou horas) você receberá sugestões de notícias relacionadas com o assunto? São dados sendo transformados em mais dados!]

Essa intensa “Revolução dos Dados” passou a ser um movimento que, de um lado, traz expectativas muito boas sobre sua influência na sociedade e nos meios de produção, e, de outro lado, gera incertezas sobre a destinação das informações. Em 2013, com o “Caso Snowden” (não conhece o caso? Confere essa matéria!), a discussão ganhou um espaço ainda maior, para não dizer mais preocupante, a nível mundial. A União Europeia (UE), maior prejudicada pela exposição de seus dados governamentais para iniciativas de espionagem, buscou meios de resguardar o bloco e a sua economia.

Em 2016, como forma de reagir ao contexto de insegurança, a UE editou a General Data Privacy Regulation (GPDR), nova lei de proteção de dados pessoais do continente europeu, alterando fortemente a vida de todas as empresas e os usuários que têm relação com o bloco. Essa lei entrou em vigor em 2018, trazendo multas altíssimas e afetando grandes corporações internacionais, como Google e, principalmente, Facebook, empresa que recentemente esteve envolvida em polêmica de vazamento de dados de 87 milhões de usuários da rede para a empresa de marketing político ligada à campanha eleitoral de Donald Trump.

Inspirada na GPDR, a Lei de Proteção de Dados – LPD (Lei nº 13.709), publicada na última terça-feira (14.08), se apresenta como principal ferramenta para evitar que casos semelhantes aos citados ocorram com informações de instituições públicas, empresas e usuários brasileiros, privilegiando o respeito à privacidade, à liberdade de expressão, à inviolabilidade da intimidade e da imagem, à defesa do consumidor e ao desenvolvimento econômico, tecnológico e à inovação.

Os diversos players do ecossistema deverão se adequar ao texto legal no prazo de 18 meses, contados da publicação do documento, o que não vai ser simples, já que o documento modificou intensamente a forma como se relacionam o controlador dos dados (instituições públicas e empresas) e o titular dos dados (usuários que disponibilizam suas informações).

 O impacto da LPD é geral e, por isso, empresas e usuários precisam entender bem quais os seus direitos e deveres nesse novo contexto de utilização e divulgação de informações, sejam elas disponibilizadas por meio físico ou digital (a lei aborda todas as formas de exposição de dados). Pense bem: desde o simples preenchimento de um cadastro para entrar em um edifício empresarial até a análise de uma complexa pesquisa científica, as informações geradas e, futuramente, submetidas a tratamento, serão alvo da LPD. Por isso, seguem algumas inovações que merecem mais atenção e que impactarão diretamente no seu cotidiano:

 Abrangência da LPD: A lei se aplica às atividades de tratamento de dados de usuários localizados no território nacional, ou realizado por empresas que forneçam produtos ou serviços no país. Além disso, os dados devem ser coletados e tratados também em território nacional.

Clareza na destinação dos dados: As regras de destinação dos dados devem ser de fácil acesso, com texto claro e simplificado, permitindo que o usuário tenha integral compreensão, o que gera transparência no processo. O consentimento do usuário deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. No caso de menores (crianças, adolescentes), será necessário o consentimento dado por pelo menos um dos pais ou pelo responsável legal. Autorizações genéricas para o tratamento de dados serão consideradas nulas.

TRADUÇÃO (JURIDIQUÊS): Os “textões que ninguém lê” não serão mais suportados pelo mercado (e nem pela lei). Isso é bom para as empresas: serviços e produtos alinhados com o usuário se tornam mais rentáveis. Não espere os 18 meses para adequar sua política de privacidade e termos de uso.

Dados Pessoais Sensíveis: A LPD define que os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política e dados relativos à saúde ou à vida sexual, bem como dados genéticos ou biométricos (ex.: você poderá contestar medidas de coletas de dados biométricos para acesso em edifícios empresariais), são alvo de tratamento diferenciado (dados sensíveis), somente podendo ocorrer com consentimento específico e destacado do usuário.

Controle dos dados pelo usuário: O usuário tem direito ao acesso facilitado às informações sobre o tratamento dos seus dados, entre estas a finalidade específica do tratamento, bem como sua forma e duração, a identificação e contato do controlador dos dados e as informações sobre o uso compartilhado de dados pelo controlador (fornecimento a terceiros). O usuário também tem direito à correção de dados incompletos ou inexatos, à portabilidade dos dados (ex.: você como usuário da uber e quer migrar para os serviços da cabify, pode solicitar a portabilidade dos dados pessoais, assim como funciona com as operadoras de telefonia) e à revogação do consentimento.

Responsabilidade e Ressarcimento pelos Danos: O Controlador que, em razão do exercício de atividade de tratamento de dados pessoais, causar ao Titular dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado à reparação. A multa pode chegar a 2% do faturamento do Controlador (caso Pessoa Jurídica), limitada a R$ 50.000.000,00 por cada infração ao texto da LPD (ex.: a venda de dados pessoais a terceiros sem autorização do usuário).

Sigilo de Dados e Governança Corporativa: A LPD acrescenta conceitos de segurança (sigilo de dados) e de boas práticas (governança corporativa) que devem ser adotadas pelas empresas, buscando construir um ecossistema mais saudável e, por consequência, incentivando o desenvolvimento de iniciativas inovadoras adequadas ao texto legal. É a tentativa de fomentar o surgimento das Instituições Protagonistas (Mundo 4.0).

Os conceitos e as mudanças trazidas pela LPD, assim como as da GPDR, vieram para ficar. Assim, é necessário um diálogo mais franco entre reguladores, sociedade, desenvolvedores e grandes atores dessa nova Indústria, buscando harmonizar a proteção do cidadão com o avanço tecnológico. A “Revolução dos Dados” é inevitável. Cabe a você se adequar ou fugir para as montanhas.