Entenda o que é e como vai funcionar o novo Marco Legal de Proteção de Dados do Brasil

Do CPF digitado no caixa do supermercado durante o pagamento das compras às informações de cadastro nas redes sociais, os dados pessoais dos brasileiros não poderão mais ser negociados por empresas sem o consentimento do titular das informações. Ao menos, é isso o que prevê o marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. Aprovado pelo Senado, por unanimidade, no último dia 10, a lei agora aguarda a sansão do presidente da República. 

Depois de sancionado, o PLC 53/2018 terá um período de 18 meses de adaptação para empresas e órgãos públicos e depois entrará em vigor. A lei foi aprovada na Câmara Federal em maio e é inspirada no General Data Protection Regulation – GDPR, da União Europeia. Em resumo, vai permitir ao cidadão um controle maior sobre suas informações pessoais e, entre outras coisas, estabelece que será necessário o consentimento explícito do titular dos dados antes da coleta e uso tanto pelo poder público quanto por empresas privadas. 

A nova lei estará em discussão no seminário Sustentabilidade de Agora, durante o Fórum Agenda Bahia 2018, que acontece no dia 8 de agosto. O painel ‘Privacidade e segurança em tempos de conectividade’ vai acontecer à partir das 14h30, com duas palestras: ‘A importância da segurança cibernética na era das Smart Cities e da Internet das Coisas’, com Fernanda Vaqueiro, gerente de Segurança de Inteligência de Rede e MSS da Oi; e ‘A nova lei de proteção de dados e seu impacto para empresários e consumidores’, apresentada por Ana Paula de Moraes, advogada especialista em Direito Digital.

O PLC 53/2018 obriga ainda que sejam oferecidas opções para o usuário visualizar, corrigir e excluir os dados que desejar de forma clara e explicita. E que, a qualquer momento, o titular possa revogar a permissão de uso das suas informações pessoais.

A lei prevê também a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador que será vinculado ao Ministério da Justiça. E determina punição para as empresas infratoras, prevendo desde advertência até multa diária de até R$ 50 milhões, além de proibição parcial ou total das atividades relacionadas ao tratamento de dados.

O que diz Lei de Proteção de Dados?

[[galeria]]

Países vizinhos

Chile, Colômbia, Costa Rica, Peru, Uruguai e Argentina já possuem leis de proteção de dados pessoais. A legislação argentina, inclusive, se destaca pela semelhança com a GDPR europeia. 

No Brasil, o tema ganhou fôlego no Congresso após os vazamentos de dados de usuários do Facebook coletados pela empresa Cambridge Analytica e usados, sem conhecimento ou consentimento dos titulares, para influenciar os resultados da última disputa presidencial dos Estados Unidos, em 2016, quando Donald Trump foi eleito.

Recentemente, o Ministério Público do Distrito Federal e Territórios também realizou investigação de uma suposta acusação de comercialização de dados pessoais por uma empresa pública federal de processamento de dados. A Comissão de Transparência, Governança, Fiscalização, Controle e Defesa do Consumidor do Senado (CTFC) chegou a convocar audiência pública para discutir a questão. Mauricio Fiss: 'É necessário uma mudança de cultura das pessoas saberem quais são seus direitos' Dados sensíveis

Maurício Fiss, sócio-diretor da área de tecnologia da consultoria global Protiviti, explica que em linhas gerais, a nova lei impedirá, entre outras coisas, que dados sensíveis como nome, telefone, endereço e CPF sejam usados como moeda de troca entre empresas e organizações sem que o titular dos dados saiba. 

Ainda segundo o especialista, somente com o uso de tecnologia será possível garantir o controle de forma rápida e efetiva. Fiss enumera o que as empresas que coletam e tratam dados precisão fazer para se adequar à nova lei:

- Identificar onde estão as informações, pois muitas não têm ideia e precisarão de um inventário completo, como checar sistemas, computadores, backups e até arquivos em papel; - Criar um processo de gestão das informações, para impedir o uso indevido e o roubo por hackers ao passar essas informações para terceiros; - Trabalhar com tecnologias que controlam dados e tenham sistemas eficientes anti-vazamentos; além de treinar as pessoas que vão manipular esses dados. 

“Pesquisas mostram que empresas que trabalham com informações privadas compartilham com até 50 tipos de serviços diferentes que atuam no processando dessas informações. É preciso estabelecer como essas informações serão passadas e o que vai ser passado. Fazer uma limpeza dos dados disponibilizados antes de enviar”, acrescenta Maurício Fiss.

Ele acredita ainda que haverá um processo de adaptação a longo prazo, tanto nas empresas quanto das pessoas. “Não é um processo fácil, mas quem não fizer será multado, sofrerá sanções e risco de processo”, diz.

No caso do cidadão comum, ele recorda que foram precisos pelo menos dez anos para as pessoas se adaptarem ao Código de Defesa do Consumidor, entenderem e conhecerem os próprios direitos. “Acredito que com a lei de proteção de dados será a mesma coisa. Uma mudança de cultura, das pessoas saberem quais são seus direitos e exigir que quem recebe seus dados diga para quem e para que os está disponibilizando”, completa. Marcelo Crespo: 'As pessoas vão concordar em fornecer os dados, porque elas querem o serviço' Empresas preparadas

O advogado especialista em Direito Digital e autor de livros sobre crimes digitais, Marcelo Crespo, do escritório Peck Advogados, afirma que o modelo de negócios baseado em análise massiva de dados não tem mais volta. 

“O que muda é o consentimento do titular e o fato desse titular poder revogar o consentimento - não quero mais que trate meus dados -, e as empresas terão de estabelecer plataformas e mecanismos multifuncionais para atender essa exigência”, explica.

Como exemplo ele cita as empresas que coletam dados por cadastros pela internet, whatsapp, Messenger do Facebook, etc. Nesses casos, pela nova lei, o cliente deverá ter o direito de cancelar qualquer um deles de forma tão fácil quanto é para a empresa coletar as informações. 

“Não vai mais ser o cliente ligar e falar com uma atendente, mas a ferramenta já prever de forma fácil o recurso para ele fazer o cancelamento”, pontua.

Em linhas gerais, todas as empresas e organizações que tratam dados terão de rever como obter o consentimento das pessoas de forma explicada em detalhes e não genérica, como ocorre atualmente.

“E as pessoas vão concordar em fornecer os dados, porque elas querem o serviço. Mas elas atualmente não sabem o que é feito. As empresas terão de ser mais claras na descrição do uso dos dados, se vai compartilhar, com quem, para quê e o que quem terá acesso poderá fazer com as informações”, acrescenta o advogado.

Para Marcelo Crespo, caberá também ao cidadão uma mudança de postura. “A lei não obriga, mas é importante o titular dos dados se interessar em saber o que vai ser feito das informações”, afirma. Debates sobre aprovação de uma lei de proteção de dados ocorrem no Brasil desde 2009; A lei da UE serviu de referência para a PLC 53/2018 Transparência é outra coisa

A Lei de Acesso à Informação – LAI (Lei nº 12.527/2011), voltada para a transparência de dados públicos e que ajuda os cidadãos na fiscalização das administrações federal, estadual e municipal, não é a mesma coisa que o novo marco regulatório para proteção de dados pessoais aprovado no Senado. 

Quem desfaz o equívoco que vem confundindo muita gente nos fóruns de discussão na internet é Eduardo Magrani, coordenador da área de direito e tecnologia do ITS-Rio (Instituto de Tecnologia e Sociedade do Rio). “A nova lei é complementar ao marco civil da internet que já é um complemento da LAI. Com essa lei há a possibilidade legal de coletar, tratar e transferir dados no Brasil de forma responsável”, afirma.

O advogado Marcelo Crespo complementa: “A LAI possibilita acesso a informações específicas, como por exemplo quanto ganha um determinado funcionário de cargo público. A lei de proteção de dados resguarda o cidadão até da administração pública. Por exemplo: a Receita Federal recebe meus dados de Imposto de Renda e não pode tratar esses dados e passar para outros órgãos sem meu consentimento”, diferencia.

Ainda de acordo com Eduardo Magrani, o debate que possibilitou a aprovação do PLC 53/2018 ocorre desde 2009 no Brasil, com projetos colocados sob consulta pública e com discussões envolvendo a sociedade civil, universidades e Ministério da Justiça.

“Já existem algumas leis de proteção da privacidade no país, como o Código Civil, a Constituição, o Marco Civil da Internet e o Código de Defesa do Consumir. Mas faltava a proteção de dado sensíveis, como opinião política, etnia, etc. Não havia delimitações. Essa lei protege contra abusos. Pois existem empresas que coletam dados atualmente que não tem relação com o serviço prestado por elas”, diz o coordenador do ITS-Rio.

O Fórum Agenda Bahia 2018 é uma realização do CORREIO, com patrocínio da Revita e Oi, e apoio institucional da Prefeitura Municipal de Salvador, Federação das Indústrias da Bahia (Fieb), Fundação Rockefeller e Rede Bahia.