Foi aprovada por Michel Temer,
nesta terça-feira, o PLC 53/2018 que estabelece a lei geral de proteção de
dados (LGPD) brasileira. Com a assinatura do presidente, as empresas que
processam dados no Brasil terão 18 meses para se adaptar à lei. Mas você sabe o
que muda com ela?
De forma resumida, a
legislação nacional vai exigir que as companhias mudem a forma como lidam com
as informações de seus usuários. “A LGPD estabelece três figuras principais
durante o tratamento de dados: o titular, o controlar e o operador”, explicou
Vanessa Lerner, advogado especialista em direito digital da Dias Carneiro
Advogados. “Em sua essência, a lei não é nada mais do que um conjunto de
direitos e obrigações dessas três partes em diferentes momentos, que gera uma
rede capaz de proteger a privacidade e a autodeterminação dos titulares de
dados pessoas no Brasil.”
Patrícia Peck, também advogada
especialista em direito digital, resumiu as mudanças: as companhias precisarão
de consentimento das pessoas antes de poderem mexer com seus dados, terão que
fazer de forma transparente e serão obrigadas a garantir a segurança de tudo
que armazenam e processam.
Detalhamento
Definição de dados pessoais: O
texto define como dado pessoal “qualquer informação relacionada à pessoa
natural identificada ou identificável”. Sobre dados sensíveis, no entanto, a
lei é bem mais específica, e inclui na conta origem racial ou étnica,
convicções religiosas, opiniões políticas, informações genéticas ou
biométricas, entre outros pontos.
Consentimento dos usuários: A
legislação também é precisa aqui. Consentimento é a “manifestação livre,
informada e inequívoca pela qual o titular concorda com o tratamento de seus
dados pessoais para uma finalidade determinada”. As empresas também precisam
deixar clara a finalidade (“realização do tratamento para propósitos legítimos,
específicos, explícitos e informados”) do uso dos dados e limitar o uso das
informações a esse fim.
Transparência: O consentimento
citado acima deverá vir por meio daqueles já conhecidos termos de uso, é claro.
Mas a lei obriga que as empresas sejam claras em seus textos e específicas na
hora de definir a finalidade do uso. “O consentimento deverá referir-se a
finalidades determinadas e serão nulas as autorizações genéricas para o
tratamento de dados pessoais”, diz a legislação.
O texto também visa garantir
que o titular dos dados possa acessar facilmente as informações que as empresas
têm sobre ele — e que possa revogar sem dificuldades o consentimento sobre o
uso das informações. A medida pode afetar bastante empresas que lidam com
muitos dados, como as de big data. Samanta Oliveira, Legal Counsel da Neoway,
disse ao Olhar Digital que, em situações assim, os pedidos deverão analisados
“caso a caso” pelas companhias.
Responsabilidade sobre os
dados: O “titular” dos dados mencionado acima é a pessoa a que os dados se
referem, como especifica a legislação. Já os responsáveis são, como explica
Peck, “a pessoa física ou jurídica, de direito público ou privada que realizada
decisões sobre o tratamento de dados” — basicamente, as empresas. Mas há uma
divisão: o “responsável” propriamente dito decide como vai ser feito o
tratamento, enquanto o “operador” realiza o tratamento dos dados. Ambos, no
entanto, são responsáveis pela segurança das informações.
Segurança: Falando no tema, o
artigo 46 da lei é categórico (e um pouco longo): “os agentes de tratamento
devem adotar medidas de segurança, técnicas e administrativas aptas a proteger
os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado”. É algo que muitas das marcas que lidam com dados já
precisam fazer graças à implantação do GDPR europeu — caso da Neoway mencionada
acima, do Google e do Facebook, por exemplo.
Ainda assim, isso vale para
qualquer empresas que entrar no meio do tratamento e também obriga as
companhias a informar abertamente (e rápido) quando houver um problema. É algo
que muitas já precisam fazer pelo bem dos consumidores, mas que nem todas fazem
direito. Com a lei de proteção de dados, isso deverá ser mais facilmente
punível.
Alteração e exclusão: Além do
cenário mencionado no tópico “Transparência” acima, o PLC também destaca que os
usuários têm todo o direito de alterar e excluir os dados que as empresas têm
sobre eles. Quer dizer, exceto em casos, como destaca Peck, como quando as
informações têm fins fiscais ou é usada por estudos de órgãos de pesquisa
(desde que seja garantida a anonimização, claro). O tratamento de dados pessoas
também será terminado caso a finalidade seja alcançada, o período de tratamento
chegue ao fim, as informações deixem ser necessárias ou o órgão regulador
solicite.
Sanções: Quatro artigos
definem as punições às empresas que descumprirem as regras, que vão de um
advertência a multas diárias de até 2% do faturamento da companhia (com limite
de 50 milhões de reais no total por infração).
Olhar Digital
Nenhum comentário:
Postar um comentário
Reflita, analise e comente