Agora é oficial: o Brasil tem uma lei de proteção de dados pessoais

16/08/2018 - Antes, não havia nada nas legislações brasileiras que tratasse o tema.

O presidente Michel Temer sancionou agora à tarde o Projeto de Lei da Câmara 53/2018, também conhecido como Lei de Proteção de Dados Pessoais. O texto já havia sido aprovado na Câmara e no Senado, e faltava apenas a assinatura da autoridade máxima do Executivo. Temer, porém, vetou a criação da Autoridade Nacional de Proteção de Dados. O documento na íntegra, com os vetos presidenciais, ainda não foi divulgado.

Este é um projeto de interesse de todos os brasileiros, mas que, por sua magnitude, deixa várias dúvidas no ar: o que a lei de proteção de dados protegerá, especificamente? Todas as empresas terão que se adaptar? Quais as punições para descumprimento da lei? Quem fiscalizará? Essa lei é mesmo necessária?

Pois é, o assunto é complexo. Mas não se preocupe: esclarecemos os principais pontos nas próximas linhas.

Por que a Lei Geral de Proteção de Dados Pessoais é tão importante?

Se entrar em vigor, a chamada Lei Geral de Proteção de Dados Pessoais irá estabelecer uma série de regras que empresas e outras organizações atuantes no Brasil terão que seguir para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais.

O projeto é um passo necessário e relevante. Atualmente, a legislação brasileira é muito vaga em questões relacionadas a dados pessoais e privacidade. Temos leis que garantem o direito à intimidade e ao sigilo de comunicações, por exemplo, mas elas foram estabelecidas em circunstâncias que não contemplavam o cenário tecnológico atual.

A consequência disso é que muitas empresas, com destaque para provedores e operadoras de telecomunicações, acabam não dando a devida importância ao assunto. Quando questionadas, essas organizações frequentemente fazem interpretações evasivas a respeito ou simplesmente dizem que não há obrigação legal de seguir protocolos abrangentes para proteção de dados.

Também pode haver negligência no tratamento de dados pessoais nas esferas governamentais. O motivo é o mesmo: falta de uma legislação específica. É muito comum a postura do “quem não deve, não teme”, mas pensar dessa forma é perigoso. Não é razoável que os seus direitos sobre intimidade e privacidade sejam ignorados sempre que for conveniente às autoridades.

O que é a Lei Geral de Proteção de Dados Pessoais, então?

O nome é autoexplicativo: trata-se de uma legislação que determina como dados de cidadãos podem ser coletados e tratados, e que prevê punições para transgressões. O próprio Senado reconhece que a proposta para o marco geral de proteção de dados — outra denominação dada à proposta — foi fortemente inspirada no GDPR, um rigoroso conjunto de regras sobre privacidade da União Europeia.

Só que o assunto vem sendo discutido há muito mais tempo. O PLC 53/2018 tem como base pelo menos outras duas propostas que tramitavam na Câmara dos Deputados (PL 4060/2012 e PL 5276/2016), além de um Projeto de Lei do Senado (PLS 330/2013).

A junção desses projetos e algumas revisões fazem a Lei Geral de Proteção de Dados Pessoais, da forma como foi aprovada pelo Senado, conter dez capítulos com 65 artigos que determinam como dados pessoais podem ser coletados e tratados no Brasil, especialmente no que diz respeito aos meios digitais (mas não exclusivamente).

Note que, se não ficar claro exatamente o que é dado pessoal, a lei poderá dar margem a interpretações evasivas. Pois bem, o projeto trata como dado pessoal qualquer informação relacionada a uma pessoa que, que isoladamente ou em conjunto com outros detalhes, permite identificá-la.

Alguns exemplos de dados pessoais (mas nem de longe os únicos) são estes: nome, apelido, endereço residencial, endereço de email, endereço IP, fotos próprias, formulários cadastrais e números de documentos.

Como os dados pessoais deverão ser coletados e tratados?

Para começar, organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento do titular. A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para quais fins e se haverá compartilhamento. Quando houver envolvimento de menores de idade, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.

Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados. Caso o uso das informações leve a uma decisão automatizada indesejada — recusa de financiamento por um sistema bancário, por exemplo —, o usuário poderá pedir uma revisão humana do procedimento.

Há uma categoria classificada como “dados sensíveis”. Elas dizem respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. O uso desses dados será mais restritivo. Nenhuma organização poderá fazer uso deles para fins discriminatórios. Também será necessário garantir que eles serão devidamente protegidos.

De modo geral, a ideia é proteger o cidadão do uso abusivo e indiscriminado dos seus dados. Além de pedir consentimento de maneira clara e atender às demandas do usuário sobre manutenção ou eliminação dos dados, as organizações só poderão solicitar os dados que são realmente necessários ao fim proposto. Nesse sentido, o usuário poderá questionar se a exigência de determinado dado faz sentido.

Há exceções. As regras não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Esses casos deverão ser tratados por leis específicas.

O que acontece em caso de vazamento de dados?

Já houve casos de vazamentos de dados no Brasil em que as autoridades ou vítimas só ficaram sabendo semanas ou meses depois do incidente. Não poderá mais ser assim. Vazamentos ou problemas de segurança que comprometem dados pessoais deverão ser relatados às autoridades competentes em tempo hábil.

Após análise da situação, as autoridades indicarão os próximos passos, como determinar que o problema seja divulgado à imprensa.

Qual a punição para descumprimento da lei?

Vai depender da gravidade da situação. Se comprovada a infração, a empresa ou organização responsável poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento, mas limitada ao valor máximo de R$ 50 milhões.

A empresa ou organização também poderá ter as atividades ligadas ao tratamento de dados total ou parcialmente suspensas, além de responder judicialmente a outras violações previstas em lei, quando for o caso.

Vale só para empresas brasileiras ou estrangeiras também?

A origem da empresa ou organização não é fator de exceção. A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro. Isso significa que, se o Google coletar dados de um usuário por aqui, mas processá-los nos Estados Unidos, por exemplo, terá que seguir a legislação brasileira.

Se necessário, a empresa poderá transferir os dados para uma filial ou sede estrangeira, com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou possa garantir mecanismos de tratamento equivalentes aos que são exigidos no Brasil.

Caso os dados não sejam mais necessários — quando uma conta ou serviço tiver sido finalizado, por exemplo —, a organização terá que apagá-los, exceto se houver obrigação legal ou outra razão justificável para a sua preservação.

Quem vai fiscalizar?

O projeto prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça que deverá fiscalizar e garantir a aplicação da lei. Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil. Caberá ao grupo realizar estudos, debates e campanhas referentes ao assunto.

Tanto a iniciativa privada quanto os órgãos públicos poderão ter que indicar um responsável pelo tratamento dos dados dentro da organização. Eventuais solicitações ou comunicações referentes a dados pessoais serão tratados prioritariamente com essa pessoa.