A Lei Geral de Proteção de Dados, de número 13.709, foi sancionada em 14 de agosto de 2018 e marca uma nova era na utilização de informações dos usuários pelas empresas. Em resumo, seu principal objetivo é regular a coleta de dados dos cidadãos brasileiros por parte de empresas públicas e provadas.
Já fazia cerca de 8 anos que o texto da nova regulamentação estava em discussão no Congresso. No entanto, agora que foi sancionada, as organizações têm apenas 18 meses para se adequar a todos os pontos da nova regulamentação.
Por isso, criamos este guia simples para que você consiga fazer as mudanças necessárias a tempo. Vamos lá?
Dados pessoais
Um dos pontos centrais da nova lei é a consolidação do conceito de dados pessoais, uma vez que seu entendimento é fundamental para aplicação da regulamentação.
O conceito dado na norma é amplo e pode ser entendido como qualquer tipo de informação que possa identificar uma pessoa ou que, em combinação com outro dado, permita identificá-la.
Alguns exemplos bem simples são CPF, RG, nome e sobrenome — ou seja, informações que possam levar diretamente à identidade de um indivíduo: os chamados dados sensíveis. Outros dados considerados sensíveis pela lei são sexualidade, religião, opinião política, etnia e raça.
Outro ponto interessante a ser observado na nova norma é que, em algum casos, mesmo que anonimizado (ou seja, não permite a identificação da pessoa), um determinado dado pode ser protegido.
Os dados anonimizados são os utilizados por profissionais de marketing para a criação de peças publicitárias segmentadas e criação de personas e perfis comportamentais.
É preciso ficar claro que a lei se aplica apenas para o uso de dados em empresas de tecnologia, não sendo sua função regular o tratamento de informações para fins acadêmicos, jornalísticos, de segurança pública ou qualquer outro tipo.
Além disso, os dados de crianças recebem atenção especial, podendo ser acessados apenas com o consentimento direto de seus pais ou responsáveis legais.
Principais mudanças
Até a sanção da lei 13.709, nosso país contava com 40 normas que poderiam ser utilizadas para discutir questões de privacidade na rede, causando insegurança jurídica.
No entanto, com a sua promulgação, a nova lei prepondera sobre todas as anteriores, se tornando soberana — inclusive sobre o Marco Civil da Internet, que é uma das principais reguladoras das atividades online desde 2014.
A principal mudança para pessoas e empresas, online e offline, é em relação a como se dará o acesso aos dados e à maior privacidade e poder de decisão para o proprietário direto das informações.
Assim que a lei passar a vigorar, todos os cidadãos que têm seus dados coletados por empresas, sejam elas privadas ou públicas, terão o direito de saber pontos essenciais para a sua privacidade:
- como e por que a empresa coleta dados;
- quais dados são coletados;
- como as informações são armazenadas;
- por quanto tempo elas serão mantidas;
- com quem elas serão compartilhadas.
Contudo, o usuário não terá direito apenas a saber como tudo acontece, mas também poderá dizer que não concorda com o uso que está sendo realizado com suas informações. Segundo o texto da lei, o usuário poderá:
- revogar a autorização ao uso de suas informações a qualquer tempo;
- realizar a portabilidade dos dados para outra empresa;
- retificar suas informações se assim desejar.
Por parte das empresas, é preciso estar preparado para fornecer acesso a todos os dados de forma concisa, simples e inteligível, sendo que essa já é uma prática comum para algumas organizações.
No entanto, daqui a alguns meses, fornecer essas informações não será mais opcional, mas sim obrigatório.
Interesse e consentimento
Dois pontos de extrema importância a serem analisados, tanto do ponto de vista das empresas como dos usuários, é o interesse e o consentimento para a captura dos dados.
Hoje, a maioria das organizações realiza a coleta de dados em off, sem que o usuário saiba que seus dados de navegação estão sendo gravados para posterior análise, por exemplo.
Com a nova lei em vigor, é preciso o interesse e consentimento do usuário, proprietário legítimo desses dados, para que se possa realizar a coleta de informações de forma permitida.
O consentimento determina que, para a coleta de qualquer dado pessoal, é necessário possuir uma autorização de seu proprietário de forma livre, inequívoca e informada, pela qual ele concorda com a finalidade para a qual será direcionada sua informação e o tratamento que receberá.
Já quando falamos em interesse, o conceito é bem amplo, visto que define o motivo principal pelo qual a organização está realizando a coleta e processamento desses dados.
Algumas companhias têm receio de que a nova lei acabe por prejudicar a existência de modelos de negócios de publicidade direcionada, que mantém bases de dados específicas.
Na verdade, elas não deixarão de existir, mas deverão ser auditadas para verificar se os compartilhamentos de informação que estão oferecendo têm segurança jurídica e se a privacidade dos dados dos cidadãos está sendo preservada.
Autoridade regulatória
O papel da autoridade regulatória é fundamental para manter o equilíbrio dos interesses entre o fornecedor de dados e quem faz seu uso. Contudo, a criação da Agência Nacional de Proteção de Dados (ANPD) foi vetada pelo então presidente Michel Temer.
Isso aconteceu por conta de motivações técnicas e vícios de criação, uma vez que a entidade foi recomendada pelo Legislativo e poderiam haver inconstitucionalidades em sua promulgação.
Contudo, a criação da agência foi prometida pela presidência par antes da entrada em vigor da lei por meio de uma Medida Provisória.
É fundamental para o funcionamento e eficácia da nova lei que a agência regulatória seja criada, visto que, em sua inexistência, não existirá outro órgão capacitado para a fiscalização.
Outros pontos importantes
Existem ainda mais alguns pontos de destaque e que carecem de atenção por parte das empresas:
Encarregado
Essa é a figura responsável pelo banco de dados da empresa. Seu papel é, entre outras responsabilidades, prestar esclarecimentos, sanar dúvidas, receber reclamações, manter o contato com a autoridade regulatória.
Multas e sanções
As sanções podem ser multas ou advertências. Seus valores podem variar e chegar até a 2% do faturamento total da empresa — no entanto, limitados a R$ 50 milhões. Existe também, quando necessário, a possibilidade de aplicação de multa diária.
Vazamentos
No caso da ocorrência de um vazamento, o encarregado dentro da empresa deve contatar imediatamente a agência regulatória, a fim de informar sobre o caso e tomar as medidas cabíveis.
Transferência internacional de dados
A transferência de dados entre países é permitida pela lei, desde que os países que receberão a carga de informações mantenham um nível de proteção semelhante à privacidade dos cidadãos brasileiros.
A Lei Geral de Proteção de Dados é um avanço na busca pela segurança da informação, mantendo protegidos os usuários e as empresas e trazendo transparência para essa relação.
Continue aprendendo, entenda a importância da transparência de dados para os resultados de sua empresa!