Lei de Proteção de Dados deve impor mudança cultural nas empresas brasileiras
Lei Geral de Proteção de Dados (LGPD), que rege como as empresas podem armazenar, usar e tratar dados de cidadãos brasileiros, foi sancionada pelo presidente Michel Temer nesta terça-feira (14). As novas regras colocam o Brasil em linha com medidas existentes nos Estados Unidos e na Europa e devem impor uma mudança cultural nas empresas brasileiras, que hoje coletam e guardam informações sem necessariamente precisar delas.
Para a lei, é “dado pessoal” qualquer informação que pode identificar uma pessoa. A lei ainda estabelece uma categoria de “dados sensíveis”, que inclui informações sobre etnia, opinião política e religiosa (bem como filiação a sindicatos ou organizações religiosas e filosóficas), informações sobre a saúde, vida sexual e dados genéticos ou biométricos. São abertas certas exceções para dados que a pessoa decidiu tornar público.
O Brasil chega a essa questão com muito atraso. A lei europeia GDPR, que entrou em vigor em maio, foi aprovada em 2016 e substituiu uma regulamentação da União Europeia de 1995, que já previa algumas das regras que o Brasil só agora vai passar a ter, como a obrigação de obter consentimento para processar dados pessoais.
O prazo para a lei entrar em vigor reconhece o trabalho que vem pela frente: 18 meses. Isso significa que a lei só deve começar a valer em março de 2020. Até lá, o governo também precisa propor uma alternativa à Autoridade Nacional de Proteção de Dados (ANPD), que foi vetada.
O governo esclareceu que o veto se deve às atribuições delineadas na Constituição, segundo a qual apenas a Presidência da República pode propor leis que abordem a “criação de cargos, funções ou empregos públicos na administração direta e autárquica”. Por isso, o governo deve redigir um novo projeto tratando apenas da criação desse órgão e enviá-lo ao Congresso.
Entre outras atribuições, caberá ao novo órgão fiscalizar o cumprimento da lei e definir padrões de segurança para a guarda de dados. Sendo assim, é praticamente obrigatório que o governo proponha a criação desse órgão ou setor e que ele esteja estruturado até 2020 para que a lei possa valer na prática.
Quando estiver valendo, a LGPD vai obrigar qualquer empresa que sofrer incidentes de segurança (como vazamentos) a relatarem o ocorrido para todas as pessoas impactadas. Será preciso informar quais dados a empresa acredita que pode ter perdido — exatamente como é nos Estados Unidos e na Europa. Hoje, as empresas não são obrigadas a vir público sobre esse tipo de incidente, o que significa que muitas vítimas de vazamentos jamais ficam sabendo que seus dados foram expostos.
O descumprimento da lei pode gerar multas de até R$ 50 milhões ou obrigar a empresa apagar os dados envolvidos. O governo vetou os artigos que previam a possibilidade de suspender as operações de processamento de dados de uma empresa por seis meses ou até indefinidamente.
Mesmo assim, a possibilidade de sofrer qualquer punição e de ser obrigado a provar que obteve consentimento das pessoas para armazenar e processar suas informações muda o raciocínio das empresas. Hoje pode valer a pena guardar alguma informação “só por guardar”, mesmo que ela não seja necessária. Com a LGPD, toda informação armazenada pode se transformar em uma dor de cabeça.
É isso que vai obrigar as empresas a pensarem melhor sobre quais dados vale a pena armazenar — e também de que forma isso será feito.
Proteções de privacidade no mundo
Consenso para armazenamento e processamento de dados: exigência prevista na Europa desde a Diretiva de Proteção de Dados, de 1995. Não há regra no Brasil hoje — a regra será nova com a LGPD.
Autorização dos pais para uso de dados de crianças: previsto desde 1998 pela lei COPPA nos Estados Unidos. De forma semelhante, a LGPD obriga a obtenção do consentimento dos pais.
Notificação de vazamento de dados: a primeira lei a exigir que empresas avisem consumidores sobre dados roubados ou vazados foi aprovada em 2002 no estado da Califórnia, nos Estados Unidos, e entrou em vigor no ano seguinte. A obrigação também valerá no Brasil quando a LGPD entrar em vigor, 17 anos após a lei californiana.
Cookies: o uso de cookies é regulamentado na Europa pela Diretiva de ePrivacidade de 2002. O termo “cookies” não consta na LGPD e a lei exclui das regras os “dados anonimizados”, como normalmente é o caso com cookies. Será preciso esperar a lei entrar em vigor e aguardar decisões da Justiça ou da autoridade competente sobre o tema.
Spam: o envio de mensagens comerciais é regulamentado na Europa pela Diretiva de ePrivacidade de 2002 e pela lei CAN-SPAM de 2003 nos Estados Unidos. O Brasil ainda não dispõe de regras sobre spam e não está claro qual vai ser o efeito da LGPD sobre a prática.
Fonte: G1.com.br