A Lei Geral de Proteção de Dados (LGPD), que rege como as empresas podem armazenar, usar e tratar dados de cidadãos brasileiros, foi sancionada pelo presidente Michel Temer nesta terça-feira (14). As novas regras colocam o Brasil em linha com medidas existentes nos Estados Unidos e na Europa e devem impor uma mudança cultural nas empresas brasileiras, que hoje coletam e guardam informações sem necessariamente precisar delas.
Para a lei, é “dado pessoal” qualquer informação que pode identificar uma pessoa. A lei ainda estabelece uma categoria de “dados sensíveis”, que inclui informações sobre etnia, opinião política e religiosa (bem como filiação a sindicatos ou organizações religiosas e filosóficas), informações sobre a saúde, vida sexual e dados genéticos ou biométricos. São abertas certas exceções para dados que a pessoa decidiu tornar público.
O Brasil chega a essa questão com muito atraso. A lei europeia GDPR, que entrou em vigor em maio, foi aprovada em 2016 e substituiu uma regulamentação da União Europeia de 1995, que já previa algumas das regras que o Brasil só agora vai passar a ter, como a obrigação de obter consentimento para processar dados pessoais.
O prazo para a lei entrar em vigor reconhece o trabalho que vem pela frente: 18 meses. Isso significa que a lei só deve começar a valer em março de 2020. Até lá, o governo também precisa propor uma alternativa à Autoridade Nacional de Proteção de Dados (ANPD), que foi vetada.
O governo esclareceu que o veto se deve às atribuições delineadas na Constituição, segundo a qual apenas a Presidência da República pode propor leis que abordem a “criação de cargos, funções ou empregos públicos na administração direta e autárquica”. Por isso, o governo deve redigir um novo projeto tratando apenas da criação desse órgão e enviá-lo ao Congresso.
Entre outras atribuições, caberá ao novo órgão fiscalizar o cumprimento da lei e definir padrões de segurança para a guarda de dados. Sendo assim, é praticamente obrigatório que o governo proponha a criação desse órgão ou setor e que ele esteja estruturado até 2020 para que a lei possa valer na prática.
Quando estiver valendo, a LGPD vai obrigar qualquer empresa que sofrer incidentes de segurança (como vazamentos) a relatarem o ocorrido para todas as pessoas impactadas. Será preciso informar quais dados a empresa acredita que pode ter perdido — exatamente como é nos Estados Unidos e na Europa. Hoje, as empresas não são obrigadas a vir público sobre esse tipo de incidente, o que significa que muitas vítimas de vazamentos jamais ficam sabendo que seus dados foram expostos.
O descumprimento da lei pode gerar multas de até R$ 50 milhões ou obrigar a empresa apagar os dados envolvidos. O governo vetou os artigos que previam a possibilidade de suspender as operações de processamento de dados de uma empresa por seis meses ou até indefinidamente.
Mesmo assim, a possibilidade de sofrer qualquer punição e de ser obrigado a provar que obteve consentimento das pessoas para armazenar e processar suas informações muda o raciocínio das empresas. Hoje pode valer a pena guardar alguma informação “só por guardar”, mesmo que ela não seja necessária. Com a LGPD, toda informação armazenada pode se transformar em uma dor de cabeça.
É isso que vai obrigar as empresas a pensarem melhor sobre quais dados vale a pena armazenar — e também de que forma isso será feito.
Proteções de privacidade no mundo
Consenso para armazenamento e processamento de dados: exigência prevista na Europa desde a Diretiva de Proteção de Dados, de 1995. Não há regra no Brasil hoje — a regra será nova com a LGPD.
Autorização dos pais para uso de dados de crianças: previsto desde 1998 pela lei COPPA nos Estados Unidos. De forma semelhante, a LGPD obriga a obtenção do consentimento dos pais.
Notificação de vazamento de dados: a primeira lei a exigir que empresas avisem consumidores sobre dados roubados ou vazados foi aprovada em 2002 no estado da Califórnia, nos Estados Unidos, e entrou em vigor no ano seguinte. A obrigação também valerá no Brasil quando a LGPD entrar em vigor, 17 anos após a lei californiana.
Cookies: o uso de cookies é regulamentado na Europa pela Diretiva de ePrivacidade de 2002. O termo “cookies” não consta na LGPD e a lei exclui das regras os “dados anonimizados”, como normalmente é o caso com cookies. Será preciso esperar a lei entrar em vigor e aguardar decisões da Justiça ou da autoridade competente sobre o tema.
Spam: o envio de mensagens comerciais é regulamentado na Europa pela Diretiva de ePrivacidade de 2002 e pela lei CAN-SPAM de 2003 nos Estados Unidos. O Brasil ainda não dispõe de regras sobre spam e não está claro qual vai ser o efeito da LGPD sobre a prática.
Comentários
Postar um comentário
Regras básicas para Publicação de Comentário
Não será aceita as seguintes linguagens: Que
Sejam obscenos ou de linguagem erótica e grosseira,Violem direitos
autorais, Propagandas a si próprio ou a terceiros, Demonstrem
racismo violência ódio ou promovam qualquer tipo
de preconceito contra segundos e terceiros, Estimulem a violência
e ataque ao próximo, Spam, Links,
e Nicks Sociais maliciosos ou não,Sejam
falsos ou infundados ou até de má intenção, Que
não sejam pertinentes ao assunto da matéria,Criticas
sugestões, ou contato não serão postados aqui apenas em nosso
formulário de contato, Fique bem claro que os comentários aqui
postados, são de inteira responsabilidade
de seus autores, publicadores e divulgadores.