O que você precisa saber sobre a nova lei de proteção de dados pessoais

“Atualizamos nossa política de privacidade”. Como você deve ter notado, o meme que sacudiu as redes sociais em maio de 2018 mostrava essa frase nas situações mais absurdas. A referência era às centenas de empresas que mandaram e-mails com esse título após a entrada em vigor da nova lei de proteção de dados da União Europeia, a chamada GDPR (Regulação Geral de Proteção de Dados, na sigla em inglês).

Agora o Brasil também ganhou uma lei de proteção de dados pessoais, quando o presidente Michel Temer assinou a Lei nº 13.709/2018, em 14 de agosto. Contudo ela só passa a vigorar em fevereiro de 2020: o texto dá 18 meses para as empresas se adaptarem. Você sabe o que muda?

Neste artigo você vai conhecer alguns dos antecedentes da lei e saber por que ela foi aprovada agora. Vamos analisar alguns dos prós e contras do texto, bem como maneiras que ele pode impactar o seu trabalho e quais serão os possíveis desdobramentos para a área de TI e para as empresas de forma geral. Acompanhe!

Antecedentes da lei de proteção de dados pessoais

A aprovação da lei de proteção de dados brasileira vem na esteira de uma série de escândalos recentes envolvendo informações pessoais no Brasil e no exterior. Lá fora, ganharam as manchetes dos jornais vazamentos como os de clientes e contatos da consultoria internacional Stratfor (em 2012) e do site de encontros extraconjugais Ashley Madison (em 2015).

Aqui no Brasil, são frequentes as reportagens sobre quadrilhas que têm acesso fácil a dados pessoais, e os utilizam para cometer crimes. O Fantástico, por exemplo, fez reportagens sobre isso em 2013 e em 2017, e comparando as duas matérias, vemos que pouca coisa mudou em 4 anos.

O ápice do debate sobre a limitação de uso de dados pessoais, ocorreu com o escândalo causado pela Cambridge Analytica. Mesmo tendo sido fechada em maio de 2018 essa empresa britânica de data mining, conhecido por aqui como “mineração de dados”, trabalha com um processo que consiste em organizar e encontrar padrões em um volume grande de dados, que podem ser usados para os mais diversos fins, e nesse caso a Cambridge está sendo investigada por repassar dados pessoais, sem autorização, para outras empresas e instituições que usaram essas informações para direcionar anúncios eleitorais durante as eleições americanas de 2016 (mais especificamente, em favor do então candidato Donald Trump).

A empresa teve acesso aos dados de cerca de 87 milhões de usuários do Facebook por meio de um “Quiz” que apenas 270 mil pessoas responderam. O segredo? A interface (API) do Facebook permitia coletar dados não apenas dos usuários que diretamente responderam o “Quiz”, mas também dos amigos deles.

Prós e contras da lei de proteção de dados

A nova lei brasileira, que complementa o Marco Civil da Internet, vem para dificultar vazamentos e proteger a privacidade, a intimidade e os interesses das pessoas. Ela estabelece que o tratamento de dados pessoais só pode ser feito mediante consentimento do titular, e o restringe “para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.

Assim, fica especificamente proibido utilizar os dados pessoais para propósito diferente do original. Imagine uma empresa cujo serviço mede indicadores de saúde, de acordo com a nova lei, ela não pode repassar ou vender esses dados para uma seguradora, por exemplo, que poderia usar essa informação para vender um plano de saúde mais caro.

Uma das maiores críticas dos especialistas em relação à nova lei é o fato de o presidente Michel Temer ter vetado a criação da Agência Nacional de Proteção de Dados Pessoais (ANPD), o órgão que ficaria responsável por fiscalizar o cumprimento dos seus dispositivos.

O veto foi realizado porque apenas o Presidente (e não o Congresso) pode criar uma agência nova e, teoricamente enquanto essa agência não existir, a lei fica “sem dentes” para fiscalizar e multar. No entanto, como o texto só entra em vigor em 2020, ainda há tempo de estabelecer o novo órgão governamental.

Impactos sobre o seu trabalho

A nova lei tem vários impactos no trabalho de qualquer profissional, que envolva coletas de dados pessoais. Cresce a necessidade de organização. Um dos motivos é que o texto obriga as empresas a garantir  ao usuário “a consulta facilitada e gratuita” aos deus dados pessoais, inclusive a sua atualização, ou seja, além do acesso aos dados cadastrados, o cliente passa a ter direito de corrigir e atualiza-los.

O texto também prevê que as atividades que envolvam dados pessoais observem medidas técnicas e administrativas para protegê-los de acessos não-autorizados e situações acidentais de perda, alteração, ou difusão, bem como a adoção de medidas para prevenir a ocorrência de danos decorrentes do seu uso.

A lei prevê ainda que a transferência internacional de dados só é permitida quando o outro país tiver as mesmas garantias de proteção previstas por ela e que o tratamento de dados de crianças exige o consentimento de um dos pais ou responsável.

Desdobramentos da lei para a área de TI e empresas

Um dos principais impactos diretos da nova lei no cotidiano das empresas é a atribuição de responsabilidades específicas. O Artigo 23 obriga a indicação de um “encarregado”, termo brasileiro para a função que na lei europeia é chamada de Data Protection Officer (oficial de proteção de dados).

O encarregado é especificamente responsável por aceitar reclamações dos clientes, prestar esclarecimentos e orientar os funcionários e contratados a respeito da política da empresa sobre proteção de dados pessoais. Ele também deve assegurar que a organização “ande na linha” no que se refere à proteção de dados. E mais: a identidade e as informações de contato desse funcionário devem ser públicas, “preferencialmente” disponibilizadas no site da empresa.

Um segundo desdobramento é a imposição de multas e outras sanções. A empresa que descumprir a lei está sujeita a bloqueio e eliminação dos dados envolvidos em infração, divulgação do erro e, ainda, multa diária de até 2% do faturamento, limitados a R$50.000.000,00 por infração.

A nova lei de proteção de dados pessoais deve ser respondida com uma mudança cultural nas empresas. É preciso que a empresa avalie com cuidado quais informações pessoais ela realmente precisa ter em seus cuidados, bem como criar procedimentos padronizados para gerenciar esses dados, inclusive com políticas de descarte deletando aqueles de ex-clientes com os quais não mantém contato há 12 ou 24 meses a fim de evitar dores de cabeça no futuro com possíveis vazamentos.

Gostou de saber um pouco mais sobre a nova lei de proteção de dados? Então assine a nossa newsletter e fique por dentro das novidades do mundo da TI e do desenvolvimento de sites!