Lei de proteção de dados: o futuro é hoje

A lei de proteção de dados, sancionada em 14 de agosto de 2018, reflete a necessidade social de constante evolução e adaptação legislativa ao regular pontos importantes da privacidade e proteção dos dados do cidadão, coibindo excessos e levando sobretudo transparência ao tratamento de dados pessoais. A medida não é nova e deriva de outras propostas já analisadas, mas surge agora em um cenário preocupado em acompanhar os avanços internacionais sobre o tema. Antes dela, o Marco Civil da Internet já endereçou pontos críticos relativos ao emprego de dados dos usuários da internet e previa, inclusive, a reparação em caso de vazamento de dados dos provedores. Não havia, contudo, nenhuma previsão legislativa no âmbito nacional para regulamentar a comercialização de dados.

A própria lei de proteção de dados é consequência de um intenso debate e de inúmeros outros projetos de lei que buscaram regular o tratamento de dados pessoais. As discussões acerca dos mais diversos temas no cenário tecnológico vêm ganhando força à medida que seu consumo cresce exponencialmente. Desde o Marco Civil, outras importantes deliberações foram tomadas, como o intenso debate abordado pelo Superior Tribunal de Justiça (STJ) em 2018 a respeito do direito ao esquecimento. A discussão, que, assim como a preocupação acerca do uso indevido de dados coletados, não nasceu no Brasil, agora atravessa o Atlântico para somar ao quadro de novas regulamentações digitais.

Na Europa, o tema não é recente. Lá, o assunto “proteção de dados” já é regulado desde 1995, o que permitiu um amplo debate e amadurecimento de suas condições e sobretudo de sua aplicação. Como resultado de tal amadurecimento, a União europeia deu um passo adicional que levou ao regulamento geral de proteção de dados europeu, em vigor desde 25 de maio de 2018, e suas consequências afetaram diretamente o Brasil, seja porque a norma europeia impõe aos países que tratam dados de seus cidadãos a aplicação de regulação similar, seja por alcançar empresas de outros países que tratam dados de um cidadão europeu.

Inspirada nessa regulamentação, a medida aprovada em terras nacionais abrange todos os dados tratados no Brasil ou mesmo no exterior, desde que digam respeito à pessoa natural com nacionalidade brasileira. Além disso, é necessário que a empresa responsável pelo tratamento dos dados comunique objetiva e expressamente ao consumidor, com a maior riqueza de detalhes possível, sobre a utilização das informações obtidas. A finalidade deve ser, ainda, rigorosamente observada, de forma que os dados devem ser descartados após sua utilização na ausência de outra justificativa aplicável.

A nova lei não contempla apenas a esfera privada. Órgãos governamentais também foram parte da motivação sobre o tema, uma vez que não eram incomuns casos de abusos de poder. Em 2018, a análise de aplicativos governamentais como a CNH digital, Detran e Bolsa família, revelou o acesso a informações como GPS, lista de contatos ou a câmera do aparelho, sem a devida autorização do usuário.

Agora, a novidade está na previsão legal de tratamento de dados, com atenção especial aos digitais, além das punições previstas para seu descumprimento. Serão considerados dados pessoais quaisquer informações sobre a pessoa natural identificada ou identificável. Dados como origem racial ou étnica, religiosidades, opinião política ou vida sexual, além de dados genéticos ou biométricos estão previstos como sensíveis e recebem especial atenção legislativa. No caso de menores, a coleta só pode ser realizada com consentimento dos pais ou responsáveis.

O setor privado deve estar atento às mudanças, uma vez que a lei contempla todos que em algum momento fazem utilização de dados privados, seja de colaboradores, fornecedores, clientes ou representantes legais. Número de documentos, endereços, telefones ou e-mails são protegidos pela nova lei, sendo um direito do cidadão saber como, onde e para que finalidade os dados foram coletados. Na possibilidade de transferência de informações para sedes estrangeiras, é necessário observar se o país, assim como o Brasil, conta com leis de proteção equivalentes.

Não incomum, as empresas que já possuem um banco de dados pessoais devem fazer uma revisão minuciosa e adequar os antigos hábitos à nova lei. Necessariamente, a proteção de dados levará à revisão de dados armazenados em recursos humanos, no marketing, no financeiro, na área de vendas e todos os demais locais em que dados pessoais façam parte do cotidiano corporativo. As empresas devem, ainda, identificar um profissional, o qual será o responsável pela proteção de dados pessoais e por relacionar-se com a Autoridade Nacional, dentre outros.

A lei, contudo, traz exceções ao uso de dados públicos como os de viés acadêmicos, artísticos ou jornalístico. Dados que envolvam a defesa nacional, proteção à vida e políticas governamentais também fogem do escopo legislativo, devendo ser regulados através de leis específicas.

No caso de descumprimento da lei, a punição deve acompanhar a gravidade do problema enfrentado, variando entre advertência simples até a multa de 2% no valor do faturamento, limitado ao máximo de 50 milhões. Além disso, as empresas também poderão sofrer restrições nas atividades de coleta e tratamento de dados, que podem variar entre a suspensão total ou parcial, até processo judicial quando cabível.

Sua fiscalização, vetada pelo Presidente da República à época da sanção, foi posteriormente delegada à Autoridade Nacional de Proteção de Dados (ANPD) que será composta por um Conselho Diretor e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Esse último conta com 23 representantes de diversas esferas, desde os membros do Poder Executivo até entidades civis de instituições científicas, incluindo ainda quatro representantes de empresas.

Para que os efeitos da transição sejam sentidos em doses homeopáticas pelos mais diversos setores atingidos, a Lei só entrará em vigor em agosto de 2020. Contudo, é necessário planejar antecipadamente as mudanças exigidas pela lei brasileira, a qual transformará a privacidade de dados em algo recorrente e aplicável, se não em todas, na maior parte das decisões estratégicas das empresas.