De olho na segurança

Proteção de dados pessoais se torna lei no Brasil com veto a "xerife"

Helton Simões Gomes e Márcio Padrão

Do UOL, em São Paulo

  • Divulgação/Twitter @micheltemer

    Presidente Temer sanciona lei que dispõe sobre o tratamento de dados pessoais no Brasil

    Presidente Temer sanciona lei que dispõe sobre o tratamento de dados pessoais no Brasil

O presidente Michel Temer sancionou nesta terça-feira (14), com vetos, o Projeto de Lei da Câmara 53/2018, que altera a lei nº 12.965, de 2014 (o Marco Civil da Internet) e que estabelece a lei brasileira de proteção e tratamento de dados pessoais.

O principal veto foi a criação de um órgão responsável por garantir a aplicação da nova lei, chamado ANPD (Agência Nacional de Proteção de Dados), já apelidada no meio de "xerife de dados".

VEJA TAMBÉM

As novas regras asseguram que seus dados pessoais --como nome, endereço, e-mail, idade, estado civil e situação patrimonial-- não serão usados sem seu consentimento por empresas e o governo no Brasil.

"A privacidade do cidadão não pode ser exposta, compartilhada ou utilizada sem consentimento. É precisamente o que estamos corrigindo. Com esse novo instrumento, o Brasil adota as melhores práticas internacionais nesta matéria", disse Temer em seu perfil no Twitter.

A nova lei começa a valer daqui a 18 meses. Esse tempo será necessário para governo, empresas e a sociedade realizarem as devidas adaptações até começar a vigorar.

Entre as mudanças estão a exigência de consentimento todas as vezes que quiserem processar seu CPF de alguma forma e a possibilidade de excluir informações pessoais de algum banco de dados.

As empresas que cometerem algum deslize poderão ser multadas em até 2% de seu faturamento até o limite de R$ 50 milhões. Outro ponto vetado por Temer foi a punição de suspensão parcial ou total de atividades das empresas que ferissem a nova lei. Veja todos os vetos e seus respectivos argumentos segundo Carlos Affonso, blogueiro do UOL.

A lei brasileira é abertamente inspirada na lei da União Europeia conhecida como GDPR, que, em maio, passou a vigorar com uma nova e mais dura configuração.

Por que a ANPD foi vetada?

A lei previa a criação de um órgão regulador, chamado de Autoridade Nacional de Proteção de Dados (ANPD), que seria uma autarquia vinculada ao Ministério da Justiça, com independência administrativa, e atuaria como um "xerife de dados".

Entre suas atribuições estaria a de criar regulamentos sobre proteção de dados e até definir padrões de interoperabilidade, caso você queira levar sua base de dados de um lugar para o outro. A ANPD poderia ainda pedir que empresas elaborem relatórios sobre o impacto à proteção de dados pessoais.

O presidente Temer vetou essa parte da lei porque a Constituição determina que a criação de despesas que onerem o orçamento parta apenas do Poder Executivo. Como a nova lei veio do Congresso, ela não poderia criar a ANPD, e, por isso, teria o chamado "vício de iniciativa" --ou seja, foi proposta por uma entidade que não tem competência para sua elaboração.

Temer disse no evento que o Executivo deverá enviar ao Congresso um novo projeto de lei para criar a ANPD. Mas em entrevista, o Ministro de Ciência e Tecnologia, Gilberto Kassab, não descartou que a autoridade seja criada por Medida Provisória.

A influência da Europa

Apesar de as empresas de tecnologia, como Facebook e Google, serem grandes processadoras de dados, a lei não vale só para elas. Vale para toda companhia que coletar dados em território brasileiro, da pousada na praia à farmácia da esquina, e mesmo que do outro lado do balcão esteja um estrangeiro.

A lei não se restringe a processos feitos pela internet. Também abrange informações pessoais coletadas em papel ou meio eletrônico, por som ou imagem.

A regra brasileira se diferencia da legislação europeia (a GDPR), no que diz respeito obrigação de empresas de fora do território nacional interessadas em tratar dados de estrangeiros.

A lei europeia diz que qualquer companhia de fora da União Europeia que queira tratar de informações de europeus deve se adaptar à legislação. O regulamento brasileiro não exige adaptação de empresas fora do Brasil que queriam coletar e tratar os dados de cidadãos daqui.

O que é dado pessoal?

A nova lei caracteriza como dado pessoal toda informação que pode ser usada para identificar alguém. Nessa conta podem entrar nome e apelido, endereço de residência, endereço eletrônico, número de cartão de identificação, dados de localização (GPS, por exemplo), endereço de IP, histórico de navegação e até registros médicos.

Ela também trata dos dados pessoais sensíveis, que são informações sobre "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico".

Aquelas informações incapazes de serem usadas para identificar alguém, por terem sido tratados coletivamente pelas empresas para definir perfis de usuários, são chamadas de dados anonimizados. Ao contrário das duas categorias acima, nesta não é necessário que o usuário dê consentimento para as empresas e órgãos tratarem tais dados.

Posso usar seus dados?

Os dados pessoais de uma pessoa no Brasil só poderão ser tratados, analisados ou manipulados por uma empresa que receber um consentimento explícito do titular. Não vale truque. Se o pedido não ficar claro, a autorização não vale. Além disso, esse aval pode ser revogado a qualquer momento.

Antes de ouvir o "sim", a empresa tem que informar com que finalidade pede os dados, por quanto tempo irá usá-los e quem as pessoas jurídicas responsáveis pelo processo. Todas as vezes que algum desses itens mudar, tem de pedir o consentimento novamente.

Getty Images/iStockphoto

GDPR: nova lei europeia fecha cerco à exploração de dados pessoais e influencia o comportamento das empresas por todo o mundo

Entenda

Vai usar meus dados para que?

Assim como a lei europeia, a legislação brasileira exige que as empresas coletem somente os dados necessários para que seus sistemas funcionem. Ou seja, nada de pedir seu tipo sanguíneo na hora de fazer um cadastro na loja de sapato.
Se a companhia não for específica no detalhamento, a autorização dada pelo titular do dado será anulada.

E os menores de idade?

Se uma empresa quiser tratar os dados pessoais de crianças e adolescentes, deverá buscar o consentimento específico dos pais ou responsáveis legais por eles. É responsabilidade dela garantir que foram os adultos que autorizaram o uso.

Posso alterar, excluir ou transferir meus dados?

Outra novidade trazida pela lei é permitir que as pessoas tenham acesso a seus dados armazenados por empresas. Isso deve ser fornecido de forma simplificada e sem burocracia. Também é possível pedir para corrigir ou atualizar essas informações e até solicitar uma cópia da base de dados para transferi-la a outro fornecedor do serviço ou produto. Outra possibilidade é a de pedir a exclusão das informações.

E se eu não gostar de uma decisão automatizada?

Como algumas empresas usam os seus dados pessoais para criar sistemas que definem automaticamente que tipo de acesso você poderá ter a serviços ou produtos, será possível pedir uma revisão dessa análise. Isso será possível desde que as decisões "afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade".

E qual a punição para infratores?

Caso não cumpram as regras ou reparem o dano de quem teve algum dado vazado, as empresas infratoras podem ser obrigadas a pagar multa de até 2% do faturamento, desde que o valor não passe de R$ 50 milhões.

O governo pode compartilhar meus dados com quem quiser?

O poder público não pode transferir a empresas privadas os dados pessoais que estejam em suas bases, a não ser em casos da atividade pública previstos na Lei de Acesso à Informação; e quando os dados em questão já são acessíveis publicamente.

A proposta original da lei ainda previa outra exceção: quando houvesse previsão legal, mas isso também foi vetado. O governo afirmou que isso inviabilizaria o setor público, já que procedimentos como a folha de pagamento dos servidores em bancos, que se encaixariam nisso, estavam previstos em atos normativos, e não em lei.

Podem levar meus dados para fora do país?

Como a internet não tem fronteira, a nova lei definiu que será permitido transferir informações pessoais que estejam no Brasil para outro país em apenas duas condições. A primeira: caso o país ou organização de destino tiverem grau de proteção de dados pessoais adequados ao do Brasil. O segundo: quando a empresa que receber os dados der garantias de que cumpre os mesmos princípios estabelecidos pela lei brasileira.

Getty Images

Você é o produto: cada passo que você dá na web gera rastros e essas informações são usadas para te vigiar e influenciar o seu comportamento

Entenda

Receba notícias pelo Facebook Messenger

Quer receber as principais notícias do dia de graça pelo Facebook Messenger? Clique aqui e siga as instruções.

Veja também

UOL Cursos Online

Todos os cursos