Em 2018, a UE (União Europeia) colocou em prática o GDPR (General Protection Regulation, em português Regulamento Europeu de Proteção de Dados Pessoais). Empresas com sede na UE, mas com atuação fora do grupo, têm de fazer valer as novas regras para clientes em todo mundo, o que também pressionou outros países a pensarem suas próprias diretrizes.
No Brasil, a lei elaborada com esforços multissetoriais responde à tensão provocada por um grandioso sistema de armazenamento, classificação, repasse e até mesmo comercialização de dados pessoais. Com sua vigência, hábitos, preferências de consumo, características étnicas, posições políticas, condições de saúde, orientação sexual, patrimônio, situação creditícia e muitos outros aspectos são observados, coletados e tratados para diversos usos, como estratégias de venda e de propaganda eleitoral.
Na América Latina, Chile, Colômbia, Costa Rica, Peru, Uruguai e Argentina destacam-se atualmente por ter uma lei considerada de mesmo nível do regulamento europeu. O texto sujeita às regras específicas toda informação coletada, seja por empresas ou não, em especial nos meios digitais – onde hoje essas informações estão mais difusas -, como dados pessoais concedidos em cadastros ou mesmo textos e fotos publicados em redes sociais.
Para coletar e tratar um dado, a empresa precisa solicitar o consentimento do titular. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e nunca de maneira genérica. Caso uma empresa colete um dado para algo e mude sua finalidade, deve obter novo consentimento. A permissão pode ser revogada a qualquer momento.
Outra regra imposta às empresas é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento, que, caso ocorra, deverá ser comunicado imediatamente.
O titular poderá solicitar acesso às informações que uma empresa tem dele, incluindo a finalidade, a forma e a duração do tratamento, e se houve uso compartilhado com algum outro ente e com qual finalidade. Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço, ou seja, o usuário de uma conta de e-mail pode ter todas as suas mensagens, caso deseje abrir conta em outro serviço deste tipo. O titular também pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.
Dentre as sanções por infrações à nova norma está a multa, simples ou diária, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões.
A lei prevê a criação da Autoridade Nacional de Proteção de Dados, autarquia cuja principal atribuição será fiscalizar o cumprimento da legislação e aplicar as sanções, além do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes titulares de diversos órgãos do governo e da sociedade civil e que será responsável pela disseminação do conhecimento sobre o tema, por meio de estudos, debates ou outras ações.
Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos.
● Guilherme Moraes
por