Comunicação SEESP*
Foi sancionado por Michel Temer, na terça-feira (14/8), o PLC 53/2018, que estabelece a lei geral de proteção de dados (LGPD) brasileira. Com a assinatura do presidente, as empresas que processam dados no Brasil terão 18 meses para se adaptar à lei. O texto foi aprovado por unanimidade no Congresso Nacional. Tanto o poder público quanto o setor privado deverão seguir a normativa, que coloca o Brasil em sintonia com outras legislações internacionais de referência.
A legislação regulamenta o uso, a proteção, a transferência de informações como nome, endereço, e-mail, idade, estado civil e patrimônio. A Constituição Federal, em seu artigo 5º, garante a privacidade. No entanto, por se tratar de tema recorrente nas instituições de crédito e no mundo virtual, se tornou assunto prioritário. No espaço cibernético, a lei contribui para a garantia desse direito, um dos pilares do Marco Civil da Internet.
Apesar de a notícia ter sido bastante comemorada, no dia seguinte, entidades da sociedade civil, reunidas na Coalizão Direito na Rede, divulgaram nota alertando para os vetos feitos pelo presidente Michel Temer. De acordo com a nota, "podem comprometer a eficácia da legislação sancionada".
"Os mais preocupantes tratam da criação da Autoridade Nacional de Proteção de Dados (artigos 55 a 59). Alegando vício de iniciativa, a Presidência da República excluiu da lei a previsão de instituição do órgão que teria o dever de fiscalizar sua implementação. O governo o considerou inconstitucional, por ser uma despesa para o Poder Executivo criada pelo Legislativo. Um novo projeto de lei deve entrar em tramitação para resolver essa questão, já que é fundamental que haja um órgão regulador responsável.Também foi, conjuntamente, vetado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão multissetorial vinculado à Autoridade, responsável por propor diretrizes estratégicas e fornecer subsídios para a elaboração de uma política nacional para o setor, assim como para a atuação da própria ANPD", diz um parágrafo do posicionamento da Coalizão. Confira a íntegra aqui.
Os ativistas já esperavam o veto, e a expectativa é que a questão seja solucionada em breve. "É fundamental ter uma autoridade nacional independente, com meios de alcançar a eficiência e sustentabilidade", disse Patrícia Peck, advogada especialista em direito digital, em comunicado.
Para Vanessa Lerner, também especialista em direito digital, da Dias Carneiro Advogados Lerner, a remoção do órgão regulador gera incerteza na aplicação de uma série de artigos da lei que fazem referência ou dependem de regulações. "Em suma, a remoção da ANPD da lei, se não for suprida, pode implicar desequilíbrio das relações instituídas, tendo o potencial de gerar dificuldades em relação ao cumprimento e fiscalização da lei", disse ela ao Olhar Digital.
O Comitê Gestor da Internet do Brasil (CGI.br) também ressaltou, em carta aberta, a importância da ANPD, considerando a fundação da autoridade um "requisito sine qua non de eficácia da legislação recém-adotada".
A sanção sem a criação da Autoridade Nacional ainda afeta a criação de um Conselho Nacional que também era previsto no projeto original. O órgão, que ficaria sob a tutela do ANPD, também era muito importante na visão do CGI.br, pois seria uma "composição multissetorial" deliberando sobre as "diretrizes estratégicas para orientar a Política Nacional de Proteção de Dados Pessoais e da Privacidade no País".
O que muda com a nova lei
A legislação nacional vai exigir que as companhias mudem a forma como lidam com as informações de seus usuários. "A LGPD estabelece três figuras principais durante o tratamento de dados: o titular, o controlador e o operador", explicou Lerner. "Em sua essência, a lei não é nada mais do que um conjunto de direitos e obrigações dessas três partes em diferentes momentos, que gera uma rede capaz de proteger a privacidade e a autodeterminação dos titulares de dados pessoais no Brasil."
Peck resumiu as mudanças: as companhias precisarão de consentimento das pessoas antes de poderem mexer com seus dados, terão que fazer de forma transparente e serão obrigadas a garantir a segurança de tudo o que armazenam e processam.
Entre os principais pontos garantidos pela legislação estão:
Definição de dados pessoais: O texto define como dado pessoal “qualquer informação relacionada à pessoa natural identificada ou identificável”. Sobre dados sensíveis, no entanto, a lei é bem mais específica e inclui na conta origem racial ou étnica, convicções religiosas, opiniões políticas, informações genéticas ou biométricas, entre outros pontos.
Consentimento dos usuários: A legislação também é precisa aqui. Consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. As empresas também precisam deixar claro a finalidade (“realização do tratamento para propósitos legítimos, específicos, explícitos e informados”) do uso dos dados e limitar sua utilização a esse fim.
Transparência: O consentimento citado acima deverá vir por meio daqueles já conhecidos termos de uso, é claro. Mas a lei obriga que as empresas sejam claras em seus textos e específicas na hora de definir a finalidade do uso. “O consentimento deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais”, diz a legislação. O texto também visa garantir que o titular dos dados possa acessar facilmente as informações que as empresas têm sobre ele — e que possa revogar sem dificuldades o consentimento.
Responsabilidade sobre os dados: O “titular” dos dados mencionado acima é a pessoa a que os dados se referem, como especifica a legislação. Já os responsáveis são, como explica Peck, “a pessoa física ou jurídica, de direito público ou privado, que realiza decisões sobre o tratamento de dados” — basicamente, as empresas. Mas há uma divisão: o “responsável” propriamente dito decide como vai ser feito o tratamento, enquanto o “operador” realiza o tratamento dos dados. Ambos, no entanto, são responsáveis pela segurança das informações.
Segurança: Sobre o tema, o artigo 46 da lei é categórico: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.” Isso vale para quaisquer empresas que entrarem no meio do tratamento e também obriga as companhias a informarem abertamente (e logo) quando houver um problema. É algo que muitas já precisam fazer, pelo bem dos consumidores, mas que nem todas fazem direito. Com a lei de proteção de dados, isso deverá ser mais facilmente punível.
Alteração e exclusão: Além do cenário mencionado no tópico “Transparência”, o PLC também destaca que os usuários têm todo o direito de alterar e excluir os dados que as empresas têm sobre eles. Quer dizer, exceto em casos, como destaca Peck, como quando as informações têm fins fiscais ou são usadas por estudos de órgãos de pesquisa (desde que seja garantido o anonimato, claro). O tratamento de dados pessoais também será encerrado caso a finalidade seja alcançada, o período de tratamento chegue ao fim, as informações deixem ser necessárias ou o órgão regulador solicite.
Sanções: Quatro artigos definem as punições às empresas que descumprirem as regras, que vão de uma advertência a multas diárias de até 2% do faturamento da companhia (com limite de R$ 50 milhões por infração).
Com informações de Coalizão Direitos na Rede e Olhar Digital
