Está aberta a contagem regressiva para a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Em menos de um ano, empresas e governo deverão estar prontos para atender às novas regras, que estabelecem limites para a utilização dos dados pessoais em todo o território brasileiro. Promulgada em agosto de 2018, a lei começará a valer em agosto de 2020 – enquanto isso, companhias, advogados e especialistas se preocupam se tudo estará “nos conformes”.

Há diversas mudanças vindo no horizonte: para os usuários, a principal “tarefa” é entender o novo conjunto de direitos. “Será igual à chegada do Código de Defesa do Consumidor: o cidadão terá de entender o valor da sua privacidade e como vai cuidar dela”, avalia Paulo Brancher, sócio da área de tecnologia do escritório Mattos Filho. A comparação não é à toa: a lei valerá para todas as empresas, independentemente do tamanho, bem como para órgãos e autarquias públicas.

Foto: Divulgação

Enquanto isso, empresas tentam se adequar. Ano que vem, elas terão de oferecer aos usuários uma forma de consultar e até excluir o histórico de dados pessoais coletados. Será necessário criar políticas claras de segurança da informação, bem como condutas para informar aos consumidores quando seus dados forem vazados. Há ainda quem precisará contratar um Data Protection Officer – profissional responsável por gerar relatórios sobre como a empresa usa informações e enviá-los ao governo.

DEMANDA

É um cenário ainda complicado para as companhias: pesquisa feita pelo birô de crédito Serasa Experian, divulgada neste mês, mostra que 85% das empresas não estão prontas para a lei. O levantamento, feito com 508 grupos, de diferentes tamanhos e segmentos, aponta ainda que 73% das companhias esperam impacto em sua infraestrutura de tecnologia da informação. A movimentação está intensa.

As grandes empresas já começaram esse processo de transformação interna, até porque precisaram entrar em conformidade com a lei de dados europeia (Regulação Geral de Dados Pessoais), em vigor na União Europeia desde 2018.

Do lado do governo, também será preciso estabelecer o órgão responsável por fiscalizar o cumprimento da lei – a Autoridade Nacional de Proteção de Dados (ANPD). É um dos pontos mais complicados até aqui: a entidade, vinculada à Presidência da República, tem diversas etapas para sua constituição. É preciso que o governo indique os cinco diretores, que deverão ser sabatinados pelo Senado – a expectativa, segundo fontes ouvidas pelo ‘Estado’, é que isso ocorra até o fim do ano.

Além disso, será preciso criar um conselho diretor, com membros de governo, empresas, academia e sociedade civil, e definir orçamento para a entidade. Procurado pela reportagem, o Palácio do Planalto não atendeu às solicitações da reportagem para discutir o andamento das propostas.

O que muda com a Lei de Dados

1. Dados que eu mesmo publiquei nas redes sociais

As empresas vão continuar coletando e armazenando dados, mas terão que obter o seu consentimento para isso e o que fará com eles. Isso obrigará maior clareza por parte delas e dará a você um controle maior sobre o que é coletado.

2. Dados apagados

A lei prevê que você retire os consentimentos de uso quando quiser. Isso, porém, não significa que eles serão sempre e totalmente apagados. As empresas ainda podem guardar dados para fins de pesquisa, se forem anonimizados. Além disso, também podem reter dados para se defender na Justiça, por exemplo. Já quanto ao governo, é mais difícil: a lei garante bases legais para que o governo mantenha os dados para operar serviços e formatar políticas públicas.

3. Ligações de telemarketing indesejadas

Se você nunca foi cliente ou não deu permissão para que o seu número de telefone tenha sido compartilhado com uma empresa, ela não poderá te ligar. Agora, imagine que você teve um plano de celular com uma operadora e mudou para outra. Anos depois, a primeira operadora decide ligar para falar de uma promoção.

Ela poderá fazer o contato, pois houve uma relação prévia entre vocês. Posteriormente, você poderá negar esses novos contatos. Além disso, será possível questionar como a empresa obteve seus dados. Se não houver justificativa nas bases legais, é possível denunciar a companhia.

4. Lojas que pedem o número do CPF

Os estabelecimentos como lojas e farmácias poderão continuar fazendo programas de fidelização com CPF. Mas antes de pedir o número, o funcionário terá que explicar como funciona o programa em termos de coleta e tratamento desses dados, deixando claro com quem a farmácia dividirá essas informações. Não poderá ser uma explicação genérica. Se a farmácia divide as informações com planos de saúde, terá que deixar isso claro.

5. Foto ou impressão digital para entrar em prédio ou academia

Se a academia se escorar no uso de tecnologia para liberar equipamentos, será preciso continuar dando a digital. Sem ela, a academia pode alegar que seu modelo de negócios não funciona. No prédio, por sua vez, será possível questionar se a entrada é viável sem a cessão de informações biométricas.

Por outro lado, o condomínio poderá apresentar uma política de segurança, afirmando que a coleta dos dados é necessária para o local. Há aí uma promessa de polêmicas. Além disso, o prédio deverá ter uma política de descarte dos dados, pois não precisa guardá-los.

6. Como saber quais os dados uma empresa tem

A lei permite que você questione a empresa para saber se ela tem dados sobre você. A resposta deve ser imediata. Você também poderá ter acesso a esses dados e com quem ela compartilhou, mas não há prazo determinado para isso.

7. Negar fornecimento de dados

Se for para cumprir uma obrigação legal, não há como recusar. Além disso, não é possível recusar um dado fundamental para o funcionamento de um serviço e querer usá-lo. Por exemplo: pedir um Uber sem compartilhar a geolocalização. No restante, a lei foi criada para que você possa dar autorizações em camadas. Exemplo: ceder o número do CPF, mas não tirar sua foto num prédio comercial.

8. OK nos contratos e termos de uso online

A lei prevê que o consentimento não pode ser genérico. Os termos de uso têm que ser transparentes e de fácil entendimento. Eles têm que indicar quais dados serão coletados e a finalidade para o qual são tratados. Se um desses requisitos estiver faltando, ele não é considerado válido.

9. Violação das regras

As empresas poderão sofrer desde advertências até multas. Nos casos mais graves, o valor pode chegar a 2% do lucro da empresa, limitada a R$ 50 milhões, por infração.

10. Validade para todas as empresas

Sim, mas a regulação deverá ser ajustada ao tamanho da empresa. Multas grandes, capazes de quebrar um negócio, não devem ser aplicadas a empresas pequenas. Exceções na lei para as PMEs poderão ainda ser determinadas.

11. Empresas estrangeiras

Se a empresa coletar dados de usuários presentes no território brasileiro, ela terá de se ajustar à lei de dados.

12. Exclusão do prontuário médico

Não. O seu prontuário pode fazer parte de uma política pública, que exige a coleta de dados para a tomada de decisões – como determinar uma campanha de vacinação para deter uma epidemia, por exemplo.

13. Aviso de dados vazados

Sim. É uma obrigação prevista na lei, embora não há prazo definido ainda. Na Europa, é preciso informar usuários em até 72 horas, incluindo o que foi vazado e se há alguma medida para mitigar o dano. A LGPD só fala em “prazo razoável”.

14. Recebimento de anúncios pela web

Sim, mas você saberá como os seus dados alimentam esses anúncios, além de poder pedir para que isso não seja feito. Google e Facebook terão que se adequar aos critérios da lei, obtendo consentimento e sendo claros sobre o uso dos dados.

15. Quem buscar se os dados não estão sendo protegidos

O primeiro passo é buscar a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está montando sua estrutura. Mas será possível recorrer a órgãos de defesa do consumidor, como o Procon ou o Ministério Público, que poderão repassar as queixas à ANPD.