O Senado aprovou, na terça-feira (10), o Projeto de Lei da Câmara (PLC) 53/2018. Agora falta apenas a sanção presidencial. Se o presidente Michel Temer for favorável à proposta, o Brasil passará a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.

É um projeto de interesse de todos os brasileiros, mas que, por sua magnitude, deixa várias dúvidas no ar: o que a lei de proteção de dados protegerá, especificamente? Todas as empresas terão que se adaptar? Quais as punições para descumprimento da lei? Quem fiscalizará? Essa lei é mesmo necessária?

Pois é, o assunto é complexo. Mas não se preocupe: esclarecemos os principais pontos nas próximas linhas.

Por que a Lei Geral de Proteção de Dados Pessoais é tão importante?

Se entrar em vigor, a chamada Lei Geral de Proteção de Dados Pessoais irá estabelecer uma série de regras que empresas e outras organizações atuantes no Brasil terão que seguir para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais.

O projeto é um passo necessário e relevante. Atualmente, a legislação brasileira é muito vaga em questões relacionadas a dados pessoais e privacidade. Temos leis que garantem o direito à intimidade e ao sigilo de comunicações, por exemplo, mas elas foram estabelecidas em circunstâncias que não contemplavam o cenário tecnológico atual.

A consequência disso é que muitas empresas, com destaque para provedores e operadoras de telecomunicações, acabam não dando a devida importância ao assunto. Quando questionadas, essas organizações frequentemente fazem interpretações evasivas a respeito ou simplesmente dizem que não há obrigação legal de seguir protocolos abrangentes para proteção de dados.

Também pode haver negligência no tratamento de dados pessoais nas esferas governamentais. O motivo é o mesmo: falta de uma legislação específica. É muito comum a postura do “quem não deve, não teme”, mas pensar dessa forma é perigoso. Não é razoável que os seus direitos sobre intimidade e privacidade sejam ignorados sempre que for conveniente às autoridades.

Um exemplo vem da cidade de Ribeirão Preto, interior de São Paulo. No ano passado, a Justiça determinou que Apple, Google e Microsoft fornecessem dados como endereços de email e fotos de todas as pessoa que circularam entre os dias 2 e 5 de junho de 2016 em um raio de 500 metros de uma chácara usada como ponto de apoio por criminosos que assaltaram uma empresa de transporte de valores.

Questões sobre dificuldades técnicas de fornecer esses dados à parte, esse é um exemplo emblemático de exagero que as autoridades podem cometer. Outro é a recente suspeita de venda de dados pessoais pelo Serpro.

O que é a Lei Geral de Proteção de Dados Pessoais, então?

O nome é autoexplicativo: trata-se de uma legislação que determina como dados de cidadãos podem ser coletados e tratados, e que prevê punições para transgressões. O próprio Senado reconhece que a proposta para o marco geral de proteção de dados — outra denominação dada à proposta — foi fortemente inspirada no GDPR, um rigoroso conjunto de regras sobre privacidade da União Europeia que entrou em vigor em maio.

Só que o assunto vem sendo discutido há muito mais tempo. O PLC 53/2018 tem como base pelo menos outras duas propostas que tramitavam na Câmara dos Deputados (PL 4060/2012 e PL 5276/2016), além de um Projeto de Lei do Senado (PLS 330/2013).

A junção desses projetos e algumas revisões fazem a Lei Geral de Proteção de Dados Pessoais, da forma como foi aprovada pelo Senado, conter dez capítulos com 65 artigos que determinam como dados pessoais podem ser coletados e tratados no Brasil, especialmente no que diz respeito aos meios digitais (mas não exclusivamente).

Note que, se não ficar claro exatamente o que é dado pessoal, a lei poderá dar margem a interpretações evasivas. Pois bem, o projeto trata como dado pessoal qualquer informação relacionada a uma pessoa que, que isoladamente ou em conjunto com outros detalhes, permite identificá-la.

Alguns exemplos de dados pessoais (mas nem de longe os únicos) são estes: nome, apelido, endereço residencial, endereço de email, endereço IP, fotos próprias, formulários cadastrais e números de documentos.

Como os dados pessoais deverão ser coletados e tratados?

Para começar, organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento do titular. A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para quais fins e se haverá compartilhamento. Quando houver envolvimento de menores de idade, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.

Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados. Caso o uso das informações leve a uma decisão automatizada indesejada — recusa de financiamento por um sistema bancário, por exemplo —, o usuário poderá pedir uma revisão humana do procedimento.

Há uma categoria classificada como “dados sensíveis”. Elas dizem respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. O uso desses dados será mais restritivo. Nenhuma organização poderá fazer uso deles para fins discriminatórios. Também será necessário garantir que eles serão devidamente protegidos.

De modo geral, a ideia é proteger o cidadão do uso abusivo e indiscriminado dos seus dados. Além de pedir consentimento de maneira clara e atender às demandas do usuário sobre manutenção ou eliminação dos dados, as organizações só poderão solicitar os dados que são realmente necessários ao fim proposto. Nesse sentido, o usuário poderá questionar se a exigência de determinado dado faz sentido.

Há exceções. As regras não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Esses casos deverão ser tratados por leis específicas.

O que acontece em caso de vazamento de dados?

Já houve casos de vazamentos de dados no Brasil em que as autoridades ou vítimas só ficaram sabendo semanas ou meses depois do incidente, a exemplo do caso Netshoes. Não poderá mais ser assim. Vazamentos ou problemas de segurança que comprometem dados pessoais deverão ser relatados às autoridades competentes em tempo hábil.

Após análise da situação, as autoridades indicarão os próximos passos, como determinar que o problema seja divulgado à imprensa.

Qual a punição para descumprimento da lei?

Vai depender da gravidade da situação. Se comprovada a infração, a empresa ou organização responsável poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento, mas limitada ao valor máximo de R$ 50 milhões.

A empresa ou organização também poderá ter as atividades ligadas ao tratamento de dados total ou parcialmente suspensas, além de responder judicialmente a outras violações previstas em lei, quando for o caso.

Vale só para empresas brasileiras ou estrangeiras também?

A origem da empresa ou organização não é fator de exceção. A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro. Isso significa que, se o Google coletar dados de um usuário por aqui, mas processá-los nos Estados Unidos, por exemplo, terá que seguir a legislação brasileira.

Se necessário, a empresa poderá transferir os dados para uma filial ou sede estrangeira, com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou possa garantir mecanismos de tratamento equivalentes aos que são exigidos no Brasil.

Caso os dados não sejam mais necessários — quando uma conta ou serviço tiver sido finalizado, por exemplo —, a organização terá que apagá-los, exceto se houver obrigação legal ou outra razão justificável para a sua preservação.

Quem vai fiscalizar?

O projeto prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça que deverá fiscalizar e garantir a aplicação da lei. Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil. Caberá ao grupo realizar estudos, debates e companhas referentes ao assunto.

Tanto a iniciativa privada quanto os órgãos públicos poderão ter que indicar um responsável pelo tratamento dos dados dentro da organização. Eventuais solicitações ou comunicações referentes a dados pessoais serão tratados prioritariamente com essa pessoa.

Quando a Lei Geral de Proteção de Dados Pessoais começa a valer?

Como dito no começo do texto, o projeto ainda precisa passar por sanção do presidente Michel Temer. Após esse procedimento, haverá um prazo de 18 meses para que setores privados e públicos se adequem à lei.

A não ser que a proposta seja vetada, venha a ser revisada ou tenha o prazo ampliado por algum motivo (o que não é incomum no Brasil), é de se esperar que a lei entre em vigor no começo de 2020, portanto.

Ainda é um pouco cedo para tratar o assunto como definitivo. Muitas autoridades, juristas e especialistas em assuntos como privacidade entendem que a nova lei é mesmo necessária. Apesar disso, a proposta não está isenta de pontos polêmicos ou que precisam de mais esclarecimentos.

É o caso, por exemplo, da ANPD: a criação da entidade é vista como necessária, por outro lado, resultará em mais gastos públicos de um orçamento que já está estourado. Tudo indica que a lei deverá mesmo ser aprovada, mas um ou outro ponto ainda pode ser modificado.

Com informações: Agência Brasil, Nexo Jornal, Senado.