O que você deve saber sobre a lei de proteção de dados pessoais do Brasil
Se aprovada, a Lei Geral de Proteção de Dados Pessoais irá finalmente fazer o Brasil ter uma legislação específica para proteger as informações dos cidadãos
TB Responde
O Senado aprovou, na terça-feira (10), o Projeto de Lei da Câmara (PLC) 53/2018. Agora falta apenas a sanção presidencial. Se o presidente Michel Temer for favorável à proposta, o Brasil passará a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.
É um projeto de interesse de todos os brasileiros, mas que, por sua magnitude, deixa várias dúvidas no ar: o que a lei de proteção de dados protegerá, especificamente? Todas as empresas terão que se adaptar? Quais as punições para descumprimento da lei? Quem fiscalizará? Essa lei é mesmo necessária?
Pois é, o assunto é complexo. Mas não se preocupe: esclarecemos os principais pontos nas próximas linhas.
Se entrar em vigor, a chamada Lei Geral de Proteção de Dados Pessoais irá estabelecer uma série de regras que empresas e outras organizações atuantes no Brasil terão que seguir para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais.
O projeto é um passo necessário e relevante. Atualmente, a legislação brasileira é muito vaga em questões relacionadas a dados pessoais e privacidade. Temos leis que garantem o direito à intimidade e ao sigilo de comunicações, por exemplo, mas elas foram estabelecidas em circunstâncias que não contemplavam o cenário tecnológico atual.
A consequência disso é que muitas empresas, com destaque para provedores e operadoras de telecomunicações, acabam não dando a devida importância ao assunto. Quando questionadas, essas organizações frequentemente fazem interpretações evasivas a respeito ou simplesmente dizem que não há obrigação legal de seguir protocolos abrangentes para proteção de dados.
Também pode haver negligência no tratamento de dados pessoais nas esferas governamentais. O motivo é o mesmo: falta de uma legislação específica. É muito comum a postura do “quem não deve, não teme”, mas pensar dessa forma é perigoso. Não é razoável que os seus direitos sobre intimidade e privacidade sejam ignorados sempre que for conveniente às autoridades.
Um exemplo vem da cidade de Ribeirão Preto, interior de São Paulo. No ano passado, a Justiça determinou que Apple, Google e Microsoft fornecessem dados como endereços de email e fotos de todas as pessoa que circularam entre os dias 2 e 5 de junho de 2016 em um raio de 500 metros de uma chácara usada como ponto de apoio por criminosos que assaltaram uma empresa de transporte de valores.
Questões sobre dificuldades técnicas de fornecer esses dados à parte, esse é um exemplo emblemático de exagero que as autoridades podem cometer. Outro é a recente suspeita de venda de dados pessoais pelo Serpro.
O nome é autoexplicativo: trata-se de uma legislação que determina como dados de cidadãos podem ser coletados e tratados, e que prevê punições para transgressões. O próprio Senado reconhece que a proposta para o marco geral de proteção de dados — outra denominação dada à proposta — foi fortemente inspirada no GDPR, um rigoroso conjunto de regras sobre privacidade da União Europeia que entrou em vigor em maio.
Só que o assunto vem sendo discutido há muito mais tempo. O PLC 53/2018 tem como base pelo menos outras duas propostas que tramitavam na Câmara dos Deputados (PL 4060/2012 e PL 5276/2016), além de um Projeto de Lei do Senado (PLS 330/2013).
A junção desses projetos e algumas revisões fazem a Lei Geral de Proteção de Dados Pessoais, da forma como foi aprovada pelo Senado, conter dez capítulos com 65 artigos que determinam como dados pessoais podem ser coletados e tratados no Brasil, especialmente no que diz respeito aos meios digitais (mas não exclusivamente).
Note que, se não ficar claro exatamente o que é dado pessoal, a lei poderá dar margem a interpretações evasivas. Pois bem, o projeto trata como dado pessoal qualquer informação relacionada a uma pessoa que, que isoladamente ou em conjunto com outros detalhes, permite identificá-la.
Alguns exemplos de dados pessoais (mas nem de longe os únicos) são estes: nome, apelido, endereço residencial, endereço de email, endereço IP, fotos próprias, formulários cadastrais e números de documentos.
Para começar, organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento do titular. A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para quais fins e se haverá compartilhamento. Quando houver envolvimento de menores de idade, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.
Se houver mudança de finalidade ou repasse de dados a terceiros, um novo consentimento deverá ser solicitado. O usuário poderá, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados. Caso o uso das informações leve a uma decisão automatizada indesejada — recusa de financiamento por um sistema bancário, por exemplo —, o usuário poderá pedir uma revisão humana do procedimento.
Há uma categoria classificada como “dados sensíveis”. Elas dizem respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. O uso desses dados será mais restritivo. Nenhuma organização poderá fazer uso deles para fins discriminatórios. Também será necessário garantir que eles serão devidamente protegidos.
De modo geral, a ideia é proteger o cidadão do uso abusivo e indiscriminado dos seus dados. Além de pedir consentimento de maneira clara e atender às demandas do usuário sobre manutenção ou eliminação dos dados, as organizações só poderão solicitar os dados que são realmente necessários ao fim proposto. Nesse sentido, o usuário poderá questionar se a exigência de determinado dado faz sentido.
Há exceções. As regras não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos, bem como para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Esses casos deverão ser tratados por leis específicas.
Já houve casos de vazamentos de dados no Brasil em que as autoridades ou vítimas só ficaram sabendo semanas ou meses depois do incidente, a exemplo do caso Netshoes. Não poderá mais ser assim. Vazamentos ou problemas de segurança que comprometem dados pessoais deverão ser relatados às autoridades competentes em tempo hábil.
Após análise da situação, as autoridades indicarão os próximos passos, como determinar que o problema seja divulgado à imprensa.
Vai depender da gravidade da situação. Se comprovada a infração, a empresa ou organização responsável poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento, mas limitada ao valor máximo de R$ 50 milhões.
A empresa ou organização também poderá ter as atividades ligadas ao tratamento de dados total ou parcialmente suspensas, além de responder judicialmente a outras violações previstas em lei, quando for o caso.
A origem da empresa ou organização não é fator de exceção. A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro. Isso significa que, se o Google coletar dados de um usuário por aqui, mas processá-los nos Estados Unidos, por exemplo, terá que seguir a legislação brasileira.
Se necessário, a empresa poderá transferir os dados para uma filial ou sede estrangeira, com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou possa garantir mecanismos de tratamento equivalentes aos que são exigidos no Brasil.
Caso os dados não sejam mais necessários — quando uma conta ou serviço tiver sido finalizado, por exemplo —, a organização terá que apagá-los, exceto se houver obrigação legal ou outra razão justificável para a sua preservação.
O projeto prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça que deverá fiscalizar e garantir a aplicação da lei. Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil. Caberá ao grupo realizar estudos, debates e companhas referentes ao assunto.
Tanto a iniciativa privada quanto os órgãos públicos poderão ter que indicar um responsável pelo tratamento dos dados dentro da organização. Eventuais solicitações ou comunicações referentes a dados pessoais serão tratados prioritariamente com essa pessoa.
Como dito no começo do texto, o projeto ainda precisa passar por sanção do presidente Michel Temer. Após esse procedimento, haverá um prazo de 18 meses para que setores privados e públicos se adequem à lei.
A não ser que a proposta seja vetada, venha a ser revisada ou tenha o prazo ampliado por algum motivo (o que não é incomum no Brasil), é de se esperar que a lei entre em vigor no começo de 2020, portanto.
Ainda é um pouco cedo para tratar o assunto como definitivo. Muitas autoridades, juristas e especialistas em assuntos como privacidade entendem que a nova lei é mesmo necessária. Apesar disso, a proposta não está isenta de pontos polêmicos ou que precisam de mais esclarecimentos.
É o caso, por exemplo, da ANPD: a criação da entidade é vista como necessária, por outro lado, resultará em mais gastos públicos de um orçamento que já está estourado. Tudo indica que a lei deverá mesmo ser aprovada, mas um ou outro ponto ainda pode ser modificado.
Com informações: Agência Brasil, Nexo Jornal, Senado.
Comentários
Envie uma perguntaOs mais notáveis
Sem contar os que são ignorantes no caso ...
Ainda não peguei o pulo do gato, mas tem caroço neste angu. Não teríamos tantas empresas e organizações apoiando isso se não tiver alguma vantagem para elas. Afinal pq motivo eles apoiariam uma lei que pode multar eles se as regras não forem cumpridas? Além disso como tudo no Brasil, isso não vai dar certo do ponto de vista das empresas seguirem. Duvido que alguma delas vai apagar algo.
Isso é importante.
Nossa em 2020 kkkk
💕 O governo não consegue rastrear nem o dinheiro que foi roubado da Petrobrás, imagine se irão locslizar ou punir alguem que resolver vazar dados de funcionarios da Petrobrás... Esses politicos caducos são megalomaníacos e tratam o povo como gado, o fetichismo deles é subjugar o povo.
💕 O governo não consegue fiscalizar nem a entrada de metralhadoras e fuzil no Brasil, o que são objetos bemmmmm grandes e possiveis de serem identificados por detectores de metais, agora acham que vão conseguir rastrear quem vazar informações pessoais de clientes 😁
💕 💕 Mas que povo ingênuo, esses juristas não sabem o que é engenharia social? Uma informação pode vazar através de um funcionário, um tecnico que fez manutenção na maquina, um ladrão que furtar equipamentos, um hacker, etc... Quem será o culpado se uma clinica de exames for furtada e o ladrão divulgar na web o nome dos cidadãos que são portadores do HIV? E se um funcionario revoltado querer sabotar a empresa em que trabalha e sutilmente facilitar a invasão do sistema, por exemplo, desinstalando o antivirus ou executando um arquivo de computador infectado com virus? Ou seja, é mais uma lei futil que só irá gerar despesas e fazer o povo rir, tal lei se equipara a tentar multar naves extraterrestres que sobrevoar o espaço aéreo brasileiro sem pedir permissão pras autoridades.
Pra mim só fizeram essa PL pra criar mais esse cabide de empregos. Queria muito acreditar que o governo está realmente preocupado em proteger dados pessoai dos cidadãos, mas eu não consigo.
Seu português incorreto impede os outros usuários de entender direito o que você escreveu.
Sendo sincero.
O portal do senado é uma plataforma excelente para acompanhar projetos ou ver tudo de forma simples, fora que para sugerir algo é uma mão na roda (mas para o senado analisar, é necessário 20 mil apoios SIM ou NÂO).
A lei da ficha limpa não fusiona isso vai funcionar!!!... Acorda gente, estamos no Brasil, Terra sem lei, E quando fusiona é para beneficiar corruptos e quem tem mais! Mas, vamos continuar sonhando, só sei que enquanto esse país estiver funcionando com a infiltração de comunismo que é o que mais tem no STF assim será só em benefício a eles que tem grandes escritórios de advocacias como G.Mendes. E precisamos antes de uma reforma política para aprovar leis que fusione de verdade!
SPC/Serasa tornaram-se os manipuladores das informações financeiras do país e tudo com os dados que o Banco Central disponibiliza aos bancos, corretoras e financeiras, criam produtos baseados nessas informações coletadas do BC com o suposto pretexto do cadastro positivo, só que não. Fui testemunha de um amigo, servidor público estadual, em ter um financiamento de auto recusado por ter feito um acordo no saldo do cartão de crédito há quatro anos atrás, mesmo sem quaisquer restrições financeiras e o agente nos disse que com um REFIN, nunca mais se consegue crédito naquela financeira.
a partir de agora,as crianças de até 12 anos não poderá ter o proprio consentimento dos dados,só terá consentimento de dados a partir de 12 anos
Vejo que a Léi brasileira é necessária, apesar de exister a Europeia. Se ocorrer vazamento de dados de uma pessoa aqui no Brasil essa pessoa não poderá usar um Lei Europeia para processar a empresa.
A perguntar nota que nao sabemos responder é:
Quando este momento vai acabar.
Isso sem contar com os 23 cargos pra amigos(e deve ter outro pra acessórios e etc) que já é um defeito de fábrica.
É mau comum, muitas vezes o poder publico esquece de se atualizar e entender o contexto em que tudo esta acontecendo. Quando o Zuckerberg foi no senado americano, eles não faziam nem ideia como funcionava o modelo de negócios do Facebook!
Justamente.
Tudo isso que estou comentando, é muito mais sobre a GDPR...
Sobre a nossa lei aqui... nem conto com ela. Tu vai nos camelos e compra um DVD com a declaração do IR de todo povo brasileiro, e com essa lei o governo não vai multar a Receita Federal, vai continuar acontecendo. Aqui é caso perdido.
A GDPR é muito boa para nos dar respaldo contra Google, Facebook, e afins...
Nesse aspecto concordo, porém não é só isso, qualquer tipo de parceria, serviço, tudo, pode ter mais um empecilho neste requisito.
Não é bem assim. O projeto é benéfico nesse momento.
Pra mim, a grande questão é: como fiscalizar isso?
Uma coisa é ter uma lei resguardando os direitos. Outra é o consumidor saber quais dados estão ou não em poder de terceiros...
"... sob risco de perdermos mercado, qdo dados estiverem armazenados aqui.".
Com o nosso custo altíssimo de hosting acho difícil alguma empresa de fora armazenar dados/sistemas no Brasil. Eu uso uma empresa americana chamada WinHost para os sistemas dos meus clientes e mesmo com o aumento do dólar, lá custa menos de 20% do valor cobrado pelas brasileiras...
Ela ajuda o resto, as pessoas que sabem o que fazem e querem privacidade
A GDPR européia já é suficiente, está do nosso lado contra Facebook, Google e outras que usam a gente como moeda de troca.
Tanto que Google e Facebook já se adequaram a ela em nível mundial, não apenas na Europa. O Twitter é um que só aderiu para usuários europeus, pro resto segue fazendo gandaia.
No geral a gente se beneficia da GDPR, independente de legislação no Brasil.
Aqui, é fundamental ter uma própria também, sob risco de perdermos mercado, qdo dados estiverem armazenados aqui. Porém, a Resolução 4658 do BACEN já nos dá um respaldo no setor financeiro.
Em pleno 2018 eles tem que ter pelo menos 1 pessoa para consultar que entenda de redes e/ou tecnologia. E não falo de senadores, pode ser qualquer consultor mesmo.
Como vão ajustar se quem está lá não entende de tecnologia e muito menos do nosso lado ...
Sabe Oq eu pensei, estão aprovando isso só pra terem respaldo em investigações quando pedirem os dados.
Quanto a multa eu acho que deveria ser 2% para empresas pequenas e uma de 1 bilhão de dólares pra empresas gigantes.
Desnecessário criar mais 23 cabides de empregos! Que ainda por cima não vai contemplar nem profissionais da área de TI.
Deve ser a parte, pois apesar de ser empresa privada, é de interesse nacional.
E SPC/Serasa? Vão continuar coletando e distribuindo dados do povo livres dessa lei ou eles entram tbm?
Não vai dar certo. Vai acabar sendo o oposto do que pensamos.
Porque? Nao tenho nem ideia, em uns 2 ou 3 anos porém será obvio, e pensarei "como não pensei nisso antes".
O governo não entende de internet - quando tenta fazer algo ou não consegue (ver: neutralidade de rede) ou ..
é bom? é bom. Mas o tempo dirá. (ver: Operadoras não descartaram a ideia de limitar banda larga no Brasil)
É um bom começo. Como todo projeto, depois de um tempo da pra fazer um balanço e se necessário, ajustes.
Pergunta a quem entende do assunto: está bom assim ou precisa ser ainda mais restritiva?