Depois de oito anos de discussão, a Lei Geral de Proteção de Dados (LGPD) foi aprovada pelo Senado brasileiro e encaminhada para a sanção presidencial nesta semana. A LGPD é um conjunto de regras que vai nortear todo e qualquer mercado que lide com dados de cidadãos brasileiros, não apenas online. A inspiração é na europeia Regulação de Proteção de Dados Gerais (GDPR), que entrou em vigor no último dia 25 de maio e já causou as primeiras mudanças no mercado. “A base é praticamente uma tradução das regras europeias. Então, por isso, é um resultado uníssono. A Europa é uma experiência rica nessa área, tem uma base de regulação mais antiga”, explica Juliana Abrusio, professora de direito digital da Universidade Presbiteriana Mackenzie.
LEIA MAIS: Atualização geral: o que mudou nos Termos de Uso das redes
A partir da assinatura do presidente, Michel Temer, o mercado tem o prazo de 18 meses para fazer as adaptações necessárias. Na avaliação de Juliana, as regras têm a missão de criar uma cultura de proteção de dados no Brasil. “Estudei na Europa em 2004 e só se falava nisso, enquanto aqui nem sequer era assunto ainda. Demorou para chegar ao Brasil, mas chegou. Aqui, o usuário ainda não tem a noção de que seus dados podem e devem ser protegidos, não há essa ideia de ‘abuso’ por parte de algumas empresas e de que é preciso haver limites”, completa a professora. Já existiam algumas regras, esparsas, no Código de Defesa do Consumidor e no Marco Regulatório, mas agora elas estão concentradas em um só documento.
A LGPD deixa espaço para algumas discussões futuras, especialmente em relação a quem vai fiscalizar e punir as empresas que não respeitarem as regras dispostas. No texto, existe apenas a previsão de um órgão regulador subsidiado pelo Ministério da Justiça, com verba garantida pelo pagamento das multas que aplicar. Mas existe uma expectativa de veto por parte de Temer da criação da ANPD (Autoridade Nacional de Proteção de Dados), já que o Legislativo não tem poderes para criar um novo órgão que dependa de orçamento da União. A advogada Flavia Penido, também da área de direito digital, afirma que tem receio de que um órgão que seja apenas consultivo não tenha condições de fiscalizar a aplicação da lei: “É muito preocupante a ideia de vetar a criação da Autoridade de Proteção de Dados Pessoais, pois a lei corre o risco de perder sua aplicabilidade caso não tenhamos um órgão regulador atuante e eficaz que exija o cumprimento da legislação. Já vemos isso ocorrer com as agências reguladoras de planos de saúde e telecomunicações, por exemplo”, explica, ao lembrar multas não pagas ou perdoadas nessas duas áreas.
Flavia cita outro exemplo em que as novas regras serão difíceis de serem aplicadas: “A lei reitera inúmeras vezes a necessidade de obter consentimento expresso, em destaque nos termos de uso e política de privacidade, para o tratamento de dados. Resta saber como isso ocorrerá naqueles casos já conhecidos, por exemplo, das farmácias. Como será obtido o consentimento, se é que ele será obtido?”. Hoje, diversas redes de farmácias pedem o CPF do comprador com o argumento de “verificar e dar descontos”.
7 problemas das redes sociais na vida dos jovens
Veja abaixo cinco principais pontos do texto, segundo Juliana Abrusio:
-
iStock Aplicação extraterritorial
Aplica-se também a empresas que não possuem sede no Brasil, mas lidam com dados de cidadãos brasileiros. -
iStock DPO (Data Protection Officer)
Toda empresa responsável por tratamento de dados deverá nomear um encarregado da proteção de informações pessoais. -
iStock Direitos dos titulares de dados
Titulares de dados terão amplos direitos, como informação, acesso, retificação, cancelamento, oposição e portabilidade, entre outros. -
iStock Princípios de proteção de dados
São 10 no total, incluindo o de demonstrar as medidas adotadas para o cumprimento da lei (espécie de prestação de contas). -
Anúncio publicitário -
iStock Escopo de aplicação
Afeta qualquer atividade que envolva utilização de dados pessoais, não apenas na internet. Isso inclui relações trabalhistas, com consumidores, relações B2B que lidem com dados pessoais de parceiros ou representantes etc.
Aplicação extraterritorial
Aplica-se também a empresas que não possuem sede no Brasil, mas lidam com dados de cidadãos brasileiros.