Como a Lei Geral de Proteção de Dados vai impactar as empresas brasileiras

• 0

Você já chegou a se perguntar o motivo de atendentes de lojas ou recepcionistas de consultórios sempre pedirem para o cliente preencher um cadastro com diversas informações? Pedem CPF, data de aniversário, telefone ou endereço. Às vezes, pedem até foto e impressão digital, dentre outros dados.

Muitas vezes, a informação solicitada nada tem a ver com o serviço prestado ou com a compra realizada. Por que a loja precisaria saber o seu nível de escolaridade, por exemplo, afinal? Fica a dúvida se eles realmente precisam dessas informações ou o que farão com elas, especialmente com aquelas que nada afetam a prestação pretendida. 

A resposta protocolar é sempre a mesma: é o sistema que pede. Ficamos reféns do sistema para fazer uma compra, entrar em um prédio ou passar em consulta. Isso, entretanto, vai mudar.

No dia 10 de julho de 2018 foi aprovado, pelo Senado Federal, o Projeto de Lei da Câmara (PLC) 53/2018, que cria a Lei Geral de Proteção de Dados. A legislação protege dados pessoais e altera a Lei nº 12.965/2014, conhecida como Marco Civil da Internet.

Confira: O que muda para os brasileiros com a Lei Geral de Proteção de Dados

O PLC 53/2018 é originário da Câmara dos Deputados e foi votado às pressas, em decorrência do vazamento de dados dos usuários do Facebook coletados pela Cambridge Analytica e usados nas últimas eleições norte-americanas, bem como da entrada em vigor do General Data Protection Regulation (GDPR), o Regulamento Geral de Proteção de Dados da União Europeia. O texto aguarda, agora, sanção do presidente da República. Se sancionada, a lei entrará em vigor decorridos 18 meses de sua publicação oficial. 

A Lei de Proteção de Dados Pessoais impactará todos os negócios, no Brasil, que coletam dados pessoais de pessoas físicas. Se, em razão do seu negócio, você costuma coletar dados como nome completo, CPF, e-mail, endereço residencial, dados de localização, endereço de IP, dados de cartão de crédito, ou quaisquer outras informações que permitam individualizar uma pessoa ou qualquer dado relacionada à pessoa natural identificada ou identificável, terá de cumprir a Lei de Proteção de Dados Pessoais. 

Essas informações são consideradas dados pessoais para os fins de aplicação da lei. Poderão ser igualmente considerados dados pessoais aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada. 

Assim, antes de coletar quaisquer desses dados, você deverá informar, de forma clara e transparente, ao indivíduo quais dados serão coletados e qual é a finalidade de uso. Deve haver uma relação entre os dados coletados e os serviços prestados, para que o indivíduo possa manifestar, por escrito, seu consentimento sobre o uso. Esse consentimento deve se referir a finalidades determinadas e claramente especificadas, sendo consideradas nulas as autorizações genéricas para o tratamento de dados pessoais. 

Leia também: Você aceitou os termos de uso do Facebook? Eles não são absolutos

O titular dos dados pessoais coletados pode revogar ou cancelar seu consentimento a qualquer tempo, mediante manifestação por escrito, devendo a ele ser disponibilizado procedimento gratuito e facilitado para manifestar essa revogação. 

Em caso de violação às determinações da legislação, o violador, além de sujeitar-se às sanções de leis específicas eventualmente aplicáveis, como o Código de Defesa do Consumidor (CDC), também deve cumprir penalidades administrativas aplicadas pela Autoridade Nacional de Proteção de Dados e, ainda, reparar os danos causados. 

O responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. 

Em caso de infração, as penalidades podem ser multas elevadas. Variam de: até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração; bloqueio ou eliminação de dados pessoais a que se refere a infração até a sua regularização; suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período até a regularização da atividade de tratamento pelo responsável; suspensão do exercício de atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogáveis por igual período; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Veja: Suprema Corte dos EUA toma decisão histórica sobre monitoramento de dados

Com a entrada em vigor da Lei de Proteção de Dados Pessoais e em virtude das penalidades pesadas, será preciso adequar sua política de privacidade a uma série de exigências legais com relação ao tratamento dos dados, à finalidade dos usos dos dados e à duração do tratamento, além de garantir mecanismos ao indivíduo para acessar seus dados, corrigir dados, revogar consentimento, portabilidade de dados etc. 

Não bastará, apenas, mudar a política de privacidade em seu site. É importante, na prática, adotar medidas compatíveis com a legislação, na medida em que ela se aplica a qualquer tipo de coleta de dados pessoais e não meramente à coleta em meios digitais. 

*Flávia Amaral e Nuno Gonçalves Correia dos Santos são advogados da Área de Propriedade Intelectual de Chiarottino e Nicoletti Advogados.