NOVA LEI DE PROTEÇÃO DE DADOS FAZ EMPRESAS MUDAREM A FORMA COMO TRATAM DADOS DE CLIENTES
No último dia 14 de agosto, a Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo presidente Michel Temer. Ela estabelece regras para coleta e tratamento de informações de indivíduos por empresas e instituições públicas. O objetivo é garantir a segurança dos dados pessoais dos clientes e punir as empresas que não têm proteção adequada ou fazem mau uso dessas informações. A nova lei exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados. Ela também proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva.
COMO A LEI AFETA AS EMPRESAS?
Para Luis Fernando Prado Chaves, coordenador de Privacidade e Proteção de Dados no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados, professor de Direito Digital, Privacidade e Proteção de Dados, essa é uma Lei que traz ao mundo do direito a importância que os dados pessoais já possuem para a economia digital, onde são considerados o novo petróleo. "Por ser uma lei geral, ela afeta todas as esfera do mercado. Sua aplicação não é limitada a situações de relação de consumo, mas sim abrange relações trabalhistas e comerciais, afetando inclusive negócios que não possuem interação com o consumidor ou usuário final."
Agora, com a lei, serão impactadas todas as empresas que coletam qualquer tipo de dados pessoais. E por dado pessoal entende-se qualquer informação que permita a identificação de um indivíduo como: nome, sobrenome, endereço, telefone, e-mail, número de documento, número de cartão de crédito, informações bancárias, dados médicos, etc. A lei engloba também os dados de localização, endereços de IP e cookies. "Ou seja, qualquer empresa que tenha um site que use cookies para armazenar informações de usuários também terá que cumprir a lei", comenta Jeferson Propheta, diretor geral da McAfee no Brasil, reforçando, que com a nova lei as empresas passam a ser responsáveis pela segurança de todos esses dados que coleta, transmite, processa e armazena. "A empresa terá que provar, por meio de relatórios, que tem uma estrutura de segurança preparada para assegurar a proteção dos dados, onde quer que eles estejam armazenados. Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber sanções."
O executivo resalta, entretanto, que o processo de adaptação é mais complexo do que aparenta. Para atender às exigências de segurança da lei, Propheta detalha que não basta comprar e instalar novas soluções e esperar que elas resolvam tudo sozinhas. "A segurança envolve mais do que produtos, ela depende de tecnologias, processos e pessoas. As soluções são necessárias, a integração entre elas também, mas os processos e as pessoas não são menos importantes. Se os processos não estiverem bem alinhados e as pessoas não forem capacitadas, a tecnologia sozinha não irá funcionar", acrescenta.
NOVAS REGRAS
A LGPD considera dados pessoais a informação relacionada a uma pessoa que seja "identificada" ou "identificável". Ou seja, a lei regula também aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo), mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo). Foi criada uma categoria especial, denominada dados "sensíveis", que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).
A lei abrange também as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Assim, por exemplo, por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras. Também é permitida a transferência internacional de dados (como no exemplo citado), desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.
Para coletar e tratar um dado, uma empresa precisa solicitar o consentimento do titular, que deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar. Outra obrigação das empresas é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.
Fonte: JusBrasil.
Foto: Google Images.