Conheça as principais propostas da lei de dados brasileira aprovada pelo Senado

Foi aprovada no plenário do Senado federal, nesta última terça-feira, o PLC 53/2018, que estabelece a lei de proteção de dados pessoais brasileira. Com texto na linha do GDPR que começou a valer na Europa neste ano, a legislação só precisa agora da sanção de Michel Temer para entrar em vigor. Depois da assinatura do presidente, as empresas que processam dados no Brasil terão 18 meses para se adaptar à lei. Mas você sabe o que muda com ela?
 

De forma resumida, a legislação nacional vai exigir que as companhias mudem a forma como lidam com as informações de seus usuários. Segundo a advogada especialista em direito digital Patrícia Peck, as companhias precisarão de consentimento das pessoas antes de poderem mexer com seus dados, terão que fazer de forma transparente e serão obrigadas a garantir a segurança de tudo que armazenam e processam. Reunimos abaixo alguns dos pontos principais tratados pela lei para você entender melhor o que ela significa.

Definição de dados pessoais: O texto define como dado pessoal “qualquer informação relacionada à pessoa natural identificada ou identificável”. Sobre dados sensíveis, no entanto, a lei é bem mais específica, e inclui na conta origem racial ou étnica, convicções religiosas, opiniões políticas, informações genéticas ou biométricas, entre outros pontos.

 

Consentimento dos usuários: A legislação também é precisa aqui. Consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. As empresas também precisam deixar clara a finalidade (“realização do tratamento para propósitos legítimos, específicos, explícitos e informados”) do uso dos dados e limitar o uso das informações a esse fim.
 

Transparência: O consentimento citado acima deverá vir por meio daqueles já conhecidos termos de uso, é claro. Mas a lei obriga que as empresas sejam claras em seus textos e específicas na hora de definir a finalidade do uso. “O consentimento deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais”, diz a legislação. O texto também visa garantir que o titular dos dados possa acessar facilmente as informações que as empresas têm sobre ele — e que possa revogar sem dificuldades o consentimento sobre o uso das informações.
 

Responsabilidade sobre os dados: O “titular” dos dados mencionado acima é a pessoa a que os dados se referem, como especifica a legislação. Já os responsáveis são, como explica Peck, “a pessoa física ou jurídica, de direito público ou privada que realizada decisões sobre o tratamento de dados” — basicamente, as empresas. Mas há uma divisão: o “responsável” propriamente dito decide como vai ser feito o tratamento, enquanto o “operador” realiza o tratamento dos dados. Ambos, no entanto, são responsáveis pela segurança das informações.

Segurança: Falando no tema, o artigo 46 da lei é categórico (e um pouco longo): “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado”. Isso vale para qualquer empresas que entrar no meio do tratamento e também obriga as companhias a informar abertamente (e rápido) quando houver um problema. É algo que muitas já precisam fazer pelo bem dos consumidores, mas que nem todas fazem direito. Com a lei de proteção de dados, isso deverá ser mais facilmente punível.
 

Alteração e exclusão: Além do cenário mencionado no tópico “Transparência” acima, o PLC também destaca que os usuários têm todo o direito de alterar e excluir os dados que as empresas têm sobre eles. Quer dizer, exceto em casos, como destaca Peck, como quando as informações têm fins fiscais ou é usada por estudos de órgãos de pesquisa (desde que seja garantida a anonimização, claro). O tratamento de dados pessoas também será terminado caso a finalidade seja alcançada, o período de tratamento chegue ao fim, as informações deixem ser necessárias ou o órgão regulador solicite.
 

Sanções: Quatro artigos definem as punições às empresas que descumprirem as regras, que vão de um advertência a multas diárias de até 2% do faturamento da companhia (com limite de 50 milhões de reais no total por infração). Revogação do direito de uso de dados também está na lista, assim como eliminação das informações mal utilizadas.

Órgão regulador: Por fim, a lei propõe a criação de uma Autoridade Nacional de Proteção de Dados e de um Conselho Nacional de Dados Pessoais e da Privacidade logo abaixo dela. Os dois órgãos são os que ficarão responsáveis por garantir a aplicação da legislação. O conselho diretor será composto por três membros, enquanto o nacional terá 23, divididos entre representantes do poder executivo, do Senado, da Câmara e de outras entidades.