O Brasil está perto de dar um grande passo em direção à proteção dos dados dos consumidores. O projeto de lei da Câmara número 53/2018 (PLC 53/2018) define as situações em que dados de clientes podem ser coletados e tratados tanto por empresas quanto pelo poder público. Se a privacidade do consumidor não for respeitada, a multa pode chegar a R$ 50 milhões.
O texto foi aprovado por unanimidade no Senado, com o mesmo conteúdo que já havia sido aprovado na Câmara dos Deputados, no fim de maio, e agora vai para a sanção do presidente Michel Temer (MDB).
O relatório do deputado Orlando Silva (PCdoB-SP) propõe a criação da Autoridade Nacional de Proteção de Dados, que ficará responsável pela edição de normas complementares e pela fiscalização das obrigações previstas na lei.
Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos. Pode também fazer uma auditoria, em que se verifique no local da empresa se o manejo dos dados está sendo realizado corretamente.
Se constatar alguma irregularidade em qualquer atividade de tratamento, a autoridade pode aplicar uma série de sanções, entre as quais está prevista multa de até 2% do faturamento da empresa envolvida, com limite de até R$ 50 milhões, o bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.
O projeto também institui o Conselho Nacional de Proteção de Dados, formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas. O colegiado tem como atribuições propor diretrizes estratégicas sobre o tema e auxiliar a autoridade nacional.
O PLC 53 considera dados pessoais a informação relacionada a uma pessoa que seja “identificada” ou “identificável”. Ou seja, o projeto de lei regula também aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo) mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo).
Foi criada uma categoria especial, denominada dados “sensíveis”, que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa.
"Muitas dessas informações sobre a gente não são conhecidas por pessoas, mas por máquinas e computadores, que a partir dessa informação vão tirar conclusões sobre a gente, e eventualmente definir que não somos elegíveis para uma promoção comercial, para adquirir um plano saúde ou, no caso de alguns países, para adquirir um visto de entrada", explica o advogado e especialista em proteção de dados pessoais, Danilo Doneda, professor da Universidade do Estado do Rio de Janeiro (UERJ) e do Instituto de Direito Público de Brasília (IDP).
Segundo Doneda, caso o tratamento de dados pessoais e realizado por algorítimos de computador resulte em uma decisão que possa ser considerada discriminatória por um cidadão, como a negativa de um empréstimo, a pessoa pode pedir a revisão disso por um humano. "Há uma engenharia na lei de tentar fornecer instrumentos para contestar isso. Decisões automatizadas podem ser contestadas, pode pedir uma revisão por humanos para corrigir discriminação que eventualmente se revele um abuso", aponta.
Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).
Cidadania
O projeto de lei abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui.
Assim, por exemplo, por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras. Também é permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.
Para Danilo Doneda, a lei vai muito além de uma questão de proteção da privacidade e da intimidade das pessoas, mas se refere à própria garantia do exercício democrático da cidadania. "A proteção de dados nasceu na Europa não por uma questão de proteger a privacidade, mas por causa do controle social. As primeiras leis nasceram a partir de uma ojeriza social a governos totalitários que usavam dados pessoais para fichas os cidadãos. Isso gerou anticorpos no sistema social europeu".
Outra obrigação das empresas incluída na legislação é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.
Créditos: Brasil de Fato