Lei de Proteção de Dados Pessoais

Lei de Proteção de Dados Pessoais

O vazamento de dados e informações de usuários por empresas de tecnologias tem gerado preocupação com a segurança e o sigilo de dados pessoais. O seu auge desses vazamentos foi atingido quando o escândalo da Cambridge Analytica deflagrou-se, expondo o uso de informações de mais de 87 milhões de usuários do Facebook pela empresa, para inúmeros fins alheios à sua atividade principal. Os usuários da rede foram negativamente surpreendidos com a notícia que suas informações eram objetos de comercialização para diversas entidades, inclusive com fins políticos.

Seguindo o modelo da União Europeia que criou o Regulamento Geral de Proteção de Dados – GDPR (que entrou em vigor em 25 de maio de 2018), foi aprovada a Lei 13.709/2018, que define a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais.

Disponível em: SGS Empresa. Acesso em: 12/08/2018

A nova lei sancionada em 14/08/2018 é oriunda dos projetos PL 4060/12 e PL 5276/16. O primeiro foi apresentado pelo deputado Milton Monti (PR-SP), que ouviu especialistas para elaborá-lo e o segundo foi enviado pelo então governo Dilma Rousseff sobre o assunto, que foi elaborado pelo Ministério da Justiça a partir de contribuições da sociedade. A versão aprovada pela Câmara, em maio, e pelo Senado, em julho, foi preparada pelo relator do texto, o deputado Orlando Silva (PCdoB-SP).

O referido Projeto de Lei, instituído com o objetivo de dispor sobre a proteção de dados pessoais, alterou a Lei Federal n. 12.965/2014 (marco civil da internet), criada um biênio atrás para estabelecer “princípios, garantias, direitos e deveres para o uso da Internet no Brasil”.

Em seu art. 1º vemos que A Lei de Proteção de Dados dispõe sobre o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

A lei define como “dado pessoal” passível de proteção, aquele que possa identificar diretamente uma pessoal ou até mesmo ser considerado “identificável”, ou seja, sozinho não define quem seja, mas que em conjunto com outras informações possa distinguir do usuário detentor das informações.

Eis algumas mudanças introduzidas pela lei que merecem atenção das empresas: dados pessoais podem ser coletados e tratados com o consentimento do usuário; os titulares dos dados podem solicitar o acesso às informações e exclusão a qualquer momento; encerrada a relação entre o usuário e a empresa, os dados deverão ser excluídos; as empresas deverão aplicar medidas de prevenção e proteção à segurança dos dados que manuseia, como a encriptação das informações; eventuais vazamentos de dados deverão ser comunicados imediatamente; as empresas serão responsabilizadas caso os dados sejam vazados ou até mesmo com falhas na segurança das informações; aplicação de sanções, como multas, no caso do descumprimento das regras.

O consentimento é um importante fator trazido pela lei, segundo a qual uma empresa, para realizar uma operação com dados pessoais, deve obter o consentimento do titular das informações pessoais. Esse consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular dos dados. No primeiro caso, deve ser feita uma cláusula destacada das demais cláusulas contratuais e com as suas finalidades específicas, inclusive nos casos de necessidade de comunicação ou compartilhamento das informações com terceiros. Autorizações genéricas são nulas e é proibido qualquer tipo de tratamento de dados pessoais com falhas no consentimento. É possível alterar a forma de tratamento dos dados, desde que essa mudança seja informada ao titular, com destaque no texto da mudança, podendo o titular revogá-lo caso discorde das novas condições. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.

 

Tratamento dos Dados Pessoais

Tratamento de dados inclui toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O art. 6º define os princípios que devem ser observados para o tratamento de dados pessoais, tais como:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com 7 abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais;

V – qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

X – responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia das medidas.”

Disponível em: Profissional de E-Commerce. Acesso em: 12/08/2018.

A lei trata ainda dos dados pessoais sensíveis. São os que tratam de origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.

Essas informações só poderão ser coletadas ou compartilhadas sem o consentimento do titular em situações específicas, como o cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; e tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

 

Penalidades

O tratamento de dados deve ocorrer de forma transparente e respeitando os direitos de privacidade, liberdade e intimidade dos envolvidos. Em caso de descumprimento da Lei, o infrator poderá sofrer penalidades, tais como: advertência; multa simples de até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere à infração até a sua regularização; e eliminação dos dados pessoais a que se refere à infração.

 

Ciência PolíticaPolíticas PúblicasCiência, Tecnologia & Inovação → Lei de Proteção de Dados Pessoais