O vazamento de dados dos usuários do Facebook, que foram coletados e comercializados pela empresa Cambridge Analytica e usados para influenciar as últimas eleições nos Estados Unidos, acendeu a luz de alerta em todo o mundo. No Brasil o cenário não é muito diferente – uma empresa pública federal de processamento de dados está sendo acusada de comercializar dados pessoais. Por conta disso, o Senado acelerou a discussão da primeira lei de privacidade de dados e, em julho, aprovou o PLC 53/2018.
Acompanhando a tendência mundial de aumentar a proteção dos dados pessoais – na União Europeia a acaba de entrar em vigor a GDPR (General Protection Regulation), 18 meses após a sanção, prazo dado para que as empresas se adaptem à nova lei -, a previsão é que no Brasil a nova lei de privacidade de dados seja sancionada pelo Presidência em agosto.
A lei de privacidade de dados brasileira é bastante semelhante à aprovada na União Europeia e, por exemplo, só autoriza a coleta e tratamento de dados após o consentimento explícito do usuário, oferecendo opções de visualizar, corrigir e deletar seus dados armazenados. Outro ponto em comum é que a lei de privacidade de dados que aguarda a sanção presidencial também será aplicada a empresas com sedes estrangeiras, caso as operações de tratamento de dados sejam feitas em solo nacional. Além disso, o texto do projeto considera como dados coletados no território nacional os das pessoas que estejam no Brasil no momento da coleta, o que inclui, por exemplo, estrangeiros de férias no País.
O que são os “dados” segundo a lei
O PLC 53/2018 separa os dados em três grupos:
- Dados pessoais – toda informação relacionada à pessoa natural identificada ou identificável
- Nome
- Residência
- Número de documentos
- Dados de localização (por exemplo, função de geolocalização em um celular)
- Endereço IP
- Cookies
- Identificador de publicidade do telefone
- Dados obtidos por um hospital ou médico que permitam identificar de forma inequívoca uma pessoa
- Dados sensíveis – dados pessoais sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de caráter religioso, filosófico ou política, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos
- Dados anonimizados – dados pessoais relativos a um titular que não possa ser identificado, como quando o Facebook define perfis de uso, mas não identifica cada um dos usuários que fazem parte de cada grupo
Como a nova lei de privacidade de dados afetará o dia a dia da sua empresa
Em primeiro lugar, é preciso deixar claro que a nova lei inclui todo tipo de suporte: papel, eletrônico, digitalizado, som, imagem etc, impondo uma série de restrições para instituições privadas e públicas que armazenam, classificam, transmitem e mesmo comercializam dados de internautas, consumidores e usuários.
Empresas que infringirem a nova lei de privacidade de dados ficam sujeitas a advertências, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções. Para as empresas privadas ou públicas que descumprirem as regras, a proposta é multa diária de 2% da receita, com teto de R$ 50 milhões, além da proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Para controlar o cumprimento da nova lei, o texto prevê a criação de um órgão regulador – a Autoridade Nacional de Proteção da Dados (ANPD), vinculada ao Ministério da Justiça.
Então, como as empresas devem se adequar às novas regras, principalmente no que se refere à segurança dos dados, impedindo acessos não autorizados e vazamentos? Todos os responsáveis por departamentos que armazenam dados – empregados ou clientes – devem obedecer aos seguintes princípios para o tratamento de dados pessoais:
Finalidade – uso para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
Adequação – compatibilidade do tratamento com as finalidades informadas ao titular, segundo o contexto do tratamento
Necessidade – limitação do tratamento ao mínimo necessário para a realização das suas finalidades
Livre acesso – garantia de consulta facilitada e gratuita aos titulares, informando sobre a forma e a duração do tratamento, bem como a garantia da integralidade dos dados
Qualidade dos dados – garantia de exatidão, clareza, relevância e atualização dos dados
Transparência – garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes do tratamento, observados confidencialidade comercial e industrial
Segurança – utilização de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão
Prevenção – adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
Não discriminação – impossibilidade de realização de tratamento para fins discriminatórios ilícitos ou abusivos
Responsabilização e prestação de contas – demonstração pelo agente da adoção de medidas eficazes e capazes para cumprir as normas de proteção de dados pessoais
Com todas essas exigências, a lei de privacidade de dados será um grande desafio para as empresas, e a melhor estratégia é começar o mais rápido possível a se adequar às novas normas. Quando falamos em guarda, gestão e destruição segura de informações e de documentos, é preciso contar com uma consultoria especializada, capaz de identificar as suas necessidades e oferecer soluções que mantenham a empresa em conformidade com a nova lei. Conte com a ajuda dos especialistas da Access e evite multas e problemas.
