Saiba como a nova Lei de Privacidade vai afetar profissionais brasileiros

O vazamento de dados dos usuários do Facebook, que foram coletados e comercializados pela empresa Cambridge Analytica e usados para influenciar as últimas eleições nos Estados Unidos, acendeu a luz de alerta em todo o mundo. No Brasil o cenário não é muito diferente – uma empresa pública federal de processamento de dados está sendo acusada de comercializar dados pessoais. Por conta disso, o Senado acelerou a discussão da primeira lei de privacidade de dados e, em julho, aprovou o PLC 53/2018.

Acompanhando a tendência mundial de aumentar a proteção dos dados pessoais – na União Europeia a acaba de entrar em vigor a GDPR (General Protection Regulation), 18 meses após a sanção, prazo dado para que as empresas se adaptem à nova lei -, a previsão é que no Brasil a nova lei de privacidade de dados seja sancionada pelo Presidência em agosto.

A lei de privacidade de dados brasileira é bastante semelhante à aprovada na União Europeia e, por exemplo, só autoriza a coleta e tratamento de dados após o consentimento explícito do usuário, oferecendo opções de visualizar, corrigir e deletar seus dados armazenados. Outro ponto em comum é que a lei de privacidade de dados que aguarda a sanção presidencial também será aplicada a empresas com sedes estrangeiras, caso as operações de tratamento de dados sejam feitas em solo nacional. Além disso, o texto do projeto considera como dados coletados no território nacional os das pessoas que estejam no Brasil no momento da coleta, o que inclui, por exemplo, estrangeiros de férias no País.

O que são os “dados” segundo a lei

O PLC 53/2018 separa os dados em três grupos:

1. Dados pessoais – toda informação relacionada à pessoa natural identificada ou identificável
2. Nome
3. Residência
4. E-mail
5. Número de documentos
6. Dados de localização (por exemplo, função de geolocalização em um celular)
7. Endereço IP
8. Cookies
9. Identificador de publicidade do telefone
10. Dados obtidos por um hospital ou médico que permitam identificar de forma inequívoca uma pessoa
11. Dados sensíveis – dados pessoais sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de caráter religioso, filosófico ou política, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos
12. Dados anonimizados – dados pessoais relativos a um titular que não possa ser identificado, como quando o Facebook define perfis de uso, mas não identifica cada um dos usuários que fazem parte de cada grupo

Como a nova lei de privacidade de dados afetará o dia a dia da sua empresa

Em primeiro lugar, é preciso deixar claro que a nova lei inclui todo tipo de suporte: papel, eletrônico, digitalizado, som, imagem etc, impondo uma série de restrições para instituições privadas e públicas que armazenam, classificam, transmitem e mesmo comercializam dados de internautas, consumidores e usuários.

Empresas que infringirem a nova lei de privacidade de dados ficam sujeitas a advertências, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções. Para as empresas privadas ou públicas que descumprirem as regras, a proposta é  multa diária de 2% da receita, com teto de R$ 50 milhões, além da proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Para controlar o cumprimento da nova lei, o texto prevê a criação de um órgão regulador – a Autoridade Nacional de Proteção da Dados (ANPD), vinculada ao Ministério da Justiça.

Então, como as empresas devem se adequar às novas regras, principalmente no que se refere à segurança dos dados, impedindo acessos não autorizados e vazamentos? Todos os responsáveis por departamentos que armazenam dados – empregados ou clientes – devem obedecer aos seguintes princípios para o tratamento de dados pessoais:

Finalidade – uso para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades

Adequação – compatibilidade do tratamento com as finalidades informadas ao titular, segundo o contexto do tratamento

Necessidade – limitação do tratamento ao mínimo necessário para a realização das suas finalidades

Livre acesso – garantia de consulta facilitada e gratuita aos titulares, informando sobre a forma e a duração do tratamento, bem como a garantia da integralidade dos dados

Qualidade dos dados – garantia de exatidão, clareza, relevância e atualização dos dados

Transparência – garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes do tratamento, observados confidencialidade comercial e industrial

Segurança – utilização de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão

Prevenção – adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais

Não discriminação – impossibilidade de realização de tratamento para fins discriminatórios ilícitos ou abusivos

Responsabilização e prestação de contas – demonstração pelo agente da adoção de medidas eficazes e capazes para cumprir as normas de proteção de dados pessoais

Com todas essas exigências, a lei de privacidade de dados será um grande desafio para as empresas, e a melhor estratégia é começar o mais rápido possível a se adequar às novas normas. Quando falamos em guarda, gestão e destruição segura de informações e de documentos, é preciso contar com uma consultoria especializada, capaz de identificar as suas necessidades e oferecer soluções que mantenham a empresa em conformidade com a nova lei. Conte com a ajuda dos especialistas da Access e evite multas e problemas.