O assunto da segurança da informação passou a figurar nos noticiários. Casos de grande repercussão, como a interferência nas eleições nos EUA e no Brexit se tornaram referência de uso de dados pessoais. Diante desse cenário, houve movimentação de grupos organizados para que houvesse uma regulação de determinadas condutas. Seguindo essa tendência mundial, o Brasil criou o Marco Civil da Internet.
No entanto, a lei não resolveu todos os problemas. Especificamente, não trouxe disposições específicas sobre proteção de privacidade e segurança da informação. O padrão de “boas práticas” do mercado não foi suficiente. Diante dessa realidade, após a edição da norma europeia sobre a proteção de dados (GDPR), o Brasil editou a Lei Geral de Proteção de Dados (LGPD).
Amplamente divulgada nos últimos tempos, trouxemos 4 pontos fundamentais para você compreender melhor a lei, especialmente as últimas mudanças.
Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados (LGPD) traz regras sobre o tratamento de informações pessoais pelo governo e pelo setor privado, além dos direitos dos cidadãos sobre seus próprios dados. Antes de seu advento, as normas se encontravam dispersas no Código de Defesa do Consumidor, na Lei do Cadastro Positivo e no Marco Civil da Internet.
Ao centralizar as regras, a LGPD dá ao cidadão controle sobre seus próprios dados. Dentre os princípios de privacidade e proteção de dados que guiam qualquer atividade pertinente a coleta ou uso de dados pessoais no Brasil, estão:
- Finalidade: o dado só deve ser utilizado para o propósito previamente informado por quem coletou);
- Consentimento: o usuário deve consentir com a coleta e com o uso do dado;
- Transparência: o titular deve saber tudo o que acontece com o dado.
Qualquer empresa ou repartição pública que possui banco de dados com informações pessoais (nome, e-mail, CPF, data de nascimento etc.) deve se adequar ao que a Lei Geral de Proteção de Dados diz.
Segurança da informação
A Lei Geral de Proteção de Dados Pessoais (LGPD) tem o objetivo de proteger os dados individuais. Com grande foco em privacidade, ela também disciplinou a questão de segurança da informação. Como assim? Basicamente, tornou a proteção dos dados armazenados uma obrigação específica, com finalidade em si mesma. Não é somente um meio de proteger os usuários.
Isso fica claro no artigo 6 (princípios básicos da utilização e tratamento de dados). O inciso VII prevê a segurança de dados como um de seus pilares: “VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
No artigo 52, VIII também há a demonstração da preocupação da segurança, que será um dos elementos considerados pela Autoridade Nacional de Proteção de Dados em caso de sanção administrativa. Um eventual pena será calculada com base em fatores, como a “adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados”.
Dessa forma, o tema de segurança da informação se tornou regulado pela LGPD, o que também vai ao encontro da legislação internacional. Sendo uma obrigação jurídica própria, com multas e penalidades específicas, o mercado se torna mais zeloso e criterioso com os dados que possui.
Efeitos da LGPD
Um dos efeitos da Lei Geral de Proteção de Dados pouco abordados é o empoderamento do cidadão sobre seus próprios dados.
Para se ter uma ideia, atualmente, um banco de dados determina o que você lê nas redes sociais ou o valor do plano de saúde. É também ele que aponta se alguém é elegível para um programa social ou se receberá crédito no banco. Em outras palavras, os dados projetam como um indivíduo é visto no mundo, são parte integrante das pessoas.
Com a lei, a pessoa poderá pontuar que determinada coleta de dados não é necessária. Há a definição de dados sensíveis, que devem receber tratamento diferenciado por terem potencial de causar dano ao titular. São os dados sobre sexualidade, raça, etnia, biometria, dados genéricos e outros.
Mas, independentemente de ser ou não um dado sensível, é preciso ter consentimento do titular para que haja coleta, uso ou transferências das informações de um cidadão. E mais. O indivíduo pode revogar o consentimento, exigir a exclusão dos dados ou sua portabilidade quando quiser.
Segurança jurídica
Outro efeito positivo que pode ser notado diz respeito aos setores público e privado. A Lei Geral de Proteção de Dados confere segurança jurídica ao fomentar a criação de estruturas internas responsáveis pelas atividades de tratamento de dados. É possível que as empresas desenvolvam políticas internas mais fortes sobre o processamento de dados pessoais dos seus clientes. Relatórios de análises de risco também serão comuns.
Já no setor público, que trabalha dados da população para prestação de serviços e formulação de políticas, a lei submete as entidades da administração pública às mesmas regras. Em outras palavras, será preciso adotar boas práticas de segurança e proteção de dados pessoais. Elas deverão, por exemplo, excluir dados pessoais após o cumprimento da finalidade para a qual foram coletados, indicar publicamente o responsável sobre o assunto (“encarregado”).
Um ponto que merece destaque é a criação da ANPD (Autoridade Nacional de Dados Pessoais) e do Conselho Nacional de Proteção de Dados Pessoais (órgão multisetorial que acompanhará o trabalho da ANPD, com estudos opiniões técnicas e diretrizes para a política de dados no país).
Criação da Autoridade Nacional de Dados Pessoais
Uma importante criação da Lei Geral de Proteção de Dados foi a Autoridade Nacional de Dados Pessoais. No entanto, a versão mais completa da lei foi aprovada em julho de 2019, apesar de a sanção original ter ocorrido em agosto de 2018, pelo então presidente Michel Temer.
Isso porque a decisão sobre a criação da ANPD foi adiada. Muitos debates ocorreram até que uma nova forma fosse proposta pelo Congresso. A ideia dos parlamentares era garantir que a ANPD tivesse autonomia e independência para agir livremente.
No entanto, o presidente Jair Bolsonaro aprovou a lei com 9 vetos que podem gerar consequências negativas à lei e à ANPD. Para estudiosos do tema, os vetos enfraquecem a Autoridade Nacional, que não conseguirá aplicar, na prática, a lei. Em outras palavras, se a autoridade não consegue resolver conflitos por falta de capacidade institucional, ocorrerá uma judicialização exagerada. Ou seja, a prometida segurança jurídica cai por terra.
Os vetos ainda devem ser validados pelo Congresso, porém.
Vetos presidenciais ao texto
Dentre os pontos que foram objeto de vetos do presidente Jair Bolsonaro, estão a decisão automatizada, a Lei de Acesso à Informação, o perfil do encarregado, as sanções e as taxas.
Quanto à decisão automatizada, o texto anterior dizia que o cidadão pode solicitar a revisão humana sobre decisões automatizadas das quais discorde do resultado. Com o veto, o direito se mantém, mas ela não precisa ser feita por um humano. É um entendimento contrário ao resto do mundo, que caminha para maior transparência e ênfase ao fator humano nas decisões automatizadas.
Estudiosos apontam que o veto pode colaborar para a reprodução de preconceitos discriminatórios, já que as decisões automatizadas se baseiam em processos algorítmicos provenientes de um pessoa, e a sociedade ainda vive preconceitos contra a diversidade e práticas de segregação.
Outro ponto derrubado pelo presidente é a proibição do poder público de transferir a órgãos públicos e privados dados de pessoas que solicitaram informações por meio da Lei de Acesso à Informação (LAI). Na visão de especialistas, a permissão pode servir como um desincentivo ao uso da lei, porque a LAI tenta evitar que o cidadão que exerce o direito de acesso à informação seja perseguido.
Sobre o perfil do encarregado, o texto anterior apontava que ele deveria ter conhecimento jurídico regulatório sobre privacidade e dados pessoais. O presidente derrubou tal exigência por achar que gerava um “rigor excessivo que se reflete na interferência desnecessária por parte do Estado”. No entanto, a liberdade de formação para a função pode acarretar prejuízos quanto à eficiência.
Acerca das sanções, Bolsonaro tirou o poder de fogo da ANPD, pois excluiu da lei a possibilidade de punição com paralisação ou interrupção de atividades de tratamento de dados de um órgão. Por outro lado, os vetos que afetam a capacidade de punição da ANPD foram bem vistos pelas empresas do setor de tecnologia, que podem sofrer advertências e multas de no máximo R$ 50 milhões (considerado baixo).
Por fim, Bolsonaro vetou as taxas por serviços prestados a órgãos públicos e privados que seria cobradas pela ANPD. Agora, sua única fonte de receita será o orçamento da União.
A Lei Geral de Proteção de Dados entrará em vigor em agosto de 2020. Os setores público e privado terão alguma tempo para se ajustarem ao novo contexto regulatório de proteção aos dados pessoais. Qualquer empresa que atuar com o tratamento de dados deverá ter especial atenção à nova lei e aos possíveis desdobramentos dos vetos do Presidente.