A lei trará consequências especialmente no mundo online, uma vez que os usuários têm registros e atividades coletados e tratados diariamente não somente por plataformas digitais como Facebook e Google, mas por uma série de outras empresas sem que eles saibam. Ela também valerá no mundo "offline", como no pedido de CPF para compras em farmácias ou na hora de entrar em um prédio residencial ou comercial.
Segundo a norma, dados pessoais são informações que podem identificar alguém. Não se trata, portanto, apenas do nome. Mas um endereço ou até mesmo o nome da empregadora podem ser considerados como tal se permitirem identificar alguém quando cruzados com outros registros.
Dentro do conceito, foi criada uma categoria chamada de "dado sensível", informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Esse tipo de característica não poderá ser considerado, por exemplo, para direcionamento de anúncios publicitários sem que haja um consentimento específico e destacado do titular. Já registros médicos não poderão ser comercializados.
Mas quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Se um site de cursos online, por exemplo, comercializa aulas em português ou voltada a brasileiros, deverá cumprir as exigências da norma.
Regras
Uma empresa não poderá coletar dados para fazer o que quiser com eles, mas deverá informar a finalidade. Um site que solicite dados de idade em um cadastro sem que isso tenha a ver com o serviço prestado pode ser questionado. A coleta só poderá ocorrer em situações específicas, sendo a principal delas mediante a obtenção de autorização do titular (o chamado consentimento). A tendência, portanto, é que os usuários passem a ser perguntados mais frenquentemente se dão sua permissão. Neste momento, será importante ler o motivo da coleta para identificar se os dados solicitados têm relação com a finalidade da atividade.
Ao aceitar repassar seus dados, como ao concordar com termos e condições de um aplicativo, as empresas passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei. Entretanto, as empresas passarão a ter uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. Para citar um exemplo, quando o Facebook tomou conhecimento que os dados de 87 milhões de usuários (incluindo muitos brasileiros) haviam sido entregues à empresa britânica de marketing digital Cambridge Analytica, ele não avisou os usuários afetados.
"Antes, se uma empresa coletasse dados pessoais de clientes, não aplicasse nenhum tipo de segurança sobre esses os dados e depois sofresse algum ataque, dificilmente a empresa sofreria algum tipo de punição. Agora, a empresa terá que comprovar que tem uma estrutura de segurança preparada para assegurar a proteção dos dados e poderá receber multas caso não cumpra as regras", comenta Jeferson Propheta, diretor-geral da McAfee no Brasil, empresa de segurança digital, em entrevista à Agência Brasil.
A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse" desses. Estabelece, no entanto, que esse reúso só pode ocorrer em uma situação concreta, em serviços que beneficiem o titular e com dados "estritamente necessários", respeitando os direitos dele. Um desafio da lei será exatamente a avaliação das situações específicas nas quais uma empresa alegue o "legítimo interesse" e se o reúso respeita as exigências.
Direitos
De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por "legítimo interesse") e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).
"O usuário de mídias sociais poderá solicitar a qualquer momento o acesso aos dados pessoais mantidos pelas plataformas. Além disso, terá o direito de solicitar a uma empresa que elaborou o seu score financeiro o acesso aos dados pessoais que justificaram a determinação do seu perfil [ainda que automatizada], inclusive para solicitar a correção de qualquer dado incorreto ou inexato", afirma a advogada Vanessa Lerner, especializada em direito digital, à Agência Brasil.
O titular terá ainda direito à portabilidade de suas informações, assim como ocorre com número de telefone. A autoridade regulatória, a ser criada, deve definir no futuro como isso será feito. Mas a possibilidade de levar os dados consigo é importante para que uma pessoa possa trocar de aplicativo sem perder seus contatos, fotos ou publicações.
Crianças de até 12 anos ganharam garantias específicas na lei. A coleta fica sujeita a uma série de restrições, deve ser informada de maneira acessível para esse público e será condicionada à autorização de pelo menos um dos pais.
Autoridade regulatória
A normatização e fiscalização ficariam a cargo do que o texto aprovado no Senado chamou de Autoridade Nacional de Proteção de Dados. Contudo, os artigos que tratavam da criação da agência foram vetados pelo presidente Michel Temer, com a justificativa de que o Congresso não poderia aprovar a criação de um órgão regulatório. O governo informou que deve enviar um projeto de lei ao Congresso prevendo a implantação dessa autoridade.
Para o pesquisador Bruno Bioni, da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade, a existência da autoridade é fundamental para que ela possa aplicar os princípios previstos na lei aos casos concretos. "A lei não faz menção a uma tecnologia em específico. Por isso, será necessária a figura da autoridade para traduzir esses direitos de acordo com desafios que novas tecnologias vão colocar. Se falamos hoje em big data [coleta massiva de dados] e inteligência artificial, daqui a pouco falaremos de computação quântica", argumenta o especialista à Agência Brasil.
Para João Emílio Gonçalves, da Confederação Nacional da Indústria (CNI), a autoridade é importante desde já, e não apenas quando a lei entrar em vigor. "A criação da autoridade é fundamental. Sua função vai muito além da fiscalização e repressão. Na verdade, a agência será importante desde já, pois contribuirá para orientar as empresas e os cidadãos sobre obrigações e direitos previstos no novo regulamento", destaca.
(com Agência Brasil)