Você tem ideia de para quantas empresas informou, no último ano, seu número de CPF, identidade, endereço, celular? Mais do que isso, saberia dizer que uso essas companhias fazem dessas informações? A partir de agosto do ano que vem, quando entra em vigor a Lei Geral de Proteção de Dados (LGPD), as empresas só poderão coletar tais informações — os chamados dados pessoais — se o consumidor consentir. Para isso, terão que explicar o que farão com os dados e com quem vão compartilhá-los.
Chamados por especialistas de “o novo petróleo”, pelo potencial de enriquecimento de quem tem o seu controle, os dados pessoais vêm sendo usados e compartilhados por empresas para fins como publicidade e desenvolvimento de produtos e serviços. A exigência de transparência e proteção de dados é global.
Para se ter uma ideia, em julho, o Facebook pagou uma multa recorde de US$ 5 bilhões, nos EUA, para encerrar as investigações sobre o vazamento de dados de seus usuários para a consultoria política britânica Cambridge Analytics. Em janeiro, o Google foi multado em € 50 milhões por não informar adequadamente o uso que faz dos dados coletados de seus usuários.
Além de transparência, a nova legislação exigirá das empresas que garantam maior proteção aos bancos de dados, sob pena de punição que vai de advertência a multa de até R$ 50 milhões, caso as informações dos clientes sejam postas em risco. Tudo isso exigirá investimento financeiro e mudança de cultura das companhias.
Claudio Roberto Barbosa, sócio sênior do Kasznar Leonardos, escritório especializado em propriedade intelectual, explica que as companhias só poderão guardar os dados estritamente necessários de seus clientes, e sob condição de ter uma finalidade clara para esse armazenamento. Além disso, as pessoas que desejarem ser “esquecidas” por uma organização terão esse direito.
Diferencial competitivo
A regularização envolve um mapeamento dos dados pessoais a que a empresa tem acesso, a verificação de como essa informação é armazenada e de quem tem acesso a ela. Esse processo terá que ser feito por todas as organizações independentemente do porte.
— O trabalho de adequação é enorme. Leva de seis a sete meses — explicou Barbosa.
Enquanto um projeto de lei tenta adiar por dois anos a entra da lei em vigor, muitas empresas apostam na mudança do tratamento de dados como um diferencial.
— Muitas empresas estão agilizando sua adaptação. Acreditam que mostrar respeito ao consumidor e transparência vai ser um diferencial competitivo. É preciso também um trabalho de educação com o cidadão para que ele não se sinta coagido a prestar informações — diz o advogado Rafael Zanatta, coordenador de pesquisas da Data Privacy Brasil, empresa de formação e pesquisa em tecnologia.
Para Nilson Vianna, diretor da PwC — empresa de consultoria e auditoria —, atrasar a entrada em vigor da LGPD pode significar um enorme prejuízo:
— Isso porque proteger dados é uma questão prioritária globalmente.
Segundo Zanatta, pesquisa recente, feita nos EUA, aponta que 70% dos americanos estão preocupados com o que as empresas fazem com os seus dados. Não à toa, o país começa a discutir uma lei nacional de proteção de dados. O projeto em debate nos EUA é inspirado, assim como a lei brasileira, na legislação europeia em vigor desde o ano passado.
O médico Ricardo Ramos, presidente da Aliança para a Saúde Populacional (Asap) chama atenção para o fato de que é preciso proteger os dados, mas ao mesmo tempo garantir o progressos dos serviços de facilidades que agreguem valor à vida das pessoas.
— No caso da saúde, especificamente, são dados sensíveis, que precisam de um tratamento cauteloso. É preciso que se tenha consciência dos prós e contras envolvidos ao consentir a coleta. [Foto de capa: André Mello]
Tira-dúvidas sobre a lei
O que é dado pessoal? Informação relacionada a pessoa natural identificada ou identificável, como nome, RG, e-mail, CPF.
O que é dado sensível? Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biometria, quando vinculado a pessoa natural.
O que é dado anonimizado? Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, a menos que o processo de anonimização possa ser revertido.
O que não pode?
Usar para outro fim – Uma empresa que recebe currículos para uma vaga de emprego não pode usar esses dados para envio de newsletter ou propaganda.
Disponibilizar para terceiros – Uma farmácia que pede CPF dos clientes para dar desconto, não pode vender a informação sobre os itens consumidos por cada um deles para terceiros, como para planos de saúde ou seguradoras de vida A não ser que tenha o consentimento do consumidor.
O que pode?
Mandar promoções com consentimento – Uma doceria pode mandar os sabores de bolos com desconto para seus clientes, no whatsapp ou por e-mail por exemplo, desde que eles concordem em integrar a lista de transmissão.
Guardar dados – Uma empresa poderá armazenar informações pessoais que sejam necessárias para a prestação de seu serviço. A mesma boleira só poderá ter anotado o endereço de seus clientes se necessitar para fazer a entrega na casa deles. Caso contrário, a medida correta é apagar a informação.
Confira direitos e deveres
Impactadas – As organizações impactadas são aquelas com operações no Brasil, que oferecem serviços para brasileiros, ou que coletam ou processam dados pessoais no país.
Restrições – A lei coloca restrições para coleta e tratamento de dados pessoais sensíveis e de crianças e adolescentes, salvo em alguns casos, como o de órgãos de pesquisa ou de proteção ao crédito ou de tutela da saúde e proteção da vida. Eles continuam, porém, tendo responsabilidade sobre a segurança dessas informações coletadas.
Consentimento – As demais organizações precisam pedir consentimento para coletar ou tratar dados. O titular ainda assim tem direito a pedir acesso, eliminação, portabilidade, bloqueio e revogar consentimento sobre o uso de seus dados por elas.
Tratamento – Toda operação realizada com dados pessoais — como coleta, recepção, classificação, transmissão, distribuição, entre outras — é chamada tratamento. Como esses dados podem servir para empresas entenderem perfis de consumo ou de crédito de clientes, por exemplo, a lei resguarda a qualquer um o direito de solicitar a revisão de decisões de empresas tomadas unicamente com base no tratamento automatizado de seus dados pessoais.
Registro – As empresas são obrigadas a manter registro das operações de tratamento de dados pessoais. E devem nomear e divulgar encarregados pelo tratamento de dados.
Proteção – É obrigação das empresas tomar medidas para proteger os dados, como controle de acesso, prevenção e destruição das informações. No caso de incidentes de privacidade, elas também devem notificar os titulares dos dados pessoais sobre possíveis danos ou riscos.
Sanções – Erros podem gerar, entre outras sanções, advertências à empresa , multas de até 2% do faturamento até R$ 50 milhões, publicização da infração, e exigir bloqueio ou eliminação de dados pessoais.