Aprovada para vigência imediata pelo Senado em 26 de agosto e sancionada pelo presidente Jair Bolsonaro nesta quinta-feira (17), a Lei Geral de Proteção de Dados (LGPD) assegura a privacidade de informações compartilhadas pelos usuários e estabelece diretrizes a serem seguidas por qualquer empresa que armazene e colete dados pessoais – desde o histórico de buscas no Google de um indivíduo até sua digital registrada na portaria do condomínio, por exemplo.
Na véspera da análise pelos senadores, a Câmara dos Deputados havia decidido pelo adiamento do início da validade para 2021, atendendo a uma Medida Provisória (MP) de Jair Bolsonaro. Agora, com a reviravolta sobre o prazo imposta pelo Senado, o teor da norma, que foi aprovada em 2018, começa a valer a partir da sanção presidencial.
Para especialistas em privacidade digital, o Brasil chega atrasado em um movimento mundial de proteção de dados. De acordo com a Conferência das Nações Unidas sobre Comércio e Desenvolvimento, 66% dos países possuem regras específicas sobre o tema.
– Até a edição desta lei, as empresas eram, de certa forma, proprietárias dos dados pessoais de seus clientes e colaboradores. Agora, há uma inversão desta cultura. Os titulares passam a ter a consciência de que têm o direito de dispor de seus dados pessoais, enquanto as empresas precisam correr atrás para atender a essa demanda — analisa a advogada Bruna Serro, especialista em direito digital.
Embora a vigência da lei tenha sido antecipada, as sanções que serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), instituída em um decreto presidencial publicado na madrugada desta quinta-feira (27), terão início apenas em agosto de 2021. Bruna afirma, contudo, que outros órgãos, como o Ministério Público, têm autonomia para fiscalizá-la:
– Com a entrada em vigor nos próximos dias, os titulares de dados, caso se sintam ofendidos ou queiram entender como suas informações foram coletadas e tratadas, podem demandar estes relatórios das empresas.
Também advogada, a especialista em direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Bárbara Simão, antecipa que o maior desafio à adaptação será de empresas pequenas.
– Esta confusão legislativa sobre a data criou uma insegurança jurídica sobre quando as regras passam efetivamente a valer, sobretudo para os menores. Mas muitas empresas, principalmente as maiores, já estavam passando por um processo de adequação à lei, enviando e-mails de consentimento de seus novos termos de uso – diz Bárbara.
Confira os 10 principais aspectos que mudam com a lei, segundo levantamento do Idec:
1) Permissões detalhadas
Torna obrigatório que as empresas detalhem aos usuários o uso de seus dados pessoais, proibindo termos genéricos, como "melhoria dos serviços". Se o consumidor informar seu e-mail para se inscrever em um evento, por exemplo, a empresa não poderá usá-lo para enviar mensagens promocionais. Terá de pedir uma autorização específica para este uso.
2. Pacote de direitos
Pela norma, cada usuário terá controle sobre seus próprios dados e poderá autorizar a coleta de suas informações. A pessoa terá a possibilidade de questionar uma empresa sobre o uso que está sendo dado ao seu nome, CPF e registros de compras. Também garante que o usuário possa retificar dados imprecisos e se opor à coleta de informações consideradas sensíveis, como sua orientação sexual.
Um exemplo dado pelo Idec é sobre o usuário de um aplicativo de relacionamentos, como o Tinder. A lei possibilita que a pessoa solicite à empresa quais dados possui, como são tratados e com quem são compartilhados. "Se o Tinder analisa todos os seus likes para formar um perfil de 'parceiro ideal', isso deve ser explicado", ilustra o instituto.
3. CPF na compra de medicamentos
Ao assegurar o direito de saber como dados estão sendo empregados, a norma permite que o consumidor consulte uma farmácia sobre o uso de seu CPF e registro de compras. No caso de informar seu CPF para conseguir descontos em um medicamento, o cliente tem a garantia de que seus dados não serão usados para criar um "perfil farmacológico" – valendo-se de um uso contínuo, por exemplo, para cobrar mais caro pelo remédio.
4. Reparação em caso de vazamentos
Empresas controladoras e operadoras, responsáveis pela coleta e pelo tratamento de dados, precisam manter registrados seus procedimentos, podendo ser chamadas a qualquer momento para informar um relatório de proteção.
Se a Autoridade Nacional de Proteção de Dados (ANPD) constatar o vazamento, o usuário terá de ser notificado e informado sobre as medidas tomadas. Também poderá solicitar reparação e indenização pelo dano.
5. Reconhecimento facial e dados biométricos
O uso de "câmeras inteligentes", que coletam dados sobre as emoções dos usuários, por meio do reconhecimento facial, está proibido sem autorização. A venda de dados de reconhecimento facial e biométricos também passa a ser vedada pela lei.
6. Digital em condomínios
A instalação de biometria na portaria de condomínios poderá ser feita apenas com base legítima, como o consentimento dos moradores ou a previsão expressa em contrato. Não será mais permitido implementá-la, de maneira impositiva, pelos administradores. Em caso de uso, o condomínio terá de assegurar uma estrutura segura para a coleta e o armazenamento das digitais.
7. Inteligência artificial
O uso de inteligência artificial para decisões automáticas, incluindo acesso a crédito bancário e seleção de emprego, deverá ser informado ao usuário, que terá, ainda, de autorizá-lo.
Segundo o Idec, se uma decisão automatizada causar impacto em interesses pessoais, profissionais ou de consumo, poderá ser questionada pelo usuário, pedindo que seja revisada. "Se você foi desclassificado da primeira etapa de uma seleção de emprego porque não sorriu o suficiente, você pode pedir a revisão dessa decisão", informa o instituto.
8. Testes de personalidade
A lei determina que desenvolvedores de testes e aplicativos solicitem a menor quantidade de dados necessário para suas atividades, respeitando, de acordo com o Idec, o "princípio da finalidade". Esta diretriz aplica-se para os populares testes de envelhecimento ou que mudam a foto de gênero.
Normalmente, estes aplicativos coletam, de maneira gratuita, dados além da foto, como lista de amigos, curtidas e interesses, sendo vendidos, posteriormente, para empresas. O usuário terá o direito de solicitar ao desenvolvedor um relatório das informações colhidas e pedir que sejam deletados.
9. Preço diferenciado
Empresas de comércio eletrônico precisam informar aos seus clientes sobre seus dados colhidos e a eventual oferta de preços individualizados, baseados em sua localização e histórico de busca, entre outros. O consumidor poderá acolher – ou não – a política e, em caso de diferenciação de preço sem seu consentimento, pedir indenização.
10. Portabilidade de dados pessoais
O usuário, pela lei, terá o direito de pedir a portabilidade de seus dados pessoais de uma ferramenta para outra – do Spotify para o Deezer, exemplifica o Idec. Neste caso, o responsável precisará excluir suas informações ou torná-las anônimas. Será semelhante à portabilidade de uma operadora de telefonia para outra.