O presidente Michel Temer sancionou nesta terça, 14/08, o Projeto de Lei da Câmara 53/2018, que altera a lei nº 12.965, de 2014 (o Marco Civil da Internet) e que estabelece a lei brasileira de proteção e tratamento de dados pessoais. A nova legislação entra em vigor em fevereiro de 2020, dando às empresas apenas 18 meses para se adequarem.
As novas regras asseguram que dados pessoais dos cidadãos, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, não serão usados por empresas e o governo no Brasil sem o consentimento dos mesmos.
Em seu perfil no Twitter, o presidente afirmou: “A privacidade do cidadão não pode ser exposta, compartilhada ou utilizada sem consentimento. É precisamente o que estamos corrigindo. Com esse novo instrumento, o Brasil adota as melhores práticas internacionais nesta matéria”.
Em entrevista para a Veja, Jeferson Propheta, diretor-geral da McAfee no Brasil, diz que “Na prática, as companhias ficam impedidas de coletar dados pessoais e usá-los na oferta de publicidade direcionada, telemarketing ou venda de informações para terceiros sem autorização do consumidor”.
Por falta de legislação específica, as empresas não eram punidas pelo vazamento de dados pessoais de seus clientes. “Agora, ela será obrigada a notificar todos os clientes e poderá receber multa de até 2% do faturamento ou até 50 milhões de reais por infração”, afirma ele.
Para Propheta, umas das dificuldades das empresas será a adequação aos novos parâmetros de segurança no prazo de 18 meses. “O processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos é bastante complexo. Um projeto de classificação de dados, por exemplo, demora cerca de 12 meses para ser implementado”, afirma.
A lei brasileira se inspira na lei da União Europeia conhecida como GDPR, que entrou em vigor em maio com uma nova e mais dura configuração.
O que há de novo
A nova lei caracteriza como dado pessoal toda informação que pode ser usada para identificar alguém. Nessa conta podem entrar nome e apelido, endereço de residência, endereço eletrônico, número de cartão de identificação, dados de localização (GPS, por exemplo), endereço de IP, histórico de navegação e até registros médicos.
Ela também trata dos dados pessoais sensíveis, que são informações sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Os dados pessoais de uma pessoa no Brasil só poderão ser tratados, analisados ou manipulados por uma empresa que receber um consentimento explícito do titular. Não vale truque. Se o pedido não ficar claro, a autorização não vale. Além disso, esse aval pode ser revogado a qualquer momento.
Antes de ouvir o “sim”, a empresa tem que informar com que finalidade pede os dados, por quanto tempo irá usá-los e quem são as pessoas jurídicas responsáveis pelo processo. Todas as vezes que algum desses itens mudar, deve de pedir o consentimento novamente.
A empresa agora passa a ser responsável pela segurança dos dados que coleta, transmite, processa e armazena, tendo que provar, por meio de relatórios, que possui uma estrutura de segurança preparada para assegurar a proteção dos dados. Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber multa de até 2% do faturamento ou até 50 milhões de reais por infração.
Como mencionado por Propheta, o prazo para as empresas se adequarem é bem curto. A lei diz que as mesmas terão apenas 18 meses para se adaptarem e cumprirem as regras. No entanto, o processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos é bastante complexo. Um projeto de classificação de dados, por exemplo, demora cerca de 12 meses para ser implementado. Ou seja, comece já a se adequar à nova lei caso queira evitar problemas futuros. Conte com a Infomach para isso.