Toda vez que uma nova lei entra em vigor, muitas dúvidas surgem na cabeça das pessoas: afinal, o que muda? A lei vai pegar? O que eu tenho de fazer para me adequar? E a minha empresa? Com a Lei Geral de Proteção de Dados (LGPD), não será diferente: a nova legislação, que entrou em vigor em 18 de setembro após sanção do presidente Jair Bolsonaro, dará aos brasileiros um conjunto de direitos sobre o uso de seus dados pessoais – e isso vai do que acontece nas redes sociais até atividades triviais, quando uma farmácia ou loja solicita o número do CPF do cliente na hora de encerrar a compra.
Para entender as principais mudanças e explicá-las ao leitor, a reportagem do Estadão elaborou um questionário com dúvidas variadas e pediu a cinco especialistas para responder às questões. São eles: Rafael Zanatta, advogado do escritório Pereira Neto; Jacqueline Abreu, advogada associada do escritório Barroso Fontelles; Paulo Brancher, sócio de tecnologia do escritório Mattos Filho; Renato Opice Blum, sócio do escritório Opice Blum; e Bruno Bioni, advogado e fundador do Data Privacy Brasil, organização que dá cursos sobre a nova lei geral de proteção de dados.
E se a minha dúvida não estiver contemplada? Tenho uma dúvida nova? Tudo certo: mande um recado nas redes sociais do Link (Facebook e Twitter) que nós atualizaremos este especial.
O que acontece com dados que eu mesmo disponibilizar nas minhas redes sociais?
As empresas vão continuar coletando e armazenando dados, mas terão que obter o seu consentimento para isso e o que fará com eles. Isso obrigará maior clareza por parte delas e dará a você um controle maior sobre o que é coletado.
Posso pedir para meus dados serem apagados?
A lei prevê que você retire os consentimentos de uso quando quiser. Ou seja, você tem o direito de pedir a exclusão dos dados. Isso, porém, não significa que eles serão sempre e totalmente apagados. As empresas ainda podem guardar dados para fins de pesquisa, se forem anonimizados. Além disso, também podem reter dados para se defender na Justiça, por exemplo. Já quanto ao governo, é mais difícil: a lei garante bases legais para que o governo mantenha os dados para operar serviços e formatar políticas públicas.
Vou continuar recebendo ligações de telemarketing indesejadas?
Se você nunca foi cliente ou não deu permissão para que o seu número de telefone tenha sido compartilhado com uma empresa, ela não poderá te ligar. Agora, imagine que você teve um plano de celular com uma operadora e mudou para outra. Anos depois, a primeira operadora decide ligar para falar de uma promoção. Ela poderá fazer o contato, pois houve uma relação prévia entre vocês. Posteriormente, você poderá negar esses novos contatos. Além disso, será possível questionar como a empresa obteve seus dados. Se não houver justificativa nas bases legais, é possível denunciar a companhia.
O que ocorre com lojas que pedem o número do CPF?
Os estabelecimentos, como lojas e farmácias, poderão continuar fazendo programas de fidelização com CPF. Mas antes de pedir o número, o funcionário terá que explicar como funciona o programa em termos de coleta e tratamento desses dados, deixando claro com quem a farmácia dividirá essas informações. Não poderá ser uma explicação genérica. Se a farmácia divide as informações com planos de saúde, terá que deixar isso claro.
Posso negar ceder foto ou impressão digital para entrar em prédio ou academia?
Depende. Se a academia for daquelas futuristas e se escorar no uso de tecnologia para liberar equipamentos, será preciso continuar dando a digital. Sem ela, a academia pode alegar que seu modelo de negócios não funciona. No prédio, por sua vez, será possível questionar se a entrada é viável sem a cessão de informações biométricas. Por outro lado, o condomínio poderá apresentar uma política de segurança, afirmando que a coleta dos dados é necessária para o local. Há aí uma promessa de polêmicas. Além disso, o prédio deverá ter uma política de descarte dos dados, pois não precisa guardá-los.
Como saberei quais são os dados uma empresa tem sobre mim?
A lei permite que você questione a empresa para saber se ela tem dados sobre você. A resposta deve ser imediata. Você também poderá ter acesso a esses dados e com quem ela compartilhou, mas não há prazo determinado para isso.
E se eu não quiser fornecer meus dados?
Se for para cumprir uma obrigação legal, não há como recusar. Além disso, não é possível recusar um dado fundamental para o funcionamento de um serviço e querer usá-lo. Por exemplo: pedir um Uber sem compartilhar a geolocalização. No restante, a lei foi criada para que você possa dar autorizações em camadas. Exemplo: ceder o número do CPF, mas não tirar sua foto num prédio comercial.
O “OK” nos enormes contratos e termos de uso online ainda será válido?
Não. A lei prevê que o consentimento não pode ser genérico. Os termos de uso têm que ser transparentes e de fácil entendimento. Eles têm que indicar quais dados serão coletados e a finalidade para o qual são tratados. Se um desses requisitos estiver faltando, ele não é considerado válido.
O que ocorre com a empresa que violar as regras da lei geral de proteção de dados?
As empresas poderão sofrer desde advertências até multas. Nos casos mais graves, o valor pode chegar a 2% do lucro da empresa, limitada a R$ 50 milhões, por infração.
A lei vale para todas as empresas, até as pequenas?
Sim, mas a regulação deverá ser ajustada ao tamanho da empresa. Multas grandes, capazes de quebrar um negócio, não devem ser aplicadas a empresas pequenas. Exceções na lei para as PMEs poderão ainda ser determinadas.
Empresas estrangeiras têm de cumprir as regras?
Se a empresa coletar dados de usuários presentes no território brasileiro, ela terá de se ajustar à lei de dados.
Como fica o cadastro positivo?
O cadastro positivo não fica inviabilizado. Ao contrário: ele tem legislação própria regulamentada pelo Banco Central, incluindo normas mais severas de incidentes de segurança. Birô de crédito com legislação específica, como o cadastro positivo, estão isentos da exigência de consentimento.
Posso impedir um birô de crédito de me pontuar?
Esse assunto não é coberto pela LGPD e sim pela lei do Cadastro Positivo. Por essa lei, o cidadão poderá optar por sair do cadastro positivo. A entrada, porém, é automática.
O que acontece se eu tiver crédito negado por causa de um algoritmo?
Você tem dois direitos: um é pedir para a empresa uma explicação para a decisão - a ideia é entender quais os diversos fatores que levaram a máquina a fazer uma escolha. A segunda é pedir para que a análise seja feita novamente. A revisão será feita por algoritmos novamente - o trecho da lei que exigia que a revisão fosse feita por humanos caiu.
Políticos agora vão poder se esconder pedindo remoção de conteúdos negativos?
Não. Direito de eliminar dados não é igual ao direito ao esquecimento - essa é uma discussão sobre violações da honra e reputação no qual quem se sentiu ofendido pode pedir na Justiça uma remoção de página. A lei de dados não trata de proteção à honra e imagem e nem fala de mecanismos de eliminação de páginas. Pela LGPD, o consentimento só pode ser removido quando ele é exigido, e isso não se aplica a informações de natureza pública. Além disso, as atividades de fins jornalísticos estão excluídas do alcance da LGPD.
Posso pedir para minha UBS excluir meu prontuário médico?
Não. O seu prontuário pode fazer parte de uma política pública, que exige o tratamento de dados para a tomada de decisões. Exemplo: a secretária de saúde de São Paulo saber onde fazer campanha de vacinação contra o sarampo com base nos endereços de quem deu entrada nos postos de saúde da cidade. Nessas situações, não há nem necessidade de consentimento para o uso dos dados.
Crianças terão de ter alguma ordem legal para realizar trabalhos de escola que exigem entrevistas?
Não. Atividades acadêmicas estão excluídas da lei de dados por ser uma atividade de cunho pessoal. Se for criado um produto a partir desse material, porém, isso muda e pode ter que atender a LGPD – isso também vale para entrevistas de estudantes de faculdade que transformam seu projeto, por exemplo, em uma startup.
Serei avisado quando meus dados forem vazados?
Sim. É uma obrigação prevista na lei, embora não há prazo definido ainda. Na Europa, é preciso informar usuários em até 72 horas, incluindo o que foi vazado e se há alguma medida para mitigar o dano. A LGPD só fala em “prazo razoável”.
Seguirei recebendo anúncios direcionados na web?
Sim, mas você saberá como os seus dados alimentam esses anúncios, além de poder pedir para que isso não seja feito. Google e Facebook terão que se adequar aos critérios da lei, obtendo consentimento e sendo claros sobre o uso dos dados.
Em caso de vazamento, posso processar diretamente as empresas, como o Facebook no caso Cambridge Analytica?
Aqui a resposta é incerta. A LGPD não tem mecanismos de responsabilização objetiva. Ela não fala, por exemplo, que você tem direito à reparação individual por um vazamento. Ainda assim, os especialistas acreditam que pessoas tentarão indenização por dano moral, mas o resultado vai depender do caso e da análise de quem julgar isso.
Quem devo procurar se achar que meus dados não estão sendo protegidos?
O primeiro passo é buscar a Autoridade Nacional de Proteção de Dados (ANPD), que ainda está montando sua estrutura. Mas será possível recorrer a órgãos de defesa do consumidor, como o Procon ou o Ministério Público, que poderão repassar as queixas à ANPD.
Os comentários são exclusivos para assinantes do Estadão.