Tudo que você precisa saber sobre a lei que promete proteger seus dados

Nos últimos meses, você deve ter acompanhado toda a treta em relação a proteção de dados pessoais no Brasil. Não foram poucos os casos suspeitos ou escancaradamente problemáticos que surgiram na imprensa envolvendo a falta dela de proteção das nossas informações. Algumas poucas medidas poderiam ser tomadas na tentativa de fechar um pouco a torneira de dados, mas não havia nenhuma lei específica para proteger o cidadão brasileiro. A boa notícia é que isso pode estar prestes a mudar.

Nesta última terça-feira, 10, o Senado aprovou em plenário o PLC 53/2018, que define a proteção de dados pessoais dos brasileiros. O texto estabelece diversos limites sobre quais dados podem ser coletados e para quais finalidades podem ser tratados, tanto por empresas privadas quanto pelo governo. Agora o projeto depende apenas da sanção presidencial para entrar de fato em vigor.

Tudo isso é bastante legal, mas o que muda na prática?

A princípio, nada. A lei terá um período de adaptação de um ano e meio quando sancionada. Se Temer assinasse hoje o papel, ela só passaria a valer de fato no início de 2020. (Esse período de espera é comum em uma lei desse tipo — a GDPR, lei de proteção de dados europeia teve o mesmo período de adaptação antes de entrar efetivamente em vigor no último dia 25 de maio, por exemplo.)

Ainda que demore um tempo até começar a valer, para a consultora da Coding Rights, Bruna Santos, a aprovação acontece em boa hora pois, além de estabelecer as regras no que se refere dados pessoais, também “estabelece a importância do consentimento e da decisão informada por parte do cidadão sobre o tratamento de dados pessoais”.

Ela destaca que, mesmo sem passar a valer para as eleições deste ano, a aprovação do texto no Senado já sinaliza o fim do uso indevido de base de dados de eleitores por parte de candidatos. “Sabemos que alguns candidatos possuem base de dados sobre possíveis eleitores e que usam isso para, por exemplo, adicionar pessoas em grupos do WhatsApp. Isso tende a diminuir”, comenta.

Santo também aponta que o texto delimita de maneira clara o que são dados pessoais: informações relacionadas a uma pessoa “identificada” ou “identificável” — ou seja, dados que estão ligados diretamente a você e que permitam chegar até a sua identidade quando cruzados com outras informações. Além disso, o texto também cria a categoria de dados “sensíveis”, que possibilitariam formas de de discriminação, como etnia, classe social, opinião política, registros médicos, além de dados genéticos e biométricos.

Passado esse período de adaptação, a nova lei passa conceder uma série de direitos para que o cidadão tenha mais acesso e controle a seus dados. Poderemos saber quais dados estão sendo coletados, quem está coletando, para qual finalidade e na mão de quem suas informações vão passar. Conforme explicou especialista em Direito Digital, Renato Leite Monteiro, fundador da empresa Data Privacy Brasil, a lei também abre a brecha para que o cidadão tenha esclarecimento “sobre os algoritmos que controlam suas vidas, por exemplo”.

Com isso a legislação brasileira pode evitar o problema da criação de caixas pretas algorítmicas. Um caso desses bastante emblemático aconteceu na Polônia em 2014, quando o governo começou a utilizar um algoritmo para ajudar pessoas desempregadas a se recolocar no mercado de trabalho.

A situação polonesa se agravou quando as pessoas começaram a perceber que o sistema discriminava os trabalhadores e ao pedir informações, o governo não foi nada transparente sobre o funcionamento da máquina. O especialista destaca que o acesso e o controle dessas informações por parte do cidadão é extremamente importante, já que “os dados pessoais são, na verdade, uma representação digital da sua persona”.

Para Monteiro, os efeitos da atual legislação serão sentidos principalmente pelas empresas que operam no Brasil. Mesmo com o período 18 meses de adaptação às novas regras, aqui a mudança “vai ser mais drástica [do que foi na Europa], pois não temos uma cultura de proteção de dados”, observa.

Ele destaca que, apesar do alto custo inicial que isso pode representar para essas entidades, deve ser encarado como um investimento, pois tanto empresas quanto governo terão uma segurança jurídica muito maior neste tema. “Isso poderá auxiliar o desenvolvimento econômico, tecnológico e a inovação. Hoje temos um terreno pantanoso na proteção de dados, teremos um regramento único em que as empresas podem saber o que esperar”, comentou.

Para advogado especialista em direitos digitais do Instituto de Defesa do Consumidor (IDEC), Rafael Zanatta, outro efeito da aprovação do PLC 53/2018 é o desaceleramento do mercado de intermediário de dados. “Embora o mercado de data brokers provavelmente não deixe de existir, vai acabar esse clima de Velho Oeste, sem regras, em relação ao tratamento de dados existente nessa prática”.

Ele também aponta que uma possível mudança em todo o sistema nacional de defesa do consumidor, que terá de se adequar às novas regras. “Se uma pessoa achar que o preço do convênio médico aumentou, por conta de dados que uma empresa farmacia passou indevidamente, ela poderá procurar um Procon e entrar com um processo contra a empresa”, explica.

Outro fator que deve deixar de existir com a entrada da lei em vigor são os termos de uso no modelo que são hoje: aqueles que basicamente ninguém lê. Como o texto delimita que a informação deve ser clara e de fácil acesso, isso pode gerar problemas para empresas. Conforme o texto da lei explicita, as punições podem ser multas “de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício” e limitada até R$ 50 milhões.

Se você acompanhou o noticiário, sabe que os últimos meses não foram exatamente os mais tranquilos no que se refere à proteção de dados pessoais. O escândalo envolvendo Facebook e Cambridge Analytica em março deste ano chegou como uma bomba na imprensa mundial, inclusive aqui no Brasil. Para Zanatta isso foi um dos pontos principais que possibilitou pautar essa discussão publicamente. “Sensibilizou os deputados que entenderam a necessidade de mudar essa situação pelas vias políticas”, afirma.

Ao mesmo tempo que se desenrolava o escândalo do Facebook, o Senado brasileiro discutia a lei do Cadastro Positivo, projeto polêmico que coletaria dados de milhões de brasileiros sem a existência de uma lei geral de proteção. “O debate e o lobby em torno da aprovação dessa lei foi tão agressivo e tão na contramão do que está sendo feito internacionalmente em relação a proteção de dados, que ajudou a levantar essa bola na sociedade”, comentou Zanatta.

O terceiro ponto destacado por Zanatta foi a entrada em vigor no último dia 25 de maio da lei geral de proteção de dados europeia, o GDPR. “Mesmo se o escândalo da Cambridge Analytica não tivesse acontecido, existia uma preocupação por parte das empresas para entrar em acordo com a legislação europeia”, comentou.

A lei de proteção de dados europeia é uma preocupação para as empresas brasileiras que negociam com o continente. Segundo o documento, todas as empresas que operam no território europeu devem atender a uma série de determinações. Essas regras também valem para fornecedores dessas empresas, ou seja, se uma empresa brasileira lidar indiretamente com dados coletados na Europa, mesmo que indiretamente, ela deve estar adequada à GDPR.

Renato Leite Monteiro também apontou este último ponto como sendo um dos principais para a atual aprovação no Senado. “Um dos fatores que a GDPR determina é que dados só podem ser transferidos de um país para o outro se ambos estiverem no mesmo nível de proteção de dados. E o Brasil ainda não tem, pois a lei ainda não está em vigor”, comentou.

Monteiro também destaca a tentativa de entrada do Brasil na OCDE (Organização para a Cooperação e Desenvolvimento Econômico) como um dos fatores que contribuiu para a aprovação da lei brasileira de proteção de dados. “A organização desde os anos 1980 já tem suas orientações sobre uso e transferência de dados internacionais e um das obrigações para um país fazer parte desse grupo é ter leis robustas de proteção de dados”, explicou Monteiro, “Tanto o governo quanto o Itamaraty tem essa pauta econômica muito forte, e o próprio chanceler, o Aloysio Nunes, foi o pai de uma das propostas de lei do Senado.”

Apesar do clima de comemoração entre organizações de direitos digitais e ativistas em torno da aprovação de lei no Senado, ainda existe a chance do presidente Michel Temer vetar o texto ou pontos específicos dele. Um dos pontos mais preocupantes, segundo apontou Monteiro, gira em torno Autoridade Nacional de Proteção de Dados, um orgão que operará junto com o Ministério da Justiça e que se encarregará do cumprimento da lei. “Existe uma chance de que sua criação seja vetada por algumas questões formais e jurídicas, mas principalmente por questões de ordem política e orçamentária”, apontou.

Para ele, a ausência de tal autoridade — que também é vista no modelo europeu — pode significar uma lei “manca” e fazer com que ela não pegue. “Isso seria até incompatível, pois o texto que foi aprovado, faz inúmeras menções à autoridade. Mais de 50% do que está na lei só terá eficiência com a criação da autoridade”, conclui.

Leia mais matérias de ciência e tecnologia no canal MOTHERBOARD .
Siga o Motherboard Brasil no Facebook e no Twitter .
Siga a VICE Brasil no Facebook , Twitter , no Instagram e no YouTube .