Tira-dúvidas responde questões sobre lei que protege a privacidade e cria regras para utilização de informações pessoais.
A Lei Geral de Proteção de Dados (LGPD), que tem como objetivo garantir mais segurança e transparência às informações pessoais coletadas por empresas públicas e privadas, entra em vigor nesta sexta-feira (18), após diversos adiamentos.
Mesmo com a vigência da LGPD, as penalidades pelo descumprimento só passarão a ser aplicadas em agosto de 2021 – período que as autoridades consideraram para que empresas se adequem.
A regulamentação é um marco importante em um período em que dados pessoais são utilizados para se fazer praticamente tudo que envolve a internet: desde os conteúdos que aparecem em suas redes sociais a mostrar o caminho mais rápido para chegar em algum lugar.
As informações também podem ser usadas para definir guiar projetos de governo ou até mesmo calibrar sistemas digitais que ajudam a encontrar suspeitos de crimes.
Muitas dúvidas surgiram sobre a LGPD, mas a maioria era de interesse das empresas que precisavam se adequar às regras. Mas o que muda para os cidadãos?
O G1 ouviu especialistas para responder as questões mais importantes sobre a nova lei, do ponto de vista do usuário:
O que são dados?
O que é LGPD?
Por que a lei foi criada?
O que acontece se algum dado meu vazar?
O que muda com essa lei?
O que é ANPD?
Existem exceções na LGPD?
O usuário tem alguma obrigação?
As empresas já estão prontas?
O que são dados?
Para entendermos a nova lei e sobre o que ela trata, é preciso definir o que são dados: informações geradas por pessoas, seja on-line ou não. São os rastros deixados ao visitar sites, o cadastro feito em uma academia, entre outras situações.
No caso de cadastros, envolvem dados pessoais. Essas são informações que podem identificar alguém.
"Isso está contemplado em informações essenciais como o nosso nome, mas também sobre onde a gente anda (localização), nossos gastos e consumo", explica Francisco Brito Cruz, diretor do InternetLab, um centro de pesquisa em direito e tecnologia.
"Tudo isso nos identifica, e cada pessoa tem seus próprios hábitos", completa.
O especialista explica que há uma categoria especial, chamada de dados sensíveis. São aqueles que podem revelar orientação política ou sexual e até condições de saúde, por exemplo. Esses necessitam de uma camada a mais de proteção.
O que é LGPD?
"A LGPD é uma lei que visa garantir direitos para os cidadãos e consumidores sobre como vai ocorrer o tratamento de dados pessoais", diz Bárbara Simão, advogada e especialista em direitos digitais do Idec (Instituto Brasileiro de Defesa do Consumidor).
"Hoje em dia, empresas, poder público e até o terceiro setor (ONGs, entidades filantrópicas), todos lidam com dados pessoais".
O tratamento, mencionado pela advogada, é a manipulação das informações. Isso envolve coletar, transferir, utilizar ou cruzar dados.
Essas informações podem ser usadas para uma série de iniciativas: empresas criam perfis de hábitos para direcionar publicidade, utilizam essas informações na criação de novos produtos ou criam experiências personalizadas em redes sociais, por exemplo.
Os dados também podem guiar a criação de programas de governos e, por isso, a LGPD também vale para órgãos públicos.
"É uma legislação que vai interessar todos os setores da economia e que cria um padrão", afirma Danilo Doneda, advogado e professor no IDP (Instituto Brasiliense de Direito Público).
"Antes tínhamos regras que se aplicavam somente a algumas áreas, agora temos uma lei geral que reconhece que os dados pessoais devem ser protegidos", completa.
Por que a lei foi criada?
"O dado pessoal é um insumo muito relevante para a economia atual e isso vai crescer", revela Bárbara Simão.
Houve um "boom" na utilização de informações pessoais e com isso surgiu o risco de que os dados fossem utilizados de uma forma que poderia prejudicar as pessoas.
Uma das preocupações é a criação de perfis discriminatórios baseados em dados de saúde, que são considerados sensíveis.
Imagine que uma farmácia crie uma ficha que contenha seu histórico de compras e repasse essas informações para um plano de saúde, que por sua vez poderia decidir cobrar mais caro ao ver indícios de doenças pré-existentes.
Com a nova lei, esse intercâmbio de informações é regulamentado.
Muitas regiões iniciaram debates para regulamentar a atividade. Nesse cenário, surge também a LGPD.
"A lei não veio para proibir, veio para regular o tratamento de dados com segurança, ao mesmo tempo que a privacidade é protegida", ressalta Francisco Brito Cruz.
O que muda com essa lei?
Para as empresas, a vigência da LGPD significa se adequar a uma série de novas regras, mas também cria mais segurança jurídica, simplificando o entendimento de algo complexo.
Para o cidadão, pode parecer que pouco muda, mas a legislação organiza e orienta sobre direitos.
"Muda o fato de as pessoas terem controle sobre as informações que circulam sobre elas", diz Bárbara Simão.
A advogada lembra de uma situação que muitos brasileiros já devem ter passado: ao comprar um remédio na farmácia, o caixa solicita o CPF em troca de descontos, mas não é revelado de forma clara quais são as contrapartidas.
"Uma pessoa tem o direito de saber para que está sendo pedido e de ter o mínimo de controle sobre o que vai acontecer com essa informação, neste caso o CPF", completa.
Muda também o fato de as empresas precisarem solicitar o consentimento do usuário para coletar algumas informações.
É por isso que sites estão exibindo janelas que pedem um aceite para a coleta de cookies, por exemplo.
Os cookies são pequenos arquivos enviados por sites que ficam armazenados no navegador do seu computador que contam às empresas algumas informações de comportamento.
Os cidadãos também passam a ter direito de solicitar a retificação de informações, solicitar quais dados uma empresa tem sobre ela e até de pedir que sejam apagados.
Os canais para essas demandas ainda não estão completamente definidos, o que vai depender da ANPD (Autoridade Nacional de Proteção de Dados).
O que acontece se algum dado meu vazar?
A utilização indevida de informações pessoais para práticas criminosas tem crescido no Brasil. Isso acontece, em muitos casos, porque dados vazaram na internet.
O vazamento geralmente acontece quando alguma empresa sofre um ataque hacker e criminosos conseguem acessar as bases nas quais são mantidas informações de clientes.
Esses dados podem ser utilizados pelos próprios invasores ou serem vendidos clandestinamente.
Um dos objetivos da LGPD é proteger os dados e, por isso, existem alguns trechos que tratam de casos como esses.
A regulamentação exata vai depender da ANPD (Autoridade Nacional de Proteção de Dados), que deve orientar as empresas sobre as medidas técnicas de proteção.
"Quando a empresa reconhecer que aconteceu algum problema, precisará correr para solucioná-lo, entender sua dimensão e notificar a ANPD e as pessoas envolvidas", diz Bárbara Simão.
Caberá à autoridade decidir se a empresa agiu corretamente após o incidente de segurança. Há ainda um trecho da lei que diz que pode haver conciliação de empresas e indivíduos.
Se a ANPD considerar que serão necessárias sanções, a lei estabelece alguns critérios e limites. A multa só pode chegar a 2% do faturamento da empresa ou no máximo a R$ 50 milhões.
Apesar de a LGPD ter entrado em vigência, as sanções estão suspensas até agosto de 2021 – período dado para que as empresas se adequem às novas regras.
Esse dinheiro é destinado ao Fundo de Defesa de Direitos Difusos (FDD), que financia projetos quem tenham como objetivo reparação de danos ao consumidor, meio ambiente, patrimônio e outros.
Ou seja, o dinheiro não é direcionado para as pessoas envolvidas nos vazamentos. Mas se um cidadão se sentir prejudicado, ele poderá procurar órgãos de defesa do consumidor ou a justiça para a reparação de danos.
Nesses casos, só há direito à indenização caso fique comprovada uma ligação entre o vazamento e algum prejuízo sofrido.
Advertência, bloqueio dos dados ou eliminação das informações também são outras medidas possíveis.
O que é ANPD?
A Autoridade Nacional de Proteção de Dados, ou ANPD, é órgão responsável por fiscalizar e editar normas previstas na LGPD.
"Cada direito trazido pela LGPD precisa de regulamentação mais clara. Estamos falando de atividades que coletam dados, mas lidam com eles de forma muito diferentes umas das outras", explica Francisco Brito Cruz.
É a ANPD que irá definir com clareza as regras e direitos para cada uma dessas atividades.
"O órgão é fundamental, sem a ANPD a lei não tem condições de sair do papel. Uma lei tão complexa precisa de uma entidade que dê o tom de como ela pode ser interpretada e lida, se não ela pode ser confusa de navegar", diz Francisco.
Os especialistas apontam que o setor bancário, por exemplo, precisa tratar dados de uma maneira distinta do que uma empresa de tecnologia.
"Alguns setores podem demandar mais atenção, ou podem existir situações que não estão devidamente resolvidas, em que a lei pode ser contraditória. A ANPD precisará detalhar tudo isso", completa o especialista.
Embora o governo tenha publicado a estrutura dos cargos em comissão e de funções de confiança do órgão, seu funcionamento depende da publicação da nomeação de seu diretor-presidente no Diário Oficial da União.
"O fato de o decreto [que define a estrutura de cargos] ter sido publicado não implica que exista uma decisão sobre quando a ANPD será criada. Isso permanece uma grande incógnita", diz Danilo Doneda.
Existem exceções na LGPD?
Sim, existem algumas situações em que as regras da LGPD não se aplicam completamente.
É o caso para dados que sejam tratados para fins de segurança pública ou segurança do Estado.
"Não faz sentido obrigar que um suspeito tenha acesso aos seus dados envolvidos em uma investigação criminal ou ter que pedir autorização dele", exemplifica Danilo Doneda.
"Para esses casos de segurança, a LGPD menciona que vai ser editada uma regulamentação específica de proteção de dados, que é necessária, mas não nos mesmos termos", completa.
Emergências de saúde também estão entre as exceções.
"A pandemia serve como exemplo. Algumas autoridades checaram informações de pessoas que estavam em determinados voos. Isso não dependia do consentimento porque tinha uma finalidade para a saúde pública", exemplifica Bárbara Simão.
Nem sempre uma empresa terá que solicitar o seu consentimento. Quando a companhia precisar cumprir uma obrigação legal ou elaborar um contrato, por exemplo.
Uma das exceções polêmicas está relacionada com a proteção de crédito, que tem ligação com o Cadastro Positivo.
"Ter um mecanismo para o consentimento ao Cadastro Positivo seria relevante, porque caberia aos cidadãos decidirem o que compartilhar", afirma a advogada.
A proteção de crédito é mencionada porque não necessita de consentimento, conforme explica Danilo Doneda.
"Para cadastro de negativação, o cidadão não tem opções. Ele não pede para entrar e não pode pedir pra sair, do contrário a negativação não valeria de nada", diz.
O usuário tem alguma obrigação?
A LGPD não define obrigações para cidadãos, mas a advogada Bárbara Simão diz que as pessoas devem ficar atentas e observarem a lei na prática.
"É importante verificar os termos de uso dos serviços para não ficarmos sujeito a abusos. É importante que as pessoas se apropriem dessas regras e busquem reparações caso entendam que há violação de direitos", diz.
O professor Danilo Doneda aponta que não há deveres jurídicos, mas que essa é uma oportunidade para que se fortaleça a cultura de proteção de dados.
"Para que a lei funcione, as pessoas precisam cuidar de seus dados pessoais, além de solicitar e fiscalizar que as empresas cumpram suas obrigações", diz Doneda.
As empresas já estão prontas?
"É a primeira vez que temos uma lei desse gênero, então não temos um histórico como guia, é uma interrogação para muitas empresas", diz Danilo Doneda.
Por isso, é difícil que todas as empresas estejam adequadas, embora muitas delas já se prepararam. É por isso que você está recebendo avisos de políticas de privacidade em aplicativos e sites.
A LGPD foi adiada em mais de uma ocasião, até que o Senado retirou uma nova extensão do prazo de vigência, que constava em uma Medida Provisória do governo que trata deste e de outros assuntos.
Como apontaram os especialistas, a criação da ANPD e importante para a interpretação das regras. E as sanções só passam a valer em agosto de 2021.