É cada vez mais difícil passar despercebido. Você acorda e toma café consultando as redes sociais. Vai à academia e gira a catraca usando sua digital. Passa na farmácia e compra remédio com seu cadastro pessoal para ganhar um desconto.
Para ir ao trabalho, usa apps de transporte. Ao chegar, bate ponto com reconhecimento facial. Faz poucas horas que você acordou e sua rotina já gerou centenas de dados, nas mãos de diversas empresas.
Na prática, não há garantia de que esses dados não serão coletados indevidamente, armazenados de forma insegura e compartilhados entre empresas. Por exemplo, que a lista de remédios que você compra seja vendida para um plano de saúde ou uma empresa de seleção de candidatos a vagas de trabalho. Ou que seu trajeto de ônibus, registrado pelo cartão magnético de passagens, seja oferecido para uma empresa privada.
Mas isso vai mudar. Para proteger a privacidade dessas informações e limitar o número de dados coletados, o Senado brasileiro aprovou na última terça-feira a Lei de Proteção de Dados Pessoais (o PLC 53/2018). A legislação, que já havia sido votada pela Câmara dos Deputados, ainda precisa de sanção presidencial.
“Hoje, é Velho Oeste. Não tem regra, pode tudo e é uma loucura. Há todo um mercado ilegal de repasse de dados”, afirma o advogado Rafael Zanatta, líder do programa de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec). Com a decisão do Senado, “a gente partiu para uma legislação equilibrada, que garante segurança jurídica para investimentos e afirma um novo conjunto de direitos importantes para os cidadãos na economia digital”, continua Zanatta.
As novas regras, porém, só passam a valer em 2020 – prazo dado para o mercado se preparar para as mudanças. Até lá, continua a valer o “Velho Oeste”. Ainda assim, é um avanço, segundo organizações da sociedade civil que se engajaram no processo de discussão da lei.
A lei brasileira segue o exemplo de uma legislação similar aprovada na Europa em maio deste ano – no dia em que a lei europeia entrou em vigor, Google e Facebook foram acusados de violá-la. As leis foram influenciadas pelo escândalo de coleta e uso de dados do Facebook de 87 milhões de pessoas – brasileiros inclusive – com finalidades eleitorais, pela empresa Cambridge Analytica. O caso foi revelado no começo deste ano.
1) Você precisa dar consentimento para coleta e armazenamento dos seus dados pessoais
A partir do momento que a lei entrar em vigor, os dados pessoais só poderão ser coletados se você der sua autorização – o chamado consentimento. Caso contrário, isso pode ser considerado uma infração.
A regra vale para qualquer empresa ou instituição pública que venha a coletar dados pessoais no Brasil – estejam elas sediadas no país ou no exterior. Ou seja, estão incluídas nessa lista tanto o governo brasileiro quanto Google e Facebook.
Além de detalhar quais dados serão coletados e armazenados, é preciso informar se as informações serão compartilhadas com outra entidade – e você precisa autorizar esse compartilhamento. Por exemplo, se algum dia o Facebook quiser vender seus dados de reconhecimento facial (usado pela rede social para sugerir a marcação de amigos em uma foto, por exemplo) para uma empresa de segurança, isso só pode ser feito se você autorizar.
A qualquer momento, é possível revogar o consentimento – aí, os dados param de ser coletados.
Alguns casos não são abrangidos pelo consentimento da Lei de Proteção de Dados Pessoais: fins jornalísticos, segurança pública e defesa nacional ou necessidade de investigação.
2) Estão proibidos textões genéricos – é preciso ser claro e direto sobre quais dados serão coletados
Sabe aqueles termos de uso enormes e em letras pequenas, que você que raramente lê, mas frequentemente aceita? Segundo a nova lei, o termo de consentimento precisa estar em cláusula destacada das demais.
Além disso, não pode ser genérico e amplo demais – autorizações genéricas são nulas, diz a lei. É preciso ser claro e direto sobre quais informações pessoais serão coletadas e como esses dados serão usados. “Os textos devem ser mais curtos, mais didáticos. A tendência de setor é inclusive criar ícones para facilitar a compreensão”, explica Zanatta.
3) Só podem ser coletadas informações que tenham alguma finalidade e que sejam necessárias
Você instala um jogo de paciência que pede acesso a suas fotos, câmera ou email. Isso não é mais permitido pela lei de proteção aos dados pessoais.
Só podem ser coletadas informações que tenham alguma finalidade e que sejam necessárias para o fornecimento do serviço em questão – por exemplo, um app de transportes precisa da sua localização, um app de conversas em vídeo precisa de acesso a sua câmera, um app de segurança e criptografia pode precisar de acesso a sua digital. A regra é coletar o mínimo necessário.
“Para o cidadão, uma primeira mudança é que não vai ter mais pegadinha. Por exemplo, um teste de personalidade no Facebook, que coleta todos os seus dados na rede social para mostrar com que ator você se parece. Isso passa a ser ilegal. Um teste como esse é obrigado a limitar a coleta de dados pessoais ao mínimo necessário para fazer aquilo funcionar”, explica Zanatta.
4) Informações de raça, religião e preferência sexual exigem um consentimento específico
A lei prevê que algumas informações pessoais são sensíveis. Por exemplo, raça, religião, preferência sexual, dados referentes à saúde, biometria e dados da face ou informações genéticas. Caso alguma dessas informações venha a ser coletada, você precisa dar um consentimento específico, sendo informado do motivo pelo qual aquele dado será coletado e como será utilizado.
Ou seja, ninguém pode coletar essas informações apenas com um consentimento geral. Há algumas exceções, como dados necessários para criar políticas públicas.
5) Dados sensíveis, como perfil médico, não podem ser vendidos para outras empresas
Se você costuma fazer exames médicos no mesmo lugar, já pode ter reparado na quantidade de informações pessoais que ficam armazenadas: datas e tipos de exames realizados anteriormente, lista de medicamentos que estava tomando na última vez que foi examinado, peso e altura, endereço e telefone. Na farmácia, uma situação parecida: alguns laboratórios exigem um cadastro diferenciado para dar um desconto especial, que registra cada vez que você faz uma nova compra.
Já para o caso de estudos em saúde pública, órgãos de pesquisa poderão ter acesso a bases pessoais, desde que estritamente para estudos e pesquisas – e mantidos em segurança.
6) Coleta de dados de crianças e adolescentes só com aprovação do responsável
Crianças e adolescentes estão cada vez mais presentes nos meios digitais – às vezes, até mais que alguns adultos. A partir de 2020, qualquer coleta de dados de crianças e adolescentes só pode acontecer com consentimento do responsável.
“As crianças estavam sendo cada vez mais induzidas a passar seus dados para continuarem em um jogo. Com a nova lei, isso não é permitido”, afirma Zanatta.
Nenhuma entidade “deve condicionar a participação (de crianças e adolescentes) a jogos, aplicativos de internet ou outras atividades para o fornecimento de informações pessoais além das estritamente necessárias à atividade”, diz o texto da lei.
Além disso, a informação de qual dado é coletado das crianças e como são utilizados deve ser mantida pública.
7) É possível pedir acesso aos seus dados coletados, mudá-los ou excluí-los
Qualquer pessoa pode pedir, a qualquer momento, para ter acesso a todos os dados que uma empresa ou instituição pública mantém sobre si. A resposta deve ser gratuita e ser fornecida em até 15 dias.
Também pode pedir que os dados sejam corrigidos e até eliminados.
Além disso, pode questionar a finalidade da coleta dos dados, por quanto tempo serão mantidos e com quem são compartilhados. Pode, ainda, pedir que os dados sejam transferidos para outro prestador de serviço – por exemplo, do plano de saúde A para o B, da empresa de internet C para a D.
8) E no caso de vazamentos de dados ou danos?
Qualquer entidade que colete e armazene dados pessoais deve adotar medidas de segurança para protegê-los de acessos não autorizados.
Se ocorrer um incidente de segurança, as autoridades devem ser comunicadas – a lei cria um órgão específico, a Autoridade Nacional de Proteção de Dados, vinculada ao Ministério da Justiça. Se houve algum dano ao titular do dado pessoal, seja ele patrimonial, moral, individual ou coletivo, a lei prevê que haja reparação.
Caso descumpram a nova lei, as empresas e instituições estão sujeitas a multas de até R$ 50 milhões por infração. Também podem ser proibidas de continuarem coletando dados.
9) É possível pedir uma auditoria para verificar se uma decisão baseada em inteligência artificial foi discriminatória
A inteligência artificial é cada vez mais usada para analisar os dados armazenados sobre cada pessoa para sugerir algo. Quais páginas e amigos são recomendados para você nas redes sociais? Quais opções de emprego para seu perfil? Qual a linha de ônibus indicada, considerando sua localização? Qual investimento é recomendado para o seu perfil de gastos no cartão de crédito?
Caso um computador tome uma decisão automatizada sobre você, com a qual você não concorde, é possível pedir uma revisão, que seria feita por uma pessoa. Por exemplo, quando um banco ou um plano de saúde lhe nega acesso a um serviço, baseado na sua análise de dados, e você discorda da decisão.
“Os dados pessoais não podem ser utilizados em seu prejuízo”, diz o texto da lei aprovada no Senado.
Caso você não fique satisfeito, ainda é possível solicitar uma auditoria, que vai verificar se decisão foi baseada em aspectos discriminatórios – como gênero, opção sexual, raça, religião.
Fonte: https://www.bbc.com/portuguese/ e https://g1.globo.com/