(Pexels/Divulgação)
Depois de intensas disputas, a Lei Geral de Proteção de Dados (Lei 13.709) começará a valer em setembro. A norma, que rege a coleta e o tratamento de dados, trará impactos para cidadãos, empresas e entes públicos. Mas entidades se preocupam pelo fato do órgão responsável pela fiscalização da sua aplicação, a Autoridade Nacional de Proteção de Dados, ainda não ter sido criada pelo governo.
O início da vigência ocorre após uma nova tentativa de adiamento ser derrotada no Senado. A LGPD foi aprovada em agosto de 2018 mas com um tempo de adaptação de dois anos. A Medida Provisória 959, cuja finalidade era tratar de procedimentos para o pagamento do Benefício Emergencial, incluiu a prorrogação do início da vigência deste mês para o ano que vem. Ela foi aprovada na Câmara com apoio de diversos segmentos empresariais (como empresas de tecnologia e de comunicação) e do governo federal.
Mas uma questão regimental foi levantada pelo senador Eduardo Braga (MDB-AM) que impedia a votação do adiamento uma vez que o tema havia sido tratado pela Casa Legislativa em outra matéria. Com isso, a tentativa ficou prejudicada. Mas ficou valendo ainda a mudança do PL 1.179 de 2020 segundo a qual as sanções só poderão ser aplicadas no ano que vem.
A LGDP disciplina os direitos dos indivíduos relativos a suas informações pessoais e de que maneira empresas e entes públicos podem coletar e tratar esses registros. Assim, o início da vigência da norma implica que as pessoas terão novas garantias sobre as diversas práticas de tentativa de obtenção de seus dados, tão comuns hoje em dia.
Para fiscalizar seu cumprimento e definir normas infralegais, foi prevista a figura da Autoridade Nacional de Proteção de Dados, vinculada à Presidência da República. Contudo, o órgão não foi criado de fato pelo Executivo até agora. No dia seguinte à votação no Senado, o Planalto editou decreto com a estrutura do órgão, mas ainda sem designar seus conselheiros e presidente, o que ainda o deixa “no papel”.
Cidadãos
No caso dos cidadãos, a mudança é a previsão dos direitos instituídos na lei. Para além do consentimento, os indivíduos passam a poder pedir informações sobre a guarda e manejo de seus registros, bem como a correção destes ou até mesmo a revogação da autorização.
Um dos desafios é a criação de uma cultura de proteção de dados, com os cidadãos conhecendo o que podem fazer e recorrendo aos órgãos competentes para denunciar abusos e fazer valer seus direitos.
Empresas
Já as empresas terão mais responsabilidades, como obter consentimento do titular, dar transparência às suas práticas de tratamento e assegurar níveis de segurança da informação para evitar vazamentos.
Na avaliação da consultoria Cosin, há muitas empresas que ainda não adotaram medidas suficientes para se adaptar às novas regras. "As empresas ainda têm muita dificuldade na gestão de dados, com áreas ou processos inteiros sem os cuidados básicos", afirma Maria Fiorentino, gerente da Cosin Consulting. Entre os problemas está a ausência de estruturas e processos de proteção de dados, bem como de um responsável pela área.
Na avaliação da Confederação Nacional da Indústria (CNI), a ausência da ANPD cria uma insegurança jurídica com o início da vigência da LGPD. “Com a entrada imediata em vigor, centenas de milhares de micro e pequenas empresas terão que direcionar seus recursos numa adequação que poderia ser dispensada ou, no mínimo, simplificada. São recursos escassos devido à redução da atividade econômica, que mereciam ser alocados em medidas que promovam a sobrevivência das empresas e a manutenção de empregos”, reclamou a entidade em comunicado.
ANPD
A representante da Coalizão Direitos na Rede, que reúne entidades de defesa dos usuários de Internet Bruna Santos, também ressalta a importância da implantação da ANPD. Ela entende que o desafio é garantir que as nomeações dos diretores compreendam o tema e estejam a altura das tarefas deste assunto complexo. A representante da Coalizão acrescenta que o decreto trouxe problemas no caso do Conselho Nacional de Proteção de Dados, órgão com representação de diversos segmentos auxiliar à ANPD.
Pelo decreto do governo, os representantes serão escolhidos pela direção da ANPD, a partir de uma listra tríplice. “A submissão de nomes da sociedade civil ao conselho diretor pode comprometer a representação da sociedade. Precisamos avançar para que o órgão multissetorial funcione como foi apontado na lei”, ressalta.
Direitos e deveres
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de “dado sensível”, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Mas quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para segurança pública.
Ao coletar dados, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei. A lei previu uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse” desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.
De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).