Leonardo Valle

Maria mal havia solicitado aposentadoria quando recebeu a ligação de uma empresa oferecendo crédito consignado para aposentados. José, que possui um empréstimo em um banco público, recebeu a ligação de um banco privado propondo renegociar sua dívida. Clara tem dez anos e recebe anúncios publicitários de brinquedos, baseados na sua navegação online.

Os três exemplos fictícios apresentam, em comum, o mesmo princípio: a coleta, o tratamento e o uso de dados pessoais por empresas sem o conhecimento ou autorização do cidadão. Prática que a Lei Geral de Proteção de Dados Pessoais (PL 53/2018), sancionada pelo governo federal na terça-feira (15/8), passa a coibir. A medida, que entrará em vigor daqui um ano e meio, é inspirada em uma legislação semelhante da União Europeia (General Protection Regulation – GDPR).

“A lei ajuda a entender que a noção de registro digital não é abstrata. Do cadastro da farmácia ao RG apresentado na entrada de um prédio, tudo gera dados. Por sua vez, empresas vendem esses bancos de dados para outras sem o conhecimento do cidadão. E ele não enxerga como um direito seu a proteção das suas informações pessoais”, resume o diretor da Safernet Brasil Rodrigo Nejm. “A regularização é urgente, já que cada vez mais aplicativos coletam dados e caminhamos para uma realidade da Internet das Coisas, onde objetos da casa estão conectados online e colhem informações sobre seus usos o tempo todo”, adverte.

Transparência e segurança

De acordo com a nova lei brasileira, para coletar e tratar um dado, a empresa necessita do consentimento do titular. “A autorização deve ser clara sobre o que está sendo coletado e como esse dado será usado. Não poderá ser uma nota de rodapé, com letra pequena e informações genéricas”, assinala o presidente da Safernet, Thiago Tavares.

Caso a coleta de dado seja autorizada pelo usuário, as empresas devem garantir a segurança dessas informações pessoais. Vazamento e venda de banco de dados, a transferência de bancos de dados do setor público para o privado, assim como o uso das informações cooptadas para outra finalidade que não aquela autorizada, ficam proibidas. “A pessoa pode solicitar instruções sobre a forma e a duração do tratamento, assim como a remoção do seu dado”, acrescenta Nejm. Já dados de adolescentes e crianças precisarão ser autorizados por seus responsáveis. “Uma vez que não são sujeitos com capacidade para escolhas conscientes”, lembra Tavares.

A lei ainda proíbe o tratamento dos dados pessoais para a discriminação do cidadão em relações comerciais ou seleção de emprego. Isso impede, por exemplo, que informações como filiação política, prática religiosa, orientação sexual, quantidade de filhos, desempenho em provas e outras sejam acessadas e usadas como critérios de seleção.

“Muita gente pensa ‘eu não sou criminoso, não preciso esconder meus dados’. Contudo, um sujeito pode estar fadado a não ter emprego se a empresa acessar dados pessoais dele e não os julgar interessantes”, alerta Nejm.

Por fim, a legislação também regulará a cooptação de dados por aplicativos de smartphones. “Muitos apps pedem acesso a dados pessoais em uma quantidade superior ao que precisam para operar. Ou seja, o usuário poderá autorizar o acesso a dados apenas necessários para o seu funcionamento, nada além disso”, lembra o sociólogo e professor da Universidade Federal do ABC (Ufabc) Sergio Amadeu da Silveira.

De acordo com Silveira, a lei reúne um caráter de proteção ao cidadão, inclusive em relação a questões econômicas. “É como se o vizinho descobrisse que você está sem dinheiro e propusesse comprar seu carro por um valor abaixo do que vale. Basicamente, quando uma empresa sabe tudo sobre você e você nada sobre ela, as negociações serão injustas”, lembra.

Vetos prejudicaram

O texto aprovado pelo Senado continha a criação de um órgão regulador e de fiscalização: a Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça. Porém, o presidente Michel Temer vetou a iniciativa quando sancionou a lei, alegando que a Constituição proíbe a criação de despesas que onerem o orçamento público que não partam do Poder Executivo.

“Ele suprimiu a autoridade aprovada na lei. Ocorre que, sem a autoridade de proteção de dados, você tem grande dificuldade de fazer valer a lei aprovada. Há uma serie de detalhes técnicos: a complexidade do assunto e a forma de atuação que os brokers de dados [que compila e comercializa informações extraídas da internet] que exigem autoridade e conhecimentos específicos. Isso ficaria centralizado e uniformizado se tivesse uma fiscalização, não pulverizado em instâncias nacionais, estaduais e municipais”, analisa Silveira.

“A autoridade também poderia bloquear e anular atividades consideradas ilegais pelas empresas financeiras ou de marketing digital, o que ocorre na legislação europeia. Mas não será mais possível”, lamenta.

Temer vetou ainda a paralisação e suspensão das atividades de tratamento de dados de empresas que descumprissem a legislação e, o dispositivo que obrigava empresas do setor público a avisar o cidadão quando dados pessoais fossem compartilhados entre elas.

Crédito positivo

A Lei de Proteção de Dados abre uma brecha ao Projeto de Lei do Cadastro Positivo (PL 441/2017), que transita na Câmara dos Deputados. O texto do Cadastro Positivo sugere a criação de um cadastro de “bons pagadores”, permitindo a inclusão automática do nome do cidadão, sem possibilidade de remoção, e o compartilhamento do banco de dados entre financeiras.

“As duas leis são antagônicas. Mas a Lei de Proteção de Dados abre uma porta ao Cadastro Positivo porque diz, basicamente, que a cooptação de dados relacionados ao crédito pode ser regulada por legislações futuras sobre o tema”, contextualiza Silveira. “Esse é um campo de disputas: quanto mais o cidadão tem direito à privacidade, mais o mercado perde espaço. E vice-versa. Será necessário buscar esse equilíbrio”, pondera.

Crédito da imagem: anyaberkut – iStock