“Tecnologia chegou e sua expansão foi gigantesca. Hoje temos muito mais acesso e mais opções de aplicativos. É uma ferramenta útil, mas que ao mesmo tempo requer uma regulamentação. Na atualidade, as maiores empresas do planeta coletam dados, é como um petróleo monetizado. Você tem um perfil nas redes sociais, tão logo, os sites de compras já lhe apresentam opções com base em suas postagens. Mas, até que ponto isso é bom? A LGPD não veio para impedir o uso da tecnologia; ela veio para regimentar”, disse Flávio Araújo Medeiros, em entrevista à CBN Vale do Iguaçu.
O advogado no Vale do Iguaçu, pós-graduado em Direito Empresarial, também em Direito Digital e Proteção de Dados, membro da Associação Nacional dos Profissionais de Privacidade de Dados e membro do Comitê de Privacidade e Proteção de Dados, explica que a Lei de Proteção de Dados, conhecida por LGPD, não é nova na área da privacidade, pois citou o *Código de defesa do Consumidor, o *Cadastro Positivo e o *Marco Civil da Internet, como referências mais amplas acerca do tema; porém a LGPD tende a ser mais específica.
Aprovada em 18 de setembro de 2018, após discussões de anos, a LGPD coloca o Brasil ao lado de mais de 100 países onde há normas específicas para definir limites e condições para coleta, guarda e tratamento de informações pessoais. A fiscalização tende a ficar a cargo da Autoridade Nacional de Proteção de Dados (ANPD).
Conforme o advogado, a lei disciplina um conjunto de aspectos, como definição de categorias de dados, fixa as hipóteses de coleta e tratamento de dados, traz os direitos dos titulares de dados, detalha condições especiais para dados sensíveis e segmentos (como crianças), estabelece obrigações às empresas, institui um regime diferenciado para o Poder Público, coloca sanções em caso de violações e prevê a criação de uma autoridade nacional.
“Dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada a categoria ‘dado sensível’, com informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual”, explica Flávio.
Ainda, segundo ele, registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
A LGPD lista um conjunto de sanções para o caso de violação das regras previstas, como advertência, com possibilidade de medidas corretivas; multa de até 2% do faturamento com limite de até R$ 50 milhões; bloqueio ou eliminação dos dados pessoais relacionados à irregularidade, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total da atividade de tratamento.
Quem fica sujeito à lei?
Conforme destacou a Agência Brasil, todas as atividades realizadas ou pessoas que estão no Brasil. A norma vale para coletas operadas em outro país, desde que estejam relacionadas a bens ou serviços ofertados a brasileiros, ou que tenham sido realizadas aqui.
Mas há exceções. É o caso da obtenção de informações pelo Estado para segurança pública, defesa nacional e investigação e repressão de infrações penais. Essa temática deverá ser objeto de uma legislação específica. A lei também não se aplica a coletas para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos e acadêmicos.
O que diz o artigo 10 da lei?
Garante a possibilidade de um uso distinto daquele informado na coleta, situação denominada de “legítimo interesse”. É um caso muito usado pelas empresas, no qual a norma exige a adoção de medidas de transparência e que nessa finalidade adicional sejam utilizados os dados estritamente necessários.
Os dados sensíveis têm regras específicas de tratamento. A Autoridade Nacional pode regulamentar ou vetar o emprego destes para vantagem econômica. No caso da saúde, tal finalidade é proibida, mas com diversas exceções, como prestação de serviços, assistência farmacêutica e assistência à saúde.
Direitos
É possível, por exemplo, revogar a qualquer momento o consentimento fornecido. Quando há uso dos dados para uma nova finalidade (na situação de “legítimo interesse”), o controlador deve informar o titular sobre esse novo tratamento, podendo o titular revogar o consentimento. Também é previsto a este acesso facilitado a informações sobre o tratamento, como finalidade, duração, identificação do controlador (incluindo informações de contato) e responsabilidade de cada agente na cadeia de tratamento.
A pessoa pode requisitar da empresa a confirmação da existência do tratamento, o acesso aos dados (saber o que uma companhia tem sobre ela), correção de registros errados ou incompletos, eliminação de dados desnecessários, portabilidade de dados a outro fornecedor, informação sobre com qual entidade pública aquela firma compartilhou as informações (com um ente governamental, polícia, ou Ministério Público, por exemplo).
Obrigações das empresas
Ao coletar dados, as empresas devem informar a finalidade. A lei previu uma série de obrigações para elas, que têm de manter registro sobre as atividades de tratamento, de modo que possam ser conhecidas mediante requerimento pelos titulares ou analisadas em caso de indício de irregularidade pela Autoridade Nacional. Quando receberem um requerimento do titular, a resposta às demandas tem de ser dada em até 15 dias. Cabe aos controladores indicar um encarregado pelo tratamento. As informações sobre este deverão ser disponibilizadas de forma clara, como nos sites das companhias.
Poder Público
A lei dispensa o consentimento no tratamento de dados para políticas públicas previstas em leis, regulamentos e contratos. É permitido também o uso compartilhado de dados por entes públicos, desde que respeitados os princípios previstos na norma. Uma obrigação é que cada órgão informe as hipóteses de tratamento de dados, incluindo a base legal, a finalidade e os procedimentos empregados para tal.
Órgãos públicos ficam proibidos de passar dados a entes privados, com exceção de quando estes forem acessíveis publicamente (como em cadastros disponíveis na Internet) ou no caso de execução de uma política pública de forma descentralizada.
As empresas públicas (como Petrobras, Correios e Banco do Brasil) têm as mesmas obrigações dos entes privados quanto atuam em concorrência no mercado, mas podem fazer jus às regras próprias do Poder Público quando estiverem operacionalizando políticas públicas.
Uso indevido de dados – Confira algumas das situações
- Campanha de Trump
Em março de 2018, o Facebook anunciou o banimento da empresa Strategic Communication Laboratories (SLC) de sua plataforma após acusá-la de violar a sua política de privacidade. Por meio de sua firma de análise de dados, a Cambridge Analytica, a companhia teve acesso a dados privados de 50 milhões de usuários da rede social a fim de direcionar propaganda política durante a campanha de Donald Trump à presidência dos Estados Unidos.
Um dos principais investidores da Cambridge Analytica é o bilionário Robert Mercer, apoiador de Trump e conhecido por financiar causas e ativistas conservadores e de extrema-direita. Além disso, a empresa é liderada por Steve Bannon, principal assessor de Trump durante a sua campanha, conselheiro sênior e estrategista-chefe da Casa Branca até agosto de 2017.
A violação tem origem no estudo conduzido pelo professor de psicologia da Universidade de Cambridge (que não tem qualquer relação com a empresa) Aleksandr Kogan. Em 2015, ele lançou um aplicativo que pagava usuários do Facebook para obter acesso às suas informações para fins supostamente acadêmico e, com isso, obteve acesso a dados privados de cerca de 270 mil pessoas.
- Eleições municipais 2020
O ataque hacker ao Tribunal Superior Eleitoral também conseguiu acessar dados de 2020 relativos a informações de funcionários do tribunal. Inicialmente, acreditava-se que o ataque havia obtido acesso apenas a informações do período entre 2001 e 2010 relativos a dados funcionais de ex-ministros e servidores. A informação sobre a extensão do ataque foi primeiramente publicada pelo jornal O Globo. Ainda não há precisão sobre a data e o caso segue em apuração.
- Embraer sofre ataque ‘hacker’
A Empresa Brasileira de Aeronáutica S.A informou em dezembro de 2020 em reportagem para O GLOBO, que sofreu um ataque hacker, o que teria resultado “na divulgação de dados supostamente atribuídos à companhia na madrugada de 30 de novembro”. Na ocasião, foi apurado que se tratou de um ransomware, tipo de ataque que restringe acesso a sistemas e que cobra um resgate de quem foi invadido. Segundo a empresa, os hackers teriam tido acesso, de acordo com a Embraer, a “apenas um ambiente de arquivos da companhia”. A fabricante de aeronaves não relevou, que tipo de informações foram vazadas.
- Ministério da Saúde
Uma nova falha do Ministério da Saúde expôs dados de cerca de 243 milhões de brasileiros na internet, de acordo com o jornal O Estado de S. Paulo, em 2 de dezembro de 2020. Na ocasião, o Ministério disse em nota que houve exposição de base cadastral, mas que não houve acesso às informações. O número de registros expostos é maior que o da atual população brasileira porque há também informações de pessoas que já morreram. Desde junho, os sistemas da pasta já mostravam fragilidade de proteção a dados.
Saiba Mais
*Código de Defesa do Consumidor: É uma lei abrangente (Lei n. 8.078/90) que trata das relações de consumo em todas as esferas: Penal: Crimes e punições para fornecedores de produtos e serviços que desrespeitem os direitos do consumidor.
*Cadastro Positivo Serasa: É um jeito de mostrar para os bancos, lojas e empresas a sua boa reputação como pagador. O cadastro positivo também ajuda as pessoas que nem sempre têm como comprovar renda, mas que nem por isso deixam de pagar suas contas em dia.
*Marco Civil da Internet: Lei nº 12.965/14, tem como objetivo estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil, bem como regular como se daria nesse contexto a atuação da União, dos Estados, do Distrito Federal e dos Municípios.
O que é a privacidade na Internet?
É a habilidade de uma pessoa em controlar a exposição e a disponibilidade de informações seja dela, de um conhecido ou até mesmo de um desconhecido, na internet, através dos sites de compartilhamento e redes sociais.