A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse” desses. Estabelece, no entanto, que esse reúso só pode ocorrer em uma situação concreta, em serviços que beneficiem o titular e com dados “estritamente necessários”, respeitando os direitos dele.
“Não é possível prever todas as situações, especialmente quando se trata de tecnologia. Por isso, é fundamental a previsão de uma norma fluida como o legítimo interesse, capaz de se adaptar às evoluções tecnológicas. Esse conceito indeterminado é justamente o que impedirá que a lei se torne obsoleta diante do usos novos dos dados, inimagináveis hoje”, observa Fabiano Barreto, especialista em política e indústria da Confederação Nacional da Indústria (CNI).
Direitos
De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento.
O titular terá ainda direito à portabilidade de suas informações, assim como ocorre com número de telefone. A autoridade regulatória, se criada, deve definir no futuro como isso será feito. Mas a possibilidade de levar os dados consigo é importante para que uma pessoa possa trocar de aplicativo sem perder seus contatos, fotos ou publicações.
Outra garantia importante é a relativa à segurança das informações. Os casos de vazamento têm se multiplicado pelo mundo, atingindo inclusive grandes empresas, como a Uber. Além de assegurar a integridade dos dados e sua proteção contra vazamentos e roubos, as empresas são obrigadas a informar ao titular se houve um incidente de segurança. No caso envolvendo o Facebook e a empresa Cambridge Analytica, por exemplo, a empresa norte-americana teve conhecimento há anos do repasse maciço de informações, mas foi comunicar aos afetados somente meses atrás.
A lei entra em uma seara importante, na decisão por processos automatizados (como as notas de crédito). “Há também o direito à revisão de decisões tomadas com base no tratamento automatizado de dados pessoais que definam o perfil pessoal, de consumo ou de crédito. A Autoridade Nacional de Proteção de Dados também terá o papel de realizar auditorias para verificação de possíveis aspectos discriminatórios nesse tipo de tratamento”, destaca Rafael Zanatta, do Instituto de Defesa do Consumidor (Idec).
O texto listou garantias específicas para crianças e pessoas com idade até 12 anos. A coleta fica sujeita a uma série de restrições, deve ser informada de maneira acessível para esse público e fica condicionada à autorização de pelo menos um dos pais. “Para as famílias, isso significa ter, finalmente, uma forma de garantir que não estão usando dados de seus filhos de forma não autorizada. Isso é fundamental. Afinal, as crianças estão em um processo peculiar de desenvolvimento e, por isso, são mais vulneráveis”, afirma Pedro Hartung, do Instituto Alana, organização voltada à defesa dos direitos de crianças e adolescentes.
Negócios
Ao estabelecer garantias e responsabilidades às empresas, a lei vai ter impacto importante nos negócios realizados no Brasil e com parceiras estrangeiras. A primeira mudança é que, com sua aprovação, o país passa a atender a exigências de outros países e regiões, como a União Europeia. Sem isso, as empresas nativas poderiam ter dificuldades para fechar negócios.
Na avaliação do coordenador da área de direito digital da firma Kasznar Leonardos Advogados, Pedro Vilhena, as empresas deverão passar por um processo de adaptação. Elas tendem a racionalizar a coleta, uma vez que passarão a estar suscetíveis a sanções por parte da autoridade regulatória. De acordo com o texto, as penalidades poderão chegar a R$ 50 milhões.
“O valor de R$ 50 milhões é considerável para algumas, mas, para outras, é irrisório. A principal sanção é a proibição de tratamento de dados. Algumas empresas podem ter que deixar de operar porque não cumpriram obrigações da lei”, destaca Vilhena.
Autoridade regulatória
O detalhamento de boa parte dessas regras, direitos e responsabilidades depende da autoridade regulatória prevista no texto. Ela poderá definir parâmetros (como as exigências mínimas de segurança), realizar auditorias, solicitar relatórios de impacto à proteção de dados e será a responsável por fiscalizar e definir possíveis punições.
Contudo, sua criação vem sendo alvo de polêmica. Segundo o professor de direito da Universidade Mackenzie e fundador da organizaçao Data Privacy Brasil Renato Leite, há questionamentos no Executivo tanto de caráter jurídico quanto político e orçamentário. Mas a não criação da autoridade, alerta o especialista, pode afetar duramente a efetividade da lei. “Termos a regra sem uma autoridade que faça a sua aplicação é abrir espaço para uma grande chance de insucesso. É o risco de ser uma lei que na prática ´não pegue´”.
Fonte: Agência Brasil