Proteção de dados pessoais em avanço
Regulamentação europeia sobre o tema entra em vigor em maio e traz reflexos à forma como empresas e instituições brasileiras devem lidar com dados pessoais
Próximo domingo, dia 28, será o Dia Internacional de Proteção de Dados Pessoais. A data foi criada há 12 anos pelo Conselho Europeu e Comissão Europeia para propiciar a conscientização sobre o uso, a coleta e o processamento dos dados pessoais, e os direitos em relação a esse tratamento. No Brasil, ainda não há uma lei específica sobre o tema. No momento, há três projetos de lei que tratam da proteção de dados pessoais em andamento: o PL 4060/2012, o PL 330/2013 e o PL 5276/2016.
Em 25 de maio, entra em vigor uma nova regulamentação na União Europeia (UE), a GDPR (General Data Protection Regulation), que se torna obrigatória para todos os países signatários da UE. Segundo Márcio Chaves, advogado especialista em Direito Digital e sócio do escritório Patricia Peck Pinheiro Advogados, de São Paulo, a União Europeia possui uma discussão muito madura em relação à proteção de dados pessoais. Data de 1995, quando foi aprovada a Diretiva de Proteção de Dados (Data Protection Directive). A nova regulamentação traz inovações e avanços à questão da proteção de dados, como o tratamento da proteção de dados como um padrão, a garantia da necessidade de consentimento expresso do usuário para o uso de suas informações, e a possibilidade de portabilidade de dados. A GDPR é tema do Comitê PrivacyBR, criado pelo PPP Advogados para discutir questões relacionadas à proteção de dados pessoais e da qual participam 40 empresas.
Os projetos de lei brasileiros, segundo Chaves, se inspiram nas leis europeias sobre proteção de dados pessoais. E mesmo que os PLs ainda não tenham sido aprovados, as novas regras europeias já têm reflexo no Brasil. Isso porque a regulamentação da União Europeia se aplica a todos os cidadãos europeus, estejam eles em solo europeu ou não (leia mais no box).
Na visão do advogado, uma das principais inovações da GDPR é a “Privacidade por Padrão” (“Privacy by Design”), ou seja, o tratamento da proteção de dados como um padrão já no projeto do desenvolvimento de sistemas, e não como um “adicional” (leia mais no quadro).
AUTONOMIA Para Chaves, a regulamentação europeia também dá mais autonomia e direitos a titulares de dados. “Isso não significa que não se pode coletar dados. A tendência é utilizar cada vez mais dados para melhorar serviços e oferecer novas funcionalidades.” O advogado explica que a regulamentação deixa clara a necessidade de consentimento do usuário para o uso de seus dados, e permite a portabilidade das informações quando o usuário resolver trocar de fornecedor de serviços. Exemplo são ferramentas de customização, que coletam dados para entender a rotina do usuário. Será possível fazer a portabilidade de dados de uma ferramenta para a outra sem precisar começar tudo de novo, do zero.
A GDPR cria, ainda, um órgão específico para a fiscalização de dados. “No Brasil temos uma legislação esparsa, e não temos um órgão centralizador, o que faz esse tipo de fiscalização difícil, bem como a aplicação de penalidades”, comenta Chaves. A regulamentação também exigirá comprovações do cumprimento da lei pelas empresas, ou “compliance”. Esse item será positivo para as empresas, que poderão comprovar que estão cumprindo a lei e evitar fiscalizações mais aprofundadas ou atenuar a aplicação de puniçõe.