Topo

Temer cria 'xerife da privacidade' para impor proteção de dados no Brasil

Brasil ganha Autoridade Nacional de Proteção de Dados - Getty Images
Brasil ganha Autoridade Nacional de Proteção de Dados Imagem: Getty Images

Helton Simões Gomes

Do UOL, em São Paulo

28/12/2018 12h41

O presidente Michel Temer criou a Autoridade Nacional de Proteção de Dados (ANPD), a entidade que vai funcionar como "xerife dos dados" no Brasil, já que ela é crucial para supervisionar a aplicação da lei brasileira de privacidade.

Vetada quando a Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto, a ANPD ganha vida agora, via Medida Provisória nº 869, publicada nesta sexta-feira (28) e que passa a valer imediatamente - já a LGPD só entra em vigor em agosto de 2020, para permitir que empresas, o poder público e a sociedade civil se adaptem a ela.

A MP altera substancialmente a forma como o órgão foi desenhado no projeto de lei aprovado pelo Congresso. A entidade originalmente era uma autarquia ligada ao Ministério da Justiça. Com isso, a ANPD se equipararia a instituições como a Agência Nacional de Telecomunicações (Anatel) ou o Conselho Administrativo de Defesa Econômica (Cade).

Na época, Temer vetou a autoridade com o argumento de que o Legislativo não tinha competência institucional para criar uma autarquia, que tivesse independência orçamentária e, portanto, criasse novas despesas.

Com a assinatura da MP 869, no entanto, a ANPD perde autonomia institucional, já que passa a ser um órgão vinculado à Presidência da República, ainda que tenha independência técnica. Outro detalhe é que o órgão é criado sem que haja aumento de despesas da União - os cargos serão remanejados de outras estruturas do Executivo.

Presidente Michel Temer - Marcelo Camargo/Agência Brasil
Presidente Michel Temer
Imagem: Marcelo Camargo/Agência Brasil

O "xerife da privacidade no Brasil" será, na prática, um conselho formado por cinco pessoas indicadas pelo presidente, que colherá a opinião de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por 23 integrantes.

Os escolhidos para a ANPD serão representantes dos setores privado e público, do Comitê Gestor da Internet (CGI) e de organizações da sociedade civil. O mandato desses primeiros diretores poderá ser de dois a seis anos - depois, passará a ser de quatro anos.

Dado não é roubado: o ano que nos obrigou a cuidar melhor dos nossos dados

Leia Mais

A ANPD terá o poder de criar normas para fazer a lei de proteção de dados valer e ainda determinar diretrizes específicas para empresas de setores que processam informações pessoais de brasileiros.

Ficará também a cargo da autoridade a fiscalização de desvios de conduta e a aplicação de multas - a punição financeira poderá chegar a 2% do faturamento desde que não ultrapasse os R$ 50 milhões.

Veja abaixo um pergunta e respostas sobre a LGPD:

O que é dado pessoal?

A nova lei caracteriza como dado pessoal toda informação que pode ser usada para identificar alguém. Nessa conta podem entrar nome e apelido, endereço de residência, endereço eletrônico, número de cartão de identificação, dados de localização (GPS, por exemplo), endereço de IP, histórico de navegação e até registros médicos.

Ela também trata dos dados pessoais sensíveis, que são informações sobre "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico".

Aquelas informações incapazes de serem usadas para identificar alguém, por terem sido tratados coletivamente pelas empresas para definir perfis de usuários, são chamadas de dados anonimizados. Ao contrário das duas categorias acima, nesta não é necessário que o usuário dê consentimento para as empresas e órgãos tratarem tais dados.

Posso usar seus dados?

Você é o produto: cada passo que você dá na web gera rastros e essas informações são usadas para te vigiar e influenciar o seu comportamento

Entenda

Os dados pessoais de uma pessoa no Brasil só poderão ser tratados, analisados ou manipulados por uma empresa que receber um consentimento explícito do titular. Não vale truque. Se o pedido não ficar claro, a autorização não vale. Além disso, esse aval pode ser revogado a qualquer momento.

Antes de ouvir o "sim", a empresa tem que informar com que finalidade pede os dados, por quanto tempo irá usá-los e quem as pessoas jurídicas responsáveis pelo processo. Todas as vezes que algum desses itens mudar, tem de pedir o consentimento novamente.

Vai usar meus dados para que?

Assim como a lei europeia, a legislação brasileira exige que as empresas coletem somente os dados necessários para que seus sistemas funcionem. Ou seja, nada de pedir seu tipo sanguíneo na hora de fazer um cadastro na loja de sapato.

Se a companhia não for específica no detalhamento, a autorização dada pelo titular do dado será anulada.

E os menores de idade?

Se uma empresa quiser tratar os dados pessoais de crianças e adolescentes, deverá buscar o consentimento específico dos pais ou responsáveis legais por eles. É responsabilidade dela garantir que foram os adultos que autorizaram o uso.

Posso alterar, excluir ou transferir meus dados?

GDPR: nova lei europeia fecha cerco à exploração de dados pessoais e influencia o comportamento das empresas por todo o mundo

Entenda

Outra novidade trazida pela lei é permitir que as pessoas tenham acesso a seus dados armazenados por empresas. Isso deve ser fornecido de forma simplificada e sem burocracia. Também é possível pedir para corrigir ou atualizar essas informações e até solicitar uma cópia da base de dados para transferi-la a outro fornecedor do serviço ou produto. Outra possibilidade é a de pedir a exclusão das informações.

E se eu não gostar de uma decisão automatizada?

Como algumas empresas usam os seus dados pessoais para criar sistemas que definem automaticamente que tipo de acesso você poderá ter a serviços ou produtos, será possível pedir uma revisão dessa análise. Isso será possível desde que as decisões "afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade".

E qual a punição para infratores?

Caso não cumpram as regras ou reparem o dano de quem teve algum dado vazado, as empresas infratoras podem ser obrigadas a pagar multa de até 2% do faturamento, desde que o valor não passe de R$ 50 milhões.

O governo pode compartilhar meus dados com quem quiser?

O poder público não pode transferir a empresas privadas os dados pessoais que estejam em suas bases, a não ser em casos da atividade pública previstos na Lei de Acesso à Informação; e quando os dados em questão já são acessíveis publicamente.

A proposta original da lei ainda previa outra exceção: quando houvesse previsão legal, mas isso também foi vetado. O governo afirmou que isso inviabilizaria o setor público, já que procedimentos como a folha de pagamento dos servidores em bancos, que se encaixariam nisso, estavam previstos em atos normativos, e não em lei.

Podem levar meus dados para fora do país?

Como a internet não tem fronteira, a nova lei definiu que será permitido transferir informações pessoais que estejam no Brasil para outro país em apenas duas condições. A primeira: caso o país ou organização de destino tiverem grau de proteção de dados pessoais adequados ao do Brasil. O segundo: quando a empresa que receber os dados der garantias de que cumpre os mesmos princípios estabelecidos pela lei brasileira.

Mais Dados