O uso, a proteção e a transferência de dados pessoais

Muito se fala em segurança digital ou da informação, contudo, nos últimos anos a área do business têm se utilizado da mineração de dados para projeção comercial tornando-se um fator indispensável e de concorrência. Tudo isso sem a mínima ética.

proteção2

O mercado mundial de big data e analitycs prevê movimentar cerca de U$42 bilhões em 2018. Essa crescente demanda no uso de tecnologias inteligentes nos negócios, baseado na transformação digital, tem despertado vários dilemas éticos de como manusear e proteger os dados.

Por isso, foi editada a General Data Protection Regulation (GDPR), um novo regulamento da União Europeia que vai mudar significativamente as obrigações de empresas que lidam com dados de pessoas que sejam residentes na União Europeia. O intuito da mudança é aumentar a privacidade desses indivíduos online.

O novo regulamento vale para toda empresa que processar ou armazenar dados pessoais de qualquer residente na UE, independentemente de onde se encontre. Ou seja, mesmo que sua empresa esteja no Brasil, precisa estar de acordo com a nova regulamentação caso tenha dados pessoais de contatos em Portugal, Espanha, França ou qualquer outro país da UE.

Mas o que são esses dados pessoais? O GDPR considera que são quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. Alguns exemplos são nome, endereço físico, e-mail, endereço de IP, dados financeiros, dados de comportamento em páginas da web e outras informações semelhantes.

No Brasil, o Marco Civil da Internet ajudou os usuários na relação com os vazamentos de dados e abusos cibernéticos. Por meio da Secretaria Nacional de Defesa do Consumidor (Senacon), por exemplo, a Oi, operadora de telefonia, recebeu uma multa de quase R$ 4 milhões pela Velox por direitos à privacidade em 2014 e despertou diversos problemas em relação ao compartilhamento de dados.

O Senado aprovou projeto de marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil que garante maior controle dos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.

O PLC 53/2018 proíbe, entre outras coisas, o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva. Esse tratamento é o cruzamento de informações de uma pessoa específica ou de um grupo para subsidiar decisões comerciais (perfil de consumo para divulgação de ofertas de bens ou serviços, por exemplo), políticas públicas ou atuação de órgão público.

O texto prevê a criação de um órgão regulador: a Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça. A proposta ainda determina punição para infrações, de advertência a multa diária de até R$ 50 milhões, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

proteção3

A lei será aplicável mesmo a empresas com sede no exterior, desde que a operação de tratamento de dados seja realizada no território nacional. Segundo alguns senadores, o marco legal será o ponto de partida para a implementação de uma estratégia social que coloque o indivíduo no controle efetivo dos seus dados pessoais perante terceiros.

Eles lembraram que na América do Sul e no Mercosul todos os países já contavam com lei que protege a intimidade, a privacidade das pessoas, estabelecendo regras, limites, diretrizes, responsabilidades e penalidades objetivas e solidárias. Aquilo que acontece e que deve acontecer na relação individual do dia a dia, que é o respeito ao próximo, entendendo o princípio básico de que o meu direito termina onde começa o direito do meu semelhante, deve também ser uma premissa da internet. E é isso que se está estabelecendo com a provação do projeto.

proteção4

A proposta pretende garantir maior controle dos dados pessoais dos cidadãos brasileiros. Também exige que o usuário informe se quer ou não suas informações compartilhadas com bancos de dados e até mesmo excluir essas informações.

Fica proibido o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva. Esse tratamento é o cruzamento de informações de uma pessoa específica ou de um grupo para subsidiar decisões comerciais (perfil de consumo para divulgação de ofertas de bens ou serviços, por exemplo), políticas públicas ou atuação de órgão público.

Importante lembrar que partir da aprovação da lei europeia, as empresas brasileiras que trabalham, coletam ou acessam dados de estrangeiros podem ser acionadas judicialmente, caso a informação esteja dentro do âmbito territorial do GDPR. Como o Brasil não possui uma legislação de proteção de dados similar ou compatível com o GDPR, as empresas que armazenam e processam dados de estrangeiros, precisam realizar um projeto de conformidade profundo em suas estruturas de software, gestão, segurança e infraestrutura.

O GDPR introduziu sanções, as quais podem chegar até 2% das receitas de negócios anual global ou multa de mais de 10 milhões de euros (o que for maior) e em alguns outros casos estas sanções podem ir até 4% das receitas de negócios anual global ou 20 milhões de euros (o que for maior), as quais independem das medidas corretivas que podem ser impostas pelas autoridades supervisoras.

Já a lei brasileira determina que o uso dos dados exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa. O tratamento das informações também será permitido se estiver dentro das hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.

Pelo que foi aprovado, as empresas deverão: coletar somente os dados necessários aos serviços prestados; informar, com linguagem compreensível, a política de proteção de dados (os clientes que tiverem dados invadidos deverão ser notificados imediatamente); preservar a privacidade das pessoas, inclusive na internet.

Além disso, os dados de crianças só poderão ser tratados com o consentimento dos pais; as informações sobre a saúde das pessoas poderão ser utilizadas apenas para pesquisa. Será obrigatória a exclusão dos dados após o encerramento da relação entre o cliente e a empresa.

Os titulares das informações poderão, ainda, corrigir dados que estejam de posse de uma empresa. A transferência de dados pessoais só poderá ser feita a países com nível adequado de proteção de dados ou se a empresa responsável pela transferência garantir os princípios da lei brasileira.

Pela proposta aprovada, as empresas serão responsáveis se vazarem dados dos clientes ou se as fornecedoras tiverem as bases comprometidas. O projeto estipula multa de até 2% do faturamento da empresa que descumprir as regras, limitada a R$ 50 milhões por infração

Hayrton Rodrigues do Prado Filho

hayrton@hayrtonprado.jor.br



Categorias:Editorial

Tags:, , , ,

Deixe uma resposta

%d blogueiros gostam disto: