Tal como o Código de Defesa do Consumidor, a Lei de Dados Pessoais , quando entrar em vigor, no início de 2020,
terá aplicação geral para todas as áreas que dependem de informações das
pessoas, seja uma rede de farmácias, um aplicativo de namoro ou um
“tracker” de corrida.
A lei abordará o tratamento de dados pessoais (todas as informações
relacionadas à pessoa natural identificada ou identificável), inclusive
nos meios digitais, por indivíduos e entidades públicas e privadas.
Adavogados afirmam que a linha mestra é a garantia da liberdade, mas a base é a transparência.
Ou seja, essas novas regras vêm com um escopo de permitir que a livre
iniciativa possa inovar desde que siga uma cartilha de valores que
estejam condizentes com o respeito aos direitos humanos fundamentais. Um
dos fatores que pressionou essa corrida legislativa em vários países
foi a entrada em vigor do General Data Protection Regulation (GDPR) na
União Europeia, em maio deste ano.
O cidadão será proprietário da sua própria
informação e poderá negociá-la livremente. O governo e as empresas poderão
tratar dados, mas o indivíduo terá sempre o direito de saber quais dados estão
sendo coletados, para quais finalidades, e com quem estão sendo compartilhados.
O Instituto Brasileiro de Defesa do Consumidor – Idec preparou uma lista com as dez principais coisas que mudarão no dia a dia com a nova legislação.
1. O fim dos “termos de uso que ninguém lê”
A
lei proíbe aqueles “textões” incrivelmente chatos que ninguém lê ao
começar a usar um aplicativo. Proíbe também termos de uso generalistas,
que permitem coletar todos os tipos de dados para fins de “melhoria dos
serviços” e “compartilhamento com terceiros”.
Com a nova
legislação, a permissão do usuário precisa ser específica e “granular”,
ou seja, precisa estar atrelada a cada tipo de utilização dos dados
pessoais. Além disso, o consentimento pode ser por vídeo e outras formas
mais interativas, por meio de ícones e comunicação com robôs.
2. Mais controle do usuário sobre seus próprios dados
A
nova lei cria um “pacote de direitos” para o cidadão. Após consentir
com a coleta de informações pessoais, ele passa a ter controle dos
próprios dados, com direitos de modificação de informações erradas,
oposição de coleta de informações sensíveis (religião, por exemplo) e
revisão de decisões tomadas de maneira automatizada.
3. Mais controle sobre como farmácias usam seu CPF e dados de saúde
O
cidadão deve ser informado da finalidade da coleta e da existência ou
não de tratamento desses dados, para, então, poder tomar a decisão
acerca do seu consentimento para o tratamento dos seus dados.
Além
disso, o consumidor terá garantido que os dados fornecidos não serão
compartilhados com planos de saúde, para estabelecer preços
diferenciados de acordo com seu perfil farmacológico, pois é vedado o
compartilhamento de dados de saúde com o intuito de obter vantagem
econômica.
O cliente também pode exigir, da farmácia, acesso às
informações sobre o tratamento dos seus dados, isto é, o que está sendo
feito com o seu CPF e registro de remédios comprados.
4. Mecanismos claros em caso de vazamentos de dados pessoais
As
empresas que coletam e tratam seus dados (chamadas de “controladoras” e
“operadoras”) devem manter registro das operações de tratamento dos
dados e a autoridade responsável pode requerer a qualquer momento um
relatório de impacto à proteção de dados pessoais.
Caso ocorra
algum vazamento, o consumidor e o órgão competente devem ser notificados
sobre o incidente de segurança, seus riscos e medidas que estejam sendo
adotadas. O consumidor pode exigir, de qualquer empresa que controle
seus dados, a reparação de seu interesse lesado e a indenização
correspondente, quando a legislação e os padrões legais de tratamento e
segurança de dados tiverem sido desrespeitados.
5. Suas emoções não poderão ser coletadas e vendidas em espaços abertos
Em
casos de “câmeras inteligentes”, como a implementada pela Via Quatro no
Metrô de São Paulo, fica proibido coletar dados de emoções dos
passageiros sem seu consentimento. É também proibido vender dados
biométricos para terceiros, como empresas de publicidade e marketing
digital.
O mesmo vale para câmeras e totens de publicidade em
locais abertos, como praças e ruas movimentadas. Para que essas
informações sejam utilizadas, as pessoas precisam concordar por meio de
validações no celular (via “QR code”, por exemplo) ou outra forma de
permissão informada, livre e inequívoca.
6. Condomínios residenciais precisarão discutir sobre reconhecimento da digital para controlar a entrada no prédio
Em
condomínios residenciais que atualmente exigem biometria de forma
compulsória, será necessário rediscutir essa questão em assembleia
condominial e avaliar se a coleta desse tipo de dados é necessária para
fins de segurança, se há concordância e consentimento dos condôminos e
se há condições seguras de armazenamento de dados biométricos.
Será
possível contestar medidas de coleta de dados biométricos implementados
de forma impositiva por administradoras de condomínios, com base na Lei
de Dados Pessoais.
7. Sem obscuridades: os consumidores
terão livre acesso a sua pontuação de crédito, como ela foi calculada e
quais dados foram utilizados
O livre acesso aos dados
pessoais é um direito básico da nova lei. O titular tem direito ao
acesso facilitado às informações sobre o tratamento de seus dados.
Assim, o consumidor pode exigir do bureau de crédito (como Serasa ou SPC
Boa Vista) informações como a finalidade específica do tratamento, a
forma e duração do tratamento, acesso aos dados utilizados, qual a
origem dessas informações, a correção de dados incompletos, inexatos ou
desatualizados e a anonimização, bloqueio ou eliminação de dados
desnecessários ou excessivos. O bureau é obrigado a responder o
consumidor em até 15 dias corridos, por escrito.
Ainda, se o
cálculo do score for realizado com base em tratamento automatizado de
dados pessoais, o titular pode requerer a revisão. Caso não receba as
informações claras sobre os critérios utilizados, ele pode exigir uma
auditoria para a Autoridade Nacional de Proteção de Dados, órgão que
estará vinculado ao Ministério da Justiça.
8. Fim da bonança dos testes de internet
É
muito comum que testes simples de internet, como “com qual batata você
parece”, coletem, além da sua foto de perfil, os seus amigos na rede
social, as suas curtidas, interesses, data de nascimento etc – como
ocorreu no caso Facebook/Cambridge Analytica. Tal comportamento será
proibido. Os desenvolvedores desses testes ou aplicativos devem se
limitar ao mínimo necessário para que o serviço ocorra, respeitando o
princípio da necessidade, e realizar o tratamento de acordo com o
princípio da finalidade, isto é, com propósitos legítimos, específicos,
explícitos e informados ao titular. Caso o desenvolvedor deseje coletar
outras informações, deve explicitar especificamente quais as finalidades
do tratamento destes dados, para que o consumidor possa dar seu
consentimento inequívoco.
Assim, o consumidor pode requerer, ao
desenvolvedor do teste, o acesso a quais dados foram coletados, o que
foi feito com eles e a eliminação das informações coletadas
indevidamente.
9. Diferenciação de preços em compra online somente com consentimento do consumidor
Se
um site de compra online quiser realizar diferenciação de preços com
base na localização, registro de busca, ou outras informações
relacionadas ao consumidor, deve informá-lo, explicitamente, da
existência de coleta e tratamento dos dados e sua finalidade, para
permitir a escolha do titular. Percebida a realização de diferenciação
de preços sem o seu consentimento, o consumidor pode requerer
indenização junto aos órgãos de defesa do consumidor, ou à própria
empresa.
A discriminação de preços não estará proibida, mas os
consumidores terão mais controle e informação sobre a relação entre
certos tipos de dados coletados e a formação de preços individualizados.
10. Portabilidade de dados pessoais
Com
a Lei de Dados Pessoais, toda pessoa poderá pedir a portabilidade dos
dados pessoais de um responsável para outro. Assim como a portabilidade
do número do celular, o consumidor poderá pedir para levar seus dados
pessoais do Spotify para o Deezer, por exemplo, eliminando um ou outro.
Poderá, também, exigir que o Spotify promova a exclusão ou anonimização
de seus dados.
Autoridades de proteção de dados pessoais do mundo
todo já estão trabalhando em padrões de interoperabilidade para que essa
portabilidade aconteça sem problemas. A ideia é que a portabilidade
seja tão comum como é a do telefone celular hoje em dia.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…