Tal como o Código de Defesa do Consumidor, a Lei de Dados Pessoais , quando entrar em vigor, no início de 2020, terá aplicação geral para todas as áreas que dependem de informações das pessoas, seja uma rede de farmácias, um aplicativo de namoro ou um “tracker” de corrida.
A lei abordará o tratamento de dados pessoais (todas as informações relacionadas à pessoa natural identificada ou identificável), inclusive nos meios digitais, por indivíduos e entidades públicas e privadas.
Adavogados afirmam que a linha mestra é a garantia da liberdade, mas a base é a transparência. Ou seja, essas novas regras vêm com um escopo de permitir que a livre iniciativa possa inovar desde que siga uma cartilha de valores que estejam condizentes com o respeito aos direitos humanos fundamentais. Um dos fatores que pressionou essa corrida legislativa em vários países foi a entrada em vigor do General Data Protection Regulation (GDPR) na União Europeia, em maio deste ano.
O cidadão será proprietário da sua própria informação e poderá negociá-la livremente. O governo e as empresas poderão tratar dados, mas o indivíduo terá sempre o direito de saber quais dados estão sendo coletados, para quais finalidades, e com quem estão sendo compartilhados.
O Instituto Brasileiro de Defesa do Consumidor – Idec preparou uma lista com as dez principais coisas que mudarão no dia a dia com a nova legislação.
1. O fim dos “termos de uso que ninguém lê”
A lei proíbe aqueles “textões” incrivelmente chatos que ninguém lê ao começar a usar um aplicativo. Proíbe também termos de uso generalistas, que permitem coletar todos os tipos de dados para fins de “melhoria dos serviços” e “compartilhamento com terceiros”.
Com a nova legislação, a permissão do usuário precisa ser específica e “granular”, ou seja, precisa estar atrelada a cada tipo de utilização dos dados pessoais. Além disso, o consentimento pode ser por vídeo e outras formas mais interativas, por meio de ícones e comunicação com robôs.
2. Mais controle do usuário sobre seus próprios dados
A nova lei cria um “pacote de direitos” para o cidadão. Após consentir com a coleta de informações pessoais, ele passa a ter controle dos próprios dados, com direitos de modificação de informações erradas, oposição de coleta de informações sensíveis (religião, por exemplo) e revisão de decisões tomadas de maneira automatizada.
3. Mais controle sobre como farmácias usam seu CPF e dados de saúde
O cidadão deve ser informado da finalidade da coleta e da existência ou não de tratamento desses dados, para, então, poder tomar a decisão acerca do seu consentimento para o tratamento dos seus dados.
Além disso, o consumidor terá garantido que os dados fornecidos não serão compartilhados com planos de saúde, para estabelecer preços diferenciados de acordo com seu perfil farmacológico, pois é vedado o compartilhamento de dados de saúde com o intuito de obter vantagem econômica.
O cliente também pode exigir, da farmácia, acesso às informações sobre o tratamento dos seus dados, isto é, o que está sendo feito com o seu CPF e registro de remédios comprados.
4. Mecanismos claros em caso de vazamentos de dados pessoais
As empresas que coletam e tratam seus dados (chamadas de “controladoras” e “operadoras”) devem manter registro das operações de tratamento dos dados e a autoridade responsável pode requerer a qualquer momento um relatório de impacto à proteção de dados pessoais.
Caso ocorra algum vazamento, o consumidor e o órgão competente devem ser notificados sobre o incidente de segurança, seus riscos e medidas que estejam sendo adotadas. O consumidor pode exigir, de qualquer empresa que controle seus dados, a reparação de seu interesse lesado e a indenização correspondente, quando a legislação e os padrões legais de tratamento e segurança de dados tiverem sido desrespeitados.
5. Suas emoções não poderão ser coletadas e vendidas em espaços abertos
Em casos de “câmeras inteligentes”, como a implementada pela Via Quatro no Metrô de São Paulo, fica proibido coletar dados de emoções dos passageiros sem seu consentimento. É também proibido vender dados biométricos para terceiros, como empresas de publicidade e marketing digital.
O mesmo vale para câmeras e totens de publicidade em locais abertos, como praças e ruas movimentadas. Para que essas informações sejam utilizadas, as pessoas precisam concordar por meio de validações no celular (via “QR code”, por exemplo) ou outra forma de permissão informada, livre e inequívoca.
6. Condomínios residenciais precisarão discutir sobre reconhecimento da digital para controlar a entrada no prédio
Em condomínios residenciais que atualmente exigem biometria de forma compulsória, será necessário rediscutir essa questão em assembleia condominial e avaliar se a coleta desse tipo de dados é necessária para fins de segurança, se há concordância e consentimento dos condôminos e se há condições seguras de armazenamento de dados biométricos.
Será possível contestar medidas de coleta de dados biométricos implementados de forma impositiva por administradoras de condomínios, com base na Lei de Dados Pessoais.
7. Sem obscuridades: os consumidores terão livre acesso a sua pontuação de crédito, como ela foi calculada e quais dados foram utilizados
O livre acesso aos dados pessoais é um direito básico da nova lei. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. Assim, o consumidor pode exigir do bureau de crédito (como Serasa ou SPC Boa Vista) informações como a finalidade específica do tratamento, a forma e duração do tratamento, acesso aos dados utilizados, qual a origem dessas informações, a correção de dados incompletos, inexatos ou desatualizados e a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos. O bureau é obrigado a responder o consumidor em até 15 dias corridos, por escrito.
Ainda, se o cálculo do score for realizado com base em tratamento automatizado de dados pessoais, o titular pode requerer a revisão. Caso não receba as informações claras sobre os critérios utilizados, ele pode exigir uma auditoria para a Autoridade Nacional de Proteção de Dados, órgão que estará vinculado ao Ministério da Justiça.
8. Fim da bonança dos testes de internet
É muito comum que testes simples de internet, como “com qual batata você parece”, coletem, além da sua foto de perfil, os seus amigos na rede social, as suas curtidas, interesses, data de nascimento etc – como ocorreu no caso Facebook/Cambridge Analytica. Tal comportamento será proibido. Os desenvolvedores desses testes ou aplicativos devem se limitar ao mínimo necessário para que o serviço ocorra, respeitando o princípio da necessidade, e realizar o tratamento de acordo com o princípio da finalidade, isto é, com propósitos legítimos, específicos, explícitos e informados ao titular. Caso o desenvolvedor deseje coletar outras informações, deve explicitar especificamente quais as finalidades do tratamento destes dados, para que o consumidor possa dar seu consentimento inequívoco.
Assim, o consumidor pode requerer, ao desenvolvedor do teste, o acesso a quais dados foram coletados, o que foi feito com eles e a eliminação das informações coletadas indevidamente.
9. Diferenciação de preços em compra online somente com consentimento do consumidor
Se um site de compra online quiser realizar diferenciação de preços com base na localização, registro de busca, ou outras informações relacionadas ao consumidor, deve informá-lo, explicitamente, da existência de coleta e tratamento dos dados e sua finalidade, para permitir a escolha do titular. Percebida a realização de diferenciação de preços sem o seu consentimento, o consumidor pode requerer indenização junto aos órgãos de defesa do consumidor, ou à própria empresa.
A discriminação de preços não estará proibida, mas os consumidores terão mais controle e informação sobre a relação entre certos tipos de dados coletados e a formação de preços individualizados.
10. Portabilidade de dados pessoais
Com a Lei de Dados Pessoais, toda pessoa poderá pedir a portabilidade dos dados pessoais de um responsável para outro. Assim como a portabilidade do número do celular, o consumidor poderá pedir para levar seus dados pessoais do Spotify para o Deezer, por exemplo, eliminando um ou outro. Poderá, também, exigir que o Spotify promova a exclusão ou anonimização de seus dados.
Autoridades de proteção de dados pessoais do mundo todo já estão trabalhando em padrões de interoperabilidade para que essa portabilidade aconteça sem problemas. A ideia é que a portabilidade seja tão comum como é a do telefone celular hoje em dia.