Saiba como a nova Lei de Dados Pessoais te protegerá de empresas como Google e Facebook
Quinta-feira, 12 de julho de 2018

Saiba como a nova Lei de Dados Pessoais te protegerá de empresas como Google e Facebook

Por Daniel Caseiro. Com informações do El País, Consultor Jurídico e Agência Brasil

Ao navegar na internet estamos o tempo todo fornecendo à rede, as vezes sem nem nos darmos conta, informações pessoais. Ao preencher um cadastro, enviar um e-mail, postar uma foto ou comentário nas redes sociais, interagir com publicações por meio de likes, emoticons e afins estamos mostrando às empresas de tecnologia como Google e Facebook quem nós somos e quais são nossos hábitos e preferências.

Porém, a coleta de nossos dados pessoais não acontece apenas nesses momentos mais explícitos quando nós, ativamente, damos um comando de “enviar”, “Ok” ou “curtir”. O simples fato de nos conectarmos aos sites e aplicativos de uma empresa de tecnologia já fornece informações relevantes sobre nossa pessoa: qual o horário em que nos conectamos? Quanto tempo ficamos conectados em cada site ou app? De que tipo de aparelho nos conectamos: um computador, um celular, um tablet? Qual a marca deste aparelho? De que lugar do mundo estamos nos conectando, qual país, cidade, bairro? Que outros programas estão abertos em nosso computador ou celular quando nos conectamos? Quais foram as últimas páginas que visitamos na internet? Todas essas informações são coletadas e muitas mais.

Em recente documento enviado ao senado dos EUA, após o escândalo Cambridge Analytica, o Facebook detalhou a maneira como age em relação aos dados dos seus usuários, inclusive em seu aspecto mais polêmico, o da coleta de informações. No relatório de 228 páginas, a empresa do Vale do Silício relata que rastreia até os movimentos do mouse dos usuários. Esse tipo de rastreamento, conhecido como mouse tracking, serviria para indicar como os usuários se comportam dentro de uma plataforma de software ajudando a distinguir o comportamento de humanos reais e de robôs (bots). Outro uso para informações desse tipo seria determinar qual o melhor lugar da tela para exibir um banner ou anúncio publicitário, pois o lugar onde o cursor do mouse se detém por mais tempo, muitas vezes, coincide com o ponto no qual focamos nossa atenção.

O Facebook também esclarece que detecta outras informações dos nossos smartphones e computadores como: o sistema operacional, as versões de hardware e software, o nível de bateria, a capacidade de armazenamento disponível, o nome da operadora de telefonia celular de um usuário e o seu provedor de Internet, o número de telefone, o endereço IP, a velocidade de conexão, informações sobre a localização por GPS, informações da câmera e galeria de fotos e, em alguns casos, informações a respeito de outros dispositivos que estão próximos ou em uma mesma rede.

 

E para quê coletar todas essas informações?

As empresas de tecnologia como Google e Facebook garantem que esses dados são armazenados em blocos, usados para identificar o comportamento e o perfil de grandes grupos de usuários (jovens, adultos, homens, mulheres, casados, solteiros, atletas, pessoas que gostam de filmes, pessoas que tem cachorros etc). Garantem, ainda, que nunca, em hipótese alguma, utilizam os dados dos usuários individualmente, para identificar uma pessoa específica, fora desses blocos de centenas de pessoas com o mesmo comportamento.

Ou seja, apesar de conhecer seus hábitos de consumidor melhor que você mesmo, Google, Facebook e afins não fornecem esses dados para empresas anunciantes de modo a permitir que elas saibam seu nome ou quem é (só) você. O que elas vendem à empresas anunciantes é uma análise de um grupo de consumidores dos quais você faz parte, análise esta que as permite anunciarem produtos e serviços que, em tese, te interessam.

Por exemplo, cruzando os diversos dados de milhões de usuários as empresas poderiam determinar qual grupo de pessoas estaria mais propenso a comprar uma passagem de avião para a copa do mundo e, ainda, qual o melhor horário e forma de se anunciar a venda dessa passagem para este grupo de usuários em particular.

Mas não podemos esquecer de uma coisa: isso é o que as empresas que lucram com esse modelo de negócio dizem que fazem com seus dados. O fato é que, se quiserem, elas podem, sim, te identificar pessoalmente. E o que diz a lei a brasileira sobre isso? Quais direitos você, como usuário, possui em relação a seus dados pessoais na internet?

 

Nova lei de Proteção aos Dados Pessoais

Na última terça-feira, 10 de julho de 2018, o plenário do Senado aprovou o Projeto de Lei da Câmara 53/2018 que disciplina a proteção dos dados pessoais dos usuários de internet. O projeto, que ainda precisa da sanção presidencial pra se tornar uma lei vigente, define as situações em que estes dados podem ser coletados, tanto por empresas quanto pelo poder público, e cria instrumentos para que usuários possam questionar o mau uso de suas informações.

Com isso, o Brasil se junta a diversos países do mundo, que já possuem legislação sobre o tema.

Em termos legislativos, o PLC 53/2018, altera o artigo 7º, X e o artigo 16, II, do Marco Civil da Internet (Lei 12.965/14). Essas serão as primeiras alterações formais no Marco Civil da Internet.

O texto disciplina a forma como as informações são coletadas e tratadas e determina que as empresas só podem coletar e armazenar os dados necessários para a prestação dos serviços que ofereçam. Com isso, dados considerados sensíveis como informações relativas a raça, opiniões políticas, crenças, condição de saúde e características genéticas terão um uso mais restrito. A lei também cria a proteção dos dados de menores de idade que não poderão ser mantidos nas bases de dados das empresas sem o consentimento dos pais.  

Outra inovação que a nova lei traz é a criação da Autoridade Nacional de Proteção de Dados, uma agência reguladora na forma de autarquia cuja principal função será fiscalizar o cumprimento da legislação sobre internet (de forma parecida como fazem, em suas respectivas áreas, ANATEL, ANEEL, ANVISA, ANCINE etc). O descumprimento de qualquer uma das regras da nova lei poderá acarretar em multa de até 2% do faturamento da empresa responsável. A lei prevê, também a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. 

Leia na íntegra o texto do PLC 53/2018.

 

O que dizem os especialistas?

O projeto tem sido considerado “equilibrado” tanto por parte do setor empresarial, quanto pela sociedade civil organizada.

Em artigo para o Justificando, a advogada e Doutora em Ciência da Informação Larissa Ormay avalia os pontos positivos e negativos do projeto. Para ela, uma das questões mais importantes é falta, no texto, de definição explícita da natureza jurídica dos dados pessoais como direito da personalidade.

A questão que se coloca é: os seus dados pessoais na internet são uma extensão da sua personalidade, da sua pessoa (como seu nome, sua imagem, sua reputação etc)? Ou, os seus dados pessoais na internet são uma “coisa”, um objeto que pode ser vendido e comprado de forma que, caso uma empresa os compre, poderá fazer o que bem entender com eles já que terá a propriedade irrestrita sobre os dados vendidos?

Larissa argumenta sobre a importância de adotarmos o primeiro entendimento:

Os dados pessoais não podem ser considerados propriedade porque são a própria pessoa. Assim como nossas sombras ou rastros, nossos dados também fazem parte de quem nós somos e essa é uma interpretação feita à luz do princípio da dignidade da pessoa humana. Precisamos ficar atentos para que não nos expropriem de nós mesmos.

E completa:

O direito da personalidade resguarda o caráter inalienável de nossas personalidades, portanto os dados pessoais devem ser protegidos nessa abordagem jurídica extra-patrimonial. Neste caso, não se aplica nenhuma forma de direito de propriedade aos dados pessoais.

Leia na íntegra o artigo de Larissa Ormay para o Justificando.

 

O que mais diz o PLC 53

Confira a análise do projeto em detalhes, em reportagem de Jonas Valente para a Agência Brasil:

Entenda o projeto

O PLC 53 considera dados pessoais a informação relacionada a uma pessoa que seja “identificada” ou “identificável”. Ou seja, o projeto de lei regula, também, aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo) mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo).

Foi criada uma categoria especial, denominada dados “sensíveis”, que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).

O projeto de lei abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Assim, por exemplo, por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras. Também é permitida a transferência internacional de dados (como no exemplo citado), desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.

Ficaram de fora das obrigações o tratamento para fins pessoais, jornalísticos e artísticos. Também não são cobertos o processamento de informações em atividades de segurança nacional, segurança pública e repressão a infrações. O texto indica que esses temas devem ser tratados em uma lei específica. O Poder Público ganhou também a possibilidade de tratar dados sem consentimento das pessoas, em determinadas situações, como na execução de políticas públicas. Para isso, o órgão deve informar em seu site em que hipótese o processamento de dados é realizado, sua finalidade e quais são os procedimentos adotados. Essas regras especiais se aplicam também aos cartórios.

Obrigações e direitos

Para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular, que deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar.

O projeto prevê, contudo, algumas situações em que este não é necessário, como a proteção da vida, o cumprimento de obrigação legal e procedimento de saúde. A exceção mais polêmica é chamada de “legítimo interesse”, que na prática permite a uma empresa coletar um dado para um propósito e usá-lo para outro, desde que para “finalidades legítimas” e a “partir de situações concretas”. Nesse caso, somente os dados “estritamente necessários” podem ser manejados.

Outra obrigação das empresas incluída no relatório do deputado Orlando Silva (PCdoB-SP) é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.

A redação prevê uma série de direitos ao titular, que pode solicitar acesso às informações que uma empresa tem dele – incluindo a finalidade, a forma e a duração do tratamento – e se houve uso compartilhado com algum outro ente e com qual finalidade. Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. Ou seja, o usuário de uma conta de e-mail pode ter todas as suas mensagens, caso deseje abrir conta em outro serviço deste tipo. O titular também pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.

Fiscalização e órgão regulador

O relatório de Silva propõe a criação da Autoridade Nacional de Proteção de Dados, que ficará responsável pela edição de normas complementares e pela fiscalização das obrigações previstas na lei. Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos. Ou seja, se o órgão suspeitar que em alguma empresa há risco de problemas no tratamento dos dados, o relatório reúne informações necessárias para uma primeira apuração. Pode também fazer uma auditoria, em que se verifique no local da empresa se o manejo dos dados está sendo realizado corretamente.

Se constatar alguma irregularidade em qualquer atividade de tratamento, a autoridade pode aplicar uma série de sanções, entre as quais está prevista multa de até 2% do faturamento da empresa envolvida, com limite de R$ 50 milhões, o bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento. O substitutivo também institui o Conselho Nacional de Proteção de Dados, formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas. O colegiado tem como atribuições propor diretrizes estratégicas sobre o tema e auxiliar a autoridade nacional.

Apoios

O PLC tem apoio de diversas entidades, como a Associação Brasileira de Emissoras de Rádio e TV (Abert), a Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Brasscom) e a Coalizão Direitos na Rede, que reúne entidades de defesa de direitos dos usuários de internet. Mas encontrava resistência em organizações do ramo financeiro, como a Federação Brasileira de Bancos (Febraban) e a Confederação Nacional de Seguradoras.

Este projeto é fundamental para o desenvolvimento da economia digital no Brasil porque ele alcança equilíbrio entre a proteção do direito do cidadão em um arcabouço que ajude as empresas a inovarem.

Avaliou a diretora jurídica da Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Brasscom).

Essa discussão contou com dezenas de entidades da sociedade civil mas também com inúmeras entidades do setor empresarial, que entenderam que a proteção de dados é princípio que deve ser garantido na legislação brasileira.

Comentou Marcos Urupá, do Coletivo Intervozes, entidade integrante da Coalizão Direitos na Rede, que reúne organizações de defesa de direitos dos usuários.

Por Daniel Caseiro.

Leia mais:

Teremos lei de dados pessoais, mas a luta continua

400 mil seguidores de Bolsonaro no Twitter são robôs, aponta estudo

Crimes digitais: quais são, quais leis os definem e como denunciar

Eleições 2018: pela 1ª vez, Justiça determina remoção de fake news da internet

Eleições ganhas com ajuda de fake news devem ser anuladas, diz Fux

Justiça autoriza Google a exibir notícias que ligam senador Perrella a “helicoca”

Ódio na internet e o punitivismo no Brasil

Representante do Facebook defende uso da criptografia em mensagens

Internet: um direito emergente?

O sigilo das comunicações no Marco Civil da Internet

Suspensão do Whatsapp não é permitida pelo Marco Civil da Internet

A responsabilidade civil do provedor no Marco Civil da Internet


O Justificando não cobra, cobrou, ou pretende cobrar dos seus leitores pelo acesso aos seus conteúdos, mas temos uma equipe e estrutura que precisa de recursos para se manter. Como uma forma de incentivar a produção de conteúdo crítico progressista e agradar o nosso público, nós criamos a Pandora, com cursos mensais por um preço super acessível (R$ 19,90/mês).

Assinando o plano +MaisJustificando, você tem acesso integral aos cursos Pandora e ainda incentiva a nossa redação a continuar fazendo a diferença na cobertura jornalística nacional.

[EU QUERO APOIAR +MaisJustificando]

 

Quinta-feira, 12 de julho de 2018
Anuncie

Apoiadores
Seja um apoiador

Aproximadamente 1.5 milhões de visualizações mensais e mais de 175 mil curtidas no Facebook.

CONTATO

Justificando Conteúdo Cultural LTDA-EPP

[email protected]