Homem segura uma laptop com um fundo binário. Reuters

O desconto que você ganha na farmácia ou no supermercado apenas ao inscrever o CPF no sistema tem um preço: a sua privacidade. O mesmo preço invisível é cobrado toda vez que você autoriza o acesso a sua localização ou a seus dados em redes sociais e aplicativos de entrega. Todas essas informações, na verdade, têm um valor real. E se por um lado facilitam sua vida, com comodidades oferecidas com base em seu perfil, por outro podem acabar sendo entregues para planos de saúde ou instituições financeiras sem que você saiba. Nesta semana, o Senado aprovou a Lei de Proteção de Dados Pessoais, que ainda precisa ser sancionada pelo presidente Michel Temer, cujo objetivo é aumentar o seu controle sobre o que está ocorrendo com suas próprias informações.

A nova legislação prevê que qualquer tratamento de dados —seja coleta, produção, acesso ou reprodução de informações pessoais— só poderá ser feito com o consentimento expresso do titular ou de seu responsável, no caso de menores de idade. Será preciso, ainda, informar a finalidade específica dessa coleta e, uma vez usadas, as informações devem ser disponibilizadas com facilidade para que o dono delas saiba. Após o uso, precisam ser descartadas. As regras ainda criam um grupo especial, o de dados sensíveis, que inclui informações como origem racial, convicções religiosas, opiniões políticas, filiação a sindicatos e dados referentes à saúde, biometria ou à vida sexual. Esses dados precisam de um consentimento específico, a não ser que sejam para cumprir obrigação legal, planejar políticas públicas ou para que órgãos de pesquisa façam estudos.

"Em aplicativos de supermercado, é melhor receber promoção de produtos que a gente compra do que um monte de promoções aleatórias que não interessam. Desde que a gente saiba que nossos dados de conta vão ser coletados e para que vão ser coletados, não tem problema", exemplifica Rafael Batista, sócio da IT Secure, uma consultoria de segurança da informação. Segundo Batista, o impacto da nova legislação brasileira, que terá um período de implantação de 18 meses após a sanção presidencial, já pode ser sentido por conta da nova lei europeia, que entrou em vigor no dia 25 de maio na esteira dos escândalos de mal uso de dados por meio do Facebook. Ela também restringe o tipo de dado que pode ser tratado pelas empresas e determina as regras para isso.

Se você usa serviços como Spotify e Cabify recebeu recentemente uma mensagem sobre atualizações na política de privacidade. "Estamos entrando em contato com você hoje para informar que faremos algumas alterações em nossa Política de Privacidade, que entrará em vigor a partir do dia 25 de maio. Essas alterações refletirão requisitos de transparência mais estritos do Regulamento Geral de Proteção de Dados da UE (conhecido como GDPR)", diz parte da mensagem distribuída pelo Spotify no mês passado. No informativo, a empresa deixa claro, por exemplo, o direito à portabilidade dos dados, traduzido pelo próprio Spotify como "o direito de solicitar uma cópia dos seus dados pessoais em formato eletrônico e o direito de transmitir esses dados pessoais para utilização em serviços de terceiros". Agora, o usuário do aplicativo também pode solicitar que seus dados sejam apagados e se opor a que suas informações sejam processadas para fins de marketing direto —aquele que é feito sob medida para o usuário, com base nos interesses dele.

O que estará protegido

A lei brasileira foi inspirada na regulamentação europeia, explica Daniel Rodrigues Pinto, consultor jurídico da Atos, uma empresa de transformação digital. "O Brasil tinha uma legislação esparsa, setorizada, não era tão abrangente: dependia da área do serviço prestado, se tinha relação de consumo ou não", compara. Após a sanção da nova lei no Brasil, todas as informações sobre os cidadãos brasileiros passarão a estar protegidas. "Um arquivo no RH [recursos humanos] de uma empresa com diversos dados do funcionário, o exame admissional ou demissional. Atestados médicos. O imposto de renda, dados do INSS", exemplifica Rodrigues. O endereço de e-mail também passa a ser protegido. O login de acesso a sites, o endereço de IP (protocolo de internet) do computador, tudo o que possa identificar direta ou indiretamente o dono daquele dado.

Para Flávia Lefevrè, conselheira da ONG Proteste, a legislação aprovada pelo Senado "traz bastante garantias, assim como o Marco Civil da Internet", mas não é fácil de implementar. Garantias asseguradas pelo Marco Civil, como a neutralidade da rede e a obrigatoriedade de ordem judicial para retirar conteúdo da internet, não têm sido de fácil aplicação, ela alerta. "No caso dos dados pessoais, tem de haver uma autoridade reguladora e fiscalizadora que vai ficar em cima das empresas, para que elas cumpram os direitos que vierem a ser estabelecidos quando virarem lei", defende. Este papel, segundo a nova lei, deve ser desempenhado pela Autoridade Nacional de Proteção de Dados (ANDP), cuja criação está contemplada no projeto aprovado pelo Senado.

É essa autarquia, submetida ao Ministério da Justiça, que ficará responsável por cobrar as multas de até 50 milhões de reais das empresas que violarem as novas regras — ou mesmo proibi-las de tratar dados, nos casos mais extremos. Fundador do Data Privacy Brasil, Renato Leite Monteiro torce para que a ANDP seja criada, mas diz que ainda se discute sobre a possibilidade de veto presidencial do trecho que a cria, com base em argumentos jurídicos, políticos e orçamentários. "A entrada em vigor de uma lei geral de proteção de dados sem uma autoridade autônoma e independente pode ter um impacto indesejado na sua eficácia, e até mesmo tornar a lei incompleta", ele argumenta. A lei também prevê a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes de órgãos do Governo e da sociedade civil.

Governo

Para além das relações de consumo, a legislação aprovada pelo Senado também contempla a relação dos cidadãos brasileiros com o poder público. Flávia Lefevrè destaca a batalha dos especialistas envolvidos na elaboração da proposta para a inclusão de um capítulo que obrigasse os poderes públicos a cumprirem obrigações de proteção de dados virtuais. "Muito mais do que as empresas privadas, quem mais coleta dados nossos — e dados sensíveis — são os órgãos públicos, que processam programas sociais, declarações de imposto de renda, programas de saúde, tudo", diz.

Lefevrè menciona o recente caso do Serpro (Serviço Federal de Processamento de Dados) para provar seu ponto. A "maior empresa pública de tecnologia da informação do mundo", como o próprio Serpro se apresenta, é investigada pelo Ministério Público Federal (MPF) por venda de dados para outros órgãos públicos, como o Conselho Nacional de Justiça (CNJ). O caso começou a ser apurado pela Comissão de Proteção de Dados do Ministério Público do Distrito Federal e Territórios (MPDFT), mas foi repassado ao MPF por questões de competência, pois o Serpro é um órgão federal. Nesse contexto, a conselheira da Proteste destaca ainda que a legislação aprovada pelo Senado garante direito mesmo sobre dados que já foram tornados públicos — uma das garantias que foi posta em questão ao longo dos debates sobre a lei.