Suas informações pessoais são suas e só você pode permitir que elas sejam exploradas para fins comerciais. Essa é a essência do projeto de lei para regulamentar e proteger o uso dos dados dos brasileiros que acaba de ser finalizado pelo governo federal.
A proposta, enviada em janeiro à Casa Civil e prevista para chegar ao Congresso nas próximas semanas, cria o Conselho Nacional de Proteção de Dados. Ou uma espécie de “Procon dos dados pessoais”, como define Juliana Pereira, titular da Secretaria Nacional do Consumidor, braço do Ministério da Justiça que conduz o projeto.
Caberá a esse conselho zelar pelos padrões mínimos de segurança para o tratamento de dados e receber denúncias. Poderá ainda aplicar punições a quem usar indevidamente informações alheias.
Em estudo desde o início de 2012, a proposta passou por consulta pública e, além da Justiça, teve colaboração dos ministérios das Comunicações, do Desenvolvimento, da Fazenda e da Ciência e Tecnologia e do Banco Central.
O impacto da web
Inspirado na legislação da União Europeia, o projeto de lei surge em um cenário de forte crescimento do comércio eletrônico e das redes sociais no Brasil, segmentos que usam massivamente dados pessoais. São razões que motivam o esforço do governo, explica Juliana Pereira.
“Na sociedade da tecnologia, da informação e do consumo, o indivíduo é o que está registrado sobre ele”, diz a secretária. “A proteção à privacidade é constitucional. O que estamos regulamentando é a privacidade do consumidor com relação aos seus dados pessoais”, completa.
O projeto estipula que os dados pessoais só podem ser utilizados para fins comerciais com a autorização do titular, que poderá revogá-la quando quiser. Também será possível pedir o “habeas data”, ou seja, requerer acesso às informações arquivadas.
No momento em que os dados forem cedidos pelo titular, no ato do cadastro em uma loja física ou virtual e em redes sociais, por exemplo, a empresa deverá informar como os utilizará, quem fará o processamento e a quem tem intenção de transferi-los.
Ou seja, se o projeto for aprovado, serviços como Facebook, Google e Twitter terão de adaptar suas políticas de privacidade às novas leis.
Casos de acesso indevido a informações e falhas de segurança nos bancos de dados que comprometam a privacidade deverão ser comunicados ao conselho de proteção, que poderá desde proibir a guarda de dados a multar empresas infratoras em até 20% de seu faturamento bruto.
Atraso nacional
O atraso do país nesse tema chama a atenção. No G-20 (grupo das economias mais ricas e dos principais emergentes), só o Brasil não possui leis sobre dados pessoais.
No continente, Argentina, Uruguai, Chile e Paraguai também têm regras. Segundo Juliana Pereira, a movimentação do país atraiu o interesse das agências reguladoras da Espanha e dos EUA.
As entidades vieram saber de que forma agirá o conselho de proteção, pois o projeto prevê que os dados de brasileiros só poderão ser transferidos a países que tiverem política de privacidade estabelecida ou a locais que receberem a autorização do órgão.
***
Com lei de dados, governo espera atrair data centers ao país
Pouco mais de 15 dias após o governo brasileiro elencar a atração de data centers entre as prioridades para desenvolver o setor de software, o Google anunciou em setembro passado que a sua primeira central de dados na América Latina ficará no Chile.
A empresa citou a regulamentação do país, que possui lei específica para proteção de dados, entre os motivos para a instalação do equipamento que armazena as informações de seus serviços na internet e das pessoas que o acessam. O investimento será de US$ 150 milhões.
O projeto de proteção de dados em estudo no governo, além de preservar o consumidor, também pretende acabar com lacunas jurídicas que afastam do país empresas que processam informações pessoais, segundo Rafael Moreira, coordenador do Ministério de Ciência e Tecnologia.
Com a computação em nuvem, as informações acessadas por uma pessoa na internet podem estar armazenadas fora de seu país.
Algumas nações, como as da União Europeia, proíbem que os dados de seus cidadãos sejam transferidos a locais que não possuem uma política de proteção. Os EUA têm um acordo com a UE para que suas empresas sigam esses parâmetros.
Com a proposta normativa, o objetivo é “atrair para o nosso território um negócio novo, que é o processamento de dados de cidadãos do mundo inteiro”, diz Moreira.
“O Brasil tem condição de exportar tecnologia, processar informação aqui e de ser o centro de referência para sediar data centers de grandes empresas. Talvez nós não tenhamos isso agora, porque falta uma política de dados pessoais no país”, afirma Juliana Pereira, titular da Secretaria Nacional do Consumidor, do Ministério da Justiça, que conduz o projeto.
Cerco ampliado
Com a criação do Conselho Nacional de Proteção de Dados, a vigilância sobre o tratamento eletrônico de dados pessoais deve aumentar.
Empresas e entidades representantes de setores econômicos que processam dados pessoais intensamente terão que elaborar códigos de boas práticas. As áreas de vigilância e monitoramento, publicidade e marketing direto, proteção ao crédito e seguro deverão ser priorizadas.
Além disso, as empresas que processam grandes volumes de dados pessoais, como Google e Facebook, terão de apresentar relatórios de como suas atividades afetam a privacidade das pessoas. (H.S.G.)
***
Demais pontos do projeto
1 – Dados pessoais só poderão ser manipulados para fins comerciais com aval do titular. Hoje, Facebook, Google e lojas de comércio eletrônico direcionam avisos publicitários com base em dados pessoais.
2 – As pessoas devem ser informadas, no momento da coleta de seus dados, como estes serão utilizados, quem fará o tratamento e com quem suas informações poderão ser compartilhadas. Isso deverá ocorrer, por exemplo, no ato de cadastro em sites de comércio eletrônico e redes sociais.
3 – Se o uso dos dados for prolongado, o titular deverá ser questionado periodicamente se quer renovar a anuência.
4 – É proibido formar bancos de dados para fins comerciais com informações que possam levar à discriminação do usuário, como as que revelam raça ou etnia, religião, orientação sexual, filiação sindical ou partidária, bem como os dados genéticos e biométricos.
5 – Ao fim da utilização das informações pessoais, os bancos de dados podem ser transmitidos a outra entidade, desde que exerçam atividade análoga e peçam autorização dos titulares dos dados. Deve impedir a formação de bancos de e-mail para marketing e a proliferação de spams.
6 – O titular pode entrar com pedido de “habeas data”, ou seja pedir para acessar suas informações arquivadas.
7 – Os dados de brasileiros serão transferidos apenas a países que tiverem políticas de proteção de dados ou para locais que forem autorizados pelo conselho. Com o crescimento da computação em nuvem, as informações podem ser armazenadas em data centers localizados em qualquer lugar do mundo.
***
Proteção de dado em outros países
Como é a legislação lá fora
>> União Europeia – Desde 1995, o bloco cria normas para proteger os dados pessoais de seus cidadãos. A lei da UE obriga empresas a informarem clientes caso seus dados sejam violados e proíbe que mensagens trocadas entre usuários sejam alvo de escuta e qualquer outro tipo de vigilância sob as comunicações. Veda manipulação e armazenamento de dados de de seus cidadãos em países que não tenham uma política própria. Também foi precursora ao criar uma autoridade para zelas pelo cumprimento das regras.
>> EUA – Não tem lei específica, mas uma espécie de convênio com União Europeia e Suíça. Nele, empresas americanas se comprometem a respeitar as políticas de privacidade.
>> Argentina – Baseada nas diretrizes europeias, a lei argentina de 2000 estabelece também um conselho para regulamentar a proteção de dados; chega a fixar em seis meses o intervalo em que o titular pode requerer acesso aos seus dados, que deverão ser concedidos em dez dias.
>> Uruguai – Nos moldes da UE, a regulamentação uruguaia, de 2008, define que os membros da Unidade Reguladora e Controle de Dados Pessoais tenham mandato de quatro anos e sejam indicados pelo Executivo. Cria também um conselho consultivo, com representantes do Judiciário, do Ministério Público, da academia e do setor privado.
***
Esse dado é meu!
>> A proposta – Projeto de legislação para criar parâmetros de proteção a dados pessoais, principalmente na internet, que deverão ser obedecidos por empresas, órgãos governamentais e entidades que lidem com armazenamento e processamento de informações de brasileiros. Também cria um conselho para fiscalizar o setor.
>> O contexto – O Brasil ainda não possui uma política específica para assegurar segurança mínima na manipulação de dados de seus cidadãos. A discussão ganhou força com a explosão das redes sociais e do comércio eletrônico, que usam muito informações pessoais.
***
O que fará o Conselho Nacional de Proteção de Dados Pessoais
Criará padrões mínimos de segurança, receberá denúncias e punirá violações (desde a extinção do banco de dados até multas de até 20% do faturamento bruto para empresas).
Deverá ser comunicado do acesso indevido aos dados, vazamento ou falha que comprometa a privacidade das pessoas.
Elaborará códigos de boas práticas para empresas e segmentos econômicos que tratam intensivamente dados pessoais; empresas que tenham grandes bancos de dados serão chamadas a prestar esclarecimentos periodicamente.
***
[Helton Simões Gomes, colaboração para a Folha de S.Paulo]