Por Edmardo Galli
No último dia 10 de julho, o Senado Federal aprovou o texto do Projeto de Lei Complementar PLC 53/2018, que regulamenta o uso, a proteção e transferência de dados pessoais no Brasil. O tema, que vinha sendo discutido desde 2010, aguarda sanção presidencial e só deve entrar em vigor um ano e meio depois disso, ou seja, no melhor dos casos, no início de 2020.
Mas o que é que você tem a ver com isso?
Se você é um cidadão comum, fique tranquilo. A nova lei dará mais segurança sobre o que as empresas – sejam elas públicas ou privadas – podem fazer com as informações que coletam a seu respeito, tanto no mundo off-line quanto na internet ou por meio de apps. Ela determina a necessidade de autorização expressa e específica do usuário para que informações suas que possibilitem sua identificação sejam utilizadas para determinado fim ou mesmo comercializadas para outras empresas.
Agora, se você “é uma empresa” ou pertence a uma e utiliza em alguma etapa dos seus negócios dados que possibilitem a identificação de pessoas independentemente da maneira como tenham sido obtidos (coleta direta, compartilhamento, compra de dados ou qualquer outra), a situação é totalmente diferente.
Embora introduza travas quanto ao uso indiscriminados de informações que possibilitem a identificação de indivíduos, a nova lei traz regras claras e transparentes que são um importante instrumento de estímulo ao desenvolvimento econômico, principalmente ao eliminar a zona cinzenta, composta por regras conflitantes, pontos obscuros e outros omissos, que são barreiras para o avanço tecnológico e para a inovação no meio digital.
De forma similar ao que está ocorrendo na Europa e cuja regulamentação sobre o uso de dados pessoais (a chamado GDPR – General Data Protection Regulation) entrou em vigor em maio deste ano, a lei brasileira também é bem aberta. Isso significa que muitos detalhes ainda serão discutidos pelas partes envolvidas.
<< Um guia explicativo e em linguagem clara sobre o GDPR pode ser baixado nesse link. >>
Em linhas gerais, as empresas que atuam no Brasil passam a contar com um conjunto de regras claras sobre a coleta, armazenamento, tratamento e, principalmente, o compartilhamento de dados pessoais entre empresas. Se a norma introduz travas, ao mesmo tempo aumenta a segurança jurídica de todos os envolvidos. Ela dá mais flexibilidade para o tratamento dos dados pessoais em função do que, juridicamente, é conhecido por “legítimos interesses”: em uma sociedade em que cada vez mais o uso de informações para tomada de decisões, exigir autorização expressa para o uso de uma dada informação pode ser algo inviável. Ainda sob a perspectiva operacional, a normatização das informações tende a minimizar inconsistência e incompatibilidades ao logo de o ecossistema por onde essas informações circulem. O resultado disso é mais agilidade e menos custos para todos os envolvidos.
Entre os complicadores que a nova legislação introduz é o limite de responsabilidade que cada entidade envolvida terá, quando há o compartilhamento e/ou uso de informações, situação muito comum no universo da publicidade digital, no qual o anunciante contrata uma agência para desenvolver uma campanha que precisa ser veiculada para uma determinada audiência. A agência, por sua vez, compra os dados dessa audiência de empresas especializadas pela coleta e tratamento dessas informações. Se limite de responsabilidade de cada um não for prévia e contratualmente definido, pode ocorrer a responsabilidade solidária de todos os envolvidos.
Assim, torna-se necessário que todos – anunciantes, agências, plataforma e fornecedores de dados e tecnologia – invistam em suas áreas de compliance de modo a se assegurarem de que não só estejam fazendo o uso adequado dos dados que dispõem mas que situação análoga esteja ocorrendo com todos aqueles com quem se relacionam.
Temos tempo. Como mencionei anteriormente, no “pior cenário”, se a lei for sancionada ainda este ano, ela passa a valer somente em 2020. Identificar a limitação de responsabilidade de cada entidade com a qual sua empresa se relaciona, rever contratos, obter as devidas autorizações certamente não são atividades triviais. E você não vai deixar para a última hora para saber se está fazendo a coisa certa, não é?