Depois da GDPR, vem aí a lei brasileira de proteção de dados

Com multas pesadas para quem descumprir as regras, regulamento nacional está tramitando com urgência e é fortemente inspirado na lei europeia

A GDPR já está valendo desde o dia 25 de maio — e, como já comentamos anteriormente aqui no blog da Flipside, a legislação europeia acabou ficando responsável por incitar uma mentalidade privacy-first em empresas do mundo inteiro, incluindo aquelas que não processam dados de cidadãos europeus. Porém, engana-se quem pensa que os reflexos de tal regulamento acabariam aí: ele também incentivou o Brasil a correr atrás do prejuízo e tramitar, com urgência, sua própria lei sobre proteção de dados pessoais na internet.

Sim, nosso país está prestes a ganhar uma legislação própria a respeito de tal assunto. Na verdade, diversos textos que visavam impor regras para a coleta, armazenamento e processamento de dados sensíveis em território nacional já estavam sendo apresentados desde que o escândalo envolvendo a espionagem global da NSA (ou seja, meados de 2012 a 2013) começou a efervescer. Porém, com o conturbado cenário político que nosso país andou vivendo, tal pauta acabou sendo deixada de lado.

O principal projeto desse gênero é o PL 4060/2012, de autoria do deputado Milton Monti (PR). Votado com urgência, ele foi aprovado praticamente por unanimidade na Câmara dos Deputados na terça-feira passada (29). Agora, encaminhado ao Senado, ele foi rebatizado como PLC 53/2018 e deve “brigar” com outros textos similares que já estavam sendo discutidos por lá, incluindo o PLS 330 — amplamente criticado por abrir exceções aos órgãos públicos no que tange aos padrões de proteção de dados pessoais dos cidadãos.

Igual, mas diferente

Embora seja bem mais enxuto do que a GDPR (o texto europeu tem 88 páginas, enquanto o brasileiro conta com apenas 50), o PLC 53/2018 lembra bastante a regulamentação estrangeira, mas também apresenta alguns incrementos interessantes. Se aprovado, ele será válido para qualquer empresa que recolha e processe dados de brasileiros (mesmo sendo de origem pública e mesmo estando sediada fora do nosso país).

A proposta, entre outras coisas, exige o consentimento do usuário para a coleta de suas informações, obriga as companhias a apagar os registros do cidadão caso ele pare de usar o serviço e permite que os titulares consultem, corrijam e façam download de seus dados a qualquer momento, se assim desejarem. Além disso, as plataformas só poderão recolher dados de crianças (abaixo dos 12 anos) caso exista a autorização de um responsável.

Além disso, o regulamento define que as empresas serão consideradas responsáveis por vazamentos de dados, sendo que tais incidentes devem ser reportados “imediatamente” às autoridades. Por fim, a lei prevê ainda a obrigação de toda companhia a contar com um encarregado para cuidar desse assunto (equivalente ao Data Protection Officer ou DPO proposto pela GDPR) e sugere a criação da “Autoridade Nacional de Proteção de Dados”, uma entidade competente que garantirá a aplicação das novas regras.

A punição prevista para quem descumprir as normas do regulamento é uma multa de R$ 50 milhões ou 4% do faturamento anual da empresa infratora — o que for maior.

Não é uma opção, é uma obrigação

A partir do momento em que a PLC 53/2018 for sancionada, as corporações terão um ano e meio para se adaptar; isso significa que, na melhor das hipóteses, as regras só vão começar a valer lá no segundo semestre de 2020, caso o Senado prossiga com a tramitação sem maiores obstáculos até o fim deste ano. Ainda assim, é essencial se preparar para as mudanças desde já. Afinal, se a GDPR serviu apenas como um “incentivo” para que as empresas cuidassem mais de seus dados, a legislação nacional transformará tal cuidado em uma obrigação.

Vazamentos de dados ocorrem por vários motivos, e um deles é a falta de preparo dos colaboradores internos. Por isso, é essencial, antes de mais nada, investir na conscientização dos funcionários de sua companhia, garantindo que todos estejam a par das ameaças digitais e se certificando de que sua equipe saiba responder a tentativas de phishing, invasões e outros tipos de golpes cibernéticos. Essa é a forma mais eficaz de proteger tanto as informações sigilosas dos seus clientes quanto as do próprio ambiente corporativo.

Fontes: Câmara dos Deputados, Senado Federal, G1, Convergência Digital