O presidente Michel Temer sancionou nesta terça-feira, 14, a Lei Geral de Proteção de Dados Pessoais. O texto foi publicado na edição de hoje do Diário Oficial da União. As empresas terão 18 meses para se adequarem à nova legislação, que entra em vigor em fevereiro de 2020.
“Na prática, as companhias ficam impedidas de coletar dados pessoais e usá-los na oferta de publicidade direcionada, telemarketing ou venda de informações para terceiros sem autorização do consumidor”, diz Jeferson Propheta, diretor-geral da McAfee no Brasil.
Por falta de legislação específica, as empresas não eram punidas pelo vazamento de dados pessoais de seus clientes. “Agora, ela será obrigada a notificar todos os clientes e poderá receber multa de até 2% do faturamento ou até 50 milhões de reais por infração”, afirma ele.
Para Propheta, umas das dificuldades das empresas será a adequação aos novos parâmetros de segurança no prazo de 18 meses. “O processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos é bastante complexo. Um projeto de classificação de dados, por exemplo, demora cerca de 12 meses para ser implementado”, afirma.
Propheta lista abaixo as principais mudanças trazidas pela nova lei:
O que muda
As empresas não poderão mais coletar dados pessoais sem o consentimento das pessoas, sejam consumidores ou funcionários, e também passarão a ser totalmente responsáveis pela segurança dessas informações.
Na prática, ficam impedidas de coletar dados pessoais e usá-los na oferta de publicidade direcionada, telemarketing ou venda de informações para terceiros sem autorização do consumidor.
Consentimento
As companhias só poderão coletar e usar os dados após o consentimento do titular, que também poderá pedir a revogação da autorização para uso de suas informações a qualquer momento. O consumidor também poderá pedir portabilidade dos dados e exigir que suas informações sejam apagadas.
Clareza
Antes da lei, muitas vezes, empresas explicavam como seriam tratados os dados coletados, mas dentro de imensos termos de adesão, com centenas de páginas, que ninguém lia. Agora, as finalidades do uso dos dados pessoais terão que ser obrigatoriamente apresentados ao cliente de forma muito clara e transparente.Quem é afetado Serão impactadas pela nova lei todas as empresas que coletam quaisquer tipos de dados pessoais. E por dado pessoal entende-se qualquer informação que permita a identificação de um indivíduo como: nome, sobrenome, endereço, e-mail, número de documento, número de cartão de crédito, informações bancárias, dados médicos, além de dados de localização, endereços de IP e testemunhos de conexão, os chamados cookies. Dados físicosA lei não engloba apenas dados digitais, os dados coletados em papel como fichas de cadastro e cupons de promoções ou mesmo coletados por meio de imagens ou sons também valem.
Responsabilidade
Outro fator importante é que a empresa passa a ser responsável pela segurança dos dados que coleta, transmite, processa e armazena.
Muitos casos de vazamento de dados de consumidores, como logins e senhas, já ocorreram no Brasil sem que as empresas fossem punidas por isso. Antes da lei, se o hospedeiro da informação não aplicasse nenhuma segurança sobre os dados e cibercriminosos conseguissem subtrair essas informações, a empresa não sofria punição e o maior prejudicado era o consumidor, que poderia ter seus dados privados usados em golpes e fraudes.
Investimento em segurança
Agora, a empresa terá que provar, por meio de relatórios, que tem uma estrutura de segurança preparada para assegurar a proteção dos dados. Caso a empresa seja vítima de algum incidente de segurança, como um vazamento de dados, seja acidental ou criminoso, ela será obrigada a notificar todos os clientes e poderá receber multa de até 2% do faturamento ou até 50 milhões de reais por infração.
Prazo de adaptação
Para as empresas, a principal dificuldade será o tempo para adaptação, que é bastante curto. A lei diz que as empresas terão apenas 18 meses para se adaptarem e cumprirem as regras. No entanto, o processo para criar uma estrutura de segurança capaz de proteger os dados contra vazamentos é bastante complexo. Um projeto de classificação de dados, por exemplo, demora cerca de 12 meses para ser implementado.