O Projeto de Lei que dispõe sobre a proteção de dados pessoais e altera a também recente lei que definiu o Marco Civil da Internet, vai à sanção Presidencial. Este movimento legislativo afetará diretamente o modelo de negócios das empresas de tecnologia e informação que atuam no mercado brasileiro, bem como as startups, em fase de desenvolvimento. E agora?
Calma. Afinal, do que se trata esta lei e quais os principais pontos que devem ser observados pelos empreendedores do setor?
A lei faz parte de um movimento mundial muito presente da Europa, e que, dado aos recentes casos de vazamento de dados em redes sociais de empresas americanas que influenciaram nas eleições e que tem impactos diretos em hábitos de consumo e informações pessoais dos cidadãos, desde resultados de exames de saúde, critérios para concessão de crédito, seguros, e localização entre outros dados que são coletados e tratados pelas empresas.
O texto levado à sanção presidencial garante maior controle aos cidadãos sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público, quanto pelas empresas, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.
A sua abrangência estende-se a forma da captação dos dados, seja por plataforma de suporte tecnológico, internet, seja papel, som ou imagem, de consumidores, por exemplo. O impacto direto nos contratos de adesão tem relevância quando do tratamento desses dados pessoais for condição para o fornecimento de produto ou serviço, caso em que o consentimento do usuário ou titular deverá ser claramente informado e realizado com consentimento expresso. Os principais direitos desses titulares são: informação, acesso, retificação, cancelamento, oposição, portabilidade, desses dados entre outros.
Uma das medidas essenciais para equilibrar essas obrigações, em que as empresas estarão submetidas à conformidade de suas operações, é a importância de adoção de políticas de compliance, ao ponto de que as empresas que são responsáveis pela coleta e tratamento, tenham um profissional denominado Data Protection Officer (DPO), o que a lei chamou de “Encarregado de Proteção de Dados Pessoais”, ou naturalmente isso pode fazer parte de uma política de integridade em um programa de compliance bem estruturado que auxilie a gestão da empresa.
O Artigo 42 do Projeto de Lei determina que o responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Já as sanções administrativas representadas por multa simples ou diária, vão de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração. Essas sanções são um risco para pequenas e médias empresas ou ainda as startups, porque foram estabelecidas justamente para pressionar as grandes corporações a adotarem essas políticas de compliance, para proteção de dados, mas não distinguiu uma das outras, embora estabeleça um procedimento para o processo administrativo, que garanta a ampla defesa e leve em consideração a “condição econômica do infrator” (art. 52 II § 1º III).
Outro ponto fundamental é a clareza dos termos de uso e políticas de privacidade adotadas por aplicativos, softwares, SaaS e websites.
Por isso, cada vez mais se recomenda que os modelos de negócio, os contratos e as startups em desenvolvimento, analisem sob o ponto de vista jurídico as regras de compliance que estão submetidas, seja para adequação do Marco Civil da Internet, seja para a Lei Geral de Proteção de Dados.
Por William Julio de Oliveira e Cláudia Uliana Orlando