10 coisas que mudarão com a lei de proteção de dados pessoais
Já parou para pensar o quanto de informação pessoal você dá sem perceber?
A Lei de Dados Pessoais aprovada nesta terça-feira no Senado, caso sancionada por Michel Temer, mudará sua vida. Tal como o Código de Defesa do Consumidor, a Lei de Dados Pessoais tem aplicação geral para todas as áreas que dependem de informações das pessoas, seja uma rede de farmácias, um aplicativo de namoro ou um “tracker” de corrida.
Já parou para pensar o quanto de informação pessoal você dá sem perceber? Quais direitos você deveria ter enquanto “titular desses dados”?
O Instituto Brasileiro de Defesa do Consumidor preparou uma listinha de dez coisas que mudarão na sua vida com a nova legislação. Fique atento, pois seus dados são você!
1. O fim dos “termos de uso que ninguém lê”
A Lei de Dados Pessoais proíbe aqueles textões incrivelmente chatos que ninguém lê ao começar a usar um aplicativo. Proíbe também termos de uso generalistas, que permitem coletar todos os tipos de dados para fins de “melhoria dos serviços” e “compartilhamento com terceiros”.
Com a Lei de Dados Pessoais, o consentimento precisa ser específico e “granular”, ou seja, precisa estar atrelado a cada tipo de utilização dos pessoais pessoais. Além disso, o consentimento pode ser dado por vídeo e outras formas mais interativas, por meio de ícones e comunicação com robôs.
2. Mais controle do consumidor sobre seus próprios dados
A nova lei cria um “pacote de direitos” para o cidadão titular dos dados. Após consentir com a coleta de informações pessoais, ele passa a ter controle dos próprios dados, com direitos de modificação de informações erradas, oposição de coleta de informações sensíveis (religião, por exemplo) e revisão de decisões tomadas de maneira automatizada.
Uma outra grande novidade da lei é a portabilidade dos dados. Assim como a portabilidade do número do celular, você pode pedir para levar seus dados pessoais do Spotify para o Deezer, por exemplo, eliminando um ou outro.
3. Mais controle sobre como farmácias usam seu CPF e dados de saúde
O consumidor deve ser informado da finalidade da coleta e da existência ou não de tratamento desses dados, para, então, poder tomar a decisão acerca do seu consentimento para o tratamento dos seus dados.
Além disso, o consumidor terá garantido que os dados fornecidos não serão compartilhados com planos de saúde, para estabelecer preços diferenciados de acordo com o perfil farmacológico do consumidor, pois é vedado o compartilhamento de dados de saúde com o intuito de obter vantagem econômica.
O consumidor também pode exigir, da farmácia, acesso às informações sobre o tratamento dos seus dados, isto é, o que está sendo feito com o seu cpf e registro de remédios comprados.
4. Mecanismos claros em caso de vazamentos de dados pessoais
As empresas que coletam e tratam seus dados (chamadas de “controladoras” e “operadoras”) devem manter registro das operações de tratamento dos dados e a autoridade de proteção de dados pode requerer a qualquer momento um relatório de impacto à proteção de dados pessoais.
Caso ocorra um vazamento dos seus dados, o consumidor e o órgão competente devem ser notificados sobre o incidente de segurança, seus riscos e medidas que estejam sendo adotadas. O consumidor pode exigir, de qualquer empresa que controle seus dados, a reparação de seu interesse lesado e a indenização correspondente, quando a legislação e os padrões legais de tratamento e segurança de dados tiverem sido desrespeitados.
5. Suas emoções não poderão ser coletadas e vendidas em espaços abertos
Em casos de “câmeras inteligentes”, como a implementada pela Via Quatro no metrô de São Paulo, fica proibido coletar dados de emoções dos passageiros sem o consentimento. É também proibido vender dados biométricos para terceiros, como empresas de publicidade e marketing digital.
O mesmo vale para câmeras e totens de publicidade em locais abertos, como praças e ruas movimentadas. Para que essas informações sejam utilizadas, as pessoas precisam concordar por meio de validações no celular (via “QR code”, por exemplo) ou outra forma de consentimento informado, livre e inequívoco.
6. Condomínios residenciais precisarão discutir sobre reconhecimento da digital para controlar a entrada no prédio
Em condomínios residenciais que atualmente exigem biometria de forma compulsória, será necessário rediscutir essa questão em assembleia condominial e avaliar se a coleta desse tipo de dados é necessária para fins de segurança, se há concordância e consentimento dos condôminos e se há condições seguras de armazenamento de dados biométricos.
Será possível contestar medidas de coleta de dados biométricos implementados de forma impositiva por administradoras de condomínios, com base na Lei de Dados Pessoais.
7. Sem obscuridades: os consumidores terão livre acesso a sua pontuação de crédito, como ela foi calculada e quais dados foram utilizados
O livre acesso aos dados pessoais é um direito básico da nova lei. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados. Assim, o consumidor pode exigir do bureau de crédito (como Serasa ou SPC Boa Vista) informações sobre o tratamento dos seus dados, tais como: a finalidade específica do tratamento, a forma e duração do tratamento, acesso aos dados utilizados, qual a origem dos dados, a correção de dados incompletos, inexatos ou desatualizados e a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos. O bureau é obrigado a responder ao consumidor em até 15 dias, por escrito.
Ainda, se o cálculo do score foi realizado com base em tratamento automatizado de dados pessoais, o titular pode requerer a revisão das informações. Caso não receba as informações claras sobre os critérios utilizados, pode exigir uma auditoria para a Autoridade de Proteção de Dados Pessoais.
8. Fim da bonança dos testes de internet
É muito comum que testes simple de internet, como “com qual batata você parece”, coletem, além da sua foto de perfil, o seus amigos na rede social, as suas curtidas, interesses, data de nascimento etc – como ocorreu no caso Facebook/Cambridge Analytica. Tal comportamento será proibido. Os desenvolvedores desses testes ou aplicativos devem se limitar ao mínimo necessário para que o serviço ocorra, respeitando o princípio da necessidade, e realizar o tratamento de acordo com o princípio da finalidade, isto é, com propósitos legítimos, específicos, explícitos e informados ao titular. Caso o desenvolvedor deseje coletar outras informações, deve explicitar especificamente quais as finalidades do tratamento destes dados, para que o consumidor possa dar seu consentimento inequívoco.
Assim, o consumidor pode requerer, ao desenvolvedor do teste, o acesso a quais dados foram coletados, o que foi feito com eles e a eliminação dos dados coletados indevidamente.
9. Diferenciação de preços em compra online somente poderá ser feita com consentimento inequívoco do consumidor
Se um site de compra online quiser realizar diferenciação de preços com base na localização, registro de busca, ou outras informações relacionadas ao consumidor, deve informá-lo, explicitamente, da existência de coleta e tratamento dos dados e da finalidade do tratamento, para permitir a escolha do consumidor. Percebida a realização de diferenciação de preços sem o consentimento, o consumidor pode requerer indenização junto aos órgãos de defesa do consumidor, ou à própria empresa.
A discriminação de preços não estará proibida, mas os consumidores terão mais controle e informação sobre a relação entre certos tipos de dados coletados e a formação de preços individualizados.
10. Portabilidade de dados pessoais
Com a Lei de Dados Pessoais, toda pessoa poderá pedir a portabilidade dos dados pessoais de um responsável para outro. Por exemplo, o consumidor poderá exigir a portabilidade de seus dados pessoais do Spotify para o Deezer, por exemplo. Poderá, também, exigir que o Spotify promova a exclusão ou anonimização de seus dados.
Autoridades de proteção de dados pessoais do mundo todo já estão trabalhando em padrões de interoperabilidade para que essa portabilidade aconteça sem problemas. A ideia é que a portabilidade seja tão comum como é a do telefone celular hoje em dia.