O projeto que regulamenta o uso, a transferência e proteção de dados pessoais no Brasil foi aprovado pelo Senado Federal em julho deste ano e sancionado pelo presidente em 14/08/2018. Com isso o Brasil se junta a diversos países do mundo que já possuem legislação sobre o assunto.
A ideia é assegurar maior controle dos cidadãos sobre suas informações pessoais; exige autorização explícita para coleta e uso de dados, tanto pelo poder público quanto pela iniciativa privada, e obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.
De acordo com o relator do projeto, senador Ricardo Ferraço, “o Brasil perde oportunidades de investimento financeiro internacional em razão do isolamento jurídico por não dispor de uma lei geral de proteção de dados pessoais”
Um importante avanço da Lei Complementar 53/2018, é a responsabilização da empresa pelos dos dados pessoais, que não podem ser utilizados em práticas com finalidades discriminatórias, ilícitas ou abusiva, seja, na definição de seus produtos e serviços ou no uso comercial, marketing, divulgação, etc. As empresas devem implantar procedimentos internos que possam demonstrar sua prática de não discriminação nos processos de uso dos dados pessoais.
São considerados dados pessoais: nome e apelido, endereço de residência, endereço eletrônico, número de um cartão de identificação, dados de localização (por exemplo, a função de dados de localização num celular), endereço IP (protocolo de internet), testemunhos de conexão (cookies), identificador de publicidade do telefone, dados obtidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.
São considerados dados sensíveis e que recebem tratamento diferenciado aqueles relacionados à origem racial ou étnica, convicções religiosas, opiniões políticas, etc.
Para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular, que deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado por uma razão e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar.
O texto prevê, contudo, algumas situações em que este não é necessário, como a proteção da vida, o cumprimento de obrigação legal e procedimento de saúde. A exceção mais polêmica é chamada de “legítimo interesse”, que na prática permite a uma empresa coletar um dado para um propósito e usá-lo para outro, desde que para “finalidades legítimas” e a “partir de situações concretas”. Nesse caso, somente os dados “estritamente necessários” podem ser manejados.
Segundo a diretora jurídica da Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Brasscom), “este projeto é fundamental para o desenvolvimento da economia digital no Brasil porque ele alcança equilíbrio entre a proteção do direito do cidadão em um arcabouço que ajude as empresas a inovarem”.