Procon-SP lança cartilha sobre Lei Geral de Proteção de Dados: veja os principais pontos

Visando conscientizar a população em geral e demais entes públicos e privados, o Procon-SP lançou neste mês uma cartilha sobre a Lei Geral de Proteção de Dados (Lei Federal 13.709/18), cujo principal objetivo é proteger direitos fundamentais da liberdade e privacidade em um mundo cada vez mais conectado, em que todos constantemente fornecem seus dados pessoais. Uma vez que diversos dados pessoais são coletados no contexto de relações de consumo, o Procon-SP buscou tratar os principais pontos de atenção na coleta de dados pessoais do ponto de vista do consumidor. Veja mais sobre no texto abaixo!

Definição de dados pessoais

A lei diferencia entre dados pessoais e dados pessoais sensíveis. Por dados pessoais, entende-se que são aqueles em que é possível fazer a sua identificação. São eles: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização por GPS, retrato em fotografia, prontuário de saúde, dados bancários, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, pesquisas na internet, endereço de IP e cookies.

Já os dados pessoais sensíveis indicam informações que podem ser comprometedoras caso sejam divulgadas. São eles: dados pessoais que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas; filiação sindical ou à partido político; dados genéticos e biométricos; histórico detalhado sobre saúde; orientação sexual e dados relativos à vida sexual.Desta forma, ao regular sobre os diferentes tipos de dados que podem ser obtidos pela internet, a Lei Geral de Proteção de Dados passa a tratar sobre o controle, pelo usuário, de suas informações veiculadas online, bem como seu uso por empresas.

Obrigatoriedade de consentimento por parte do titular de dados

O pilar da LGPD é o consentimento do titular de dados para que eles possam ser processados e também compartilhados. Nesse sentido, o Procon-SP chama atenção para políticas de privacidade inadequadas que apresentam textos enormes, pouco claros, com autorizações genéricas, abrangentes, com as quais o consumidor é obrigado a concordar se quiser ter acesso ao serviço ou ao produto desejado. Nesse sentido, aponta que há grandes desafios para as empresas no que tange à clareza de suas políticas de privacidade e proteção dos dados do usuário. Destaca, ainda, a empresa deve informar, com destaque, quando o consentimento do consumidor for condição para que ele tenha acesso a produtos e serviços do seu interesse.

No entanto, há algumas hipóteses em que o consentimento não será solicitado: para cumprimento de obrigação legal ou regulatória pela empresa (mas, neste caso, a dispensa do consentimento deve ser divulgada); pela Administração Pública para execução de políticas públicas previstas em leis; para realização de estudos por órgão de pesquisa (neste caso, os dados devem ser anonimizados); para validação e execução de contratos; para que os cidadãos possam exercer seus direitos; para proteção da vida e da saúde coletiva; quando os dados são necessários para atender aos interesses legítimos da empresa (mediante comprovação); para proteção do crédito e prevenção à fraude.

Vedação ao compartilhamento de dados pessoais referentes à saúde

Insta salientar que fica vedado o compartilhamento de dados pessoais referentes à saúde para obtenção de vantagens econômicas e as operadoras de planos privados de assistência à saúde estão proibidas de utilizar o tratamento de dados para a prática de seleção de riscos e exclusão de beneficiários, outro grande desafio ao setor, já que a forma de controle e prevenção de riscos é amplamente utilizada por toda e qualquer empresa para manutenção de seu equilíbrio financeiro – sobretudo às relacionadas ao setor da saúde.

Regras especiais para o tratamento de dados pessoais de crianças e adolescentes

Já para o tratamento de dados pessoais de crianças (até 12 anos incompletos) e adolescentes (entre 12 a 18 anos completos), o consentimento deverá ser realizado por ao menos um dos pais ou responsáveis legais, mas não é abarcado como será feito este controle por parte do Estado e/ou empresas. Somente será dispensado este consentimento quando a coleta for necessária à proteção da criança ou adolescente ou para se contatar os responsáveis. Nestas situações, os dados devem ser utilizados uma vez somente e sem armazenamento.

Regras de transparência ao consumidor

Para além do consentimento, o consumidor deve ter acesso fácil e claro às seguintes informações: finalidade específica do tratamento; forma e duração do tratamento; identificação e informações de contato da empresa; informações sobre o uso compartilhado de dados e a finalidade; responsabilidade dos agentes que realizarão o tratamento. Qualquer alteração dessas informações deve ser informada para o consumidor, que poderá anular, de forma fácil, seu consentimento, se assim desejar. Se a alteração for de finalidade, o consumidor deve ser informado previamente.

O consumidor pode também solicitar a confirmação da existência ou não do tratamento ou acesso aos dados. Ela pode ser feita em formato simplificado, que deve fornecer as informações imediatamente, ou por uma declaração clara e completa, que deve ser disponibilizada no prazo de 15 dias pela empresa. Também, em caso de vazamento de dados, o consumidor tem o direito de ser comunicado.

Cuidado com os cookies!

A política de coleta dos famosos “cookies”, pequenos arquivos enviados por sites que têm interesse nas informações dos usuários e ficam armazenados no computador, estão, muitas vezes, em discordância com a LGPD, segundo o próprio Procon-SP, já que não permite a escolha pelos usuários. É possível se visualizar que uma grande mudança ocorra neste cenário nos próximos anos.

Tratamento automatizado de dados

Há, ainda, uma polêmica a respeito do tratamento de dados automatizados, ou ainda, as decisões automatizadas. Sua definição ainda é um pouco imprecisa, já que a LGPD apenas cita esta situação, mas, o PLS 4496/2019 busca integrar a definição, considerando a decisão automatizada como um “processo de escolha, de classificação, de aprovação ou rejeição, de atribuição de nota, medida, pontuação ou escore, de cálculo de risco ou de probabilidade, ou outro semelhante, realizado pelo tratamento de dados pessoais utilizando regras, cálculos, instruções, algoritmos, análises estatísticas, inteligência artificial, aprendizado de máquina ou outra técnica computacional”[1].

No que tange a esse aspecto, a Lei determina que o consumidor tem direito a solicitar revisão de decisões tomadas com base neste tratamento que afetem seus interesses, como, por exemplo, decisões destinadas a definir o perfil pessoal, profissional, de consumo e/ou de crédito.

Fiscalização

A autoridade nacional que será responsável pela fiscalização e aplicação da LGPD tem o início de suas atividades prevista para agosto deste ano e se chamará Autoridade Nacional de Proteção de Dados (ANPD), órgão federal ligado à Presidência da República. Em caso de descumprimento legal, as penalidades variam de multa e advertência até suspensão do exercício da atividade de tratamento de dados. Nestes casos, o consumidor também é amparado pelo Código de Defesa do Consumidor, que considera infração penal impedir ou dificultar o acesso do consumidor, bem como deixar de corrigir ou entregar informações a respeito dos usuários que constem em cadastros, banco de dados, fichas ou registros (pena de detenção ou multa).

Assim, para além da ANPD, o consumidor também poderá denunciar e registrar reclamação junto às Defensorias Públicas; aos Ministérios Públicos e aos órgãos de defesa do consumidor, como o Procon-SP.

[1] Fonte: https://www25.senado.leg.br/web/atividade/materias/-/materia/138136