Senado Brasileiro aprova Projeto de Lei sobre Proteção de Dados Pessoais
Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS
Publisher da Revista Gestão de Risco e Presidente da Brasiliano INTERISK.
abrasiliano@brasiliano.com.br.br
Senado Federal aprovou no dia 10 de julho de 2018, o projeto de lei 53/2018, que garantirá mais controle das informações pessoais e autorização explícita para coleta e uso dos dados dos cidadãos brasileiros. Esta é uma importante divisória legal, que coloca o Brasil em posição de igualdade com vários países, incluindo a União Europeia – UE, que já possuem esta questão bem definida.
O Brasil, caso o Presidente da República Michael Temer sancione a lei, será um dos países a garantir mais controle dos cidadãos brasileiros sobre suas informações pessoais e autorização explícita para coleta e uso dos dados.
O Projeto de Lei 53/2018 aprovado pelo Senado Federal é comparado à legislação da União Européia – UE, denominada de General Data Protection Regulation (GDPR), que entrou em vigor em maio deste ano (2018). Se aprovada, a lei brasileira abrangerá como as informações pessoais deverão ser tratadas tanto por indivíduos como organizações públicas e privadas.
O projeto tem vários pontos parecidos com a regulação europeia GDPR, que além de proteger os dados pessoais dos clientes, pune as empresas que não têm proteção adequada ou que fazem mau uso das informações. Isto é uma quebra de paradigma para o mercado brasileiro, pois na legislação brasileira, as empresas não têm muitas regras a cumprir sobre quais dados podem coletar ou como esses dados podem ser usados, compartilhados ou até vendidos.
O Brasil já tinha ao menos 30 legislações setoriais que permeavam o assunto, como o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, entre outras. Como sempre em nosso Brasil, diante de tantas leis, sempre se discutia um marco legal em proteção de dados pessoais.
Esta nova regulamentação, caso seja sancionada, exigirá das empresas que possuem informações de clientes, investimentos neste novo cenário da economia digital, trazendo maior segurança jurídica aos titulares de dados e empresas do setor privado. É uma mudança cultural em termos de segurança de informações e dados pessoais. As empresas brasileiras terão que se adequar a esta nova conjuntura, para não serem punidas.
Um dos pontos de alta relevância da nova legislação brasileira é a regra que se aplica à empresas que não possuem estabelecimento físico no Brasil, mas têm operação e tratamento de dados em território nacional. Outro ponto é que toda instituição responsável pelo tratamento de dados deverá ter nomeado, formalmente, um responsável pela segurança destes dados, o denominado “Data Protection Officer” - DPO.
A Lei Geral de Proteção de Dados Brasileira atingirá qualquer atividade que envolva utilização de dados pessoais, o que inclui dados pela internet, consumidores, colaboradores, entre outros. As empresas só poderão coletar e processar dados com o aval do cliente, que também poderá pedir a revogação do consentimento de uso de informações a qualquer momento ou exigir que os seus dados sejam apagados da base de dados.
Em caso de vazamento destes dados e informações pessoais, as empresas serão obrigadas a reportar às autoridades cabíveis. Para isso, está previsto na legislação a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador vinculado ao Ministério da Justiça, e determina punição para toda a cadeia. Empresas que não cumprirem as regras poderão receber multas que podem chegar a 2% do faturamento ou até R$ 50 milhões por infração, além de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. São punições severas se forem de fato cumpridas, o que levará as empresas brasileiras ou estrangeiras em território brasileiro a realizarem investimentos pesados neste segmento cibernético.
A nova legislação brasileira traz maior segurança jurídica, na medida que eleva a proteção aos direitos individuais das pessoas e ao fomento da economia digital, bem como, com um nível de legislação compatível com outros países, da facilitação ao fluxo de transferência internacional de dados. O período de adaptação à nova lei será de 18 meses.
Ressalva estratégica é que as instituições não devem sair por aí comprando e implementando soluções de segurança, é preciso realizar um planejamento estruturado, com uma avaliação de riscos para saber qual é o real posicionamento da empresa dentro deste cenário. A segurança cibernética envolve mais do que produtos, ela só funciona com a tríade da tecnologia, processos e pessoas capacitadas. As soluções são integradas para haver uma eficácia nos resultados.
Portanto uma Análise de Vulnerabilidades e Riscos Cibernéticos é necessária para focar nos pontos chaves, pois a tecnologia sozinha não irá funcionar. Uma análise de riscos cibernéticos ajuda a direcionar os problemas e com isso traçar metas para endereçar as soluções mais urgentes com os investimentos de forma mais assertiva.
Espero que o projeto de lei seja sancionado pelo Presidente Temer e que o Brasil e as empresas consigam de fato e de direito implementar esta proteção cibernética, protegendo as transações e seus cidadãos.
Boa Leitura!
Antonio Celso Ribeiro Brasiliano
Publisher da Revista Gestão de Riscos e Presidente da Brasiliano INTERISK
abrasiliano@brasiliano.com.br