A nova lei, que entrará em vigor em maio de 2021, regula como as empresas devem tratar os dados pessoais que coletam dos cidadãos. Recentemente aprovada, ela se sobrepõe a outras 40 normas que regulavam a matéria, inclusive o Marco Civil da Internet.

A maior mudança que a nova legislação traz está no acesso às informações sobre os dados. Os cidadãos poderão saber como as empresas tratam os dados pessoais: como e porque coletam, como armazenam, por quanto tempo guardam e com quem compartilham. Terão direito à revogação, à portabilidade e à retificação dos dados. As empresas, por sua vez, devem fornecer as informações de forma clara, inteligível e simples.

Para a lei, o conceito de dado é amplo. Pode ser qualquer informação que identifique diretamente uma pessoa, ou que, indiretamente, cruzada com outro dado, permita identificar a pessoa.

Os principais pilares da nova lei são o consentimento e o interesse legítimo para a captura dos dados pessoais. Assim a coleta de qualquer dado pessoal precisa de autorização do seu titular. E a empresa deverá ter um motivo específico para coletar esse dado pessoal. O consentimento do cidadão e o interesse legítimo da empresa devem estar em plena sintonia.

Como exemplo disso, podemos citar o caso de uma pessoa que compra uma pulseira inteligente que mede seus batimentos cardíacos. A finalidade é obter informações sobre sua saúde. Se a empresa da pulseira decide compartilhar os dados coletados com uma marca de seguros, a finalidade do consentimento entra em conflito com o interesse empresarial. A regulação evita compartilhamentos que não têm segurança jurídica. O seguro de saúde poderia oferecer um plano mais caro ao cliente, por saber que ele sofre de problemas cardíacos.

Portanto, cada empresa que responde juridicamente pela coleta de dados pessoais deve ter um encarregado por aceitar as reclamações dos titulares desses dados, prestar esclarecimentos, adotar providências, dialogar com a autoridade nacional, orientar os funcionários, entre outras funções.

Bons escritórios de advocacia têm assumido esse papel, ou mesmo assessorado as empresas em conjunto com seus funcionários de TI. É uma postura preventiva, que agrega segurança jurídica ao negócio e que o diferencia competitivamente em relação aos demais que não estão preparados.

As empresas devem coletar apenas os dados necessários aos serviços que prestam e eventuais vazamentos devem ser informados ao órgão competente e aos titulares. Isso porque a ANDP (Autoridade Nacional de Proteção de Dados) poderá aplicar advertências e multas que chegam a 2% do faturamento anual, limitadas a R$ 50 milhões por infração.