Marco Civil instala novo regime institucional de direitos à privacidade

O Marco Civil da Internet entra em vigor no próximo dia 23 de junho. Com ele, o Brasil passa a contar com marco regulatório de privacidade de dados pessoais que rivaliza em rigidez com aqueles dos Estados Unidos e Europa, de acordo com o escritório de advocacia Vella Pugliese Buosi Guidon. Praticamente qualquer companhia que possua um site e/ou coleta dados pessoais por meios eletrônicos será obrigada a observar determindasa regras.

^{> Leia também: O Marco Civil e a proteção dos seus dados pessoais – o que muda?}

“O Marco Civil da Internet implica necessariamente em providências de reforço do compliance em segurança da informação e inaugura a necessidade de estabelecimento de estrutura de compliance em privacidade”, afirma a equipe de advogados.

As punições, em caso de violação, podem incluir a suspensão das atividades de coleta e/ou processamento de dados e a aplicação de multas que podem chegar a 10% da receita anual do grupo econômico infrator. Serviços financeiros, de mídia e comunicações, seguradoras, planos de fidelidade, grupos de educação e de saúde, empresas varejistas (e-commerce) serão os mais afetados

Segundo o escritório de advocacia, a tendência, a ser confirmada por meio de decreto que passará por processo de consulta pública nos próximos dias, é que a Secretaria Nacional do Consumidor – SENACON, ligada ao Ministério da Justiça, tenha poderes para aplicar as penalidades tão logo se encerre o período de vacatio legis.

Especificamente em relação à privacidade, os advogados alertam que a lei criou os seguintes direitos para  titulares dos dados pessoais:

1. à inviolabilidade da intimidade e vida privada e de seus dados pessoais;

2. que a coleta, uso, armazenamento e tratamento de seus dados pessoais  somente se dê a partir de seu consentimento expresso;

3. ao não fornecimento a terceiros de seus dados pessoais, salvo mediante  consentimento livre, expresso e informado;

4. a informações claras e completas a respeito da coleta, uso, armazenamento,  tratamento e proteção de seus dados pessoais, que somente poderão ser  utilizados para finalidades que: (a) justificaram sua coleta; (b) não sejam vedadas pela legislação; (c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet;

5. a solicitar a exclusão definitiva dos dados pessoais de base de dados; e

6. à clareza dos termos de uso (e políticas de privacidade). 

A esses direitos, corresponderão necessariamente os seguintes controles internos:

1. controle interno de correspondência entre as atividades de coleta e tratamento de dados, e suas respectivas finalidades, e os termos de uso e privacidade em vigor. Isto é, será necessária a revisão constante dos consentimentos dados pelo titular dos dados pessoais. Termos de uso e privacidade deverão ser readequados à medida em que as necessidades de negócio e as respectivas finalidades de tratamento da informação forem se modificando;

2. revisão de práticas e contratos que envolvam a troca ou fornecimento de dados pessoais a terceiros;

3. controles e programas de segurança da informação efetivos. Eventos de quebra de sigilo tendem a provocar as punições mais severas;

4. revisão de contratos de prestação de serviço com fornecedores de TI (e.g. outsourcing, cloud computing), incluindo aqueles prestados a partir do exterior, de modo a avaliar a alocação de riscos e responsabilidades, o que inclui cláusulas atinentes à contratação de seguros;

5. mecanismo de deleção definitiva dos dados pessoais das bases de dados em caso de solicitação por seu titular; e

6. documentação constante dos controles e respectivos processos implementados, seja em matéria de segurança da informação, seja em matéria de privacidade, uma vez que o regulador terá o poder de solicitar informações a respeito do cumprimento das normas. 

É bom ter em mente ainda, que a necessidade de criação de uma estrutura de compliance em privacidade será reforçada será  com o advento da lei específica de proteção à privacidade de dados pessoais, cuja nova versão de PL está para ser divulgado pelo Ministério da Justiça. DE acrodo com o escritório Vella Pugliese Buosi Guidon, “com essa nova lei, o compliance em privacidade atingirá novos patamares, o que incluirá, por exemplo, auditorias periódicas de órgão regulador específico e exigência de officer da empresa dedicado a gerir as estruturas de controle e proteção à privacidade das empresas”.