Publicado originalmente em: DCI
Modelos de negócio baseados em dados pessoais, antes restritos a startups de tecnologia, têm sido cada vez mais buscados pelos diversos setores da economia. Em razão disso, têm crescido as indagações relacionadas às leis aplicáveis a proteção de dados.
Apesar de ainda não existir no Brasil uma Lei Geral de Proteção de Dados (há Projetos de Lei tramitando no Congresso sobre o tema, com previsão de que até o final deste ano algum deles seja convertido em Lei), já existem regras sobre privacidade e proteção de dados na Constituição Federal, no Código de Defesa do Consumidor (CDC), Lei Geral de Telecomunicações, Código Civil, Lei do Cadastro Positivo, Lei de Acesso à Informação e Marco Civil da Internet.
Assim, considerando as leis em vigor, antes de realizar quaisquer procedimentos de coleta, uso, armazenamento ou compartilhamento de dados pessoais, deve ser obtido o consentimento livre, expresso e informado do titular, por meio de Política de Privacidade.
Adicionalmente, o Decreto que regulamentou o Marco Civil, traz algumas diretrizes sobre padrões de segurança eletrônica que devem ser observadas pelos provedores que tratam dados pessoais e comunicações privadas.
O primeiro ponto é a necessidade de estabelecer controle estrito para acesso aos dados, os quais devem estar disponíveis apenas para quem efetivamente deles necessitar, havendo adicionalmente a menção ao uso de duplo fator de autenticação. Juntamente com isso, deve haver regra interna de segurança da informação, com a definição de responsabilidades para os que acessarão essas informações, sendo obtido o efetivo consentimento de todos os colaboradores.
Ainda, há a necessidade de criação de inventário detalhado dos acessos aos dados, contendo: o momento; a duração; a identidade do funcionário; e o arquivo acessado. Por fim, há menção à necessidade de se garantir a inviolabilidade dos dados, sendo sugerido o uso de criptografia.
Já existem, pois, diversas leis a serem seguidas, relacionadas a privacidade e proteção de dados, sendo recomendável a obtenção de consentimento do usuário por meio de uma política de privacidade e eventuais ajustes internos nas companhias, para garantir que estejam em compliance com essas regras de Direito Digital.
Caio César Carvalho Lima é sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados.
