Desde a sexta-feira passada, 18, a Lei Geral de Proteção de Dados (LGPD) obriga que toda empresa que tenha operações no Brasil, mesmo tendo origem fora do país — como as gigantes das redes sociais ou serviços de streaming—, adote processos mais seguros e transparentes para o tratamento, proteção, compartilhamento ou divulgação de informações pessoais de clientes e usuários. Além disso, a nova legislação permite que qualquer pessoa questione como as informações que ela cadastra em um site, como o nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversos outros pontos, são usados por essa empresa, e por qual razão e por quanto tempo ela mantém essas informações salvas, ou até pedir a exclusão desses dados dos seus servidores. O texto, que foi sancionado em 2018 e entrou em vigor na última sexta-feira, isenta até agosto de 2021 a aplicação de multas para quem desrespeitar a lei, que podem variar de 2% do faturamento anual, mas não pode ultrapassar a cifra de R$ 50 milhões. A fiscalização e a penalização das empresas serão feitas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que já existe no papel, mas ainda não foi estruturada pelo governo federal, o que pode gerar insegurança jurídica e dificuldades para a aplicação da nova norma.
 
A LGPD divide os dados colhidos por sites como pessoais ou sensíveis. No primeiro grupo, constam informações que podem identificar, direta ou indiretamente, uma pessoa. Isso inclui nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, entre outros. Há também dados que o site colhe sem que muitas vezes o usuário se dê conta, como os cookies — que são pequenos arquivos de computador ou pacote de dados enviados por um site para o navegador do usuário —, e o IP do computador, algo como o “RG” da máquina. Já os dados sensíveis são todas as informações sobre crianças e adolescentes, além de dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa. Como o próprio nome já diz, os dados sensíveis têm atenção especial do órgão regulador para evitar que eles vazem ou sejam usados de forma indevida. Um exemplo prático de como essas informações são usadas por empresas é o clássico episódio das ligações de telemarketing. Mesmo que você não tenha dado diretamente o seu contato para aquela empresa que está te oferecendo um serviço ou vendendo algum produto, ela possui o seu número de telefone. Esse dado, no caso, pode ter sido vendido por outro site que você tenha se cadastrado e registrado suas informações pessoais.
 
“A LGPD veio para controlar práticas que eram comuns e agora não podem mais, como o caso dos mailings. As empresas montavam bancos de dados com diversas informações sobre clientes e os comercializavam. A lei coloca um freio nesse tipo de prática e estabelece requisitos e critérios que as empresas vão ter que se ater para coletar, tratar ou usar esses dados”, afirma André Castro, professor de Direito do Ibmec de São Paulo. Mais do que definir diretrizes com o permitido ou não na gerência de dados, a LGPD permite que usuários tenham seus dados, parcial ou totalmente, retirados dos bancos de informações de qualquer empresa, como aquela de telemarketing que tem seu número de telefone mesmo que você nunca tenha se cadastrado no site dela. “O site da empresa é um bom termômetro para saber como ela está lidando com essa questão. Se ele não está adaptado e não explica como eles lidam com os seus dados, é possível que a empresa como um todo também não tenha se adaptado. Hoje, não basta ser, tem que parece ser e mostrar que está fazendo o correto”, afirma o professor.