Punição da ICO á British Airways é a maior já prevista na lei de proteção de dados do Reino Unido, ultrapassando multa imposta ao Facebook.
A Lei 13.853 de 2019, que altera a Lei Geral de Proteção de Dados (13.709 de 2018), foi sancionada na última terça-feira (9). Flexibilizando alguns pontos, foi criada também a Autoridade Nacional de Proteção de Dados (ANPD) para fiscalizar o cumprimento da LGPD.
O parecer foi dado após os ministérios da Economia e Ciência, Tecnologia e Inovação e Comunicação darem aprovação ao projeto de lei. A lei em si resulta da MP 869 de 2018.
A justificativa para os vetos de dispositivos citam que as premissas anteriores, editadas ao fim do mandato de Michel Temer, iam de encontro “ao interesse público” e representavam inconstitucionalidade. Agora, as normas vão para aprovação no Congresso Nacional.
Dentre eles, foi revogada a garantia de proteção a pessoas que solicitam informações via Lei de Acesso a Informação. O objetivo anterior era proteger um cidadão de possíveis retaliações ao fazer questionamentos, o que em tese pode desincentivar a prática.
Também entra no veto punições a empresas por parte da ANPD em caso de violações da LGPD. Entre elas, a interrupção parcial do funcionamento do banco de dados de uma empresa e a proibição parcial e total de atividades relacionadas.
Além, o dispositivo que incluiria a revisão de decisões de algoritmos por um ser humano também fica de fora, pois “inviabilizaria os modelos atuais de planos de negócios de muitas empresas, notadamente das startups” e prejudicaria também a “análise de risco de crédito e de novos modelos de negócios de instituições financeiras“.
Membros do setor econômico da área de TI se sentiram confortáveis com os vetos, enquanto que entidades da sociedade civil abriram críticas. A Coalizão Direitos na Rede avalia que os dispositivos retirados enfraquecem a lei, retiram direitos e podem abrir espaço para o abuso no tratamento dos dados por parte de companhias.
A LGPD tende a garantir ao cidadão um maior controle de seus dados pessoais perante empresas. Desta forma, é possível solicitar a visualização, revisão e exclusão de informações de um banco de dados. No texto da Lei, fica explicito que o cidadão precisa ter consentimento da coleta e uso dos seus dados, o que inclui tanto o poder público quanto a iniciativa privada.
“Sem a LGPD, o Brasil perderia oportunidades de investimentos financeiros internacionais em razão do isolamento jurídico”, diz Matheus Baeta, diretor da OTRS Brasil. Ele reforça também que o indivíduo deve estar no controle de seus dados pessoais.
Na lei brasileira, estão previstas advertências e multas de até R$ 50 milhões por infração. A Autoridade Nacional de Proteção de Dados entra em vigor em 2020 e é formada por 23 integrantes, que devem analisar casos de irregularidade e realizar fiscalizações.
Podemos ilustrar o conceito por trás de sanções do tipo no Reino Unido. A ICO (Information Commissioner’s Office) anunciou planos para multar a companhia aérea British Airways em £ 183 milhões por violações de cartão de crédito, nomes, endereços e detalhes de reservas.
O órgão local relata que “acordos de segurança deficientes” na empresa levam à violação de informações pessoais e detalhes sensíveis de 500 mil clientes. Esta, em si, seria a maior multa já emitida pela ICO. Em comparação com o Facebook e o escândalo Cambridge Analytica, a empresa de Mark Zuckerberg foi multada em 500 mil libras.
A companhia aérea terá 26 dias para recorrer da decisão. Como relatado por Elizabeth Denham, comissária de informação, a perda de dados pessoais é “mais do que uma inconveniência” e, como afirma, as empresas precisam tomar as medidas apropriadas “para proteger os direitos fundamentais de privacidade.”
“Os dados pessoais das pessoas são apenas isso – pessoais. Quando uma organização falha na proteção contra perda, dano ou roubo, é mais do que uma inconveniência. É por isso que a lei é clara – quando você recebe dados pessoais, precisa cuidar deles”.
