Um dos últimos atos do governo Dilma Rousseff, na véspera do afastamento em razão da abertura do processo de impeachment, consistiu no envio ao Congresso, em caráter prioritário, do projeto de lei (PL) 5276/2016, que estabelece regras para o tratamento de dados pessoais. Resultado de longo debate com a sociedade, que inclui o recebimento de propostas pela Internet, o projeto de lei estabelece uma série de regras que vão impactar na operação de aplicativos móveis, sites na web, plataformas de mobile marketing e quaisquer interfaces que lidem com a coleta, a análise e a utilização de dados pessoais. MOBILE TIME lista abaixo alguns dos pontos mais importantes que mexerão com o dia a dia de quem gerencia apps móveis no Brasil.
A coleta e o tratamento de dados só poderão ser feitos com o consentimento das pessoas, de maneira clara e inequívoca. Pelo texto do projeto, as regras valem para quaisquer serviços, mesmo aqueles hospedados no exterior, desde que os dados sejam coletados em território nacional. Ou seja, apps internacionais estão sujeitos a essa lei, quando lidarem com dados de usuários residentes no Brasil.
O projeto de lei define como dados pessoais aqueles relacionados "à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa". Entram nessa definição informações básicas, como nome, idade, sexo, endereço etc, assim como dados sobre perfil comportamental. É feita, contudo, uma distinção com o que o texto chama de "dados sensíveis". Estes seriam informações sobre origem racial ou étnica; convicções religiosas; opiniões políticas, filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; saúde; sexo; genética e biometria. Para dados sensíveis, o tratamento requer uma autorização específica fornecida à parte pelo usuário.
Dados tratados de forma anônima, ou seja, em que as pessoas não possam ser identificadas, por sua vez, serão considerados como pessoais sempre que o processo de anonimização for revertido ou quando "com esforços razoáveis, puder ser revertido." Neste caso, precisarão de consentimento do usuário. E o compartilhamento, entre empresas, de dados anonimizados precisará ser devidamente informado e feito de maneira transparente.
Hoje, é sabido que inúmeros apps e sites na web coletam dados sem informar corretamente seus usuários. Da mesma maneira, informações, ainda que tratadas de forma anônima, são compartilhadas com redes de publicidade móvel e com ferramentas de marketing programático sem que os consumidores sejam alertados. Há um tráfego e uma comercialização de dados pessoais que acontecem de maneira invisível para os usuários, mas que afetam a sua navegação na Internet, à medida que definem o conteúdo que lhes é exibido de acordo com seu padrão comportamental. Cookies de Internet, redes sociais em geral e campanhas de mobile marketing coletam e utilizam informações pessoais constantemente. Tudo isso precisará passar a ser feito com mais clareza e sempre com o consentimento do usuário, quando não forem dados anônimos. Várias empresas precisarão adaptar seus processos, sob o risco de serem responsabilizadas judicialmente por ferirem a lei.
Outro ponto importante: será definido um período máximo para que dados coletados sejam usados. Hoje cada empresa faz como quer. Algumas têm a política de revalidarem as informações com alguma periodicidade, para manter seu banco de dados sempre atualizado. Mas nem todas fazem isso e acabam trabalhando com dados velhos. O prazo será determinado por um órgão competente que não é identificado no texto – talvez fique a cargo da Anatel ou então será criado algum órgão especialmente para lidar com a regulamentação do tratamento de dados, como acontece em alguns países.
Direitos
A lei prevê uma série de direitos dos consumidores sobre seus dados. Eles poderão solicitar às empresas, a qualquer momento, a confirmação do tratamento dos dados; o acesso aos dados; a correção de dados incompletos ou desatualizados; a anonimização, bloqueio ou cancelamento de dados desnecessários; a portabilidade de seus dados a outro fornecedor; dentre outras ações.
O problema é que a maioria das empresas não está preparada para prestar esse tipo de atendimento ao público e precisará montar uma estrutura para tal. A lei também prevê a contratação por parte de cada empresa de um "encarregado de tratamento de dados pessoais", funcionário que ficará responsável por lidar com essas demandas do público e por zelar para que a companhia siga a legislação e a regulamentação vigentes sobre o tema.
Além disso, as empresas precisarão seguir instruções quanto ao formato, a estrutura e o tempo de armazenamento dos dados, que serão definidas pelo órgão competente da área. Hoje não há padronização e cada empresa trata os dados pessoais coletados como bem entender. Será estabelecido um prazo para a adaptação dos bancos de dados atuais.
Segurança
Serão exigidos cuidados com a segurança dos dados desde a concepção dos produtos e serviços até a execução dos mesmos. Novamente, caberá ao órgão competente da área o estabelecimento das regras de segurança a serem seguidas pelo mercado. Hoje, infelizmente, é notório que muitos apps são criados com pouca ou nenhuma preocupação com segurança, botando em risco os dados pessoais coletados de seus usuários. Com certeza as exigências de padrões de segurança acarretarão em um maior custo de desenvolvimento e manutenção de serviços móveis.
Eventuais falhas de segurança que comprometam os dados pessoais dos usuários precisarão ser prontamente informadas ao órgão competente, que definirá as providências a serem tomadas, de acordo com a gravidade de cada caso.
Trâmite
O projeto de lei ainda não tem um relator no Congresso e precisa passar por duas comissões: Constituição e Justiça; e Trabalho e Seguridade. Ainda não está claro se o governo interino apoiará o texto da forma como está escrito e se trabalhará pela sua rápida aprovação. Independentemente disso, é comum que deputados e senadores proponham mudanças ao longo das discussões em plenário. Portanto, muita coisa ainda pode mudar.