Migalhas de Peso

Sancionada a lei geral de proteção de dados do Brasil, com veto à autoridade nacional de proteção de dados (ANPD)

Considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário.

23/8/2018

Após oito anos desde a primeira consulta pública promovida pelo Ministério da Justiça, foi sancionada na terça-feira (14) pelo presidente Michel Temer, a lei 13.709/18, conhecida como lei geral de proteção de dados (LGPD). A LGPD é advinda do PLC 4.060/12, que foi convertido no PLC 53/18, da Câmara dos Deputados, o qual cria um marco regulatório sobre a proteção de dados pessoais em território brasileiro e altera a lei 12.965/16 (Marco Civil da Internet). Considerando o período de vacatio legis de 18 meses, a lei entrará em vigor em fevereiro de 2020.

O momento em que esta lei entra em vigor não é um mero acaso. Sua tramitação no Senado ocorreu em regime de urgência, impulsionada pela entrada em vigor da legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), em maio deste ano. O GDPR demandou a adaptação de diversas empresas brasileiras que atuam na União Europeia ou processam dados de cidadãos europeus, de forma a evitar as vultosas multas previstas nesta lei e a perda de contratos com parceiros locais. Dentre as novas regras, foi estabelecida a exigência de níveis adequados de segurança virtual nos países para os quais os dados de cidadãos europeus são transferidos.

É nesta conjuntura, também, que as grandes economias mundiais buscam dar respostas aos recentes episódios de vazamento de dados, como o da Cambridge Analytica, que utilizou de forma indevida dados de usuários americanos do Facebook para fins eleitorais, e aqui no Brasil, onde foi apontado pelo MP um suposto esquema de venda de dados pessoais de brasileiros, pelo Serviço Federal de Processamento de Dados (Serpro), a outros órgãos da administração pública.

A LGPD vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário atual, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados. Em seu texto, regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil, em âmbito público ou privado, na Internet ou fora dela. Vejamos alguns dos principais pontos tratados:

Escopo de aplicação: aplicável a qualquer atividade que envolva a utilização de dados pessoais, tanto no âmbito público quanto no privado, na Internet ou fora dela, inclusive nas relações de consumo e emprego.

Aplicação extraterritorial: estão sujeitas à lei também as empresas estrangeiras que tiverem filial no Brasil ou oferecerem serviços ao mercado nacional.

Dados pessoais, sensíveis, anonimizados e públicos: foram estabelecidos conceitos e regras específicos a cada tipo de dado coletado, armazenado e compartilhado.

Autorização para o tratamento de dados: para o tratamento de dados pessoais, o que inclui a coleta de dados, sempre será necessário um fundamento legal como base, sendo o consentimento apenas uma das 10 hipóteses enumeradas pela LGPD que autorizam o uso dos dados.

Princípios de proteção de dados: a LGPD lista 10 princípios básicos da proteção de dados, dentre os quais a finalidade, necessidade, transparência, segurança, não discriminação, responsabilização e a prestação de contas.

Direitos dos titulares: os titulares de dados pessoais contarão com amplos direitos, incluindo o direto à informação, acesso, retificação, cancelamento ou exclusão, oposição e portabilidade.

Data Protection Officer (DPO): toda empresa sujeita à LGPD deverá ter um encarregado de proteção de dados, que será uma pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional.

Segurança: os responsáveis pelo tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

Notificação obrigatória: será obrigatória a notificação para a ANPD sobre a ocorrência de incidentes de segurança da informação, em prazo razoável. A ANPD poderá, ainda, determinar a notificação dos titulares envolvidos e a publicização do incidente, a depender da gravidade do caso.

Sanções: a ANPD poderá aplicar penalidades administrativas por violação da LGPD, desde a aplicação de advertências até a incidência de multas que poderão chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Autoridade Nacional de Proteção de Dados: a LGPD instituiu a Autoridade Nacional de Proteção de Dados – ANPD, uma autoridade pública vinculada ao Ministério da Justiça responsável pela supervisão da aplicação da lei, a qual poderá estabelecer diretrizes para a proteção de dados pessoais no Brasil e terá a atribuição de elaborar a "Política Nacional de Proteção de Dados e da Privacidade", com poderes para fiscalizar e aplicar sanções, dentre outras atividades. Complementarmente, foi criado o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo que auxiliará a ANPD.

Não obstante, a sanção do presidente Temer teve alguns vetos a determinados dispositivos da lei, com destaque principal para o veto à criação da ANPD e do Conselho Nacional. A justificativa para tal exclusão é a proibição legal para o Legislativo criar órgãos que gerem despesas para o orçamento, o que causaria um "vício de iniciativa" uma vez que apenas o executivo tem essa prerrogativa. Considerando a fundamental importância destes órgãos para a exequibilidade da lei, nas próximas semanas o poder executivo deverá criá-los através de medida provisória ou de novo projeto de lei de sua autoria.

Também foram vetados dispositivos que impediriam o compartilhamento de dados pessoais pelo Poder Público a entes privados, sob o argumento de que esta vedação poderia inviabilizar a prestação do serviço público, além do artigo 28 em sua integralidade, o qual previa a publicidade da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, pois tornaria inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa.

Por fim, houve veto a algumas sanções previstas no artigo 52 do projeto, tais como a suspensão ou proibição do exercício da atividade de tratamento de dados e a suspensão parcial ou total do funcionamento de banco de dados. Este veto se deu devido ao risco insegurança aos responsáveis por tais atividades, e de prejuízos decorrentes da indisponibilidade dos bancos de dados.

Portanto, considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário, haja vista que o período de adaptação é curto se levadas em consideração todas as medidas a serem tomadas. Assim como ocorrido no caso do GDPR europeu, a tardia adoção de medidas pode levar a dificuldades operacionais, e inclusive aplicação de pesadas sanções administrativas.
__________

*Luiz Guilherme Silveira Franco é advogado do escritório De Vivo, Whitaker e Castro Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024

O futuro dos contratos: A tecnologia blockchain e o potencial dos smart contracts no Brasil

20/12/2024