Na terça-feira (14/8), foi sancionada pelo presidente Michel Temer a lei 13.709/18, que dispõe sobre o tratamento de dados pessoais de pessoas naturais, por pessoas naturais ou jurídicas, no Brasil ("lei geral de proteção de dados").
A legislação brasileira foi inspirada no regulamento geral sobre a proteção de dados da União Europeia (Regulação (EU) 2016/679), popularmente conhecido como General Data Protection Resolution - GDPR, que entrou em vigor no dia 25 de maio de 2018 e teve como objetivo principal a harmonização das regras relativas ao tema da proteção de dados de pessoas que se encontram em solo europeu.
Na linha da legislação europeia, a nova lei brasileira também consolida em um mesmo instrumento normativo as normas sobre a proteção de informações pessoais e dá aos cidadãos um maior controle sobre o armazenamento, recuperação e transferência de seus dados pessoais, sendo esses, nos termos da lei "qualquer informação relacionada a pessoa natural identificada ou identificável", como, por exemplo: nome, endereço, e-mail, estado civil, informações patrimoniais, de gênero, opção sexual, opção religiosa e política, dentre outros.
A consolidação das normas sobre proteção de dados pessoais era agenda já amplamente debatida e necessária no país em virtude da dispersão das diretrizes relativas ao tema em diversos instrumentos normativos (para citar, por exemplo, o Marco Civil da Internet, o Código de Defesa do Consumidor, o Código Penal, a lei Anticorrupção, a lei geral de Telecomunicações, a lei de Acesso à Informação, entre outros), colocando, com isso, o Brasil no rol das nações que contam com legislação específica e com elevado grau de proteção sobre o assunto.
Tendo em vista que a lei geral de proteção de dados será aplicável para quaisquer operações de tratamento de dados pessoais, com exceção de hipóteses específicas que serão detalhadas adiante, todas as empresas que realizem operações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração de dados pessoais de clientes e/ou fornecedores deverão se adaptar à nova legislação, com a adoção de novas práticas relativas ao tema.
Dentre os principais pontos trazidos pela nova lei, é importante destacar:
• Vigência: a lei geral de proteção de dados entrará em vigor em 18 meses contados da data de sua publicação no Diário Oficial (15/8/18), ou seja, em fevereiro de 2020. Este será o prazo para que as empresas do setor público e privado se adequem à nova regulação e à pesada carga de exigências trazida pela norma.
• Aplicabilidade: a lei geral de proteção de Dados é aplicável a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: (i) a operação de tratamento seja realizada no território nacional; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e (iii) os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Neste aspecto, é importante frisar que uma vez atendidos os critérios acima descritos, as empresas deverão cumprir as exigências da lei geral de proteção de dados, independentemente de serem empresas brasileiras ou estrangeiras.
• Exceções à aplicabilidade: a lei geral de proteção de dados não será aplicável para o tratamento de dados pessoais (i) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; e/ou (ii) realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado, de atividades de investigação e repressão de infrações penais; e/ou (iii) provenientes de fora do território nacional sem que tenham sido objeto de comunicação ou de uso compartilhado com agentes de tratamento brasileiros ou que sejam objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei geral de proteção de dados.
• Conceitos importantes: dentre os conceitos trazidos pela lei geral de proteção de dados destacam-se: (i) o "Titular", pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; (ii) o "Controlador", pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; (iii) o "Operador", pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador; (iv) os "Agentes de Tratamento", sendo estes o Controlador e o Operador; (v) o "Encarregado", a pessoa natural indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a autoridade nacional de proteção de ados; e (vi) a "autoridade nacional de proteção de dados", que será o órgão da administração pública indireta responsável pelo cumprimento da lei geral de proteção de dados, e que, conforme explicitado ao final deste texto, será criado posteriormente por ato do Poder Executivo.
• Direitos do Titular dos Dados: a nova legislação concedeu maior poder aos titulares de dados pessoais em relação às suas informações, garantindo a eles diversos direitos relativos ao armazenamento, recuperação e transferência de seus dados, como: (i) possiblidade de requisitar ao controlador dos dados pessoais, a qualquer momento, (i.i) o acesso aos seus dados; (i.ii) a correção de dados incompletos, inexatos ou desatualizados; (i.iii) a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação; (i.iv) a portabilidade dos dados pessoais para outro fornecedor de serviço ou produto; (i.v) a eliminação de dados pessoais; (i.vi) a revogação do consentimento para o tratamento de dados pessoais; (ii) a garantia de que seus dados só serão tratados após o seu consentimento expresso em relação ao tratamento e à finalidade deste, caso o consentimento seja o fundamento para o tratamento dos dados; (iii) a possibilidade de peticionar contra o controlador dos dados pessoais perante a autoridade nacional de proteção de dados e/ou órgãos de defesa do consumidor; (iv) a possibilidade de solicitação de revisão, por uma pessoa natural, da tomada de decisão fundada em processos automatizados de tratamento de dados pessoais.
• Obrigações dos agentes de tratamento: na linha da concessão de direitos ao titular dos dados pessoais, a nova legislação criou também uma série de obrigações para os agentes de tratamento das informações dos cidadãos, sendo este um ponto de atenção para as empresas que deverão se adequar à norma. Dentre as principais obrigações criadas pela lei geral de proteção de dados para os controladores de dados, destacam-se: (i) a informação imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados pessoais em caso de correção, eliminação, anonimização e bloqueio de dados, para que repitam idêntico procedimento; (ii) a garantia de acesso às informações pessoais de um titular, em caso de sua solicitação, de forma imediata e em formato simplificado, e por meio de declaração completa indicando a origem dos dados, a inexistência de registro e os critérios utilizados para o tratamento, bem como a sua finalidade, no prazo de 15 dias contados do requerimento do titular; (iii) a coleta de consentimento específico do titular dos dados, informando de forma clara a finalidade do tratamento dos dados, salvo algumas exceções previstas na lei; (iv) a informação prévia ao titular dos dados em caso de alteração da finalidade do tratamento que seja incompatível com o consentimento original do titular; (v) a informação ao titular, com destaque, caso o tratamento dos seus dados pessoais seja condição para o fornecimento de produto ou de serviço; (vi) a obtenção de consentimento específico do titular em caso de necessidade de comunicação ou compartilhamento dos dados pessoais de um titular com terceiros; (vii) a informação ao titular dos dados em caso de necessidade de tratamento de dados em virtude de obrigação legal ou regulatória; (viii) a elaboração de relatório de impacto à proteção de dados pessoais, em caso de determinação pela autoridade nacional de proteção de dados; (ix) o registro de todas as operações de tratamento de dados que realizar; (x) a comunicação à autoridade nacional de proteção de dados e ao titular em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; (xi) a indicação de um encarregado pelo tratamento dos dados pessoais para ser um intermediário junto aos titulares e à Autoridade Nacional de Proteção de Dados, recebendo reclamações e comunicações dos titulares, adotando providências necessárias, orientando funcionários e contratados sobre as melhores práticas de proteção de dados, implementando medidas de segurança, técnicas e administrativas para a proteção dos dados pessoais e atendendo às requisições da Autoridade Nacional de Proteção de Dados e outras autoridades competentes; (xii) a eliminação dos dados pessoais após o término do tratamento, nas hipóteses previstas na lei geral de proteção de dados; (xiii) a obrigatoriedade de coleta de consentimento específico por pelo menos um dos pais ou responsável legal antes do tratamento de dados pessoais de crianças e/ou adolescentes.
• Sanções: a Lei Geral de Proteção de Dados elencou também as responsabilidades e sanções administrativas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados em caso de descumprimento das normas pelos agentes de tratamento, citando-se como exemplo: (i) a responsabilização dos agentes de tratamento pelos danos decorrentes da violação da segurança dos dados pessoais em virtude da negligência na adoção de medidas de segurança previstas na norma; (ii) a aplicação de multa de até 2% do faturamento do exercício social anterior do agente de tratamento ou do grupo econômico ou conglomerado de que faça parte no Brasil, limitada ao máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração; e (iii) a possibilidade de publicização da infração apurada, que pode resultar em danos à credibilidade do agente de tratamento no mercado. Dentre os critérios elencados para a apuração da gravidade da infração e aplicação das sanções está a avaliação do empenho do infrator no combate à práticas abusivas e à proteção e segurança dos dados pessoais, como, por exemplo, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano e demonstrar o tratamento seguro e adequado de dados pessoais, a adoção de política de boas práticas de governança e a pronta implementação de medidas corretivas, o que reforça a importância da revisão minuciosa das práticas dos players de mercado sob a ótica da nova Lei Geral de Proteção de Dados.
É importante frisar, por fim, que em relação ao projeto de lei aprovado anteriormente pelo Congresso Nacional, o presidente Michel Temer vetou alguns dispositivos pontuais, sendo o principal deles o referente à criação da autoridade nacional de proteção de dados. A referida entidade seria autarquia especial integrante da administração pública federal indireta e vinculada ao Ministério da Justiça, que teria independência administrativa e ausência de subordinação hierárquica e seria responsável, em termos gerais, pela fiscalização do cumprimento da lei geral de proteção de dados pessoais, interação com os players do mercado, criação de diretrizes específicas para a Política nacional de proteção de dados Pessoais e da Privacidade e pela aplicação de sanções aos infratores. O veto presidencial foi motivado por um "vício de iniciativa", tendo em vista que a criação de órgão dessa natureza deve partir do Poder Executivo, e não do Poder Legislativo, como estava sendo feito. Ao que tudo indica, a autoridade nacional de proteção de dados ainda será criada, em termos semelhantes aos previstos no projeto da lei geral de proteção de dados pessoais, por iniciativa do Poder Executivo cujos trâmites devem ser iniciados em breve.
__________
*Adriano Ferraz é sócio do Freitas Ferraz Capuruço Braichi Riccio Advogados e professor na pós-graduação LL.M. Direito Corporativo do IBMEC/MG.
*Gustavo Paulinelli é advogado do Freitas Ferraz Capuruço Braichi Riccio Advogados.