Em 14 de agosto, foi sancionada pelo presidente Michel Temer, com vetos parciais, a lei geral de proteção de dados (lei 13.709/18), conforme publicação do Diário Oficial da União em 15 de agosto.
O veto presidencial excluiu as sanções administrativas de suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Adicionalmente, a versão sancionada da lei exclui certas disposições relativas ao tratamento de dados pelo Poder Público, como a que previa o sigilo e a proibição de compartilhamento de dados pessoais de requerentes de acesso a informação com base na lei 12.527/11, bem como a exigência de publicidade na comunicação ou uso compartilhado de dados pessoais entre órgãos e entidades de direito público.
O veto de maior destaque, contudo, foi a exclusão das disposições relativas à criação da ANPD, bem como do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
A redação da LGPD aprovada pelo Senado previa a criação da ANPD como autarquia vinculada ao Ministério da Justiça que teria como principais funções zelar pela proteção de dados pessoais e fiscalizar e aplicar sanções em caso de descumprimento da legislação aplicável.
A razão para o veto à ANPD foi o alegado vício de iniciativa para sua criação, por ser resultante de ato do Poder Legislativo. Contudo, o presidente já se manifestou no sentido de que apresentará outro projeto de lei especificamente para a criação da autoridade, no mesmo sentido do que havia sido aprovado pelo Senado.
Não obstante as discussões que devem acontecer no decorrer dos próximos meses sobre o regime de atuação da entidade fiscalizadora da LGPD e suas atribuições, já foi iniciado o prazo para que as empresas entrem em conformidade com a nova lei.
As empresas terão 18 meses para a regularização de suas atividades, o que exigirá mudanças técnicas, procedimentais e culturais consideráveis.
A principal consequência é a exigência de maior transparência em relação ao tratamento de dados, devendo as empresas estar preparadas para fornecer aos titulares informações sobre o tratamento realizado, permitir acesso aos dados e efetuar correções apontadas pelos titulares, bem como excluir tais dados nos casos previstos por lei, inclusive em casos de revogação do consentimento. Adicionalmente, os titulares de dados pessoais passam a ter direito a portabilidade dos dados de um fornecedor para o outro.
As empresas deverão respeitar as hipóteses legais para o tratamento de dados pessoais, dos quais destaca-se a obtenção de consentimento, livre, informado e inequívoco do titular dos dados. Apesar da lei prever a hipótese de tratamento em razão de interesse legítimo do controlador, esse tratamento não poderá prevalecer sobre os direitos e liberdades fundamentais do titular.
A partir da entrada em vigor da lei, as empresas devem tratar somente o mínimo de dados necessários para a realização de suas finalidades, devendo ainda eliminar tais dados após a finalidade para os quais estes foram coletados ter sido concluída, ou caso tais dados deixem de ser necessários ou pertinentes para tal finalidade.
O tratamento dos dados pessoais de crianças passa a exigir o consentimento específico e em destaque de ao menos um dos pais ou responsável legal da criança.
As empresas deverão registrar todas as atividades de tratamento realizadas, incluindo informações relativas ao tipo de dado, o prazo do tratamento e a fundamentação para este. Também será necessário elaborar relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação.
As empresas deverão ainda indicar um Data Protection Officer (oficial de proteção de dados, definido na LGPD como “encarregado”), cuja função será de servir como canal de comunicação entre os titulares dos dados e a empresa, bem como supervisionar e fiscalizar o cumprimento das regras de proteção de dados pessoais por esta. De acordo com a lei, a autoridade nacional a ser criada poderá estabelecer hipóteses de dispensa dessa exigência, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
A transferência internacional de dados pessoais também foi regulamentada, sendo permitida somente em casos específicos, dos quais destaca-se a obtenção de consentimento específico do titular, a existência de regras no país ou organização de destino que proporcionem proteção em grau adequado ao previsto em lei ou mediante a comprovação pelo controlador de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, incluindo através de cláusulas-padrão contratuais e normas corporativas globais.
A segurança dos dados também possui destaque, devendo ser adotados padrões de segurança no processo de tratamento dos dados, bem como práticas de proteção de dados pessoais desde a concepção dos produtos e serviços até a sua efetiva execução.
Por fim, incidentes de segurança de informação passarão a ter que ser notificados à autoridade ser criada, devendo as empresas ainda notificar tais incidentes aos titulares e ao público, conforme a gravidade da natureza do incidente.
Vale destacar que a lei prevê sanções administrativas às empresas que descumprirem as disposições da LGPD, dentre as quais multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.
___________________
*Isabela Moreira Vilhalba, especializada em Propriedade Intelectual e sócia do Saiani & Saglietti Advogados.