A nova lei de proteção de dados no Brasil e o general data protection regulation da União Europeia
A nova lei de proteção de dados brasileira traz mudanças impactantes, que vêm sendo adotadas em grande parte do mundo. Empresas de todos os setores terão que se adaptar às novas determinações e uma nova cultura sobre o uso adequado de dados deverá ser formada.
terça-feira, 23 de outubro de 2018
Atualizado em 25 de setembro de 2019 16:51
A nova Lei Geral de Proteção de Dados Pessoais brasileira (lei 13.709 de 14 de agosto de 2018 - "LGPD") dispõe sobre o uso, tratamento e armazenamento de dados, visando especialmente garantir aos indivíduos o controle sobre seus dados pessoais.
A LGPD surge como complemento ao Marco Regulatório da Internet (lei 12.965, de 23 de abril de 2014) e encontra inspiração principalmente nas regras do General Data Protection Regulation ("GDPR"), ato legislatório da União Europeia sobre proteção de dados, vigente desde o dia 25 de maio deste ano.
Seguindo o modelo do GDPR, a LGPD busca criar um quadro normativo moderno, incluindo o Brasil no rol de países e organismos internacionais aptos a proporcionar um grau de proteção de dados pessoais considerado adequado pelos padrões internacionais.
Ao determinar a entrada em vigor da LGPD no dia 15 de fevereiro de 2020, o legislador concedeu, desde a sua publicação, um período de 18 meses para que as empresas brasileiras se adequem às novas normas. Devido à familiaridade com o GDPR, empresas atuantes no mercado internacional que já se adequavam às novas regras europeias se enquadrarão com mais facilidade à LGDP.
A nova lei brasileira estabelece regras claras e preventivas sobre a coleta, armazenamento, tratamento e compartilhamento dos dados, estimulando práticas mais transparentes e seguras para o respectivo uso.
Dentre seus dispositivos, a LGDP estabelece que o tratamento de dados no Brasil será submetido aos princípios da finalidade e necessidade - logo, a coleta deverá ser realizada somente para uso com fins específicos e informados previamente ao titular, além da necessidade de se manter a proporcionalidade em relação às finalidades pretendidas.
Assim como o GDPR, a LGPD garante aos titulares dos dados direitos como o de acesso facilitado e correção dos dados incompletos ou incorretos, eliminação dos dados pessoais de forma facilitada e gratuita e a portabilidade de seus dados a outro fornecedor de produtos ou prestador de serviços.
Os dados pessoais são definidos como informações relacionadas a pessoa natural identificada ou identificável. Além disso, a LGPD, de maneira análoga ao GDPR, traz a definição e cria regras específicas para o tratamento de dados sensíveis (relativos à origem racial, étnica, opiniões políticas, vida sexual e outros), que somente pode ser realizado mediante o consentimento do titular, de forma específica e destacada, para finalidades específicas, assim como define regras específicas para o tratamento de dados de crianças e adolescentes, que dependerá do consentimento dos pais ou responsáveis.
No entanto, há circunstâncias em que o consentimento do titular dos dados pode ser dispensado, como: a utilização de dados para cumprimento de obrigações legais, o cumprimento de execução de políticas públicas, a proteção da vida do titular ou de terceiros, entre outros.
As empresas deverão dedicar maior atenção à forma de coleta dos dados para o tratamento, devendo garantir e comprovar que possuem o consentimento do indivíduo que os fornece.
Nessa linha, os agentes de tratamento de dados terão a obrigação de adotar medidas para prevenir o acesso não autorizado aos dados coletados, bem como de informar situações acidentais ou ilícitas de destruição, perda ou difusão não autorizada dos dados coletados. A LGPD determina a comunicação dos casos de incidentes de segurança à autoridade nacional e ao titular em prazo razoável, ao passo que o GDPR prevê o prazo de até 72 horas após o conhecimento do fato.
O descumprimento destas obrigações acarretará advertência ou pagamento de multa simples ou diária, limitada a até 2% do faturamento da empresa (no valor máximo de R$ 50 milhões por infração), penalidade considerada mais branda se comparada à multa de até 4% da receita mundial do grupo econômico no ano ou 20 milhões de euros (o que for maior), prevista pelo GDPR.
Havia, no projeto de lei da LGPD aprovado pelo Senado, a previsão das penalidades de suspensão parcial ou total do tratamento de dados por empresas infratoras - disposição, no entanto, vetada na ocasião da sanção presidencial. Também teve o mesmo destino a criação da Autoridade Nacional de Proteção de Dados, sob a justificativa de que a prerrogativa para a criação de órgãos que gerem despesas para o orçamento é do Poder Executivo.
Em suma, a nova lei de proteção de dados brasileira traz mudanças impactantes, que vêm sendo adotadas em grande parte do mundo. Empresas de todos os setores terão que se adaptar às novas determinações e uma nova cultura sobre o uso adequado de dados deverá ser formada.
__________
*Beatrice Helena Silveira Bento é advogada da Tess Advogados.