Por Gustavo Lemos Fernandes e Cecília Rezende de Freitas
No dia 10 de julho de 2018, o Senado Federal aprovou o projeto de lei nº 53/2018, oriundo da Câmara dos Deputados, que trata da proteção de dados pessoais, a exemplo do Regulamento Geral Sobre a Proteção de Dados (RGPD) ou General Data Protection Regulation (GDPR ) – Regulação 2016/679 –, instituído pela União Européia, que recentemente entrou em vigor com o objetivo de estabelecer regras relativas à proteção de dados pessoais, em especial referentes ao seu tratamento e à sua livre circulação, de modo harmonioso em relação às demais normas aplicáveis sobre o tema.
Assim como na legislação europeia, a LGPD tem por objeto estabelecer regras relativas ao tratamento de dados pessoais por pessoa natural ou jurídica de direito público ou privado, inclusive nos meios digitais, quando necessários para execução de contratos ou para atender interesses legítimos do controlador de dados ou de terceiros, visando a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
De um modo geral, a LGPD estabelece basicamente as seguintes regras:
- Autoridade Nacional de Proteção de Dados. Por meio da LGPD, ficará criada a Autoridade Nacional de Proteção de Dados (ANPD) que será responsável por fiscalizar, regulamentar bem como aplicar sanções em caso de descumprimento da legislação. Esse órgão será integrante da administração pública federal indireta e vinculado ao Ministério da Justiça.
- Permissão para uso de dados. O tratamento de dados pessoais dependerá de prévio consentimento formalizado por escrito, através de manifestação prévia, livre, informada e inequívoca, podendo o mesmo ser revogado a qualquer tempo. Neste contexto, as crianças ganham proteção especial, sendo necessário o consentimento dos pais e/ou responsável legal, observada a legislação pertinente.
- Exercício dos direitos dos titulares dos dados. Os titulares dos dados podem, em determinadas situações, obter acesso, retificar, limitar o uso ou até excluir as informações que empresas guardam sobre ele, incluindo o direito a portabilidade de suas informações a outro fornecedor de produtos, dentre outros.
- Medidas de Segurança Contra Incidentes de Dados.Os dados pessoais deverão ser protegidos contra acessos não autorizados, situações acidentais e/ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer ocorrência nesse sentido deverá ser comunicado pelos agentes de tratamento ao órgão competente (ANPD) bem como aos próprios titulares, conforme o caso.
- Transferência de dados.Os dados de titulares poderão ser transferidos para países que possua legislação de proteção de dados adequado (conforme definição a ser fornecida pela ANPD) ou por meio de cláusulas contratuais padrão, normas corporativas globais, além de selos e certificados aprovados pela ANPD.
- Escritório de proteção de dados ou Data Protection Office (DPO). Também alinhada ao modelo europeu, a legislação brasileira obrigará as empresas nomear um encarregado pelo tratamento de dados pessoais.
Portanto, as empresas que se anteciparem à adoção de política de proteção de dados, contarão com um diferencial no mercado e estarão um passo à frente quanto a eventuais mudanças na legislação brasileira.
Cumpre esclarecer que este projeto vinha sendo discutido desde 2011, sendo que a única legislação vigente, que regulava de forma limitada tal proteção, correspondia ao Marco Civil da Internet, que estabelece regras para uso de informações pessoais por parte de empresas conectadas, além do Código de Defesa do Consumidor.
Com a nova legislação, entretanto, o Brasil assume uma posição equivalente a dos países desenvolvidos que utilizam e investem progressivamente em inovadoras ferramentas de proteção de dados, permitindo-lhe expandir seus negócios nos mercados estrangeiros.
Recomenda-se, neste sentido, que desde já as empresas brasileiras se enquadrem as novas regras, sejam relativas ao LGPD ou mesmo ao RGPD com base nas seguintes premissas:
1) Identificar processos que exijam o consentimento dos usuários para utilização e processamento dos seus respectivos dados;
2) Revisar e/ou estabelecer políticas de utilização de dados, no sentido de verificar sua clareza e delimitação do uso das informações;
3) Revisar e/ou estabelecer acordos de processamento e transferência de dados, na forma do regulamento vigente.
A falta de adaptação à LGPD, que deverá ocorrer em 18 meses de sua publicação oficial, implicará na aplicação de penalidades que irão desde bloqueios no exercício das atividades até proibição total, além de multas calculadas sobre o faturamento, limitadas a R$ 50 mi por infração.
Sanção presidencial:
Nesta terça-feira, 14 de agosto, o projeto passou, com alguns vetos, por sanção presidencial, sendo que o mais relevante deles exclui a criação de órgão regulador para dados pessoais no Brasil.
É previsto que a nova legislação entrará em vigor em fevereiro de 2020.
Informamos que o Escritório está apto e à disposição para proporcionar-vos devida profundidade ao tema.
Este artigo possui caráter meramente informativo, não consistindo em qualquer tipo de consultoria ou orientação técnica e/ou legal a respeito dos temas aqui abordados.