PORTUGUÊS / INGLÊS
 
 
Publicações - Artigos

 

 

 
 
  • 16/08/2018

    SANCIONADA A LEI GERAL DE PROTEÇÃO DE DADOS DO BRASIL, COM VETO À AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)

    - Luiz Guilherme Silveira Franco

    Após oito anos desde a primeira consulta pública promovida pelo Ministério da Justiça, foi sancionada na terça-feira (14) pelo Presidente Michel Temer, a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD). A LGPD é advinda do PLC 4.060/2012, que foi convertido no PLC 53/2018, da Câmara dos Deputados, o qual cria um marco regulatório sobre a proteção de dados pessoais em território brasileiro e altera a Lei 12.965/16 (Marco Civil da Internet). Considerando o período de vacatio legis de 18 meses, a lei entrará em vigor em fevereiro de 2020.


     


    O momento em que esta lei entra em vigor não é um mero acaso. Sua tramitação no Senado ocorreu em regime de urgência, impulsionada pela entrada em vigor da legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), em maio deste ano. O GDPR demandou a adaptação de diversas empresas brasileiras que atuam na União Europeia ou processam dados de cidadãos europeus, de forma a evitar as vultosas multas previstas nesta lei e a perda de contratos com parceiros locais. Dentre as novas regras, foi estabelecida a exigência de níveis adequados de segurança virtual nos países para os quais os dados de cidadãos europeus são transferidos.


     


    É nesta conjuntura, também, que as grandes economias mundiais buscam dar respostas aos recentes episódios de vazamento de dados, como o da Cambridge Analytica, que utilizou de forma indevida dados de usuários americanos do Facebook para fins eleitorais, e aqui no Brasil, onde foi apontado pelo Ministério Público um suposto esquema de venda de dados pessoais de brasileiros, pelo Serviço Federal de Processamento de Dados (Serpro), a outros órgãos da administração pública.


     


    A LGPD vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário atual, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados. Em seu texto, regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil, em âmbito público ou privado, na Internet ou fora dela. Vejamos alguns dos principais pontos tratados:


     


    Escopo de aplicação: aplicável a qualquer atividade que envolva a utilização de dados pessoais, tanto no âmbito público quanto no privado, na Internet ou fora dela, inclusive nas relações de consumo e emprego.


     


    Aplicação extraterritorial: estão sujeitas à lei também as empresas estrangeiras que tiverem filial no Brasil ou oferecerem serviços ao mercado nacional.


     


    Dados pessoais, sensíveis, anonimizados e públicos: foram estabelecidos conceitos e regras específicos a cada tipo de dado coletado, armazenado e compartilhado.


     


    Autorização para o tratamento de dados: para o tratamento de dados pessoais, o que inclui a coleta de dados, sempre será necessário um fundamento legal como base, sendo o consentimento apenas uma das 10 hipóteses enumeradas pela LGPD que autorizam o uso dos dados.


     


    Princípios de proteção de dados: a LGPD lista 10 princípios básicos da proteção de dados, dentre os quais a finalidade, necessidade, transparência, segurança, não discriminação, responsabilização e a prestação de contas.


     


    Direitos dos titulares: os titulares de dados pessoais contarão com amplos direitos, incluindo o direto à informação, acesso, retificação, cancelamento ou exclusão, oposição e portabilidade.


     


    Data Protection Officer (DPO): toda empresa sujeita à LGPD deverá ter um encarregado de proteção de dados, que será uma pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional.


     


    Segurança: os responsáveis pelo tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.


     


    Notificação obrigatória: será obrigatória a notificação para a ANPD sobre a ocorrência de incidentes de segurança da informação, em prazo razoável. A ANPD poderá, ainda, determinar a notificação dos titulares envolvidos e a publicização do incidente, a depender da gravidade do caso.


     


    Sanções: a ANPD poderá aplicar penalidades administrativas por violação da LGPD, desde a aplicação de advertências até a incidência de multas que poderão chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.


     


    Autoridade Nacional de Proteção de Dados: a LGPD instituiu a Autoridade Nacional de Proteção de Dados – ANPD, uma autoridade pública vinculada ao Ministério da Justiça responsável pela supervisão da aplicação da lei, a qual poderá estabelecer diretrizes para a proteção de dados pessoais no Brasil e terá a atribuição de elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, com poderes para fiscalizar e aplicar sanções, dentre outras atividades. Complementarmente, foi criado o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo que auxiliará a ANPD.


     


    Não obstante, a sanção do Presidente Temer teve alguns vetos a determinados dispositivos da lei, com destaque principal para o veto à criação da ANPD e do Conselho Nacional. A justificativa para tal exclusão é a proibição legal para o Legislativo criar órgãos que gerem despesas para o Orçamento, o que causaria um “vício de iniciativa” uma vez que apenas o executivo tem essa prerrogativa. Considerando a fundamental importância destes órgãos para a exequibilidade da lei, nas próximas semanas o poder executivo deverá criá-los através de medida provisória ou de novo projeto de lei de sua autoria.


     


    Também foram vetados dispositivos que impediriam o compartilhamento de dados pessoais pelo Poder Público a entes privados, sob o argumento de que esta vedação poderia inviabilizar a prestação do serviço público, além do artigo 28 em sua integralidade, o qual previa a publicidade da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, pois tornaria inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa.


     


    Por fim, houve veto a algumas sanções previstas no artigo 52 do Projeto, tais como a suspensão ou proibição do exercício da atividade de tratamento de dados e a suspensão parcial ou total do funcionamento de banco de dados. Este veto se deu devido ao risco insegurança aos responsáveis por tais atividades, e de prejuízos decorrentes da indisponibilidade dos bancos de dados.


     


    Portanto, considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário, haja vista que o período de adaptação é curto se levadas em consideração todas as medidas a serem tomadas. Assim como ocorrido no caso do GDPR europeu, a tardia adoção de medidas pode levar a dificuldades operacionais, e inclusive aplicação de pesadas sanções administrativas.


     


    O advogado Luiz Guilherme Silveira Franco – lfranco@dvwca.com.br está à disposição para prestar quaisquer esclarecimentos adicionais julgados necessários sobre o tema.

 
 
SP: Rua Leopoldo Couto de Magalhães Júnior, n° 758, 10° andar, CEP 04542-000, Itaim Bibi, São Paulo, SP - Tel: +55 (11) 3048 3266 - Fax: +55 (11) 3048 3277
info@dvwca.com.br - Trabalhe conosco