MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Sancionada a lei geral de proteção de dados do Brasil, com veto à autoridade nacional de proteção de dados (ANPD)

Sancionada a lei geral de proteção de dados do Brasil, com veto à autoridade nacional de proteção de dados (ANPD)

Luiz Guilherme Silveira Franco

Considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário.

quinta-feira, 23 de agosto de 2018

Atualizado em 23 de setembro de 2019 17:00

Após oito anos desde a primeira consulta pública promovida pelo Ministério da Justiça, foi sancionada na terça-feira (14) pelo presidente Michel Temer, a lei 13.709/18, conhecida como lei geral de proteção de dados (LGPD). A LGPD é advinda do PLC 4.060/12, que foi convertido no PLC 53/18, da Câmara dos Deputados, o qual cria um marco regulatório sobre a proteção de dados pessoais em território brasileiro e altera a lei 12.965/16 (Marco Civil da Internet). Considerando o período de vacatio legis de 18 meses, a lei entrará em vigor em fevereiro de 2020.

O momento em que esta lei entra em vigor não é um mero acaso. Sua tramitação no Senado ocorreu em regime de urgência, impulsionada pela entrada em vigor da legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), em maio deste ano. O GDPR demandou a adaptação de diversas empresas brasileiras que atuam na União Europeia ou processam dados de cidadãos europeus, de forma a evitar as vultosas multas previstas nesta lei e a perda de contratos com parceiros locais. Dentre as novas regras, foi estabelecida a exigência de níveis adequados de segurança virtual nos países para os quais os dados de cidadãos europeus são transferidos.

É nesta conjuntura, também, que as grandes economias mundiais buscam dar respostas aos recentes episódios de vazamento de dados, como o da Cambridge Analytica, que utilizou de forma indevida dados de usuários americanos do Facebook para fins eleitorais, e aqui no Brasil, onde foi apontado pelo MP um suposto esquema de venda de dados pessoais de brasileiros, pelo Serviço Federal de Processamento de Dados (Serpro), a outros órgãos da administração pública.

A LGPD vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário atual, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados. Em seu texto, regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil, em âmbito público ou privado, na Internet ou fora dela. Vejamos alguns dos principais pontos tratados:

Escopo de aplicação: aplicável a qualquer atividade que envolva a utilização de dados pessoais, tanto no âmbito público quanto no privado, na Internet ou fora dela, inclusive nas relações de consumo e emprego.

Aplicação extraterritorial: estão sujeitas à lei também as empresas estrangeiras que tiverem filial no Brasil ou oferecerem serviços ao mercado nacional.

Dados pessoais, sensíveis, anonimizados e públicos: foram estabelecidos conceitos e regras específicos a cada tipo de dado coletado, armazenado e compartilhado.

Autorização para o tratamento de dados: para o tratamento de dados pessoais, o que inclui a coleta de dados, sempre será necessário um fundamento legal como base, sendo o consentimento apenas uma das 10 hipóteses enumeradas pela LGPD que autorizam o uso dos dados.

Princípios de proteção de dados: a LGPD lista 10 princípios básicos da proteção de dados, dentre os quais a finalidade, necessidade, transparência, segurança, não discriminação, responsabilização e a prestação de contas.

Direitos dos titulares: os titulares de dados pessoais contarão com amplos direitos, incluindo o direto à informação, acesso, retificação, cancelamento ou exclusão, oposição e portabilidade.

Data Protection Officer (DPO): toda empresa sujeita à LGPD deverá ter um encarregado de proteção de dados, que será uma pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional.

Segurança: os responsáveis pelo tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

Notificação obrigatória: será obrigatória a notificação para a ANPD sobre a ocorrência de incidentes de segurança da informação, em prazo razoável. A ANPD poderá, ainda, determinar a notificação dos titulares envolvidos e a publicização do incidente, a depender da gravidade do caso.

Sanções: a ANPD poderá aplicar penalidades administrativas por violação da LGPD, desde a aplicação de advertências até a incidência de multas que poderão chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Autoridade Nacional de Proteção de Dados: a LGPD instituiu a Autoridade Nacional de Proteção de Dados - ANPD, uma autoridade pública vinculada ao Ministério da Justiça responsável pela supervisão da aplicação da lei, a qual poderá estabelecer diretrizes para a proteção de dados pessoais no Brasil e terá a atribuição de elaborar a "Política Nacional de Proteção de Dados e da Privacidade", com poderes para fiscalizar e aplicar sanções, dentre outras atividades. Complementarmente, foi criado o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo que auxiliará a ANPD.

Não obstante, a sanção do presidente Temer teve alguns vetos a determinados dispositivos da lei, com destaque principal para o veto à criação da ANPD e do Conselho Nacional. A justificativa para tal exclusão é a proibição legal para o Legislativo criar órgãos que gerem despesas para o orçamento, o que causaria um "vício de iniciativa" uma vez que apenas o executivo tem essa prerrogativa. Considerando a fundamental importância destes órgãos para a exequibilidade da lei, nas próximas semanas o poder executivo deverá criá-los através de medida provisória ou de novo projeto de lei de sua autoria.

Também foram vetados dispositivos que impediriam o compartilhamento de dados pessoais pelo Poder Público a entes privados, sob o argumento de que esta vedação poderia inviabilizar a prestação do serviço público, além do artigo 28 em sua integralidade, o qual previa a publicidade da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, pois tornaria inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa.

Por fim, houve veto a algumas sanções previstas no artigo 52 do projeto, tais como a suspensão ou proibição do exercício da atividade de tratamento de dados e a suspensão parcial ou total do funcionamento de banco de dados. Este veto se deu devido ao risco insegurança aos responsáveis por tais atividades, e de prejuízos decorrentes da indisponibilidade dos bancos de dados.

Portanto, considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário, haja vista que o período de adaptação é curto se levadas em consideração todas as medidas a serem tomadas. Assim como ocorrido no caso do GDPR europeu, a tardia adoção de medidas pode levar a dificuldades operacionais, e inclusive aplicação de pesadas sanções administrativas.
__________

*Luiz Guilherme Silveira Franco é advogado do escritório De Vivo, Whitaker e Castro Advogados.

APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP