Em 14 de agosto foi publicada no Diário Oficial da União o texto da Lei 13.709, a qual dispõe sobre a proteção de dados e altera a Lei 12.965/14, conhecida como o Marco Civil da Internet.
Com vacatio legis de 18 meses a nova norma tem por escopo proteger os direitos fundamentais de liberdade e de privacidade, bem como o desenvolvimento da personalidade da pessoa natural, estabelecendo regramento sobre o tratamento de dados pessoais, inclusive por meios digitais.
Certo é, a lei alinha o Brasil a regulamentações estrangeiras, embora com atraso, considerando que a General Data Protection Regulation (GDPR) foi aprovada na Europa em 2016 – em substituição da regulamentação já existente em 1995 – e a Children’s Online Privacy Protection Rule (COPPA) está em vigor desde 1998 nos Estados Unidos da América.
Oportuno relembrar, o uso de cookies (dados anonimizados) é regulamentado pela Diretiva de Privacidade europeia desde 2002; o spam (envio de mensagens comerciais) é regulamentado pelo mesmo documento e, nos EUA, pela Lei CAN-ASPAM de 2003; e, por fim, a notificação de “vazamento” de dados foi objeto de lei californiana aprovada em 2002 e em vigor no ano seguinte.
Em brevíssima síntese, a nova lei – cuja origem é o Projeto de Lei da Câmara PLC 53/18 – garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento explícito para coleta e uso dos dados e obrigando à oferta de opções para o usuário visualizar, corrigir e excluir esses dados.
Referido PLC 53/18 foi aprovado por unanimidade pelo Congresso Nacional, sobretudo em razão do “vazamento” de dados de usuários do Facebook, os quais foram coletados pela empresa Cambrigde Analytica e utilizados nas eleições presidenciais norte-americana.
O projeto não foi aprovado em sua integralidade, posto o veto presidencial quanto à criação da Autoridade Nacional de Proteção de Dados, à implantação do Conselho Nacional de Proteção de Dados e da Privacidade e ao mecanismo que pretendia a suspensão do funcionamento de banco de dados ou, ainda, a proibição do exercício de suas atividades por conta de infrações à nova lei.
A lei se aplica a qualquer operação de tratamento realizada por pessoa física ou jurídica, de direito público ou privado e independe do meio utilizado. Importa salientar, também independe do país em que a pessoa esteja sediada ou do país em que os dados estejam armazenados, desde que: 1) a operação de tratamento seja realizada no território nacional; 2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e 3) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Expressamente, a lei não se aplica ao tratamento de dados pessoas nas seguintes condições: 1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 2) realizado para fins exclusivamente jornalístico, artísticos ou acadêmicos; 3) realizado para fins exclusivos de segurança pública; defesa nacional; segurança do estado ou atividades de investigação e repressão de infrações penais; e 4) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na norma jurídica.
Eis os principais aspectos da LGPD brasileira, além dos tratados nos parágrafos antecedentes:
1) Todos poderão saber como as pessoas jurídicas, públicas ou privadas, coletam e armazenam seus dados, por quanto tempo os conservam e com quem os compartilham;
2) Todos terão direito à portabilidade, revogação e retificação de seus dados;
3) Dados tais como etnia, raça, religião e sexualidade – bem como posição política – são considerados dados “sensíveis” e recebem guarida;
4) Dados anonimizados também poderão ser protegidos a depender do contexto;
5) Dados de menores deverão ser informados com o consentimento de, ao menos, por um dos pais ou responsável legal;
6) Empresas ou entidades deverão coletar e armazenar apenas os dados necessários aos serviços que prestam;
7) Empresas ou entidades – com exceções – que coletam e armazenam dados terão de nomear um encarregado para atender as reclamações de seus titulares, prestar esclarecimentos, dialogar com as autoridades e orientar todos que manipulam os dados, dentre outras responsabilidades;
8) A transferência internacional de dados pessoais é permitida para países ou organizações que proporcionem grau de proteção de dados adequado ao previsto na legislação brasileira;
9) Em caso de ausência de legislação de proteção de dados em relação aos países ou organizações estrangeiras, a autoridade poderá valer-se de contratos específicos neste sentido; e
10) Em caso de descumprimento das regras previstas pela LGPD, serão aplicadas sanções a exemplo de advertências ou multas, as quais poderão variar de 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Qualquer empresa que armazenar dados de clientes e empregados – a exemplo de escolas a grandes companhias de call center – terão de se adaptar às novas normas em até 18 meses para garantir que os dados estejam seguros sob pena de sanção.
Certamente, a empresas de pequeno porte serão as mais impactadas pela lei de proteção de dados pessoais, pois a maioria das grandes empresas já possui uma equipe estruturada de segurança da informação e os pequenos negócios serão os mais impactados na medida em que terão de se estruturar para seguir as normas.
Nossa expectativa é que haja uma completa mudança de consciência dos empresários a respeito da proteção dos que coletam, armazenam e fornecem – o Brasil já tarda.
*Fernando Borges Vieira é sócio administrador da Fernando Borges Vieira Sociedade de Advogados, especialista em Compliance (Insper), em Liderança (FGV – GVlaw) e em Direito Processual Civil (CPPG/FMU)
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo