Sancionada a Lei Geral de Proteção de Dados do Brasil com veto à Autoridade Nacional de Proteção de Dados (ANPD)
O momento em que esta lei entra em vigor não é um mero acaso. Sua tramitação no Senado ocorreu em regime de urgência, impulsionada pela entrada em vigor da legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), em maio deste ano. O GDPR demandou a adaptação de diversas empresas brasileiras que atuam na União Europeia ou processam dados de cidadãos europeus, de forma a evitar as vultosas multas previstas nesta lei e a perda de contratos com parceiros locais. Dentre as novas regras, foi estabelecida a exigência de níveis adequados de segurança virtual nos países para os quais os dados de cidadãos europeus são transferidos.
É nesta conjuntura, também, que as grandes economias mundiais buscam dar respostas aos recentes episódios de vazamento de dados, como o da Cambridge Analytica, que utilizou de forma indevida dados de usuários americanos do Facebook para fins eleitorais, e aqui no Brasil, onde foi apontado pelo Ministério Público um suposto esquema de venda de dados pessoais de brasileiros, pelo Serviço Federal de Processamento de Dados (Serpro), a outros órgãos da administração pública.
A LGPD vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário atual, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados. Em seu texto, regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil, em âmbito público ou privado, na Internet ou fora dela. Vejamos alguns dos principais pontos tratados:
Escopo de aplicação: aplicável a qualquer atividade que envolva a utilização de dados pessoais, tanto no âmbito público quanto no privado, na Internet ou fora dela, inclusive nas relações de consumo e emprego.
Aplicação extraterritorial: estão sujeitas à lei também as empresas estrangeiras que tiverem filial no Brasil ou oferecerem serviços ao mercado nacional.
Dados pessoais, sensíveis, anonimizados e públicos: foram estabelecidos conceitos e regras específicos a cada tipo de dado coletado, armazenado e compartilhado.
Autorização para o tratamento de dados: para o tratamento de dados pessoais, o que inclui a coleta de dados, sempre será necessário um fundamento legal como base, sendo o consentimento apenas uma das 10 hipóteses enumeradas pela LGPD que autorizam o uso dos dados.
Princípios de proteção de dados: a LGPD lista 10 princípios básicos da proteção de dados, dentre os quais a finalidade, necessidade, transparência, segurança, não discriminação, responsabilização e a prestação de contas.
Direitos dos titulares: os titulares de dados pessoais contarão com amplos direitos, incluindo o direto à informação, acesso, retificação, cancelamento ou exclusão, oposição e portabilidade.
Data Protection Officer (DPO): toda empresa sujeita à LGPD deverá ter um encarregado de proteção de dados, que será uma pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional.
Segurança: os responsáveis pelo tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.
Notificação obrigatória: será obrigatória a notificação para a ANPD sobre a ocorrência de incidentes de segurança da informação, em prazo razoável. A ANPD poderá, ainda, determinar a notificação dos titulares envolvidos e a publicização do incidente, a depender da gravidade do caso.
Sanções: a ANPD poderá aplicar penalidades administrativas por violação da LGPD, desde a aplicação de advertências até a incidência de multas que poderão chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Autoridade Nacional de Proteção de Dados: a LGPD instituiu a Autoridade Nacional de Proteção de Dados – ANPD, uma autoridade pública vinculada ao Ministério da Justiça responsável pela supervisão da aplicação da lei, a qual poderá estabelecer diretrizes para a proteção de dados pessoais no Brasil e terá a atribuição de elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, com poderes para fiscalizar e aplicar sanções, dentre outras atividades. Complementarmente, foi criado o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo que auxiliará a ANPD.
Não obstante, a sanção do Presidente Temer teve alguns vetos a determinados dispositivos da lei, com destaque principal para o veto à criação da ANPD e do Conselho Nacional. A justificativa para tal exclusão é a proibição legal para o Legislativo criar órgãos que gerem despesas para o Orçamento, o que causaria um “vício de iniciativa” uma vez que apenas o executivo tem essa prerrogativa. Considerando a fundamental importância destes órgãos para a exequibilidade da lei, nas próximas semanas o poder executivo deverá criá-los através de medida provisória ou de novo projeto de lei de sua autoria.
Também foram vetados dispositivos que impediriam o compartilhamento de dados pessoais pelo Poder Público a entes privados, sob o argumento de que esta vedação poderia inviabilizar a prestação do serviço público, além do artigo 28 em sua integralidade, o qual previa a publicidade da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, pois tornaria inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa.
Por fim, houve veto a algumas sanções previstas no artigo 52 do Projeto, tais como a suspensão ou proibição do exercício da atividade de tratamento de dados e a suspensão parcial ou total do funcionamento de banco de dados. Este veto se deu devido ao risco insegurança aos responsáveis por tais atividades, e de prejuízos decorrentes da indisponibilidade dos bancos de dados.
Portanto, considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário, haja vista que o período de adaptação é curto se levadas em consideração todas as medidas a serem tomadas. Assim como ocorrido no caso do GDPR europeu, a tardia adoção de medidas pode levar a dificuldades operacionais, e inclusive aplicação de pesadas sanções administrativas.
O advogado Luiz Guilherme Silveira Franco – lfranco@dvwca.com.br está à disposição para prestar quaisquer esclarecimentos adicionais julgados necessários sobre o tema.
Relacionados
-
Racismo Estrutural: Desconstruindo as Normas Dominantes Corporativas
30 de setembro de 2024
Autor: Jhady Reis e Pedro Medeiros
A conscientização sobre o racismo estrutural é um passo crucial para promover mudanças significativas nas instituições e ambientes corporativos. Reconhecer que o racismo vai além das atitudes individuais e está enraizado nas estruturas e sistemas que moldam a vida cotidiana é fundamental para abordar a desigualdade de maneira eficaz.
Ler artigo -
Superior Tribunal de Justiça decide que ANVISA não é competente para restringir publicidade de medicamentos
5 de setembro de 2024
Autor: Isabella Martinho Eid
O Superior Tribunal de Justiça, no julgamento do Recurso Especial nº 2035645/DF, sob relatoria da Ministra Regina Helena Costa, decidiu que a ANVISA deve observância aos limites estabelecidos na Lei Federal nº 9.294/1996, a qual rege a publicidade de medicamentos.
Ler artigo -
Planejamento patrimonial e sucessório: a progressividade do ITCMD
5 de setembro de 2024
Autor: Claudia Baptista Lopes
Como amplamente noticiado, a reforma tributária aprovada pelo Congresso Nacional prevê a progressividade das alíquotas do Imposto sobre Transmissão Causa Mortis e Doação, modificando o cenário atual em muitos Estados.
Ler artigo