Sancionada a Lei Geral de Proteção de Dados do Brasil com veto à Autoridade Nacional de Proteção de Dados (ANPD)

Após oito anos desde a primeira consulta pública promovida pelo Ministério da Justiça, foi sancionada na terça-feira (14) pelo Presidente Michel Temer, a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD). A LGPD é advinda do PLC 4.060/2012, que foi convertido no PLC 53/2018, da Câmara dos Deputados, o qual cria um marco regulatório sobre a proteção de dados pessoais em território brasileiro e altera a Lei 12.965/16 (Marco Civil da Internet). Considerando o período de vacatio legis de 18 meses, a lei entrará em vigor em fevereiro de 2020.

O momento em que esta lei entra em vigor não é um mero acaso. Sua tramitação no Senado ocorreu em regime de urgência, impulsionada pela entrada em vigor da legislação europeia de proteção de dados, a General Data Protection Regulation (GDPR), em maio deste ano. O GDPR demandou a adaptação de diversas empresas brasileiras que atuam na União Europeia ou processam dados de cidadãos europeus, de forma a evitar as vultosas multas previstas nesta lei e a perda de contratos com parceiros locais. Dentre as novas regras, foi estabelecida a exigência de níveis adequados de segurança virtual nos países para os quais os dados de cidadãos europeus são transferidos.

É nesta conjuntura, também, que as grandes economias mundiais buscam dar respostas aos recentes episódios de vazamento de dados, como o da Cambridge Analytica, que utilizou de forma indevida dados de usuários americanos do Facebook para fins eleitorais, e aqui no Brasil, onde foi apontado pelo Ministério Público um suposto esquema de venda de dados pessoais de brasileiros, pelo Serviço Federal de Processamento de Dados (Serpro), a outros órgãos da administração pública.

A LGPD vem para adequar as práticas de empresas brasileiras a estes novos padrões e ao cenário atual, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados. Em seu texto, regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil, em âmbito público ou privado, na Internet ou fora dela. Vejamos alguns dos principais pontos tratados:

Escopo de aplicação: aplicável a qualquer atividade que envolva a utilização de dados pessoais, tanto no âmbito público quanto no privado, na Internet ou fora dela, inclusive nas relações de consumo e emprego.

Aplicação extraterritorial: estão sujeitas à lei também as empresas estrangeiras que tiverem filial no Brasil ou oferecerem serviços ao mercado nacional.

Dados pessoais, sensíveis, anonimizados e públicos: foram estabelecidos conceitos e regras específicos a cada tipo de dado coletado, armazenado e compartilhado.

Autorização para o tratamento de dados: para o tratamento de dados pessoais, o que inclui a coleta de dados, sempre será necessário um fundamento legal como base, sendo o consentimento apenas uma das 10 hipóteses enumeradas pela LGPD que autorizam o uso dos dados.

Princípios de proteção de dados: a LGPD lista 10 princípios básicos da proteção de dados, dentre os quais a finalidade, necessidade, transparência, segurança, não discriminação, responsabilização e a prestação de contas.

Direitos dos titulares: os titulares de dados pessoais contarão com amplos direitos, incluindo o direto à informação, acesso, retificação, cancelamento ou exclusão, oposição e portabilidade.

Data Protection Officer (DPO): toda empresa sujeita à LGPD deverá ter um encarregado de proteção de dados, que será uma pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador e os titulares e a Autoridade Nacional.

Segurança: os responsáveis pelo tratamento de dados deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais.

Notificação obrigatória: será obrigatória a notificação para a ANPD sobre a ocorrência de incidentes de segurança da informação, em prazo razoável. A ANPD poderá, ainda, determinar a notificação dos titulares envolvidos e a publicização do incidente, a depender da gravidade do caso.

Sanções: a ANPD poderá aplicar penalidades administrativas por violação da LGPD, desde a aplicação de advertências até a incidência de multas que poderão chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Autoridade Nacional de Proteção de Dados: a LGPD instituiu a Autoridade Nacional de Proteção de Dados – ANPD, uma autoridade pública vinculada ao Ministério da Justiça responsável pela supervisão da aplicação da lei, a qual poderá estabelecer diretrizes para a proteção de dados pessoais no Brasil e terá a atribuição de elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, com poderes para fiscalizar e aplicar sanções, dentre outras atividades. Complementarmente, foi criado o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo que auxiliará a ANPD.

Não obstante, a sanção do Presidente Temer teve alguns vetos a determinados dispositivos da lei, com destaque principal para o veto à criação da ANPD e do Conselho Nacional. A justificativa para tal exclusão é a proibição legal para o Legislativo criar órgãos que gerem despesas para o Orçamento, o que causaria um “vício de iniciativa” uma vez que apenas o executivo tem essa prerrogativa. Considerando a fundamental importância destes órgãos para a exequibilidade da lei, nas próximas semanas o poder executivo deverá criá-los através de medida provisória ou de novo projeto de lei de sua autoria.

Também foram vetados dispositivos que impediriam o compartilhamento de dados pessoais pelo Poder Público a entes privados, sob o argumento de que esta vedação poderia inviabilizar a prestação do serviço público, além do artigo 28 em sua integralidade, o qual previa a publicidade da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, pois tornaria inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa.

Por fim, houve veto a algumas sanções previstas no artigo 52 do Projeto, tais como a suspensão ou proibição do exercício da atividade de tratamento de dados e a suspensão parcial ou total do funcionamento de banco de dados. Este veto se deu devido ao risco insegurança aos responsáveis por tais atividades, e de prejuízos decorrentes da indisponibilidade dos bancos de dados.

Portanto, considerando a ampla utilização de dados pessoais no dia-a-dia das empresas dos mais variados setores atuantes no Brasil, a LGPD exigirá um grande esforço para que as mesmas se adequem o quanto antes a este novo cenário, haja vista que o período de adaptação é curto se levadas em consideração todas as medidas a serem tomadas. Assim como ocorrido no caso do GDPR europeu, a tardia adoção de medidas pode levar a dificuldades operacionais, e inclusive aplicação de pesadas sanções administrativas.

O advogado Luiz Guilherme Silveira Franco – lfranco@dvwca.com.br está à disposição para prestar quaisquer esclarecimentos adicionais julgados necessários sobre o tema.