SANCIONADO MARCO LEGAL DE PROTEÇÃO DE DADOS PESSOAIS
Atualizado em 17 de agosto de 2018 às 11:48 am
-
O presidente Michel Temer sancionou a Lei nº 13. 709, publicada no DOU de 15 de agosto de 2018 – Edição nº 157, Seção 1 -, que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).
A nova norma cria um marco legal para a proteção de informações pessoais, como nome, endereço, idade, estado civil, e-mail e situação patrimonial. O objetivo principal da lei é garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital, bem como dar ao cidadão maior controle sobre o uso das suas informações pessoais.
Entre outras medidas, a lei estabelece que órgãos públicos e empresas privadas só poderão coletar e utilizar dados dos brasileiros – como por exemplo: nome, endereço, idade e e-mail – se houver consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e a exclusão dos dados.
A título exemplificativo: aplicativos para smartphones NÃO poderão utilizar sem autorização prévia do usuário/cliente nome, e-mail, telefone, endereço, horários de utilização, trajetos utilizados, assim como serviços na nuvem, redes sociais, aplicativos de encontros, lojas de comércio, entre outros serviços.
O texto prevê ainda que os controladores e operadores do tratamento de dados pessoais poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos.
A norma entrará em vigor após 18 meses da publicação oficial e, obviamente, ainda precisará passar por regulamentação de alguns pontos para que tenha efetividade prática. Insta sinalar que esta lei foi inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR), que passou a valer na União Europeia em maio com o objetivo de assegurar a privacidade dos cidadãos.
PRINCIPAIS PONTOS DA LEI
Responsabilidade civil: A nova legislação estabelece a responsabilidade civil dos responsáveis pelo tratamento de dados, que ficam obrigados a ressarcir danos patrimoniais, morais, individuais e coletivos.
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Responderá de forma solidária pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador.
Definição de dados pessoais: O texto define como dado pessoal “qualquer informação relacionada à pessoa natural identificada ou identificável”. Sobre dados sensíveis, no entanto, a lei é bem mais específica, e inclui na conta origem racial ou étnica, convicções religiosas, opiniões políticas, informações genéticas ou biométricas, entre outros pontos.
Dados sensíveis: A lei dispõe sobre dados pessoais sensíveis que são aqueles que tratam de origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.
Essas informações só poderão ser coletadas ou compartilhadas sem o consentimento do titular em situações específicas, como o cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; e tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Segurança: Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
Salienta-se que isso vale para qualquer empresa que entrar no meio do tratamento e também obriga as companhias a informar abertamente (e rápido) quando houver um problema.
- Sanções Administrativas: As punições às empresas que descumprirem as regras, podem ir de uma advertência a multas diárias de até 2% do faturamento da companhia (com limite de 50 milhões de reais no total por infração), nos termos do Art. 52, II.
Pode ocorrer até mesmo suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador. Ou ainda suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.
- Casos em que não se aplica a lei: A lei não se aplica no caso de dados usados para fins jornalísticos ou artísticos, de segurança pública, defesa nacional, segurança do Estado ou investigações e repressão de crimes.
Cautelas pelas empresas com base na Lei de Proteção de Dados: As empresas que fazem o tratamento de dados pessoais deverão tomar algumas medidas para garantir o cumprimento da nova legislação.
Os dados pessoais somente poderão ser tratados com consentimento do titular e em situações específicas, como para cumprimento de obrigação legal ou regulatória, para execução de políticas públicas; quando necessário para execução de contratos e para a proteção do crédito, nos termos do Código de Defesa do Consumidor (Lei 8.078/90).
A legislação também obriga que empresas ou órgãos públicos excluam os dados após o fim da relação com cada cliente.
Entre os direitos dos titulares das informações pessoais estão o acesso aos seus dados pessoais guardados; a correção de dados incompletos, inexatos ou desatualizados; a “anonimização”, bloqueio ou eliminação de dados; a portabilidade das informações a outro fornecedor de produto ou serviço e a revogação do consentimento dado para o tratamento de dados pessoais.
Também será preciso avaliar os sistemas de bancos de dados para saber como, e se é possível, classificar e tratar aquilo que já foi capturado. As empresas terão que repensar sua política de dados e seus sistemas, sendo que muitas corporações precisarão inclusive de um responsável pelos dados para responder pela administração de seus dados.
- Vacatio Legis: A lei só entra em vigor em 2020 para dar tempo às entidades públicas e privadas se adaptarem às regras de uso de dados pessoais. Obviamente, ainda poderão ocorrer novas alterações neste período.
Posteriormente, alguns pontos da lei devem ser regulados, tais como regras sobre a transferência internacional de dados, regras relacionadas com o “encarregado” de dados, regras atreladas com a notificação de vazamento de dados e criação de uma autoridade nacional de proteção dados. Isto pois, foi vetada a criação da Autoridade Nacional na nova lei, mas deve-se salientar que a norma sancionada faz referência em vários dispositivos a “ANPD” que tomará providências em diversas situações.
Além disto, o Presidente Temer deverá encaminhar em breve através de Medida Provisória ou Projeto de Lei visando a criação da Autoridade Nacional de Proteção de Dados (ANPD), o órgão fiscalizador que foi introduzido no PLC 53/18 para aplicar sanções em caso de descumprimento das novas normas. O Presidente Temer explicou que o artigo que tratava da agência reguladora teria “vício de iniciativa”, pois foi uma contribuição dos parlamentares ao texto. O Conselho Nacional que funcionaria no âmbito do órgão também foi vetado. Apenas não está definido se a Autoridade Nacional será vinculada ao Ministério da Justiça, conforme no texto aprovado pelo Congresso, ou a área da pesquisa, da inovação e da ciência.
DOS VETOS
A lei foi sancionada com alguns vetos, entre eles dispositivos relacionados a tratamentos de dados do Poder Público, referente a sanções administrativas e outros a criação da Autoridade Nacional de Proteção de Dados (ANPD).
Um dos vetos diz respeito a parte das sanções administrativas contra quem descumprir a lei. Com isso, ficaram de fora da norma a suspensão do funcionamento do banco de dados responsável pela infração e a proibição do exercício da atividade de tratamento de dados – tratamento de dados é a coleta, utilização, processamento, armazenamento e eliminação de informações pessoais. Art. 52, VII, VIII e IX
O Presidente Temer vetou ainda os dispositivos que estabelecem que a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público serão objeto de publicidade. Art. 28; Art. 23, II; Art. 26, §1º, II
O principal diz respeito à criação de uma autarquia federal para fiscalizar a aplicação das regras de proteção, chamada no projeto de Autoridade Nacional de Proteção de Dados. Temer afirmou que a criação do órgão é prerrogativa do Poder Executivo e que deverá enviar um projeto de lei ao Congresso Nacional sobre o assunto. As razões dos vetos foram de que “Os dispositivos incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, §1º, II, “e”, cumulado com o artigo 37, XIX da Constituição.” Arts. 55 ao 59.
Permanecemos à disposição para demais esclarecimentos através do e-mail anapaula@agfadvice.com.br ou do telefone (51) 3573-0573.
AGF Advice Consultoria Legislativa, Tributária e Empresarial