Foi publicada, no mês de agosto deste ano de 2018, a Lei de Proteção de Dados, Lei nº 13.079/2018, que dispõe sobre o tratamento de informações pessoais tanto por pessoa natural quanto por pessoa jurídica de Direito Privado ou Direito Público. Por mais que já vigorasse no ordenamento jurídico do país a proteção à intimidade e o sigilo de comunicações, o tratamento conferido aos dados pessoais, sobretudo no cenário tecnológico, era vago.
Diante dessa lacuna normativa, as empresas poderiam se valer desses dados de acordo com os seus interesses, existindo a suspeita, inclusive, de comercialização de dados pessoais. Outro problema enfrentado era a possibilidade de o Poder Judiciário determinar a prestação de informações, sobretudo por parte de empresas de tecnologia, sem nenhum critério.
Ao regular essa matéria, o Brasil protege seus cidadãos e alinha-se a um movimento internacional já existente em outros países da América Latina e da União Europeia, atendendo às exigências internacionais. Com o objetivo de esclarecer o que de fato mudou com a Lei Geral de Proteção de Dados, nossos advogados especialistas em Direito Digital elaboraram o presente artigo. Confira!
O que é a Lei de Proteção de Dados (LGPD)?
A LGPD, embora tenha sido inspirada na Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia, foi amplamente debatida entre especialistas, sociedade civil e empresários brasileiros.
A legislação regula como os dados pessoais podem ser coletados e tratados no território nacional, por pessoas naturais e por pessoas jurídicas de Direito Público ou Privado, bem como as sanções no caso de descumprimento. Não é objeto de proteção da lei, no entanto, o tratamento de dados para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos, acadêmicos e, ainda, para a finalidade exclusiva de segurança pública e defesa nacional.
De acordo com a LGPD, dado pessoal é toda informação relacionada à pessoa natural identificável ou identificada. Como exemplo, podemos citar o nome, o endereço de e-mail, o IP do computador, fotos próprias, endereço residencial e números dos documentos.
Já o dado pessoal sensível, que receberá proteção ainda maior, é todo aquele sobre origem racial ou étnica, opinião política, convicção religiosa, filiação a sindicato ou a organizações de caráter filosófico, político ou religioso, informação sobre saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O que muda com a Lei Geral de Proteção de Dados?
Com a entrada em vigor da LGPD, a coleta e o tratamento de dados por instituição pública ou privada só poderão ser feitos com o consentimento do usuário ou do seu responsável legal, no caso de incapaz. Além disso, o agente responsável pela instituição deve informar a finalidade da obtenção do dado, bem como a sua necessidade e, ainda, garantir que ele será utilizado somente para a finalidade informada.
Uma vez coletados seus dados, o titular tem o direito de livre acesso. Isso significa que ele pode solicitar que seja informada a integralidade de dados que a empresa mantém sobre ele, assim como a forma e a duração do tratamento. Além disso, ele pode requerer que seus dados sejam alterados ou excluídos a qualquer momento, salvo se para fins fiscais.
Para viabilizar esse procedimento, toda empresa e instituição pública que recolha dados pessoais — denominada controlador — deve indicar uma pessoa natural responsável pelo tratamento dos dados — encarregado —, o qual também assumirá a função de canal de comunicação entre controlador e o titular e a autoridade nacional. Tanto o controlador quanto o encarregado são juridicamente responsáveis pela segurança dos dados coletados.
Entre as responsabilidades das instituições públicas e privadas que coletam dados pessoais, está a de adotar medidas de prevenção e de proteção à segurança desses dados, como encriptação e anonimização. Havendo qualquer tipo de incidente, como um vazamento, a autoridade responsável deverá ser informada imediatamente.
As empresas e instituições públicas que recolham ou processem dados estarão sujeitas a sanções em caso de descumprimento de qualquer uma dessas determinações e de outras previstas na Lei Geral de Proteção de Dados. As sanções podem variar desde advertência e suspensão até a aplicação de multa — até o limite de R$ 50 milhões por infração — e a proibição da atividade de tratamento de dados de acordo com a gravidade do caso, a reincidência e a boa-fé do infrator.
Qual é o órgão responsável pela fiscalização?
O projeto da Lei de Proteção de Dados previa a criação de uma autarquia federal ligada ao Ministério da Justiça, denominada Autoridade Nacional de Proteção de Dados (ANPD) e de um Conselho Nacional de Proteção de Dados Pessoais e de Privacidade, como órgão consultivo formado por integrantes do Poder Público e da Sociedade Civil.
Assim como as agências reguladoras, a ANPD teria a função de fiscalizar o cumprimento da lei por parte das empresas e das próprias instituições públicas e de aplicar eventuais sanções em caso de desrespeito aos seus preceitos. No entanto, a criação de ambos foi vetada, sob a alegação de vício de iniciativa e consequente inconstitucionalidade.
Com esse veto, surge a dúvida de quem assumirá o papel de fiscalização. Representantes do governo mencionaram a possibilidade de essa função ser atribuída à ABIN (Agência Brasileira de Inteligência), à Polícia Federal ou ao Ministério Público. Foi sinalizada, também, a possibilidade de encaminhamento de projeto de lei para criação da ANPD para o Congresso Nacional, corrigidos eventuais pontos polêmicos.
Dessa forma, a entrada em vigor da Lei de Proteção de Dados afetará significativamente todas as empresas que coletam e tratam dados pessoais. Cabe a elas aproveitar esse período de 18 meses para se adaptar e estar em compliance, evitando não só o descumprimento da lei, mas o desrespeito aos direitos dos cidadãos.
Ficou alguma dúvida? Precisa do auxílio de um advogado? Entre em contato com nosso escritório de advocacia!