Da equipe de Contratos e Estruturação de Negócios
O Senado Federal aprovou nesta terça-feira (10/07) o Projeto de Lei da Câmara nº 53/2018 (PLC 53/2018) – já denominado de Lei Geral de Proteção de Dados Pessoais (LGPD) –, que disciplina a proteção de dados pessoais e regula acerca do tratamento de dados tanto por agentes privados quanto pelo Poder Público. O Projeto de Lei foi aprovado por unanimidade, nos mesmos termos do conteúdo votado e aprovado pela Câmara dos Deputados no final de maio. O projeto aguarda agora a sanção presidencial.
Sem dúvidas, a recente aprovação do PLC 53/2018 é influenciada pela entrada em vigor, no final de maio, do Regulamento Geral de Proteção de Dados da União Europeia (RGPD ou General Data Protection Regulation – GDPR, na sigla em inglês) que substitui a antiga Diretiva de Proteção de Dados (1995) e serve para harmonizar as leis de dados privados por toda a Europa, para proteger e empoderar a privacidade de todos os cidadãos, além de reorganizar a maneira como companhias lidam com dados privados.
A GDPR, que é aplicável tanto para as empresas com operações na Europa como para todas as demais que, de alguma forma, tenham relações com essas empresas, ou que colete dados de pessoas que estejam em território europeu, regulamenta uma série de obrigações e responsabilidades para o uso dos dados, sobretudo os dados pessoais considerados sensíveis, com previsões de sanções (multas) que podem atingir até 4% do faturamento global da empresa.
Após a sanção presidencial, a criação da LGPD será reconhecida como o marco legal de proteção, uso e tratamento dados pessoais, inclusive nos meios digitais, com o objetivo de proteger direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD será um importante marco legal de proteção, pois define conceitos-chaves, tais como: dado pessoa; dado sensível; dado anonimizado; tratamento; titular; responsável; operador; agente de tratamento etc.
Conforme disposto no art. 1º do texto recém aprovado, a LGPD será aplicável ao tratamento de dados pessoais, isto é, qualquer atividade em que utilize informações pessoais (obtidos mediante coleta, acesso, produção, recepção, transmissão, distribuição, armazenamento, compartilhamento etc.), por pessoa natural (física) bem como por pessoa jurídica de direito privado (empresas) ou de direito público (pelo Poder Público).
O texto aprovado também prevê a aplicabilidade extraterritorial da Lei, pois o art. 3º prevê que a LGPD será aplicável a qualquer operação de tratamento de dados realizada ou coletados no território nacional, independente do meio, do país da sede do responsável (pessoa natural ou jurídica, pública ou privada, a quem compete as decisões referente ao tratamento dos dados) ou do operador (que realiza o tratamento dos dados em nome do responsável) ou do país onde estejam localizados tais dados.
A texto da LGPD também adotou uma definição expansionista de dado pessoal, ao considerar como sendo qualquer informação que possa levar à identificação de uma pessoa, de forma direta ou indireta.
O texto aprovado também elenca os requisitos para tratamento de dados pessoais, exigindo que o tratamento somente poderá ser realizado mediante o fornecimento de consentimento pelo titular (art. 7º, inciso I). Este consentimento, conforme definido no texto, deve ser representar uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Ainda, nos termos do art. 8º, o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Cabendo ao responsável o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei (Art. 8, §2º). Por fim, a LGPD também prevê que o consentimento pode ser revogado a qualquer momento e o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizados de forma clara e adequada (princípio do livre acesso previsto no art. 9º).
O texto aprovado prevê dez hipóteses em que o tratamento de dados será permitido, exigindo além do consentimento livre, informado e inequívoco, um legítimo interesse do responsável ou de terceiros, consideradas a partir de situações concretas (art. 10º).
Trata-se de uma legislação bastante extensa e abrangente. Ao mesmo tempo em que prevê uma seção própria (Seção III) acerca do tratamento de dados pessoais de crianças e adolescentes, mediante consentimento específico e em destaque por pelo menos um dos pais ou responsável legal; prevê regras específicas de tratamento de dados pelo Poder Público (Capítulo IV); prevê acerca da possibilidade formulação de regras de Governança Corporativa e boas práticas relacionadas ao tratamento de dados pessoais (Capítulo VII); o texto aprovado também cria a Autoridade Nacional de Proteção de Dados, como sendo um órgão vinculado ao Ministério da Justiça, responsável por garantir o cumprimento da lei.
No capítulo da Fiscalização (VIII), a lei estabelece sanções administrativas pelo descumprimento, que podem variar desde advertência, multa simples ou diária – de até 2% do faturamento da empresa ou grupo econômico, porém, limitada a R$ 50.000.000,00 por infração –, bem como obrigatoriedade da publicização da infração, bloqueio ou eliminação de dados pessoais, suspensão ou proibição parcial ou total das atividades de tratamento.
O advento deste marco legal em proteção de dados pessoais deve ser comemorado, pois coloca o Brasil junto de diversos países relevantes do mundo que já possuíam legislação sobre o tema. Junto com a nova legislação, surgem novas oportunidades para profissionais especializados, tais como o “Encarregado pelo Tratamento de Dados Pessoais”, também conhecido pela sua função em inglês – Data Protection Officer (DPO) –, e que deverá ser obrigatoriamente indicado por todas as empresas afetadas pela nova legislação (art. 41).
A lei prevê um período de vacatio legis, entrando em vigor após decorrido o prazo de 18 meses de sua publicação oficial. Portanto, após a publicação, as empresas terão o exíguo prazo de um ano e meio para se adequar à nova legislação.
A área de Contratos e Estruturação de Negócios do Vernalha Pereira permanece à disposição para prestar quaisquer esclarecimentos sobre o tema mencionado.
