Senado aprova Projeto de Lei Geral de Proteção de Dados
No último dia 10.7.2018, o Senado aprovou o Projeto de Lei da Câmara nº 53/2018, que cria o marco legal de proteção, tratamento e uso de dados pessoais no Brasil. O matéria está no Planalto em fase de sanção e uma vez sancionado, dará origem à Lei Geral de Proteção de Dados (LGPD). Deverão adequar-se à LGDP todos que trabalhem com coleta, armazenamento, tratamento, uso e/ou compartilhamento de dados pessoais.
O novo marco legal é bastante alinhado com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) que entrou em vigor em maio último, e representa um avanço substancial na regulação da matéria no Brasil, trazendo o país para o mesmo nível de outros do Mercosul e América Latina, que já contam com legislações sobre a matéria.
Tal como aprovada pelo Congresso Nacional, a LGPD será aplicável a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a atividade de tratamento seja realizada no Brasil; tenha por objetivo a oferta ou fornecimento de bens ou serviços no país; ou tenha por base, dados pessoais coletados no país. Esta regra, por exemplo, inova no quadro de disputas judiciais que tratam de ter a autoridade brasileira jurisdição sobre plataformas de internet com sede no exterior.
O projeto cria direitos para o titular dos dados; diferencia o tratamento de dados por ente privado, daquele feito pelo Poder Público; traz cuidado especial para dados sensíveis e dados de crianças e adolescentes; regula transferência internacional de dados; estabelece responsabilidade civil; dispõe sobre medidas de segurança, governança e boas práticas; e estatui sanções administrativas.
A coleta e o tratamento de dados pessoais somente poderão ser realizados mediante consentimento do titular, que deve ser fornecido por escrito ou por outro meio que demonstre a manifestação inequívoca de vontade do titular. O consentimento deve ser solicitado de forma clara para que o titular saiba exatamente o que será coletado, para quais fins e se haverá compartilhamento, sendo necessário um novo consentimento em caso de mudança de finalidade ou repasse de dados a terceiros. É garantido ao titular o direito de, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados.
Em caso de descumprimento da Lei, os agentes de tratamento de dados estarão sujeitos a procedimentos administrativos. O projeto prevê várias modalidades de sanções para os infratores da norma, dentre as quais, a aplicação de multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 milhões ou, ainda, a publicização da infração, a suspensão parcial ou total do funcionamento do banco de dados e até mesmo a proibição do exercício das atividades relacionadas a tratamento dos dados.
A LGDP implicará custos operacionais às empresas com o aumento de investimentos em Tecnologia da Informação, notadamente destinados à segurança da informação e de proteção de ativos intangíveis e dados pessoais; o que inclui o mapeamento e redesenho dos processos relacionados ao tratamento de dados. A adoção de melhores práticas ainda no período da vacatio legis consistirá em vantagem competitiva em relação àqueles que deixarem para se adequar quando a Lei entrar em vigor.
Identificamos, ao longo do processo legislativo, manifestações sobre o projeto de lei vindas dos setores de saúde, agricultura, publicidade e propaganda, varejo, comércio eletrônico, bens de consumo, desenvolvedores e fornecedores de tecnologia da informação, plataformas e provedores de soluções, finanças, educação e hotelaria. Foi criado amplo consenso entre partes interessadas, Governo, deputados e senadores no Congresso Nacional.
A polêmica residual está na criação da Autoridade Nacional de Proteção de Dados, órgão vinculado ao Ministério da Justiça que seria responsável pela fiscalização e aplicação de sanções nos casos de infração à LGPD. O setor financeiro, em especial, dá sinais de se opor a isso. A maioria, entretanto, apoia. Juridicamente, a criação de órgãos é ato privativo do Presidente da República (Art. 61, CF), donde caber veto a esse ponto. No entanto, a sanção também é ato político.
A decisão sobre sanção ou veto deve sair dentro de 15 dias contados a partir de 17.7.2018. A lei entrará em vigor 18 meses de sua publicação oficial.
Em Mattos Engelberg, permanecemos a seu dispor para prestar quaisquer esclarecimentos ou orientá-los na adoção de providências.