Em 14 de agosto foi publicada no Diário Oficial da União o texto da Lei 13.709, a qual dispõe sobre a proteção de dados e altera a Lei 12.965/14, conhecida como o Marco Civil da Internet.
Com vacatio legis de 18 meses a nova norma tem por escopo proteger os direitos fundamentais de liberdade e de privacidade, bem como o desenvolvimento da personalidade da pessoa natural, estabelecendo regramento sobre o tratamento de dados pessoais, inclusive por meios digitais.
Certo é, a lei alinha o Brasil à regulamentações estrangeiras, embora com atraso, considerando que a General Data Protection Regulation (GDPR) foi aprovada na Europa em 2016 – em substituição da regulamentação já existente em 1995 – e a Children’s Online Privacy Protection Rule (COPPA) está em vigor desde 1998 nos Estados Unidos da América.
Oportuno relembrar, o uso de cookies (dados anonimizados) é regulamentado pela Diretiva de Privacidade europeia desde 2002; o spam (envio de mensagens comerciais) é regulamentado pelo mesmo documento e, nos EUA, pela Lei CAN-ASPAM de 2003; e, por fim, a notificação de “vazamento” de dados foi objeto de lei californiana aprovada em 2002 e em vigor no ano seguinte.
Em brevíssima síntese, a nova lei – cuja origem é o Projeto de Lei da Câmara PLC 53/18 – garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento explícito para coleta e uso dos dados e obrigando à oferta de opções para o usuário visualizar, corrigir e excluir esses dados.
Referido PLC 53/18 foi aprovado por unanimidade pelo Congresso Nacional, sobretudo em razão do “vazamento” de dados de usuários do Facebook, os quais foram coletados pela empresa Cambrigde Analytica e utilizados nas eleições presidenciais norte-americana.
O projeto não foi aprovado em sua integralidade, posto o veto presidencial quanto à criação da Autoridade Nacional de Proteção de Dados, à implantação do Conselho Nacional de Proteção de Dados e da Privacidade e ao mecanismo que pretendia a suspensão do funcionamento de banco de dados ou, ainda, a proibição do exercício de suas atividades por conta de infrações à nova lei.
A lei se aplica a qualquer operação de tratamento realizada por pessoa física ou jurídica, de direito público ou privado e independe do meio utilizado. Importa salientar, também independe do país em que a pessoa esteja sediada ou do país em que os dados estejam armazenados, desde que: 1) a operação de tratamento seja realizada no território nacional; 2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e 3) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Expressamente, a lei não se aplica ao tratamento de dados pessoas nas seguintes condições: 1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 2) realizado para fins exclusivamente jornalístico, artísticos ou acadêmicos; 3) realizado para fins exclusivos de segurança pública; defesa nacional; segurança do estado ou atividades de investigação e repressão de infrações penais; e 4) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na norma jurídica.
Eis os principais aspectos da LGPD brasileira, além dos tratados nos parágrafos antecedentes:
– Todos poderão saber como as pessoas jurídicas, públicas ou privadas, coletam e armazenam seus dados, por quanto tempo os conservam e com quem os compartilham;
– Todos terão direito à portabilidade, revogação e retificação de seus dados;
– Dados tais como etnia, raça, religião e sexualidade – bem como posição política – são considerados dados “sensíveis” e recebem guarida;
– Dados anonimizados também poderão ser protegidos a depender do contexto;
– Dados de menores deverão ser informados com o consentimento de, ao menos, por um dos pais ou responsável legal;
– Empresas ou entidades deverão coletar e armazenar apenas os dados necessários aos serviços que prestam;
– Empresas ou entidades – com exceções – que coletam e armazenam dados terão de nomear um encarregado para atender as reclamações de seus titulares, prestar esclarecimentos, dialogar com as autoridades e orientar todos que manipulam os dados, dentre outras responsabilidades;
– A transferência internacional de dados pessoais é permitida para países ou organizações que proporcionem grau de proteção de dados adequado ao previsto na legislação brasileira;
– Em caso de ausência de legislação de proteção de dados em relação aos países ou organizações estrangeiras, a autoridade poderá valer-se de contratos específicos neste sentido; e
– Em caso de descumprimento das regras previstas pela LGPD, serão aplicadas sanções a exemplo de advertências ou multas, as quais poderão variar de 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Qualquer empresa que armazenar dados de clientes e empregados – a exemplo de escolas a grandes companhias de call center – terão de se adaptar às novas normas em até 18 meses para garantir que os dados estejam seguros sob pena de sanção.
Certamente, a empresas de pequeno porte serão as mais impactadas pela lei de proteção de dados pessoais, pois a maioria das grandes empresas já possui uma equipe estruturada de segurança da informação e os pequenos negócios serão os mais impactados na medida em que terão de se estruturar para seguir as normas.
Nossa expectativa é que haja uma completa mudança de consciência dos empresários a respeito da proteção dos que coletam, armazenam e fornecem – o Brasil já tarda.
