PRINCIPAIS PONTOS DA LEI GERAL DE PROTEÇÃO DE DADOS

Sexta, 17 de Agosto de 2018


Principais Pontos da Lei Geral de Proteção de Dados

Como o setor privado será afetado?

 

Ana Carolina Cagnoni Ribeiro

Sancionada na tarde de 14.08.18, a Lei Geral de Proteção de Dados Pessoais (“LGPD”) traz nova regulamentação ao uso de dados pessoais pelo setor público privado. Inspirada no modelo europeu, a LGPD incorpora conceitos, definições e responsabilidades muito semelhantes quando não idênticas às do Regulamento Geral de Proteção de Dados Pessoais – GDPR, em vigor em todos os países da União Europeia desde 25.05.18.

Com a LGPD, o Brasil se afasta do modelo de regulamentação setorizada, ganha segurança jurídica e se junta aos mais de 100 países que contam com o mesmo tipo de legislação.
Porém, a sanção contou com vetos. O mais relevante foi o veto à criação da Autoridade Nacional de Proteção de Dados (“ANPD”), sob a justificativa de ser inconstitucional. Em discurso na cerimônia de sanção, contudo, foi afirmado que a ANPD seria criada por medida provisória ou proposta em projeto de lei de iniciativa do Poder Executivo, nas próximas semanas. A criação deste órgão é fundamental para a devida implementação da LGPD (dado que diversos pontos da LGPD dependem de decisão ou atuação deste órgão) e traria maior segurança às empresas e aos titulares.
Outro ponto de destaque: salvo exceções pontuais, a LGPD não expressamente revogou outras normas que tratam do tema, em especial o Marco Civil da Internet e o CDC. Logo, a interação e a interpretação dos termos da LGPD considerando leis anteriores, porém específicas, ainda é incerta.
A LGPD entrará em vigor em fevereiro de 2020, 18 meses após a sanção.
Abaixo listamos pontos da LGPD que são mais relevantes para atividades do setor privado. Será fundamental, porém, a análise por parte das empresas sobre quais as atividades desempenhadas envolvem tratamento de dados (não apenas de clientes, mas de empregados também, por exemplo) e como tais atividades deverão ser repensadas à luz das novas determinações.
1. DEFINIÇÕES:

  • Dados Pessoais: qualquer dado relacionado a pessoa natural identificada ou identificável. Inclui nome, números de identidade, e-mail, endereço, dados locacionais, etc. Dados “públicos” não necessariamente poderão ser utilizados.
  • Dados Sensíveis: que revelam raça, convicção religiosa, opinião política, filiação a sindicato, condições de saúde, vida sexual, informação genética ou biométrica, etc.
  • Dados Anonimizados: dados que não identificam seu titular. A LGPD não se aplica a estes dados, salvo a desanonimização seja possível, utilizando-se meios técnicos razoáveis.
  • Tratamento de Dados: abrange quaisquer atividades desde a coleta até a eliminação dos dados pessoais. A coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, processamento e arquivamento são exemplos.
  • Controlador: empresa a quem compete as decisões sobre tratamento dos dados pessoais.
  • Operador: empresa que realiza tratamento de dados conforme instruções do controlador.

2. ESCOPO TERRITORIAL: Empresas no Brasil estão sujeitas à LGPD. Mas não só. A LGPD também se aplica a (A) companhias que oferecem serviços ou produtos a pessoas localizadas no Brasil; (B) companhias que realizam tratamento de dados de pessoas localizadas no Brasil; ou (C) dados pessoais coletados em território nacional.
3. HIPÓTESES DE TRATAMENTO: o tratamento de dados pessoais não é permitido, salvo se entre as 10 hipóteses que o autorizam. As mais relevantes para o setor privado são (A) o consentimento; (B) cumprimento de obrigação legal/regulatória; (C) execução de contrato; (D) tutela da saúde, quando realizado por profissionais da área; (E) interesse legítimo do controlador ou terceiro; ou (F) para proteção do crédito.
4. CONSENTIMENTO: deverá ser fornecido por escrito ou meio equivalente que demonstre a vontade do titular. Cabe ao controlador informar previamente sobre os propósitos de tratamento. O titular tem o direito de revogar o consentimento a qualquer tempo. Autorizações genéricas são nulas. Condições especiais são impostas a dados sensíveis ou dados de crianças ou adolescentes.
5. DIREITOS DOS TITULARES: Os direitos dos titulares de dados podem ser reivindicados diretamente ao controlador, perante a ANPD ou órgãos de defesa do consumidor. Dentre estes, a LGPD estabelece o direito a (A) confirmação de tratamento; (B) acesso aos dados; (C) retificação, eliminação ou bloqueio de dados; (D) anonimização de dados; (E) portabilidade de dados; e (F) revisão de decisão automatizada.
6. ENCARREGADO/DATA PROTECTION OFFICER: a lei prevê a necessidade de todas as empresas apontarem DPO responsável pelas atividades de tratamento de dados pessoais da entidade. Apenas a ANPD poderia isentar empresas desta obrigação. Dados de contato do DPO deverão ser públicos, permitindo comunicação direta com titulares.
7. RESPONSABILIDADE: A responsabilidade dos agentes é subjetiva. Controladores atuando em conjunto serão solidariamente responsáveis. O operador é solidariamente responsável caso suas atividades sejam contrárias à LGPD ou quando não seguir as instruções do controlador. Nenhum dos agentes será responsabilizado, caso não haja violação à LDPG.
8. TRANSFERÊNCIA INTERNACIONAL: Dados pessoais não poderão ser transferidos a outros países (ex. servidores no exterior ou compartilhamento entre o grupo) a menos que tal transferência estiver prevista. Dentre as hipóteses legais temos: (A) transferência para países que possuam grau adequado se comparado à LGPD, a depender de decisão da ANPD; (B) quando o controlador comprovar garantias de proteção derivadas de cláusulas contratuais, normas corporativas, selos, códigos de conduta ou certificados; (C) quando houver consentimento do titular.
9. PENALIDADES: multa de até 2% do faturamento no Brasil, limitada a R$ 50 milhões. Há possibilidade de multa diária, observado o mesmo limite. Outras penalidades estão previstas na LGPD, mas parte delas foi vetada pelo Presidente da República.
10. BOAS PRÁTICAS E GOVERNANÇA: A LGPD incentiva agentes de tratamento de dados a instituírem programas de governança e boas práticas de gestão. Tais medidas serão consideradas como parâmetros atenuantes na imposição de penalidades.