Buscar:

Aprovado o Projeto de Lei Geral de Proteção de dados pessoais

Imprimir PDF
Voltar

Por Fabio Ferreira Kujawski e Thiago Luís Sombra

Na sessão do dia 10 de julho deste ano, o Senado Federal aprovou o Projeto de Lei Geral de Proteção de Dados Pessoais (PLC 53/2018 ou “LGPD”), que regulamenta a forma sobre como as organizações passarão a utilizar dados pessoais no Brasil (assim definidos como informação relacionada à pessoa natural identificada ou identificável). Após consolidação da redação final, o projeto de lei será encaminhado à sanção presidencial, que deverá ser realizada no prazo de 15 dias úteis.

A LGPD impõe uma profunda transformação no sistema de proteção de dados brasileiro, em boa medida alinhada com a recente legislação europeia (GDPR). Estabelece regras detalhadas para a coleta, uso, tratamento e armazenamento de dados pessoais. A LGPD afetará todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador e outras relações nas quais dados pessoais sejam coletados, tanto no ambiente digital quanto fora dele.

Os principais pontos tratados pela LGPD são:

Autoridade de Proteção de Dados: A LGPD cria a Autoridade Nacional de Proteção de Dados (“ANPD”), autarquia vinculada ao Ministério da Justiça, que será responsável por regulamentar, fiscalizar e aplicar sanções em caso de descumprimento da legislação de proteção de dados.

Bases legais de tratamento de dados: O tratamento de danos pessoais somente poderá ser realizado com supedâneo em uma das bases legais de tratamento previstas na LGPD. Entre outras hipóteses, o tratamento de danos pessoais é autorizado com o consentimento do titular dos dados pessoais, para fins de cumprimento de obrigação legal ou regulatória, quando necessário para a execução de contrato, ou quando necessário para atender aos interesses legítimos do controlador dos dados ou de terceiros. A decisão sobre qual base legal é utilizar deve ser registrada e documentada.

Requisitos do consentimento: A LGPD impõe requisitos específicos para o consentimento, que deve consistir em uma manifestação prévia, livre, informada e inequívoca, para um fim específico, podendo ser revogado a qualquer tempo;

Dados Sensíveis: A LGPD estabelece bases legais específicas para o tratamento de dados sensíveis, que incluem, dentre outros, informações sobre saúde, dados biométricos e/ou genéticos do titular de dados;

Direitos dos titulares de dados: A LGPD traz novos direitos aos titulares de dados, como o direito de obter informações sobre o tratamento de dados, realizar o acesso, retificação e eliminação de dados, direito à portabilidade a outro fornecer de produtos e serviços e obter a revisão de decisões automatizadas, dentre outros;

Data Protection Officer: A LGPD obriga as organizações a nomear um encarregado responsável pelo tratamento de danos pessoais, cabendo à ANPD detalhar ou isentar determinados controladores dessa obrigação;

Incidentes de dados: vazamentos de dados e incidentes de segurança devem ser notificados a ANPD e, em alguns casos, aos titulares afetados;

Privacy by design: As organizações serão obrigadas a adotar medidas de proteção de dados, a partir da criação de qualquer nova tecnologia ou produto;

Relatórios de Impactos de Privacidade: ANPD pode exigir a elaboração de relatório de impacto à privacidade em certos casos;

Transferência internacional de dados: somente é permitida nas hipóteses previstas na LGPD, que incluem, a transferência para países com grau de proteção adequado (a ser definido pela ANPD) ou por meio da utilização de cláusulas contratuais padrão, normas corporativas globais, selos e certificados e códigos de condutas aprovados pela ANPD, entre outras hipóteses.

Sanções administrativas o descumprimento da LGPD inclui advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000 (cinquenta milhões de reais) por infração;

As obrigações estabelecidas pela LGPD passarão a ser exigíveis dentro de 18 meses a contar da publicação da lei, prazo esse que as empresas terão para se adaptar às novas regras.

Fonte: Mattos Filho, em 10.07.2018.