Sancionada a Lei Geral de Proteção de Dados Brasileira – LGPD

Por Renato Leite Monteiro

O Presidente Michel Temer sancionou ontem, com alguns vetos, Lei Geral de Proteção de Dados brasileira (“LGPD”), resultado de um longo processo legislativo iniciado em 2010. A lei transformará por completo a forma como entidades públicas e privadas lidam com dados pessoais no Brasil.

A LGPD terá aplicação tanto no setor público, quanto no privado, online e off-line, em todos os setores do mercado. Até mesmo empresas estrangeiras, caso coletem dados pessoais de pessoas físicas localizadas no Brasil, independente da nacionalidade, ou ofereçam serviços ao mercado nacional, estarão sob o escopo da nova lei. Assim, praticamente qualquer atividade que lide com dados pessoais em algum nível estará sujeita à nova lei.

Dentre os principais pontos do texto aprovado, destacamos:

• Conceito de dados pessoais: dado pessoal é todo dado relacionado a uma pessoa natural identificada ou identificável, ou seja, qualquer dado que permita a identificação de uma pessoa física, seja isoladamente ou em conjunto com outras informações. Por exemplo, nome, CPF, RG, endereço, interesses, hábitos, dados locacionais, cookies, endereço IP, caraterísticas físicas, dados corporativos, como e-mail, frequência do colaborador, comportamento, monitoramento, mesmo de propriedade da empresa, podem ser considerados pessoais, portanto dentro do escopo da lei.

• Dados pessoais sensíveis: são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, político, ou filosófico, referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Esses dados podem sujeitar seu titular a práticas discriminatórias, ou permitir a sua identificação de forma inequívoca. Isso não significa que tais dados não podem ser coletados e tratados, mas sim que seu tratamento exige um padrão maior de segurança e o consentimento específico do titular.

• Dados públicos: o uso de dados públicos, constantes de bases geridas pela administração pública, como os encontrados no Diário Oficial, Diário de Justiça, Cartórios, bases do Detran, óbitos, nascimentos, Receita Federal, bases de IPTU, rurais, e também de dados privados, mas publicamente acessíveis, como os encontrados em páginas web e perfis públicos de redes sociais, por vezes coletados através de crawlers e bots, passa a ser regulamentado, encontrando fatores limitadores. A máxima que seria possível fazer o que se quisesse com um dado público deixa, por vez, de ser verdade, uma vez que a forma que um dado é disponibilizado não retira a sua natureza de pessoal, portanto sob o escopo da lei. Isso não significa que tais dados não podem mais ser coletados, apenas que os modelos de negócio que se valem deles terão que se adaptar as novas regras.

• Bases legais para o tratamento de dados pessoais: o tratamento de dados pessoais exige um fundamento legal. A LGPD enuncia 10 hipóteses autorizadoras do uso dos dados pessoais, das quais destacam-se: (i) o fornecimento de consentimento inequívoco pelo titular dos dados; (ii) o cumprimento de obrigações legais ou regulatórias pelos agentes do tratamento; (iii) para a execução de políticas públicas pela administração pública; (iv) para atender aos interesses legítimos dos agentes de tratamento, o que permite o uso de dados para finalidades além daquelas originalmente autorizadas, mediante um teste de proporcionalidade que considera os interesses dos responsáveis pelo tratamento e os direitos individuais dos titulares. Essa hipótese é especialmente importante, pois viabiliza usos inovadores dos dados, utilizando tecnologias como baseadas em big data, inteligência artificial, machine learning e modelos de negócio inovadores.

• Direitos básicos dos titulares: os titulares têm direito ao acesso facilitado, exclusão, retificação dos dados; a informações sobre o tratamento; à revogação do consentimento; à portabilidade dos dados a outro fornecedor de serviços; à revisão de decisões tomadas por procedimentos automatizados; entre outros.

• Obrigações dos agentes de tratamento: dentre as obrigações dos agentes de tratamento, está o registro de toda atividade de tratamento de dados pessoais; a notificação aos titulares de incidentes envolvendo seus dados; a possibilidade de que se exija um relatório de impacto à proteção de dados (DPIA) e a indicação de um encarregado pela supervisão da aplicação da lei, também conhecido como Data Protection Officer (DPO).

• Responsabilidade dos agentes de tratamento: todo dado causado em função da violação da legislação de proteção de dados deve ser reparado, respondendo solidariamente os agentes de tratamento diretamente responsáveis.

• Padrão de segurança: o processamento de dados pessoais deve adotar medidas técnicas e administrativas aptas a proteger a segurança dos dados. É importante ressaltar que os padrões de segurança exigidos devem ser adotados desde a fase de concepção do produto ou serviço até a sua execução seguindo o conceito de Privacy by Design.

• Penalidades: em casos de infração à legislação de proteção de dados, podem ser aplicadas sanções administrativas aos agentes de tratamento, que podem variar entre advertências, multas e eliminação dos dados pessoais a que se refere a infração. As multas podem chegar até à 2% do faturamento da empresa no Brasil por infração, limitadas à 50 milhões de reais.

Receberam vetos do Presidente três artigos do projeto que regulavam o tratamento de dados pessoais pelo poder público, que tratavam da proteção de dados pessoais de requerentes de acesso à informação pela Lei de Acesso à Informação, da transmissão de dados pessoais pelo Poder Público a entidades privadas, e sobre a publicidade da comunicação e uso compartilhado de dados entre órgãos e entidades de direito público.

Também foram vetados os incisos VII, VIII e IX do artigo 52, que previam penalidades de suspensão e proibição – totais ou parciais – das atividades de tratamento e armazenamento de dados pessoais em casos de infração à legislação pertinente. Dessa forma, passam a ser previstas apenas as sanções de advertência, multa, bloqueio ou eliminação dos dados e publicização da infração.

Por fim, foram vetados os artigos que determinavam a criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A ANPD seria a autoridade pública autônoma responsável pela supervisão da aplicação da legislação de proteção de dados. Suas funções seriam zelar pela proteção de dados pessoais, elaborar a “Política Nacional de Proteção de Dados e da Privacidade”, fiscalizar e aplicar sanções em casos de violações à legislação pertinente, entre outras atividades. O Conselho Nacional seria o órgão consultivo, responsável por propor diretrizes e estratégias, realizar estudos e disseminar a cultura de proteção de dados no Brasil. Este último veto fui fundamentado na exclusividade do Presidente à iniciativa de leis que criem órgãos da administração pública (artigo 61, II, “e”, da Constituição Federal). Todavia, tal veto deve ser contornado por meio de uma Medida Provisória ou um Projeto de Lei específico, visando sanar o vício de iniciativa descrito nas razões para o veto.

Com a publicação da LGPD, será iniciado um período de 18 meses até a sua entrada em vigor, que servirá para as entidades públicas e privadas se adaptarem à nova regulação. O prazo pode parecer longo, mas é importante lembrar que no âmbito da nova regulamentação europeia de proteção de dados foi concedido um prazo de 02 anos para a adequação, que se mostrou deveras insuficiente, mesmo para países que já detinham uma cultura de proteção de dados, algo que começa a ser difundido no Brasil com a aprovação da LGDP.

Para uma análise mais aprofundada sobre o contexto e o conteúdo da LGPD, recomendamos a leitura do artigo escrito pelo nosso convidado, Renato Leite Monteiro, sócio da área de privacidade e proteção de dados pessoais do Baptista Luz Advogados.