Lei Geral de Proteção de Dados.

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS DA UNIÃO EUROPEIA

Ricardo Barretto Ferreira, Paulo Brancher, Camila Taliberti e Vitor Koketu da Cunha

Um dos principais aspectos do GDPR é a preocupação em proteger a privacidade das pessoas que se encontram no território da União Europeia. Em um ambiente de globalização e economia baseada na internet cada vez mais dependente de dados para se sustentar (data driven economy).

No último dia 25 entrou em vigor o Regulamento Geral de Proteção de Dados da União Europeia (General Data Protectio Regulation ou GDPR)1, que irá mudar significativamente a realidade jurídica das empresas que tratam dados pessoais dentro da União Europeia, ou que tratam dados de pessoas que se encontram na União Europeia.

O Regulamento substitui a Diretiva 95/46/EC, escrita na década de 1990, num momento ainda incipiente de internet, em que diversos conceitos – como big data, computação em nuvem, marketing comportamental, aplicativos e redes sociais – ainda não existiam. O principal objetivo do GDPR é a proteção de dados pessoais face às novas tecnologias, assegurando a livre circulação desses dados, e, ao mesmo tempo, a transparência por parte dos responsáveis pelo tratamento de dados pessoais e controle das pessoas que se encontram na União Europeia sobre a suas informações.

Diferentemente da Diretiva – que estabelecia diretrizes para que cada Estado-Membro da União Europeia adotasse sua própria lei de proteção de dados –, o GDPR foi desenvolvido visando à harmonização das leis de proteção de dados dos países da União Europeia, sendo vinculativo e aplicável a todos os Estados-Membros. Por outro lado, o GDPR também garante aos Estados-Membros certa margem de autonomia para elaborarem disposições mais específicas para adaptar a aplicação das regras previstas no Regulamento.

Um dos principais aspectos do GDPR é a preocupação em proteger a privacidade das pessoas que se encontram no território da União Europeia. Em um ambiente de globalização e economia baseada na internet cada vez mais dependente de dados para se sustentar (data driven economy). O ambiente de negócios da internet traz a peculiaridade de mitigar as fronteiras físicas convencionais, produzindo grandes vantagens para a comunicação e comércio eletrônico. Entretanto, a inexistência de fronteiras do mundo digital também apresenta um grande desafio quando se trata da aplicabilidade de normas fora de uma jurisdição.

De acordo com o estudo “The end of the beginning – Unleashing the transformational power of GDPR2 da IBM, realizado com 1,5 mil líderes de negócios em 34 países, 60% das organizações está adotando o GDPR como uma oportunidade para melhorar a privacidade, a segurança e o gerenciamento de dados ou como um catalisador de novos modelos de negócios, em vez de simplesmente um problema ou impedimento de conformidade. 96% acreditam que a prova de conformidade com o GDPR será vista como um diferenciador positivo para o público. 76% disseram que o GDPR permitirá relacionamentos mais confiáveis com os titulares de dados, que criarão novas oportunidades de negócios. Mas apenas 36% acreditam que estariam totalmente em conformidade com o GDPR até o prazo final de 25 de maio.

Para empresas brasileiras, haverá significativo impacto do GDPR, na medida em que sua jurisdição torna-se extraterritorial. Ou seja, o GDPR não se limita somente a empresas localizadas na União Europeia, mas também considera o sujeito dos dados tratados e o âmbito dos negócios.

O Regulamento se aplica nos seguintes casos:

  • Quando o tratamento dos dados ocorre no contexto das atividades de uma empresa estabelecida na União Europeia, independentemente do local do tratamento e da nacionalidade dos titulares dos dados;
  • Quando o tratamento de dados pessoais é realizado por empresa não estabelecida na União Europeia, que ofereça bens e serviços, ainda que de forma gratuita, ou monitore o comportamento de pessoas naturais que se encontram na União Europeia.

A consequência dessa aplicação extraterritorial é que qualquer empresa que realize o tratamento de dados de pessoas que se encontrem na União Europeia pode estar sujeita às regras do GDPR, tornando efetivamente global a esfera de aplicabilidade do Regulamento.

No entanto, ainda existem alguns aspectos que precisam ser esclarecidos sobre o GDPR, como, por exemplo, a definição dos termos “estabelecimento” e de “oferta de bens e serviços”. As orientações do Article 29 Working Party – autoridade de proteção de dados da União Europeia – serão cruciais para esclarecer o real alcance territorial do Regulamento.

Como norte, na vigência da Diretiva 95/46/CE, o Tribunal de Justiça da União Europeia, já adotou um conceito amplo e flexível de “estabelecimento”. No caso que ficou conhecido como Weltimmo v. NAIH (Processo C-230/14)3, a Weltimmo, sociedade constituída na Eslováquia, foi considerada estabelecida na Hungria, pois mantinha uma página internet de intermediação imobiliária onde divulgava, em Húngaro, imóveis localizados na Hungria; um representante local; um endereço postal local; e uma conta em um banco local.

O Tribunal considerou que o termo “estabelecimento” deve ser interpretado extensivamente, com vistas a afastar qualquer abordagem formalista baseada no local de registro da empresa. Assim, para determinar onde uma empresa que se dedica a oferecer serviços exclusivamente na internet está estabelecida, é preciso avaliar tanto o grau de estabilidade da instalação comercial como a realidade do exercício das atividades.

Outra questão relevante é como definir “oferta de bens e serviços” e “monitorar comportamento”, para se determinar em que medida uma empresa localizada fora da União Europeia está sujeita ao Regulamento4. Alguns fatores como uso da língua do Estado-Membro; uso de moeda corrente do Estado-Membro; referências a clientes que se encontrem na União Europeia; e ações de marketing direcionadas a pessoas que se encontram na União, podem ser consideradas evidências dessa intenção5.

Não obstante essas indefinições, as empresas brasileiras que realizam tratamento de dados de pessoas que se encontram na União Europeia devem se preparar para o GDPR, adaptando seus procedimentos internos às regras e obrigações impostas pelo Regulamento.

Sem a pretensão de esgotar o assunto, selecionamos alguns pontos importantes a serem observados por empresas que se enquadrem nos requisitos acima mencionados.

Requisitos para tratamento de dados pessoais

De acordo com o GDPR, para que o tratamento de dados pessoais seja lícito, é necessária uma base legal para que os dados pessoais possam ser processados. O artigo 6º do GDPR estabelece que o tratamento somente será lícito e legítimo se pelo menos um dos seguintes itens se aplicar:

  • O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades especificas;
  • O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para demandas pré-contratuais a pedido do titular dos dados;
  • O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito;
  • O tratamento é necessário para proteger interesses fundamentais do titular dos dados ou de outra pessoa natural;
  • O tratamento é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública que esteja responsável pelo tratamento;
  • O tratamento é necessário para atender interesses e/ou fins legítimos do responsável pelo tratamento ou de terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Embora já estivessem previstas na antiga Diretiva, há uma mudança significativa trazida pelo GDPR no que se refere ao consentimento do titular para o tratamento dos dados pessoais. Considerando o artigo 4º do GDPR, é necessário que o consentimento seja obtido por uma resposta afirmativa do titular indicando sua manifestação de vontade livre, específica, inequívoca e informada, no sentido de que concorda que seus dados pessoais sejam objeto de tratamento.

A obtenção do consentimento deve ser feita de forma explícita, numa linguagem clara e simples, inclusive na forma eletrônica e por check mark. Nos casos em que o tratamento sirva para diversas finalidades, deverá ser dado um consentimento para todas elas. Portanto, a política de consentimento deve ser sempre a do opt-in, não sendo mais aceito o opt-out. O silêncio, as opções pré-validadas ou a omissão não são considerados meios apropriados de consentimento.

Dentre às exceções à regra do consentimento, a hipótese do legítimo interesse ainda carece de uma definição clara e precisa. Portanto, é necessário cuidado ao analisar como será utilizado dentro dos parâmetros legais. A hipótese do legítimo interesse vem acompanhada de limites relativos aos interesses ou direitos e liberdades fundamentais, assim não é uma autorização genérica para todo tipo de tratamento de dados, e até uma melhor definição doutrinária e jurisprudencial deve ser analisada com ressalvas.

A autoridade de proteção de dados da União Europeia – Article 29 Working Party – entende que o responsável pelo tratamento dos dados deve fazer uma análise entre os interesses e direitos fundamentais e o legítimo interesse, para determinar quais dados podem ou não ser utilizados licitamente sem um consentimento específico para o fim a que se destina.

Direitos do titular dos dados

O Regulamento estabelece uma série de direitos aos titulares dos dados pessoais no Capítulo III, tais como:

Direito de informação: o titular dos dados tem o direito de obter a identidade do responsável pelo tratamento; o contato da autoridade responsável pela proteção de dados (DPO), quando aplicável; as finalidades do tratamento; e qualquer informação necessária para garantir um tratamento justo e transparente dos dados.

Direito de acesso: o titular tem o direto de obter a confirmação de que seus dados estão ou não sendo objeto de tratamento e, em caso positivo, pode acessar os dados e receber informações sobre o tratamento e suas finalidades, ser informado para quais terceiros os dados serão divulgados e se existem decisões tomadas automaticamente a partir dos dados tratados.

Direito de retificação: o controlar tem a obrigação de retificar dados incorretos, sem demora injustiçada, a pedido do titular dos dados.

Direito de portabilidade dos dados: o titular dos dados tem o direito de receber os dados a seu respeito ou os dados tenha fornecido, num formado estruturado, de uso comum, fácil leitura e de uma forma legível por máquinas/computadores, e o direito de transmitir esses dados a outro responsável pelo tratamento sem oposição do responsável que recebeu os dados num primeiro momento.

Direito de restrição: o titular tem o direito de se opor ao tratamento de seus dados pessoais, a qualquer momento, por quaisquer motivos particulares. O responsável pelo tratamento deve cessar o tratamento sem demora injustificada, a não ser que prevaleçam outros interesses legais.

Direito ao esquecimento/apagamento: o titular dos dados tem o direito de reivindicar ao responsável pelo tratamento de dados o apagamento/exclusão dos seus dados pessoais sem demora injustificada quando não mais são necessários para a finalidade que motivaram sua coleta; e quando o titular retira seu consentimento para o tratamento de dados e não existe outro fundamento jurídico que justifique o tratamento.

O direito ao esquecimento não se aplica obrigatoriamente quando entrar em conflito com exercício da liberdade de expressão e informação, motivos de interesse público ou cumprimento de obrigação legal prevista pelo direito da União Europeia ou de Estado-Membro a que esteja sujeito.

Transferência internacional de dados

Em regra, a transferência de dados para países fora da União Europeia ou organizações internacionais pode ocorrer para países que asseguram um nível adequado de proteção de dados. A avaliação sobre a adequação é realizada pela Comissão Europeia levando em conta diversos elementos. Uma vez que a adequação do país terceiro é reconhecida, a transferência de dados pessoais pode ocorrer sem autorização específica da autoridade de proteção de dados, tampouco serão necessárias medidas protetivas posteriores. A relação de países com adequação reconhecida é avaliada periodicamente, a cada quatro anos, e divulgada pela Comissão Europeia.

Em caso de transferência para países não aprovados, é necessário que os responsáveis pelo tratamento apresentem as chamadas “garantias de adequação”, tais como adoção de regras vinculativas aplicáveis à empresa (Binding Corporate Rules); assinatura de contrato aprovado pela Comissão Europeia ou pela autoridade de proteção de dados; adoção de códigos de conduta e certificações.

Diante da ausência de decisão de adequação, bem como de garantias de adequação, a transferência somente pode ocorrer mediante determinadas hipóteses autorizativas, como consentimento do titular; execução de contrato; razões de interesse público; defesa de direitos em juízo; proteção de interesses vitais do titular ou de terceiros; ou se a transferência seja necessária para informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União Europeia ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.

Na ausência de decisão de adequação ou garantias de adequação, o Regulamento impõe que a transferência para um país terceiro ou uma organização internacional só pode ser efetuada se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias de adequação no que se refere à proteção de dados pessoais.

Privacy by Design e Privacy by Default

O Regulamento incorpora expressamente os princípios do privacy by design e privacy by default, no artigo 25, como obrigação legal àqueles responsáveis pelo tratamento de dados pessoais. Dessa forma, é dever do responsável pelo tratamento de dados deve implementar medidas técnicas e organizacionais para garantir que os direitos do titular dos dados sejam respeitados durante todo o ciclo do tratamento de dados, como pseudominimização e minimização dos dados.

As empresas devem levar em conta o tipo de dado que está sendo tratado para adotar as medidas técnicas e organizacionais compatíveis com o risco a que os titulares dos dados estão sujeitos. Quanto mais sensível for o dado pessoal tratado, maior deve ser a preocupação com os riscos à privacidade e direitos fundamentais do titular dos dados.

O objetivo é garantir que os dados pessoais não sejam tratados para qualquer fim, sem o consentimento do usuário e por um número indefinido de pessoas. Ou seja, apenas os dados pessoais necessários para cumprir determinado serviço devem ser coletados. Esses princípios devem ser aplicados a todo o processo, a quantidade de dados pessoais coletados; ao tempo de armazenagem dos dados; à extensão do tratamento de dados; e à acessibilidade dos dados.

Responsabilidades e Penalidades

Diversos artigos do GDPR tratam da obrigatoriedade do responsável pelo tratamento de demonstrar, de forma proativa, que está trabalhando em conformidade com o Regulamento. Ou seja, o responsável pelo tratamento dos dados tem a obrigação e a responsabilidade de aplicar as medidas técnicas e organizacionais necessárias para demonstrar que todos os processos do tratamento de dados estão de acordo com o Regulamento. O GDPR exemplifica o que pode ser considerado evidência de compliance, como documentos e logs de controle.

Além disso, caso a empresa tenha mais de 250 funcionários ou o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, o responsável pelo tratamento deve manter os registros de tratamento sob a sua responsabilidade e deve cooperar com a autoridade de proteção de dados, disponibilizando os registros, quando necessário, para fiscalização das operações de tratamento.

Empresas que tenham como núcleo da atividade operações de tratamento que exijam um controle regular e sistemático de dados em grande escala, ou tratem de dados sensíveis ou dados pessoais relacionados com condenações penais e infrações, é obrigatória a indicação de um encarregado pela proteção de dados pessoais (Data Protection Officer), que terá diversas atribuições, dentre elas exercer o controle sobre o cumprimento do Regulamento e responder requisições da autoridade de proteção de dados e de outros órgãos governamentais.

Em caso de vazamento de dados, as empresas têm a obrigação de avisar, sem demora injustificada, as autoridades competentes em até 72 horas após tomar conhecimento do fato, a não ser que o vazamento não demonstre risco aos direitos e privacidade dos titulares dos dados.

As autoridades de controle têm competência para investigar os responsáveis pelo tratamento de dados pessoais, podendo requisitar informações, acessar as instalações da empresa, e determinar o cumprimento de medidas relativas ao cumprimento do regulamento. As autoridades também têm a prerrogativa de impor sanções administrativas, que podem chegar até 20 milhões de euros ou 4% do faturamento anual da empresa em nível mundial.

Conclusão

Pelo exposto, verifica-se que é de extrema importância que empresas brasileiras que tratam dados de pessoas que se encontram na União Europeia também se adaptem ao GDPR.

Às empresas brasileiras que não tratam dados pessoais de pessoas que se encontram na União Europeia, vale lembrar que atualmente tramita no Congresso Nacional dois importantes Projetos de Lei pretendem implementar no Brasil uma Lei Geral de Proteção de Dados. O PL 5276/16, de autoria do Poder Executivo e fortemente inspirado no GDPR, e o PLS 330/13, de autoria do senador Antonio Carlos Valadares

O respeito às regras de privacidade e proteção de dados, embora envolva uma série de complexidades, deve ser visto pelas empresas não como custo, mas como um aspecto diferenciador para competitividade no mercado, capaz de transmitir uma imagem de confiança perante seus colaboradores e clientes. Trata-se de uma consequência da nova economia digital globalizada e baseada em dados.

__________

*Ricardo Barretto Ferreira é sócio do escritório Azevedo Sette Advogados; *Paulo Brancher é sócio do escritório Azevedo Sette Advogados; *Camila Taliberti é associada do escritório Azevedo Sette Advogados; *Vitor Koketu da Cunha é interno da área de Telecomunicações, Mídia e Tecnologia do escritório Azevedo Sette Advogados.

 

Lei geral de proteção de dados é aprovada no Brasil

Adriano Ferraz e Gustavo Paulinelli

É importante frisar que em relação ao projeto de lei aprovado anteriormente pelo Congresso Nacional, o presidente Michel Temer vetou alguns dispositivos pontuais, sendo o principal deles o referente à criação da Autoridade Nacional de proteção de dados.

Na terça-feira (14/8), foi sancionada pelo presidente Michel Temer a lei 13.709/18, que dispõe sobre o tratamento de dados pessoais de pessoas naturais, por pessoas naturais ou jurídicas, no Brasil (“lei geral de proteção de dados”).

A legislação brasileira foi inspirada no regulamento geral sobre a proteção de dados da União Europeia (Regulação (EU) 2016/679), popularmente conhecido como General Data Protection Resolution – GDPR, que entrou em vigor no dia 25 de maio de 2018 e teve como objetivo principal a harmonização das regras relativas ao tema da proteção de dados de pessoas que se encontram em solo europeu.

Na linha da legislação europeia, a nova lei brasileira também consolida em um mesmo instrumento normativo as normas sobre a proteção de informações pessoais e dá aos cidadãos um maior controle sobre o armazenamento, recuperação e transferência de seus dados pessoais, sendo esses, nos termos da lei “qualquer informação relacionada a pessoa natural identificada ou identificável”, como, por exemplo: nome, endereço, e-mail, estado civil, informações patrimoniais, de gênero, opção sexual, opção religiosa e política, dentre outros.

A consolidação das normas sobre proteção de dados pessoais era agenda já amplamente debatida e necessária no país em virtude da dispersão das diretrizes relativas ao tema em diversos instrumentos normativos (para citar, por exemplo, o Marco Civil da Internet, o Código de Defesa do Consumidor, o Código Penal, a lei Anticorrupção, a lei geral de Telecomunicações, a lei de Acesso à Informação, entre outros), colocando, com isso, o Brasil no rol das nações que contam com legislação específica e com elevado grau de proteção sobre o assunto.

Tendo em vista que a lei geral de proteção de dados será aplicável para quaisquer operações de tratamento de dados pessoais, com exceção de hipóteses específicas que serão detalhadas adiante, todas as empresas que realizem operações de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração de dados pessoais de clientes e/ou fornecedores deverão se adaptar à nova legislação, com a adoção de novas práticas relativas ao tema.

Dentre os principais pontos trazidos pela nova lei, é importante destacar:

  • Vigência: a lei geral de proteção de dados entrará em vigor em 18 meses contados da data de sua publicação no Diário Oficial (15/8/18), ou seja, em fevereiro de 2020. Este será o prazo para que as empresas do setor público e privado se adequem à nova regulação e à pesada carga de exigências trazida pela norma.
  • Aplicabilidade: a lei geral de proteção de Dados é aplicável a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: (i) a operação de tratamento seja realizada no território nacional; (ii) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e (iii) os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Neste aspecto, é importante frisar que uma vez atendidos os critérios acima descritos, as empresas deverão cumprir as exigências da lei geral de proteção de dados, independentemente de serem empresas brasileiras ou estrangeiras.
  • Exceções à aplicabilidade: a lei geral de proteção de dados não será aplicável para o tratamento de dados pessoais (i) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; e/ou (ii) realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado, de atividades de investigação e repressão de infrações penais; e/ou (iii) provenientes de fora do território nacional sem que tenham sido objeto de comunicação ou de uso compartilhado com agentes de tratamento brasileiros ou que sejam objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei geral de proteção de dados.
  • Conceitos importantes: dentre os conceitos trazidos pela lei geral de proteção de dados destacam-se: (i) o “Titular”, pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; (ii) o “Controlador”, pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; (iii) o “Operador”, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador; (iv) os “Agentes de Tratamento”, sendo estes o Controlador e o Operador; (v) o “Encarregado”, a pessoa natural indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a autoridade nacional de proteção de ados; e (vi) a “autoridade nacional de proteção de dados”, que será o órgão da administração pública indireta responsável pelo cumprimento da lei geral de proteção de dados, e que, conforme explicitado ao final deste texto, será criado posteriormente por ato do Poder Executivo.
  • Direitos do Titular dos Dados: a nova legislação concedeu maior poder aos titulares de dados pessoais em relação às suas informações, garantindo a eles diversos direitos relativos ao armazenamento, recuperação e transferência de seus dados, como: (i) possiblidade de requisitar ao controlador dos dados pessoais, a qualquer momento, (i.i) o acesso aos seus dados; (i.ii) a correção de dados incompletos, inexatos ou desatualizados; (i.iii) a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação; (i.iv) a portabilidade dos dados pessoais para outro fornecedor de serviço ou produto; (i.v) a eliminação de dados pessoais; (i.vi) a revogação do consentimento para o tratamento de dados pessoais; (ii) a garantia de que seus dados só serão tratados após o seu consentimento expresso em relação ao tratamento e à finalidade deste, caso o consentimento seja o fundamento para o tratamento dos dados; (iii) a possibilidade de peticionar contra o controlador dos dados pessoais perante a autoridade nacional de proteção de dados e/ou órgãos de defesa do consumidor; (iv) a possibilidade de solicitação de revisão, por uma pessoa natural, da tomada de decisão fundada em processos automatizados de tratamento de dados pessoais.
  • Obrigações dos agentes de tratamento: na linha da concessão de direitos ao titular dos dados pessoais, a nova legislação criou também uma série de obrigações para os agentes de tratamento das informações dos cidadãos, sendo este um ponto de atenção para as empresas que deverão se adequar à norma. Dentre as principais obrigações criadas pela lei geral de proteção de dados para os controladores de dados, destacam-se: (i) a informação imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados pessoais em caso de correção, eliminação, anonimização e bloqueio de dados, para que repitam idêntico procedimento; (ii) a garantia de acesso às informações pessoais de um titular, em caso de sua solicitação, de forma imediata e em formato simplificado, e por meio de declaração completa indicando a origem dos dados, a inexistência de registro e os critérios utilizados para o tratamento, bem como a sua finalidade, no prazo de 15 dias contados do requerimento do titular; (iii) a coleta de consentimento específico do titular dos dados, informando de forma clara a finalidade do tratamento dos dados, salvo algumas exceções previstas na lei; (iv) a informação prévia ao titular dos dados em caso de alteração da finalidade do tratamento que seja incompatível com o consentimento original do titular; (v) a informação ao titular, com destaque, caso o tratamento dos seus dados pessoais seja condição para o fornecimento de produto ou de serviço; (vi) a obtenção de consentimento específico do titular em caso de necessidade de comunicação ou compartilhamento dos dados pessoais de um titular com terceiros; (vii) a informação ao titular dos dados em caso de necessidade de tratamento de dados em virtude de obrigação legal ou regulatória; (viii) a elaboração de relatório de impacto à proteção de dados pessoais, em caso de determinação pela autoridade nacional de proteção de dados; (ix) o registro de todas as operações de tratamento de dados que realizar; (x) a comunicação à autoridade nacional de proteção de dados e ao titular em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares; (xi) a indicação de um encarregado pelo tratamento dos dados pessoais para ser um intermediário junto aos titulares e à Autoridade Nacional de Proteção de Dados, recebendo reclamações e comunicações dos titulares, adotando providências necessárias, orientando funcionários e contratados sobre as melhores práticas de proteção de dados, implementando medidas de segurança, técnicas e administrativas para a proteção dos dados pessoais e atendendo às requisições da Autoridade Nacional de Proteção de Dados e outras autoridades competentes; (xii) a eliminação dos dados pessoais após o término do tratamento, nas hipóteses previstas na lei geral de proteção de dados; (xiii) a obrigatoriedade de coleta de consentimento específico por pelo menos um dos pais ou responsável legal antes do tratamento de dados pessoais de crianças e/ou adolescentes.
  • Sanções: a Lei Geral de Proteção de Dados elencou também as responsabilidades e sanções administrativas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados em caso de descumprimento das normas pelos agentes de tratamento, citando-se como exemplo: (i) a responsabilização dos agentes de tratamento pelos danos decorrentes da violação da segurança dos dados pessoais em virtude da negligência na adoção de medidas de segurança previstas na norma; (ii) a aplicação de multa de até 2% do faturamento do exercício social anterior do agente de tratamento ou do grupo econômico ou conglomerado de que faça parte no Brasil, limitada ao máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração; e (iii) a possibilidade de publicização da infração apurada, que pode resultar em danos à credibilidade do agente de tratamento no mercado. Dentre os critérios elencados para a apuração da gravidade da infração e aplicação das sanções está a avaliação do empenho do infrator no combate à práticas abusivas e à proteção e segurança dos dados pessoais, como, por exemplo, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano e demonstrar o tratamento seguro e adequado de dados pessoais, a adoção de política de boas práticas de governança e a pronta implementação de medidas corretivas, o que reforça a importância da revisão minuciosa das práticas dos players de mercado sob a ótica da nova Lei Geral de Proteção de Dados.

É importante frisar, por fim, que em relação ao projeto de lei aprovado anteriormente pelo Congresso Nacional, o presidente Michel Temer vetou alguns dispositivos pontuais, sendo o principal deles o referente à criação da autoridade nacional de proteção de dados. A referida entidade seria autarquia especial integrante da administração pública federal indireta e vinculada ao Ministério da Justiça, que teria independência administrativa e ausência de subordinação hierárquica e seria responsável, em termos gerais, pela fiscalização do cumprimento da lei geral de proteção de dados pessoais, interação com os players do mercado, criação de diretrizes específicas para a Política nacional de proteção de dados Pessoais e da Privacidade e pela aplicação de sanções aos infratores. O veto presidencial foi motivado por um “vício de iniciativa”, tendo em vista que a criação de órgão dessa natureza deve partir do Poder Executivo, e não do Poder Legislativo, como estava sendo feito. Ao que tudo indica, a autoridade nacional de proteção de dados ainda será criada, em termos semelhantes aos previstos no projeto da lei geral de proteção de dados pessoais, por iniciativa do Poder Executivo cujos trâmites devem ser iniciados em breve.
__________

Adriano Ferraz é sócio do Freitas Ferraz Capuruço Braichi Riccio Advogados e professor na pós-graduação LL.M. Direito Corporativo do IBMEC/MG; Gustavo Paulinelli é advogado do Freitas Ferraz Capuruço Braichi Riccio Advogados.

 

Anúncios

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s