Agosto 2018
Depois de 8 anos no Congresso Nacional, o Brasil passa a contar com uma lei específica para a proteção de dados pessoais, materializada na Lei nº 13.709, de 14.08.2018, (“Lei de Proteção de Dados”), largamente inspirada no modelo europeu da General Data Protection Regulation (GDPR), mas com algumas peculiaridades tropicalizadoras.
Apesar da Lei nº 12.965/2014 (Marco Civil da Internet), o Brasil não possuía regras e limitações destinadas especificamente à proteção de dados pessoais, mas tão somente regras pontuais (p. ex., proteção ao crédito), ou de autolimitação impostas pelas empresas em suas próprias políticas de proteção à privacidade.
Assim, na esteira das recentes polêmicas envolvendo o Facebook e da utilização de dados para analisar e influenciar o padrão de comportamento das pessoas, o Congresso Nacional acelerou o trâmite do projeto de lei e finalmente sancionou a Lei nº 13.709/2018 com 5 vetos presidenciais.
O princípio norteador da Lei de Proteção de Dados é o consentimento do titular dos dados para qualquer “operação de tratamento”[1], em especial no caso de dados sensíveis (p.ex., saúde). Este consentimento não poderá ser genérico, nem estar camuflado em cláusulas abrangentes ou imprecisas. Também o consentimento deverá ser expresso por escrito ou por outro meio que demonstre a vontade do titular dos dados, cabendo ao controlador dos dados provar que o obteve. Se houver mudança na finalidade do uso dos dados que seja incompatível com o consentimento original, o controlador deverá informá-la ao titular dos dados, que sempre poderá revogar o consentimento anteriormente concedido. Para o compartilhamento de dados com outros controladores, o titular deverá também fornecer seu consentimento expresso.
Dentre as hipóteses de tratamento de dados permitidas mais pertinentes para o setor privado, estão as seguintes:
a) cumprimento de obrigação legal ou regulatória;
b) realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados;
c) para exercício regular de direitos em processo judicial, administrativo ou arbitral;
d) quando necessário para atender aos interesses legítimos do controlador dos dados ou de terceiro, exceto quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais.
Quando houver dados pessoais sensíveis, o consentimento precisará ser dado de forma específica e destacada, para as finalidades indicadas. Por outro lado, se o tratamento de dados for indispensável nas hipóteses acima, é possível utilizar os dados pessoais sensíveis sem o consentimento do titular.
A Lei de Proteção de Dados Pessoas garante vários direitos ao titular dos dados, especialmente os relacionados à obtenção de informações, tais como: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei de Proteção de Dados; (v) portabilidade dos dados para outro fornecedor de bem ou serviço; (vi) eliminação dos dados tratados com o consentimento do titular; (viii) informação das entidades públicas e privadas com as quais o controlador compartilhou os dados; (viii) informação sobre a possibilidade de não se fornecer consentimento e suas consequências; e (ix) revogação do consentimento.
A quantificação das multas segue um padrão semelhante ao da Lei de Defesa da Concorrência (Lei nº 12.529/2011) e da Lei Anticorrupção (Lei nº 12.846/2013), de modo que as sanções podem ser consideráveis para quem violar a legislação:
(i) advertência, com indicação de prazo para adoção de medidas corretivas;
(ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
(iii) multa diária, observado o limite total a que se refere o item II;
(iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência;
(v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
(vi) eliminação dos dados pessoais a que se refere a infração.
São criadas responsabilidades especiais para o “controlador”[2], o “operador”[3] e o “encarregado”[4] pelo tratamento dos dados pessoais, os quais poderão responder pelo uso de dados que viole a legislação e que resulte em prejuízo aos seus titulares. Estes agentes deverão supervisionar as questões de segurança e a implementação de boas práticas para a governança dos dados.
Assim como na Lei Anticorrupção, a Lei de Proteção de Dados considera a existência de um programa de governança e as práticas preventivas esperadas dos agentes de tratamento como um fator atenuante na imposição de sanções.
Não obstante, recomenda-se cautela na implementação das mudanças, na medida em que as novas regras somente entrarão em vigor dentro de 18 meses e é provável que haja regulamentação expedida para esclarecer questões dúbias da Lei de Proteção de Dados.
[1] Operação de tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”
[2] “Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.”
[3] “Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.”
[4] “Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.”