(Mattos Filho) – 15/08/18

Em 15 de agosto deste ano foi publicada a Lei 13.709/18, a Lei Geral de Proteção de Dados Pessoais (“LGPD”), que regulamenta a forma sobre como as organizações passarão a utilizar dados pessoais no Brasil.

A LGPD impõe uma profunda transformação no sistema de proteção de dados brasileiro, em boa medida alinhada com a recente legislação europeia (GDPR). Estabelece regras detalhadas para a coleta, uso, tratamento e armazenamento de dados pessoais.

A LGPD afetará todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador e outras relações nas quais dados pessoais sejam coletados, tanto no ambiente digital quanto fora dele.

Os principais pontos tratados pela LGPD são:

Bases legais de tratamento de dados: O tratamento de dados pessoais somente poderá ser realizado com supedâneo em uma das bases legais de tratamento previstas na LGPD. Entre outras hipóteses, o tratamento de dados pessoais é autorizado com o consentimento do titular dos dados pessoais, para fins de cumprimento de obrigação legal ou regulatória, quando necessário para a execução de contrato, ou quando necessário para atender aos interesses legítimos do controlador dos dados ou de terceiros. A decisão sobre qual base legal é utilizar deve ser registrada e documentada;

Requisitos do consentimento: A LGPD impõe requisitos específicos para o consentimento, que deve consistir em uma manifestação prévia, livre, informada e inequívoca, para um fim específico, podendo ser revogado a qualquer tempo;

Dados sensíveis: A LGPD estabelece bases legais específicas para o tratamento de dados sensíveis, que incluem, dentre outros, informações sobre saúde, dados biométricos e/ou genéticos do titular de dados;

Direitos dos titulares de dados: A LGPD traz novos direitos aos titulares de dados, como o direito de obter informações sobre o tratamento de dados, realizar o acesso, retificação e eliminação de dados, direito à portabilidade a outro fornecer de produtos e serviços e obter a revisão de decisões automatizadas, dentre outros;

Data protection officer: A LGPD obriga as organizações a nomear um encarregado responsável pelo tratamento de dados pessoais;

Incidentes de dados: Vazamentos de dados e incidentes de segurança devem ser notificados à autoridade de proteção de dados a ser posteriormente criada e, em alguns casos, aos titulares afetados;

Privacy by design: As organizações serão obrigadas a adotar medidas de proteção de dados, a partir da criação de qualquer nova tecnologia ou produto;

Relatórios de impactos de privacidade: A LGPD prevê a possibilidade de elaboração de relatório de impacto à privacidade em certos casos;

Transferência internacional de dados: Somente é permitida nas hipóteses previstas na LGPD, que incluem, a transferência para países com grau de proteção adequado ou por meio da utilização de cláusulas contratuais padrão, normas corporativas globais, selos e certificados e códigos de condutas a serem aprovados pela autoridade de proteção de dados a ser posteriormente criada, entre outras hipóteses; e

Sanções administrativas: o descumprimento da LGPD inclui advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Vetos: As duas principais matérias constantes da versão da LGPD que foram vetadas pelo Presidente Michel Temer envolvem a criação da Autoridade Nacional de Proteção de Dados, que seria a autarquia responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, e a imposição de sanções administrativas de suspensão e bloqueio de atividades de processamento aos agentes de tratamento de dados que violarem as disposições da LGPD. Após a sanção da LGPD, ressaltamos que foram identificados alguns erros de ordem formal e material nos vetos proferidos pelo Presidente Michel Temer. Em decorrência deste fato, uma nova versão da LGPD será publicada no Diário Oficial da União.
As obrigações estabelecidas pela LGPD passarão a ser exigíveis dentro de 18 meses a contar da sua publicação oficial, prazo esse que as empresas terão para se adaptar às novas regras.