Inédita no Brasil, Lei Geral de Proteção dos Dados Pessoais entra em vigor em 2020
Inédita no Brasil, a Lei n.º 13.709/2018, que trata da proteção dos dados pessoais, foi sancionada em agosto deste ano e define as situações em que essas informações podem ser coletadas e usadas. Inspirada na Regulamentação Europeia de Proteção de Dados (GDPR), que entrou em vigor em maio deste ano, a nova legislação elevou o País a um patamar compatível com as demais leis internacionais sobre proteção de dados. A nova Lei Geral de Proteção de Dados (LGPD) define como dado pessoal sensível aqueles que se referem à origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; e saúde ou vida sexual, além de dado genético ou biométrico. A lei exige consentimento específico para coleta e tratamento desses dados, assim como o tratamento de dados de crianças e menores de idade. A norma se aplica a todas as pessoas físicas ou jurídicas, de direito público ou privado, que realizem a coleta e o tratamento de dados de cidadãos no território nacional, tanto de forma física quanto nos meios digitais. Entretanto, a lei não se aplica ao tratamento de dados realizado por pessoa física exclusivamente para fins particulares e não econômicos ou para fins exclusivamente jornalísticos, artísticos, acadêmicos e pelo Poder Público para segurança e defesa nacional. Antes da LGPD não existia no Brasil uma legislação específica sobre proteção de dados pessoais. A matéria era regulada por algumas leis esparsas (Código de Defesa do Consumidor, Lei do Cadastro Positivo, Lei de Acesso à Informação e outras) e pelo chamado “Marco Civil da Internet” e seu decreto regulamentador (Lei n.º 12.965 e Decreto n.º 8.771/16), que estabeleceu princípios e garantias para o uso da internet no Brasil, bem como requisitos mínimos para tratamento e proteção de dados pessoais. A nova lei inova em alguns aspectos, como a criação da figura dos agentes de tratamento, que são respectivamente o controlador (responsável pelas decisões referentes ao tratamento de dados pessoais) e o operador (aquele que realiza o tratamento de dados em nome do controlador). Enquanto o controlador – que geralmente será a empresa gestora dos dados – deverá indicar um funcionário encarregado pelo tratamento de dados, o operador pode ser contratado para responder pelo tratamento e gestão dos dados coletados. Para a Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP), a nova legislação aumenta a segurança jurídica no País e, consequentemente, o potencial para estimular investimentos, melhorando o ambiente de negócios e o desenvolvimento econômico em longo prazo. No projeto original do Senado, constava no texto a criação de dois órgãos: a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. No entanto, essas instituições deixaram de ser aprovadas quando a lei foi sancionada. Ainda assim, o governo federal deve editar uma nova lei de autoria do Poder Executivo com o objetivo de criar os órgãos reguladores. Fiscalização e sanções A Nova Lei Geral de Proteção de Dados entra em vigor em fevereiro de 2020, e a infração das normas previstas resultará nas seguintes sanções: *Advertência, com indicação de prazo para adoção de medidas corretivas; *Multa simples, de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos. Essa sanção é limitada ao valor de R$ 50 milhões por infração; *Multa diária, observado o limite total a que se refere o item anterior; *Divulgação pública da infração após devidamente apurada e confirmada a sua ocorrência; *Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; *Eliminação dos dados pessoais a que se refere a infração; *Suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; *Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período; *Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As sanções devem ser aplicadas após procedimento administrativo que possibilite a oportunidade de defesa e devem ser aplicadas de acordo com critérios como gravidade e natureza das infrações; boa-fé do infrator, vantagem auferida ou pretendida; condição econômica do infrator; reincidência da prática; e grau do dano.
Postado em 14/09/2018
