No dia 14 de agosto, o Presidente Michel Temer a lei que regula a proteção de dados pessoais no Brasil (Lei Geral de Proteção de Dados – LGPD).

Como já era esperado, a criação da Agência Nacional de Proteção de Dados, conforme previsto no texto aprovado pelo Senado, não foi aprovada pelo Presidente por vício de competência. Como resultado, uma nova legislação a ser promulgada nos próximos meses irá dispor a respeito da autoridade competente para supervisionar e impor penalidades às pessoas sujeitas ao novo regulamento.

A LGPD  é claramente inspirada no GDPR europeu, que entrou em vigor em maio passado. A LGPD entrará em vigor após 18 meses, a contar de sua publicação.

Dentre as novas regras sancionadas pelo Presidente da República, destacam-se:

Princípios. A LGPD estabelece princípios que deverão ser observados nas atividades de tratamentos de dados pessoais, incluindo a boa-fé, finalidade, necessidade, livre acesso, segurança e a responsabilização e prestação de contas, compreendido como a comprovação da adoção de medidas eficazes, capazes de comprovar a observância às normas de proteção de dados pessoais.

Tratamento de Dados Pessoais. O tratamento de dados pessoais só poderá ser realizado nos casos previstos na LGPD. Dentre as hipóteses previstas, destacam-se o consentimento expresso do titular e o interesse legítimo do controlador. No caso do consentimento, este deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade daquele, cabendo ao controlador o ônus da prova de que foi obtido na forma da lei, podendo ser revogado a qualquer tempo. Por sua vez, o interesse legítimo, teoricamente permitiria o uso dos dados para finalidades além daquelas originalmente autorizadas pelos seus titulares ou as que ensejaram a sua criação.

Dados Pessoais, Dados Pessoais Sensíveis e Dados Públicos. São considerados “dados pessoais” quaisquer informações relacionadas à pessoa natural identificada ou identificável (titular) – nome, CPF, endereço de e-mail, etc. A LGPD ainda define “dado pessoal sensível” como qualquer informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A exigência do consentimento previsto na LGPD poderá ser dispensada para dados pessoais tornados manifestamente públicos pelo titular.

Direitos dos Titulares. Os titulares dos dados pessoais tiveram seus direitos ampliados, com destaque para direto de acesso aos dados, retificação, cancelamento/exclusão, oposição ao tratamento, de informação e explicação sobre o uso e portabilidade dos dados pessoais.

Responsabilidade dos Agentes. Os agentes responsáveis pela coleta/tratamento de dados pessoais (controladores e operadores) podem ser considerados solidariamente responsáveis em caso de violação à LGPD. No entanto, a responsabilidade do operador poderá ser limitada às suas obrigações contratuais e de segurança da informação, desde que aquele não viole as suas obrigações previstas na LGPD.

Data Protection Officer. Os controladores deverão definir quem ficará a cargo da proteção de dados na empresa. Este profissional, usualmente designado Data Protection Officer, será o ponto de contato entre os controladores, a Autoridade e os titulares dos dados.

Relatório de Impacto à Proteção de Dados. Autoridade poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais (RIPD), referente às suas operações de tratamento de dados. A elaboração do RIPD poderá ser obrigatória em situações já caracterizadas como de risco ou, a pedido da Autoridade, quando o tratamento de dados for baseado no legítimo interesse. O RIPD deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para sua coleta e detalhes sobre segurança das informações.

Transferência Internacional de Dados Pessoais. A transferência internacional de dados pessoais passa a ser permitida somente em casos específicos, dentre eles, (1) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e das regras de proteção de dados previstos na LGPD, na forma de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos, sujeitos à aprovação da Autoridade, ou (2) quando o titular fornecer um consentimento específico para a transferência internacional.

Notificação de Incidentes. O controlador deverá comunicar à Autoridade e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, dentro de prazo razoável.

Penalidades. A LGPD estabelece penalidades em caso de seu descumprimento, incluindo advertências, suspensão e proibição de processamento de dados relativos à infração, ou aplicação de multa equivalente a até 2% do faturamento bruto no Brasil, limitado a R$ 50 milhões.

Prazo. A LGPD entrará em vigor em 18 meses, contados a partir da data da sanção presidencial.