No dia 11 de julho, foi aprovado no Senado Federal o projeto de lei nº 53/2018, que regula a proteção de dados pessoais no Brasil (LGPD).
Com implicações abrangentes, a LGPD inspira-se no recém-implementado Regulamento Geral de Proteção de Dados da União Europeia (GDPR), estabelecendo obrigações para quaisquer pessoas ou empresas que coletem/tratem dados pessoais ou ofertem bens ou serviços no Brasil, ainda que a coleta/tratamento ocorra no exterior e independentemente da nacionalidade dos envolvidos, salvo raras exceções.

Ressalvamos que a LGPD ainda se encontra pendente de sanção pelo Presidente da República e há risco significativo de que trechos relevantes sejam vetados, em especial o que trata da Autoridade Nacional de Proteção de Dados. Acompanharemos o desenrolar dessa questão com especial atenção.

Dentre as novas regras aprovadas pelo Congresso Nacional, destacam-se:

Princípios. A LGPD estabelece princípios que deverão ser observados nas atividades de tratamentos de dados pessoais, incluindo a boa-fé, finalidade, necessidade, livre acesso, segurança e a responsabilização e prestação de contas, compreendido como a comprovação da adoção de medidas eficazes, capazes de comprovar a observância às normas de proteção de dados pessoais.

Tratamento de Dados Pessoais. O tratamento de dados pessoais só poderá ser realizado nos casos previstos na LGPD. Dentre as hipóteses previstas, destacam-se o consentimento expresso do titular e o interesse legítimo do controlador. No caso do consentimento, este deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade daquele, cabendo ao controlador o ônus da prova de que foi obtido na forma da lei, podendo ser revogado a qualquer tempo. Por sua vez, o interesse legítimo, teoricamente permitiria o uso dos dados para finalidades além daquelas originalmente autorizadas pelos seus titulares ou as que ensejaram a sua criação,

Dados Pessoais, Dados Pessoais Sensíveis e Dados Públicos. São considerados “dados pessoais” quaisquer informações relacionadas à pessoa natural identificada ou identificável (titular) – nome, CPF, endereço de e-mail, etc. A LGPD ainda define “dado pessoal sensível” como qualquer informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A exigência do consentimento previsto na LGPD poderá ser dispensada para dados pessoais tornados manifestamente públicos pelo titular.

Autoridade. A LGPD prevê a criação de uma autoridade pública responsável pelo cumprimento da LGPD. A Autoridade Nacional de Proteção de Dados (Autoridade) será vinculada ao Ministério da Justiça e deverá fiscalizar, aplicar penalidades e editar regulamentos relativos à proteção de dados pessoais.

Direitos dos Titulares.Os titulares dos dados pessoais tiveram seus direitos ampliados, com destaque para direto de acesso aos dados, retificação, cancelamento/exclusão, oposição ao tratamento, de informação e explicação sobre o uso e portabilidade dos dados pessoais.

Responsabilidades dos Agentes. Os agentes responsáveis pela coleta/tratamento de dados pessoais (controladores e operadores) podem ser considerados solidariamente responsáveis em caso de violação à LGPD. No entanto, a responsabilidade do operador poderá ser limitada às suas obrigações contratuais e de segurança da informação, desde que aquele não viole as suas obrigações previstas na LGPD.

Data Protection Officer. Os controladores deverão definir quem ficará a cargo da proteção de dados na empresa. Este profissional, usualmente designado Data Protection Officer, será o ponto de contato entre os controladores, a Autoridade e os titulares dos dados.

Relatório de Impacto à Proteção de Dados. A Autoridade poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais (RIPD), referente às suas operações de tratamento de dados. A elaboração do RIPD poderá ser obrigatória em situações já caracterizadas como de risco ou, a pedido da Autoridade, quando o tratamento de dados for baseado no legítimo interesse. O RIPD deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para sua coleta e detalhes sobre segurança das informações.

Transferência Internacional de Dados Pessoais. A transferência internacional de dados pessoais passa a ser permitida somente em casos específicos, dentre eles, (1) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e das regras de proteção de dados previstos na LGPD, na forma de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos, sujeitos à aprovação da Autoridade, ou (2) quando o titular fornecer um consentimento específico para a transferência internacional.

Notificação de Incidentes. O controlador deverá comunicar à Autoridade e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, dentro de prazo razoável.

Penalidades. A LGPD estabelece penalidades em caso de seu descumprimento, incluindo advertências, suspensão e proibição de processamento de dados relativos à infração, ou aplicação de multa equivalente a até 2% do faturamento bruto no Brasil, limitado a R$ 50 milhões.

Prazo. A LGPD entrará em vigor em 18 meses, contados a partir da data da sanção presidencial.

As equipes do escritório Fraga, Bekierman & Cristiano Advogados, no Rio de Janeiro e em São Paulo, estão à disposição para esclarecer eventuais dúvidas e auxiliar na implantação das importantes alterações necessárias para adequação à brevemente esperada nova legislação de proteção de dados pessoais.