Lei de proteção de dados tem até 18 meses para ser adotada

 A Lei Geral de Proteção de Dados (PLC 53/2018) foi aprovada após dois anos em tramitação no Congresso Nacional e quase uma década em discussão. A nova legislação aguarda a sanção pelo presidente Michel Temer e deverá alterar disposições do Marco Civil da Internet.

Ao criar uma regra geral brasileira para proteger dados de pessoas físicas ou jurídicas, a medida soluciona um problema histórico e complementa um sistema fragmentado, cheio de regras específicas para certos segmentos. As regras aplicam-se ao tratamento de dados pessoais em meios analógicos ou digitais.

A legislação brasileira foi inspirada na GDPR (General Data Protection Regulation), da União Europeia, que entrou em vigor há poucos meses. “Principalmente no que se refere às autorizações para tratamento e à aplicação extraterritorial da lei”, afirma Isabela Moreira Vilhalba, sócia do Saiani & Saglietti Advogados.

Após sanção presidencial, a lei entrará em vigor após 18 meses, período para a adaptação das empresas às novas regras. “Não obstante o prazo relativamente longo para implementação, o processo de implementação das medidas deverá ser iniciado com antecedência para evitar desgastes, bem como para fornecer às empresas uma vantagem competitiva”, diz a especialista em direito digital e novas tecnologias.

Regras abrangem todo o processo, desde a coleta até o armazenamento
O projeto aprovado define como dados pessoais qualquer informação relacionada à pessoa natural identificada ou identificável. Já o tratamento abrange toda a operação realizada desde a coleta, produção, uso, transmissão, armazenamento e até o descarte. Os dados definidos como sensíveis são aqueles relacionados à origem étnica ou racial, convicções políticas ou religiosas, saúde e vida sexual, além de dados biométricos. “Neste caso, a proteção é ainda mais rigorosa em razão de sua natureza”, explica Isabela Moreira Vilhalba, sócia do Saiani & Saglietti Advogados.

Há várias formas de autorização para o tratamento dessas informações, nas quais destaca-se consentimento livre e informado pelo titular. Em determinados casos, a liberação pode resultar de uma obrigação legal ou regulatória, execução de políticas públicas, proteção da vida ou integridade do titular dos dados ou de terceiros, exercício de direitos em processo e interesse legítimo do controlador dos dados ou por terceiro, entre outros.

O projeto ainda estabelece regras para a minimização de dados, ou seja, as empresas só poderão coletar e tratar dados pessoais se eles forem necessários para uma determinada finalidade. Atingido o objetivo, ou se as informações não forem mais necessárias naquele caso, o processo será encerrado. Os titulares dos dados poderão ainda obter informações sobre o tratamento, solicitar acesso à base de dados, além requerer sua correção ou exclusão, como está previsto na legislação. Eles também poderão a qualquer momento e de forma gratuita revogar seu consentimento.

A lei também prevê regras para a transferência internacional de dados pessoais, por exemplo, a obtenção de consentimento específico de acordo com as regras do país ou checar se a organização de destino garante proteção em grau adequado ou previsto no projeto.

Normas não se aplicam a todas as atividades
Empresas estrangeiras com filiais no Brasil ou que ofereçam serviços aqui e, que de qualquer forma tratem dados de pessoas físicas localizadas no território nacional, também deverão se adequar à legislação. A mesma não será aplicada ao tratamento de dados por pessoas físicas para fins pessoais, bem como para fins jornalísticos, artísticos e até certa extensão, acadêmicos, fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de crimes.

Criação de autarquia para fiscalizar recebe críticas
O ponto mais polêmico é a criação de uma Autoridade Nacional de Proteção de Dados, submetida a regime autárquico e vinculada ao Ministério da Justiça. A autarquia terá como principais funções zelar pela proteção de dados pessoais, fiscalizar e aplicar sanções em caso de descumprimento da legislação. Estão previstas penalidades, como multas que podem chegar a R$ 50 milhões por infração e a proibição do exercício de atividades.

A criação de uma autarquia proposta pelo Legislativo é criticada por membros do Executivo, que defendem o veto parcial do projeto por sua inconstitucionalidade. Já o relator do projeto na Câmara, deputado Orlando Silva (PC do B-SP) defende que, por se basear em projeto do Executivo, a criação da autarquia é constitucional. Foi realizada consulta pública pelo Ministério da Justiça que deu origem ao PLC 53/2018.

Controlador de dados terá várias obrigações a cumprir
O controlador de dados terá uma série de obrigações a cumprir, como explica a sócia do Saiani & Saglietti Advogados, Isabela Moreira Vilhalba. A primeira é notificar a Autoridade Nacional, em prazo razoável, de qualquer incidente de segurança, assim como os titulares e fazer a ampla divulgação para o público, dependendo de sua gravidade.

Ele deverá indicar um encarregado que será o canal de comunicação entre os titulares dos dados e o controlador, além de supervisionar e fiscalizar o cumprimento das regras de proteção de dados pessoais, equivalendo à figura de Data Protection Officer (DPO) prevista na lei europeia. Deverá ainda adotar padrões de segurança definidos pela autoridade competente, desde a concepção dos produtos e serviços até a sua efetiva execução.

Outra obrigação é referente ao registro de todas as atividades, incluindo o tipo de dado, o prazo e a fundamentação para o tratamento, bem como a elaboração de relatórios de impacto à proteção, além de medidas e mecanismos de mitigação.