Na última terça-feira (14/08/2018) o Presidente Michel Temer sancionou, com vetos, a Lei Geral de Proteção de Dados (LGPD) de nº 13.709/2018, publicada em 15/08/2018.
Inspirada no modelo europeu trazido pelo General Data Privacy Protection Regulation (GDPR), a nova lei traz inovações e garantias sobre o tema de coleta, armazenamento e tratamento de dados no Brasil.
As novas regras trazem profundas mudanças, como a necessidade de consentimento expresso e específico para coleta de dados pessoais, voltada à finalidade específica. Apesar de apresentar algumas exceções, infere-se que o titular dos dados terá muito mais poder sobre estas informações, visto que passará a ter direitos de confirmação de sua existência, anonimização, portabilidade, eliminação de dados, entre outros. O consentimento do titular poderá ser dispensado em algumas hipóteses, tais como, quando necessário para a execução de contrato ou procedimentos preliminares relacionados a contrato que envolva o titular, para o cumprimento de obrigação legal ou regulatória, para o exercício de direitos em processos judicial, administrativo ou arbitral, ou quando houver “interesse legítimo” da parte que trata os dados.
Nota-se também a definição legal de “dados sensíveis”, como aqueles com fatores identificadores do indivíduo como informações étnicas e religiosas, opinião política, saúde, dados genéticos, com potencial de individualização de seu titular, além do tratamento específico de dados de crianças e adolescentes.
A transferência internacional dos dados passou a ser autorizada mediante hipóteses específicas, como países ou organismos internacionais receptores que apresentem grau de proteção semelhante ao da lei, quando o controlador oferecer garantias de proteção cooperação jurídica internacional ou mediante consentimento específico do titular.
As empresas que exercerem atividades regulamentadas pelo LGPD precisarão realizar adaptações internas para atendimento de requisitos legais, como a adoção de padrões de segurança e comunicação à autoridade nacional (ainda não criada) em casos de vazamento de dados. Essas empresas tem sua responsabilização de natureza objetiva prevista na lei, além do texto legal recomendar a elaboração de regras específicas de boas práticas de governança para tratamento de dados.
Com o fim de dar efetividade às recomendações legais, está prevista na lei a aplicação de multas que vão de 2% do faturamento da pessoa jurídica, grupo ou conglomerado até R$ 50 milhões, por infração. Por esta razão, é indispensável que cada empresa entenda o âmbito de aplicação do LGPD às suas atividades e quais mudanças precisam ser implementadas.
Finalmente, quanto aos vetos presidenciais, destaca-se o realizado sobre a criação da Autoridade Nacional de Proteção de Dados (ANDP), fundado em “vício de iniciativa”.
Empresas de e-commerce, saúde, serviços financeiros, tecnológicos, marketing e do ramo de varejo certamente precisarão rever seus processos internos e políticas até agora adotadas, diante da relevância dos dados pessoais para suas respectivas atividades.
Recomendável também que, além de uma análise detalhada das atividades da empresa em que há tratamentos de dados pessoais, de modo à identificar quais espécies de informações são coletadas e para quais finalidades, sejam implementadas alterações nas minutas dos contratos vigentes para que possam refletir as obrigações decorrentes da LGPD.
