É hora de darmos boas-vindas à Lei de Proteção de Dados no Brasil
A Lei de Proteção de Dados no Brasil (Lei 13.709/18) foi aprovada dia 14/08/2018 pelo presidente Temer e até 2020 as empresas que tratam quaisquer dados pessoais (obtidos por meio eletrônico, informático, papel, imagem, som e etc) terão que adequar-se.
A LGPD assemelhasse a GDPR e tem como premissa disciplinar a proteção dos dados pessoais, objetivando proteger direitos fundamentais como liberdade e privacidade, sempre primando pela transparência.
A nova Lei foi aprovada com alguns vetos e, dentre os trechos vetados, está a criação da Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar o uso das normas e aplicar as sanções, em caso de descumprimento. Para este caso especifico, o veto se deu pelo chamado “vício de iniciativa” e, portanto, o texto será enviado ao congresso nacional e desta vez será proposto pelo Executivo.
Apesar de ter sido mantido o texto atinente às multas para as empresas que descumprirem com as regras interpostas na lei (as sanções, POR INFRAÇÃO, variam de advertência a multa simples ou diária, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, ao valor de R$ 50 milhões de reais), o presidente Temer vetou algumas outras punições para as empresas como a suspensão parcial ou total do funcionamento do banco de dados e a suspensão do exercício da atividade de tratamento de dados por até 12 meses, além da proibição parcial ou total das empresas relacionadas ao tratamento de dados.
No mais, dentre as hipóteses para a coleta e tratamento de dados, a nova legislação prevê que só poderá ser feita:
- Com consentimento do Titular e/ou a partir do consentimento do responsável legal, em caso de dados de crianças
- Em situações que envolvam o cumprimento de obrigação legal ou regulatória pelo responsável
- Pela Administração Pública, para o tratamento e uso compartilhado de dados necessários a execução de políticas públicas
- Para a realização de estudos por órgãos de pesquisa, garantindo a anonimização dos dados pessoais
- Para execução de contrato ou procedimentos preliminares atinentes a um contrato
- Para exercício regular de direito em processos judiciais, administrativos ou arbitrais
- Para proteção da vida ou integridade física do titular ou terceiro
- Para a tutela da saúde, com procedimentos realizados por profissionais da área da saúde ou por entidades sanitárias
- Para a proteção de crédito conforme previsto no código de defesa do consumidor, entre outros.
Ademais, as empresas deverão ter uma política de segurança de dados bem definida e, conforme prevê o artigo 46, o responsável pela gestão deve adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Além disso, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (artigo 48).
Como as empresas terão o prazo de 18 meses para adaptarem-se, é melhor começarem a unir o time e mãos à obra! Afinal, assegurar-se, no sentido mais amplo, é a palavra de ordem!