Por Layon Lopes e Leonardo Schmitz*
A Lei de Proteção de Dados (Lei 13.709/18), sancionada no dia 14 de agosto deste ano pelo presidente Michel Temer, altera questões relativas ao tratamento de dados pessoais, até então previstas no Marco Civil da Internet (Lei 12.965/14). A nova legislação é nitidamente inspirada no General Data Protection Regulation (GDPR), que legisla sobre o tratamento de dados de cidadãos europeus, não só no velho continente, mas de forma global. A Lei brasileira aproveitou boa parte dos dispositivos trazidos no GDPR, para aumentar a proteção das informações pessoais fornecidas, inclusive nos meios digitais.
O Artigo 2º da Lei de Proteção de Dados fala sobre os fundamentos da legislação, entre eles o respeito à privacidade; à autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; e a inviolabilidade da intimidade, da honra e da imagem.
A Lei é aplicada aos casos de tratamento pessoal, feitos por Pessoa Natural ou por Pessoa Jurídica. Segundo o documento, não importa em qual país que estão localizados os dados, o país de sua sede ou o meio utilizado. Ele afirma, porém, que a Lei será aplicada desde que “a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e que os dados pessoais do objeto do tratamento tenham sido coletados no território nacional”.
Ou seja, a legislação sancionada diz respeito ao tratamento de dados realizados para fins econômicos, feito no Brasil. Não são aplicados a esta Lei, portanto, os tratamentos de dados pessoais realizados por Pessoa Natural para fins exclusivamente particulares, bem como os realizados para fins exclusivamente jornalísticos, artísticos ou acadêmicos.
É de extrema importância destacar que, na maioria dos casos, o sujeito titular dos dados deverá dar o consentimento para o tratamento das informações. Essa manifestação deverá ser feita por escrito ou qualquer outro meio que de fato comprove a vontade do titular. Além disso, o consentimento deverá ser feito para finalidades específicas e determinadas, não sendo consideradas as autorizações genéricas. É essencial que a autorização também possa ser retirada ou excluída de forma simples e acessível.
Considerando o princípio do livre acesso um dos pilares desta Lei, o titular deve ter abertas facilmente as informações sobre o tratamento de seus dados. Por isso, qualquer alteração em relação à finalidade específica, forma ou duração do tratamento, deve ser informada previamente ao titular, e deve ser concedida por ele.
A recém aprovada Lei 13.709/18 prevê novas categorias de dados, como os dados pessoais sensíveis, que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, entre outros pontos de caráter mais íntimo. Nestes casos, o consentimento deverá ser ainda mais destacado, tendo em vista a obrigação de maior proteção a estes dados.
Outra categoria que exige um cuidado maior em relação ao tratamento de dados é a de crianças e de adolescentes, pois será necessário que pelo menos um dos pais ou responsáveis legais dê o consentimento para isso.
É considerado que o tratamento de dados é encerrado quando a finalidade já foi alcançada ou os dados já não são mais necessários para chegar ao fim estabelecido. Também deve-se ressaltar a validade do período previsto, ou a comunicação do titular de que retirará seu consentimento. Nestas circunstâncias, via de regra, os dados deverão ser eliminados.
Uma das maiores inovações trazidas pela Lei diz respeito aos direitos do titular, que agora, a qualquer momento e mediante requisição, poderá confirmar a existência de tratamento; ter acesso aos dados; corrigir os dados incompletos, inexatos ou desatualizados; solicitar a anonimização ou até mesmo pedir o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei. O titular também poderá pedir a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador. Ele pode ainda requerer a eliminação dos dados pessoais tratados e saber com quais entidades públicas e privadas o controlador compartilhou os seus dados.
A resposta às solicitações realizadas pelo titular deve ser encaminhada de forma imediata quando estiver configurada em um formato simples. Porém, quando for completa, indicando a origem dos dados, os critérios utilizados, ou a finalidade do tratamento, por exemplo, ela pode ser encaminhada em até 15 dias. A resposta pode ser enviada impressa ou em formato digital, ficando a critério do titular.
A transferência internacional de dados só será permitida quando o país possuir um nível de proteção de dados pessoais similares ou superiores ao da Lei de Proteção de Dados, ou caso o controlador garanta que os princípios da mesma serão respeitados.
É imprescindível também que falemos sobre a figura do controlador, que deverá manter o registro das operações de tratamento de dados pessoais, junto com o operador. No caso, o segundo é subordinado do primeiro. O operador deverá realizar o tratamento de dados conforme as orientações do controlador. As informações do responsável pelo tratamento de dados precisam ser públicas. Ele deverá, entre outras coisas, prestar esclarecimentos e comunicações aos titulares, bem como orientar os funcionários ou contratados da entidade sobre as melhores medidas para protegerem os dados pessoais.
O controlador e o operador podem ser responsabilizados a reparar danos moral ou patrimonial causados ao titular dos dados, quando por ventura violarem essa Legislação. Assim, é de extrema relevância que eles adotem medidas de segurança que protejam os dados pessoais.
Caso ocorra risco ou dano para os titulares, a autoridade nacional competente deverá ser comunicada. Dependendo da gravidade do incidente, ela determinará providências ao controlador, como a divulgação do fato em meios de comunicação ou as medidas para reverter os efeitos do incidente.
É importante também que os controladores e operadores estabeleçam regras de boas práticas e governança, para deixar claras as medidas e procedimentos que serão adotadas no tratamento de dados e na sua proteção.
As sanções aplicáveis podem ser de representativos 2% do faturamento da empresa ou grupo de empresas, limitada a R$ 50 milhões por infração. Porém, as sanções não são somente pecuniárias. Poderá ser uma advertência, com indicação de prazo para adoção de medidas corretivas; bloqueio dos dados pessoais a que se refere a infração até a sua regularização ou eliminação dos dados pessoais a que se refere a infração, por exemplo.
A autoridade nacional competente fica responsável por estabelecer normas de adequação progressiva dos bancos de dados, para facilitar e orientar a adaptação às novas regras, que entraram em vigor em 14 de fevereiro de 2020.
Dúvidas Jurídicas sobre a sua Startup? Conheça nosso PLANO STARTUP com assessoria jurídica especializada em Startups e Empresas de Tecnologia, contando com advogados especialistas em Startups. Não deixe de acompanhar nossos vídeos no CANAL SL, nossa página no FACEBOOK e assinar nossa NEWSLETTER.
Foto: Divulgação.
*Lopes é o CEO do Silva | Lopes Advogados e Schmitz é integrante da equipe do escritório.