ANGARE E ANGHER – Advogados Associados - Advocacia com Foco em Indústrias
17/08/2018

É publicada a Lei Geral de Proteção de Dados Pessoais

Foi publicada no Diário Oficial da União de 15 de agosto de 2018 a Lei n.º 13.709/2018, que trata sobre a proteção de dados pessoais. A lei entrará em vigor 18 meses após a data da sua publicação.

Chamada de “Lei Geral de Proteção de Dados Pessoais” (ou apenas “LGPD” ou “Lei de Proteção de Dados Pessoais”), ela havia sido aprovada pelo Senado Federal em julho, e foi sancionada pelo Presidente Michel Temer no dia 14 de agosto, com alguns vetos – entre eles, o veto à criação da Autoridade Nacional de Proteção de Dados, agência que fiscalizaria o cumprimento da Lei de Proteção de Dados Pessoais, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O motivo do veto, segundo o Presidente, teria sido um vício formal, haja vista que a agência e o Conselho deveriam ser criadas pelo Poder Executivo, e não pelo Congresso Nacional. O Presidente não descartou a possibilidade de criar os mencionados órgãos no futuro.

A maioria dos demais dispositivos que constavam no projeto aprovado pelo Senado foram mantidos.

Com a entrada em vigor da LGPD, toda pessoa natural (também conhecida como pessoa física) e jurídica que realize operações de tratamento de dados pessoais, seja por meio físico ou digital, fica obrigada a obter prévio consentimento dos titulares. Importante esclarecer que a lei não protege dados de pessoas jurídicas, somente dados de pessoas naturais.

A expressão “tratamento de dados” se refere a qualquer operação na qual são usados dados pessoais, coletados por qualquer via, e que envolvam atividades de reprodução, transmissão, distribuição, modificação, processamento e arquivamento de dados, entre outras atividades.

A LGPD é aplicável tanto para pessoas com sede no Brasil, como também para as estabelecidas no exterior, desde que:

  • a operação de tratamento seja realizada no Brasil;
  • a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil;
  • os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Já a expressão “dados pessoais” se refere a qualquer informação relacionada à pessoa natural identificada ou identificável, como por exemplo: nome, endereço de residência, e-mail, número de cartão de identificação, dados de localização (pelo celular), endereço IP, testemunhos de conexão (cookies), dentre outros.

Outras obrigações das pessoas e entidades que realizam tratamento de dados são:

  • disponibilizar, de forma clara, adequada e ostensiva, informações sobre o uso que será feito dos dados, inclusive sobre a duração e finalidade do uso;
  • informar sobre os direitos do titular dos dados, tais como: o direito de acesso aos dados; e o direito ao requerimento de confirmação, correção, eliminação ou portabilidade dos dados;
  • destacar, no contrato, a cláusula em que o titular dos dados fornece seu consentimento, nos casos em que o consentimento for obtido por escrito;
  • eliminar os dados, depois de atingida a finalidade do tratamento deles – somente sendo autorizada a conservação dos dados nos casos excepcionais listados no art. 16 da LGPD;
  • adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito; entre outras obrigações.

A transferência internacional de dados também foi restringida a casos excepcionais, como os seguintes:

  • autorização concedida pela autoridade nacional competente;
  • consentimento específico do titular dos dados para a transferência internacional;
  • transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira; entre outras possibilidades.

A pessoa física ou jurídica que realize tratamento de dados e que não atender às normas previstas na LGPD fica sujeita a consequências administrativas, tais como:

  • advertência;
  • multa de até 2% do faturamento, em caso de pessoa jurídica de direito privado, até o limite de R$50 milhões por infração;
  • bloqueio e/ou eliminação dos dados pessoais tratados na infração; entre outras.

Como a criação da agência que se encarregaria de tais punições foi vetada, é de se esperar que seja criada ainda dentro do prazo de 18 meses para a entrada em vigor da LGPD.

Todavia, é recomendável que você ou sua empresa se adiantem em providenciar as mudanças necessárias à implantação das normas sobre proteção de dados.

Estamos à disposição para maiores esclarecimentos.

Dr Anne

Dra. Anne Joyce Angher, OAB/SP n° 155.945, é Especialista em Direito Processual Civil, Especialista em Direito Tributário e Direito Processual Tributário, Pós-graduada em Contratos Internacionais e Compliance. Atua nas áreas de Direito Civil, Intelectual, Empresarial, Societário e Direito do Comércio Internacional.

Compartilhe:


Voltar