• Home A PRIMEIRA LEI GERAL DE PROTEÇÃO DE DADOS É SANCIONADA NO BRASIL

Publicações

A PRIMEIRA LEI GERAL DE PROTEÇÃO DE DADOS É SANCIONADA NO BRASIL

17 / 08 / 2018

 

Prezados,

Foi publicado, no dia 15 de agosto de 2018, o texto oficial da lei geral brasileira de proteção de dados (Lei nº 13,709/2018).

Vale ressaltar que o Presidente vetou a criação da Autoridade Nacional de Proteção de Dados em virtude de vícios legais para sua criação pelo poder legislativo. De toda forma, o Presidente afirmou que a autoridade será devidamente criada pelos meios devidos oportunamente.

Ademais, o Presidente também vetou três artigos do projeto de lei relacionados ao tratamento de dados pessoais por autoridades públicas e à especificidades na transferência de dados pessoais entre autoridades públicas e entidades privadas.

Por fim, os últimos vetos são relacionados a possíveis sanções administrativas sugeridas pelo projeto de lei, que previam a (i) suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração; (ii) suspensão do exercício da atividade de tratamento dos dados pessoais; ou (iii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Desta forma, seguem abaixo os principais pontos de atenção da lei, devidamente atualizada em observância da redação final da lei promulgada.

  • Aplicação: A lei deverá ser aplicada a qualquer operação de tratamento de dados que (i) seja realizada no Brasil; (ii) tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (iii) seja realizada com dados pessoais que tenham sido coletados no território nacional.

 

  • Exceções: A lei não se aplicará ao tratamento de dados pessoais (i) realizado por pessoa natural para fins particulares e não econômicos; (ii) realizado para fins jornalísticos ou artísticos ou acadêmicos; (iii) realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (que será objeto de lei específica); ou (iv) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei brasileira.

 

  • Definições de Dados: Considera-se “dado pessoal” qualquer informação relacionada à pessoa natural identificada ou identificável (denominada“titular”), sendo considerado “dado pessoal sensível” qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

  • Tratamento de Dados: Considera-se “tratamento” toda a operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

  • Agentes do Tratamento: São considerados como agentes o “controlador”, a pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais, e o “operador” a pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

 

  • Princípios: Importantes princípios deverão ser observados na atividade do tratamento, tais como (i) finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; (ii) adequação: compatibilidade do tratamento com as finalidades informadas ao titular; (iii) necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização das finalidades; (iv) livre acesso: garantia ao titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados; (v) qualidade dos dados: garantia da exatidão, clareza, relevância e atualização dos dados; (vi) transparência: garantia de informações claras e facilmente acessível aos titulares; (vii) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e uso indevido; (viii) prevenção: devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (ix) não discriminação: impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos; (x) responsabilização e prestação de contas: demonstração de medidas eficazes para observar e comprovar o cumprimento das normas de proteção de dados pessoais.

 

  • Requisitos para o Tratamento: O tratamento somente poderá ser realizado (i) mediante consentimento; (ii) para cumprimento de obrigação legal ou regulatória pelo controlador; (iii) pela administração publica, para tratamento de dados necessários a políticas públicas; (iv) para realização de estudos por órgão de pesquisa, sendo garantida a anonimização dos dados; (v) quando necessário para a execução de contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) para a proteção da vida ou incolumidade física do titular ou terceiros; (viii) para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (ix) interesses legítimos do controlador ou de terceiro; (x) proteção do crédito.

 

  • Consentimento: O consentimento deverá ser fornecido por escrito (neste caso, de maneira destacada das demais cláusulas) ou por outro meio que demonstre a manifestação de vontade do titular, cabendo ao controlador o ônus da prova de que foi obtido na forma da lei. Será considerada nula a autorização genérica para o tratamento de dados e vedado o tratamento nos casos de vício de consentimento.

 

  • Revogação do Consentimento: O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular em meio gratuito e facilitado, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento da sua revogação.

 

  • Acesso aos Dados: O titular terá direito ao acesso facilitado a informações sobre tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e ostensiva, principalmente mencionado a finalidade do tratamento, a forma e duração do tratamento, identificação do controlador e seu contato, informação sobre o uso compartilhado de dados e sua finalidade, responsabilidades dos agentes de tratamento, além da menção explícita aos direitos do titular mencionados no artigo 18 da Lei (a seguir).

 

  • Direitos do Titular (art. 18): São direitos do titular a obtenção das seguintes informações: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção dos dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos; (v) portabilidade dos dados; (vi) eliminação dos dados pessoais tratados com consentimento; (vii) informação das entidades publicas e privadas com os quais o controlador realizou o controlador realizou o uso compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa; e (ix) revogação do consentimento.

 

  • Tratamento de Dados Sensíveis: O tratamento somente pode ocorrer quando o titular ou seu responsável legal consentir de forma específica e destacada, para finalidades específicas ou, sem oconsentimento do titular, nos casos de cumprimento de obrigação legal ou regulatória pelo controlador, necessidade de execução de políticas públicas pela administração pública previstas em leis; estudos por órgão de pesquisa, com anonimização dos dados pessoais sensíveis; exercício regular de direitos; proteção da vida ou da incolumidade física do titular; tutela da saúde garantia de prevenção à fraude e à segurança do titular.

 

  • Dados Anonimizados: São dados relativos a um titular que não possa ser identificado e não serão considerados como dados pessoais, salvo quando puder ser revertido e identificado o titular.

 

  • Crianças e Adolescentes: O tratamento de dados de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, salvo quando necessário para contatar os pais ou responsável legal.

 

  • Término do Tratamento: O tratamento deverá terminar quando alcançada a finalidade ou se os dados deixarem de ser necessários ou pertinentes; fim do período de tratamento; mediante comunicação do titular; ou determinação da autoridade nacional (quando criada). Os dados devem ser eliminados após o término do tratamento, salvo exceções específicas.

 

  • Tratamento dos Dados pelo Poder Público: O tratamento deverá ser realizado para atendimento da sua finalidade pública e com o objetivo de cumprir as atribuições legais do serviço publico, observadas determinadas condições estabelecidas em lei.

 

  • Transferência Internacional de Dados: A transferência de dados pessoais para outras jurisdições será permitida apenas nas hipóteses previstas em lei, tais como, (i) a partir do consentimento especifico do titular; (ii) para atender obrigação legal ou regulatória, quando necessário para execução de contratos ou para exercício regular do direito em processo judicial, administrativo ou arbitral; (iii) para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado, conforme previsto em lei ou determinado por órgão competente; (iv) quando o controlador dos dados oferecer e comprovar garantias de cumprimento dos princípios, direitos do titular e do regime de proteção de dados previstos na lei brasileira; (v) para proteção a vida ou da incolumidade física do titular ou de terceiro; dentre outras hipóteses.

 

  • Registro de Operações de Tratamento de Dados Pessoais: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, principalmente quando o tratamento for baseado em seu legítimo interesse.

 

  • Relatório de Impacto à Proteção de Dados Pessoais: Em relação a operações de tratamento de dados, poderá ser requerido pelo órgão competente, quando criado, a elaboração de um “Relatório de Impacto à Proteção de Dados Pessoais”, o qual deverá ser informado os tipos de dados coletados, a metodologia utilizada na coleta e na garantia de sua segurança, bem como análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.

 

  • Encarregado pelo Tratamento: O Encarregado pelo tratamento de dados será responsável em aceitar reclamações e comunicações de titulares e órgãos competentes, orientar funcionários sobre as boas práticas, dentre outras atribuições. O Encarregado deve ser indicado pelo controlador e ter sua identidade e informações de contato divulgadas de forma clara e objetiva.

 

  • Responsabilidade Solidária: Salvo em casos excepcionais indicados na lei, é determinada a responsabilidade solidária do operador de dados, equiparando-se ao controlador, quando do dano patrimonial, moral, individual ou coletivo causado pelo tratamento de dados.

 

  • Medidas de Segurança: É obrigatória a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Padrões técnicos mínimos podem ser dispostos pelo órgão competente oportunamente, considerando as especificidades dos dados pessoais e do tratamento.

 

  • Comunicação em Casos de Incidentes de Segurança: O controlador fica obrigado a comunicar o órgão competente (quando criado) e os titulares quando da ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais.

 

  • Sanções Administrativas: Infrações às normas da lei poderão sujeitar os Agentes do Tratamento a sanções administrativas aplicáveis pelo órgão competente, após procedimento administrativo que possibilite a ampla defesa, tais como advertência, publicização da infração, multa simples ou diária, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Diante do prazo de 18 meses de vacatio legis, a Lei Geral de Proteção de Dados brasileira terá eficácia plena dentro de 18 meses, ou seja, em fevereiro de 2020.

 

Em caso de dúvidas sobre o assunto acima, por favor, não hesitem em nos contatar.

PRINCIPAIS CONTATOS

Paula Mena Barreto
Sócia
T: +55 21 3262-3028
E: paula.menabarreto@cmalaw.com

Manoela Esteves
Associada
T:  +55 21 3262 3042
E:  manoela.esteves@cmalaw.com