Newsletter PI e Proteção de Dados | Setembro 2020.2
LEI GERAL DE PROTEÇÃO DE DADOS ENTRA EM VIGOR NO BRASIL
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou “LGPD”) entrou em vigor no último dia 18 de setembro de 2020, após o Presidente da República, Jair Bolsonaro, sancionar a Medida Provisória 959/2020, que foi convertida na Lei nº 14.058/2020.
Dessa forma, o Presidente manteve o veto ao artigo que versava sobre a prorrogação da vigência da LGPD, fazendo com que sua entrada em vigor ocorresse imediatamente, salvo pelos artigos referentes à Autoridade Nacional – os quais já estavam vigentes – e pelas específicas sanções previstas pela lei – que foram prorrogadas anteriormente para agosto de 2021, quando passarão, então, a ter validade.
Apesar disso, autoridade públicas (como órgãos de defesa do consumidor e Ministério Público) já fiscalizam as questões de proteção de dados e podem aplicar sanções previstas em outras normas, como as do Direito do Consumidor.
Assim, seguem abaixo os principais pontos de atenção da lei, devidamente atualizada de acordo com redação final agora em vigor.
• Aplicação: A lei deverá ser aplicada a qualquer operação de tratamento de dados que (i) seja realizada no Brasil; (ii) tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (iii) seja realizada com dados pessoais que tenham sido coletados no território nacional.
• Exceções: A lei não se aplicará ao tratamento de dados pessoais (i) realizado por pessoa natural para fins particulares e não econômicos; (ii) realizado para fins jornalísticos ou artísticos ou acadêmicos; (iii) realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (que será objeto de lei específica); ou (iv) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei brasileira.
• Definições de Dados: Considera-se “dado pessoal” qualquer informação relacionada à pessoa natural identificada ou identificável (denominada “titular”), sendo considerado “dado pessoal sensível” qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• Tratamento de Dados: Considera-se “tratamento” toda a operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• Agentes do Tratamento: São considerados como agentes o “controlador”, a pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais, e o “operador”, a pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
• Autoridade Nacional de Proteção de Dados: a Autoridade Nacional de Proteção de Dados (“ANPD”) é um órgão da administração pública federal, integrante da Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território brasileiro, além de sede e foro no Distrito Federal. A ANPD será composta por um Conselho Diretor (órgão máximo de decisão), um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo), por órgãos de assistência direta e imediata ao Conselho Diretor, por órgãos seccionais e por órgãos específicos singulares. Dentre suas competências, será responsável por (i) zelar pela proteção de dados pessoais; (ii) elaborar as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (iii) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à LGPD; (iv) editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, dentre outras atribuições. Apesar de sua estrutura ter sido criada pelo Decreto nº 10.474/2020 em agosto deste ano, tal decreto entrará em vigor apenas na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União, o que ainda está pendente.
• Princípios: Importantes princípios deverão ser observados na atividade do tratamento, tais como (i) finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; (ii) adequação: compatibilidade do tratamento com as finalidades informadas ao titular; (iii) necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização das finalidades; (iv) livre acesso: garantia ao titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados; (v) qualidade dos dados: garantia da exatidão, clareza, relevância e atualização dos dados; (vi) transparência: garantia de informações claras, precisas e facilmente acessível aos titulares; (vii) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e uso indevido; (viii) prevenção: devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (ix) não discriminação: impossibilidade de tratamento para fins discriminatórios, ilícitos ou abusivos; (x) responsabilização e prestação de contas: demonstração de medidas eficazes para observar e comprovar o cumprimento das normas de proteção de dados pessoais.
• Requisitos para o Tratamento: O tratamento somente poderá ser realizado (i) mediante consentimento; (ii) para cumprimento de obrigação legal ou regulatória pelo controlador; (iii) pela administração pública, para tratamento e uso compartilhado de dados necessários a políticas públicas; (iv) para realização de estudos por órgão de pesquisa, sendo garantida a anonimização dos dados sempre que possível; (v) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) para a proteção da vida ou incolumidade física do titular ou terceiros; (viii) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (ix) interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; (x) proteção do crédito.
• Consentimento: O consentimento deverá ser fornecido por escrito (neste caso, de maneira destacada das demais cláusulas) ou por outro meio que demonstre a manifestação de vontade do titular, cabendo ao controlador o ônus da prova de que foi obtido na forma da lei. Será considerada nula a autorização genérica para o tratamento de dados e vedado o tratamento nos casos de vício de consentimento.
• Revogação do Consentimento: O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular em meio gratuito e facilitado, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento da sua revogação.
• Acesso aos Dados: O titular terá direito ao acesso facilitado a informações sobre tratamento de seus dados, que deverão ser disponibilizados de forma clara, adequada e ostensiva, principalmente mencionando a finalidade do tratamento, a forma e duração do tratamento, identificação do controlador e seu contato, informação sobre o uso compartilhado de dados e sua finalidade, responsabilidades dos agentes de tratamento, além da menção explícita aos direitos do titular mencionados no artigo 18 da Lei (a seguir).
• Direitos do Titular (art. 18): São direitos do titular a obtenção das seguintes informações: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção dos dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; (v) portabilidade dos dados, cujo exercício será definido por regulamentação específica da ANPD; (vi) eliminação dos dados pessoais tratados com consentimento; (vii) informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa; e (ix) revogação do consentimento. Além disso, o titular dos dados também tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional (quando em operação), opor-se ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, caso haja descumprimento da LGPD, e de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado.
• Tratamento de Dados Sensíveis: O tratamento somente pode ocorrer quando o titular ou seu responsável legal consentir de forma específica e destacada, para finalidades específicas ou, sem o consentimento do titular, nos casos de cumprimento de obrigação legal ou regulatória pelo controlador, necessidade de execução de políticas públicas pela administração pública previstas em leis; estudos por órgão de pesquisa, com anonimização dos dados pessoais sensíveis sempre que possível; exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; proteção da vida ou da incolumidade física do titular ou de terceiros; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou garantia de prevenção à fraude e à segurança do titular.
• Dados Anonimizados: São dados relativos a um titular que não possa ser identificado e não serão considerados como dados pessoais, salvo quando puder ser revertido e identificado o titular.
• Crianças e Adolescentes: O tratamento de dados de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, salvo quando necessário para contatar os pais ou responsável legal ou para sua proteção.
• Término do Tratamento: O tratamento deverá terminar quando alcançada a finalidade ou se os dados deixarem de ser necessários ou pertinentes; fim do período de tratamento; mediante comunicação do titular; ou determinação da autoridade nacional (quando em operação), quando houver violação ao disposto na Lei. Os dados devem ser eliminados após o término do tratamento, salvo exceções específicas.
• Tratamento dos Dados pelo Poder Público: O tratamento deverá ser realizado para atendimento da sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, observadas determinadas condições estabelecidas em lei.
• Transferência Internacional de Dados: A transferência de dados pessoais para outras jurisdições será permitida apenas nas hipóteses previstas em lei, tais como, (i) a partir do consentimento específico e em destaque do titular para a transferência; (ii) para atender obrigação legal ou regulatória, quando necessário para execução de contratos ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, ou para exercício regular do direito em processo judicial, administrativo ou arbitral; (iii) para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado, conforme previsto em lei ou determinado pela autoridade nacional; (iv) quando o controlador dos dados oferecer e comprovar garantias de cumprimento dos princípios, direitos do titular e do regime de proteção de dados previstos na lei brasileira; (v) para proteção da vida ou da incolumidade física do titular ou de terceiro; dentre outras hipóteses.
• Registro de Operações de Tratamento de Dados Pessoais: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, principalmente quando o tratamento for baseado em seu legítimo interesse.
• Relatório de Impacto à Proteção de Dados Pessoais: Em relação às operações de tratamento de dados, poderá ser requerida pela autoridade nacional (quando em operação) a elaboração de um “Relatório de Impacto à Proteção de Dados Pessoais”, que deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, bem como análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.
• Encarregado pelo Tratamento (Data Protection Officer): O Encarregado pelo tratamento de dados será responsável por aceitar reclamações e comunicações dos titulares e da autoridade nacional, prestar esclarecimentos e adotar providências necessárias, orientar funcionários e contratados da entidade sobre as boas práticas, dentre outras atribuições. O Encarregado deve ser indicado pelo controlador e ter sua identidade e informações de contato divulgadas de forma clara e objetiva. Aliado a isso, a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive determinar quando sua indicação será dispensada, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
• Responsabilidade Solidária: Salvo em casos excepcionais indicados na lei, é determinada a responsabilidade solidária do operador de dados, equiparando-se ao controlador, quando do dano patrimonial, moral, individual ou coletivo causado pelo tratamento de dados.
• Medidas de Segurança: É obrigatória a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Padrões técnicos mínimos podem ser dispostos pela ANPD oportunamente, considerando as especificidades dos dados pessoais e do tratamento.
• Comunicação em Casos de Incidentes de Segurança: O controlador fica obrigado a comunicar à autoridade nacional (quando em operação) e aos titulares quando da ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares de dados pessoais.
• Sanções Administrativas: Infrações às normas da lei poderão sujeitar os Agentes do Tratamento a sanções administrativas aplicáveis pela ANPD, após procedimento administrativo que possibilite a ampla defesa, tais como advertência; publicização da infração; multa simples ou diária, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; bloqueio e eliminação dos dados pessoais referentes à infração; suspensão parcial do funcionamento do banco de dados por até 6 meses; suspensão do exercício da atividade de tratamento de dados por até 6 meses; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Em caso de dúvidas sobre o assunto acima, por favor, não hesitem em nos contatar.
PRINCIPAIS CONTATOS:
Paula Mena Barreto
Sócia
T: +55 21 3262-3028
E: paula.menabarreto@cmalaw.com
Manoela Esteves
Associada
T: +55 21 3262 3042
E: manoela.esteves@cmalaw.com
Thaissa Lencastre
Associada
T: +55 21 2217-2041
E: thaissa.lencastre@cmalaw.com
Ana Luisa Bastos
Associada
T: +55 21 2217-2049
E: ana.bastos@cmalaw.com
Comentários