Senado aprova Lei Geral de Dados Pessoais e envia para sanção presidencial

O Plenário do Senado aprovou na tarde desta terça-feira, 10 de julho, a Lei Geral de Proteção de Dados pessoais. O texto segue agora para sanção presidencial. Agora, a torcida de muitos representantes do setor empresarial e da sociedade civil é para que Temer sancione o texto sem vetos.

Na semana passada, o projeto foi aprovado na Comissão de Assuntos Econômicos (CAE) e seguiu para análise do Plenário em regime de urgência. A CAE manteve o texto já aprovado pela Câmara.

O texto proíbe o compartilhamento de dados sem o consentimento do seu titular. E  relaciona entre os dados pessoais  informações como nome, endereço, e-mail, idade, estado civil e situação patrimonial, entre outros.

Trocando em miúdos, para coletar e tratar um dado pessoal, uma empresa ou ente precisa solicitar a autorização do dono do dado, que deve ser livre e informada. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Além disso, caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento.

A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar. Isso porque o texto da lei prevê  uma série de direitos ao titular. Entre eles: solicitar acesso às informações que uma empresa tem dele (incluindo a finalidade, a forma e a duração do tratamento),  saber se houve uso compartilhado com algum outro ente e com qual finalidade, e também requisitar a correção de um dado incompleto, a eliminação de registros que julgar desnecessários ou excessivos e a portabilidade para outro provedor de serviço.

A lei cria ainda uma categoria especial, denominada dados "sensíveis", que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa.

Em linhas gerais, a Lei impedirá, entre outras coisas, que dados como nome, telefone, endereço e CPF sejam usados como moeda de troca entre empresas e organizações sem que o "dono" saiba.

Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).

A transferência internacional de dados está prevista, desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.

Um ponto importante da lei é o que trata do vazamento de dados. As empresas são responsáveis pela segurança dos dados em suas bases ou nas de seus fornecedores e devem comunicar vazamentos assim que forem detectados, sob pena de multa.

Entre os pontos de destaque está também a criação da Autoridade Nacional de Proteção de Dados, um órgão federal que vai funcionar como uma agência reguladora, para fiscalizar.  Quem infringir a nova lei fica sujeito a advertência, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções. A multa é de 2% do faturamento, limitada a R$ 50 milhões por infração.

A lei prevê ainda a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 representantes titulares de diversos órgãos do governo e da sociedade civil e que será responsável pela disseminação do conhecimento sobre o tema, por meio de estudos, debate ou outras ações pertinentes.

Essas novas regras só passarão a vigorar depois de um ano e meio da publicação da lei, após sanção presidencial, para que órgãos, empresas e entidades se adaptem.

A tramitação da lei no Congresso teve apoio de diversas entidades, como a Associação Brasileira de Emissoras de Rádio e TV (Abert), a Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Brasscom) e a Coalizão Direitos na Rede, que reúne entidades de defesa de direitos dos usuários de internet.

Até hoje, o Brasil não dispunha de uma norma de proteção de dados pessoais, apenas leis setoriais que disciplinam a questão parcialmente (Código de Defesa do Consumidor, da Lei do Habeas Data, Lei do Cadastro Positivo, Lei de Acesso à Informação e o Marco Civil da Internet).

Enquanto isso, 125 países no mundo já adotaram normas específicas de proteção e dados, o que revela a grande adesão global à questão, dos quais seis, na América do Sul: Chile, Argentina, Uruguai, Paraguai, Peru e Colômbia.

Passa da hora, portanto, de o Brasil aderir a esse seleto grupo.  Sem a lei, vultosas somas de investimento internacional são excluídas da rota brasileira, em razão da inadequação do nosso ordenamento jurídico em relação aos países desenvolvidos que já adotaram leis protetivas.

_____

A Agência Senado fez uma síntese da Lei Geral de Proteção de Dados (LGPD). Confira.

Estrutura
O texto da LGPD tem 65 artigos, distribuídos em 10 Capítulos. O texto foi inspirado fortemente em linhas específicas da regulação europeia que entrou em vigor no dia 25 de maio deste ano, o Regulamento Geral de Proteção de Dados (GDPR, em sua sigla em inglês)

Hipóteses para o tratamento de dados

* Com o consentimento do titular;

* Para o cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento;

* Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;

* Para a realização de estudos por órgão de pesquisa, sem a individualização da pessoa;

* Para a proteção da vida ou da incolumidade física do titular ou de terceiro;

* Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

* Para a execução de um contrato ou de procedimentos preliminares relacionados a um contrato do qual é parte o titular quando a seu pedido;

* Para pleitos em processos judicial, administrativo ou arbitral;

* Para a proteção do crédito, nos termos do Código de Defesa do Consumidor.

Abrangência
Quaisquer dados, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc).

Contratos de adesão
Nos casos de contratos de adesão, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço, o titular deverá ser informado com destaque sobre isso.

Dados sensíveis
O texto traz o conceito de dados sensíveis, que recebem tratamento diferenciado: sobre origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.

Autoridade Nacional de Proteção de Dados (ANPD)
O projeto prevê a criação de uma autarquia especial vinculada ao Ministério da Justiça com a missão de zelar pela proteção dos dados, fiscalizar e aplicar sanções, entre outras atribuições.

Vacatio legis
As novas regras só passarão a viger depois de um ano e meio da publicação da lei para que órgãos, empresas e entidades se adaptem.

Sanções administrativas
Quem infringir a nova lei fica sujeito a advertência, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções.

Responsabilidade civil
O responsável que, em razão do exercício de atividade de tratamento de dados, causar a dano patrimonial, moral, individual ou coletivo, é obrigado a reparar. O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.