ASSINE
search button

O que muda com a sanção da Lei Geral de Proteção de Dados

Compartilhar

Em 14 de agosto, foi sancionada pelo presidente Michel Temer, com vetos parciais, a Lei Geral de Proteção de Dados (Lei 13.709 de 2018). O veto presidencial excluiu as sanções administrativas de suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O veto de maior destaque foi a exclusão das disposições relativas à criação da Autoridade Nacional de Proteção de Dados (ANPD), bem como do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

A redação da LGPD aprovada pelo Senado previa a criação da ANPD como autarquia vinculada ao Ministério da Justiça. A razão para o veto à ANPD foi o alegado vício de iniciativa para sua criação, por ser resultante de ato do Poder Legislativo.

Não obstante as discussões que devem acontecer nos próximos meses, sobre o regime de atuação da entidade fiscalizadora da LGPD e suas atribuições, já foi iniciado o prazo para que as empresas entrem em conformidade com a nova lei, de 18 meses para a regularização de suas atividades.

A principal consequência é a exigência de maior transparência em relação ao tratamento de dados, devendo as empresas estarem preparadas para fornecer aos titulares informações sobre o tratamento realizado, permitir acesso aos dados e efetuar correções apontadas pelos titulares, bem como excluir tais dados nos casos previstos por lei, inclusive em casos de revogação do consentimento. Adicionalmente, os titulares passam a ter direito à portabilidade dos dados de um fornecedor para o outro.

As empresas deverão respeitar as hipóteses legais para o tratamento de dados pessoais, dos quais destaca-se a obtenção de consentimento, livre, informado e inequívoco do titular dos dados. O tratamento em razão de interesse do controlador não poderá prevalecer sobre os direitos e liberdades fundamentais do titular.

A partir da entrada em vigor da lei, as empresas devem tratar somente o mínimo de dados necessários para a realização de suas finalidades, devendo eliminar tais dados após a finalidade para os quais foram coletados ter sido concluída. O tratamento dos dados pessoais de crianças passa a exigir o consentimento específico e em destaque de ao menos um dos pais ou responsável legal.

As empresas deverão registrar todas as atividades de tratamento realizadas. Também será necessário elaborar relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares.

As empresas deverão ainda indicar um oficial de proteção de dados, definido na LGPD como “encarregado”, cuja função será de servir como canal de comunicação entre os titulares dos dados e a empresa.

A transferência internacional de dados pessoais também foi regulamentada, sendo permitida somente em casos específicos.

Deverão ser adotados padrões de segurança no processo de tratamento dos dados, bem como práticas de proteção de dados pessoais. Incidentes de segurança terão que ser notificados à autoridade a ser criada, e aos titulares e público.

Vale destacar que a Lei prevê sanções administrativas às empresas que descumprirem as disposições da LGPD, dentre as quais multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.

* Especialista em Propriedade Intelectual