O Senado Federal aprovou, no dia 10 de julho, o Projeto de Lei Geral de Proteção de Dados Pessoais (PLC 53/2018), que estabelece novas regras para a utilização de dados pessoais por indivíduos, entidades privadas e Poder Público no Brasil. Seguindo o parecer apresentado pelo senador Ricardo Ferraço (PSDB-ES), o PL foi aprovado integralmente pelo Plenário, contando apenas com emendas em sua redação original.
O texto reproduz pontos centrais da General Data Protection Regulation (GDPR), regulamentação europeia que entrou em vigor no dia 25 de maio de 2018, e que impõe uma série de obrigações às organizações que tratam dados pessoais de sujeitos dos Estados-membros da União Europeia, localizadas ou não em seus territórios.
O projeto de Lei Geral de Proteção de Dados (LGPD) também se assemelha à GDPR em relação aos direitos assegurados aos titulares dos dados, dentre eles: a facilidade para acessar informações pessoais detidas pelas organizações e a necessidade do consentimento claro, livre, inequívoco e com fim específico para a captação de dados por parte das organizações. A LGPD diferencia dados pessoais de dados sensíveis, estes últimos definidos como informações de origem racial ou étnica, convicções religiosas, opiniões políticas, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, entre outros.
Na proposta de regulamentação brasileira, a definição sobre o que é considerada uma atividade de tratamento de dados é extensa, compreendendo desde o simples acesso aos dados de funcionários, fornecedores e clientes, por exemplo, até o armazenamento, transferência, classificação, eliminação, e uma série de outras operações que envolvem a manipulação desses dados pessoais. Nesse sentido, caso seja aprovada pela presidência, a legislação impactará organizações de vários setores, que atuam dentro e fora do ambiente digital, bem como diferentes áreas internas a elas, como os setores de Marketing, RH e TI.
A LGPD prevê, ainda, a criação de uma Autoridade Nacional de Proteção de Dados (ANPD), uma autarquia vinculada ao Ministério da Justiça, responsável por regulamentar, fiscalizar e aplicar sanções envolvendo a nova legislação.
Algumas das medidas mais importantes a serem adotadas pelas organizações incluem a nomeação de um Data Protection Officer (DPO), ou seja, um encarregado pelo tratamento de dados pessoais perante à ANPD. Caberá a essa autarquia o papel de detalhar ou isentar determinados controladores de dados acerca de suas obrigações, a fim de evitar quaisquer incidentes, como o vazamento de dados. O DPO também será o responsável por notificar à ANPD qualquer situação em que os titulares de dados tenham seus direitos violados, assim como por apresentar Relatórios de Impactos de Privacidade.
Além disso, as organizações ficam obrigadas a adotar medidas de proteção de dados, a partir do desenvolvimento de novos produtos ou tecnologias, o que é conhecido como privacy by design.
A transferência internacional de dados somente é permitida nas hipóteses previstas na LGPD, incluindo, a transferência para países com grau de proteção adequado (a ser definido pela autarquia) ou por meio da utilização de cláusulas contratuais padrão, normas corporativas globais, selos e certificados e códigos de condutas aprovados pela ANPD, entre outras hipóteses.
O não cumprimento do previsto pela LGDP acarreta em sanções administrativas, desde simples advertência, podendo chegar a uma multa de até dois por cento do faturamento da organização no seu último exercício, excluídos os tributos, e não excedendo o valor de cinquenta milhões de reais por infração.
O projeto de lei segue agora para a presidência, que deverá sancioná-lo em até 15 dias úteis.
Nossa área de Propriedade Intelectual & Tecnologia da Informação está à disposição para sanar quaisquer dúvidas a respeito do tema.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.