O presidente Michel Temer sancionou nesta terça-feira (14) o projeto da Lei de Proteção de Dados Pessoais. A lei cria um marco legal para a proteção de informações pessoais dos brasileiros, como nome, endereço, idade, estado civil, e-mail e situação patrimonial. A norma visa garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital. O objetivo final é dar ao cidadão maior controle sobre o uso das suas informações pessoais.
A lei só entra em vigor em 2020 para dar tempo às entidades públicas e privadas se adaptarem às regras de uso de dados pessoais. Pelo texto, órgãos públicos e empresas privadas só poderão coletar e utilizar dados com o consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e exclusão dos dados.
A nova legislação estabelece a responsabilidade civil dos responsáveis pelo tratamento de dados, que ficam obrigados a ressarcir danos patrimoniais, morais, individuais e coletivos. A norma prevê multa diária de até 2% do faturamento da empresa infratora, limitada, no total, a R$ 50 milhões por infração.
ORIGEM
A nova lei é oriunda de um projeto (PL 4060/12) apresentado pelo deputado Milton Monti (PR-SP), que ouviu especialistas para elaborá-lo. A versão aprovada pela Câmara, em maio, e pelo Senado, em julho, foi preparada pelo relator do texto, o deputado Orlando Silva (PCdoB-SP).
Silva aproveitou, na preparação do texto, o projeto (PL 5276/16) enviado pelo então governo Dilma Rousseff sobre o assunto, que foi elaborado pelo Ministério da Justiça a partir de contribuições da sociedade.
A proposta hoje sancionada foi influenciada pela legislação da União Europeia, chamada Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), que entrou em vigor em maio. Entre os pontos de semelhança entre a norma brasileira e a europeia está a necessidade de consentimento do usuário para a coleta e tratamento de seus dados, inclusive facultando-lhe a possibilidade de visualização, correção e exclusão das informações armazenadas. Outro ponto em comum é a aplicação da lei mesmo para empresas com sede em território estrangeiro, caso a obtenção e tratamento de dados se dê no Brasil.
MEDIDAS
As empresas que fazem o tratamento de dados pessoais deverão tomar uma série de medidas para garantir o cumprimento da nova legislação. Os dados pessoais somente poderão ser tratados com consentimento do titular e em situações específicas, como para cumprimento de obrigação legal ou regulatória, para execução de políticas públicas; quando necessário para execução de contratos e para a proteção do crédito, nos termos do Código de Defesa do Consumidor (Lei 8.078/90).
A legislação também obriga que empresas ou órgãos públicos excluam os dados após o fim da relação com cada cliente.
Entre os direitos dos titulares das informações pessoais estão o acesso aos seus dados pessoais guardados; a correção de dados incompletos, inexatos ou desatualizados; a “anonimização”, bloqueio ou eliminação de dados; a portabilidade das informações a outro fornecedor de produto ou serviço e a revogação do consentimento dado para o tratamento de dados pessoais.
DADOS SENSÍVEIS
A lei trata ainda dos dados pessoais sensíveis. São os que tratam de origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.Essas informações só poderão ser coletadas ou compartilhadas sem o consentimento do titular em situações específicas, como o cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; e tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.A norma também contém regras específicas para o tratamento de dados de crianças e adolescentes.
VETOS
Além de não permitir, agora, a criação de uma agência nacional de proteção de dados, opresidente da República, Michel Temer, atendeu pelo menos oito pedidos de ministérios para vetos na nova Lei Geral de Proteção de Dados Pessoais. Eles modificam Parcialmente quatro artigos e eliminam completamente outros cinco. Os alvos envolvem vedações ao compartilhamento de dados e sanções por descumprimento, por exemplo.
O primeiro veto foi ao inciso II do artigo 23, que versa sobre o tratamento de dados pelo Poder Público. Foi eliminado o trecho que determina que esses dados “sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado”.
Como defendeu o Ministério da Fazenda, “o dispositivo veda o compartilhamento de dados pessoais no âmbito do Poder Público e com pessoas jurídicas de direto privado. Ocorre que o compartilhamento de informações relacionadas à pessoa natural identificada ou identificável é medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas”.
“É o caso, por exemplo, do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais, cujas informações são utilizadas para o reconhecimento do direito de seus beneficiários e alimentados a partir do compartilhamento de diversas bases de dados administrados por outros órgãos públicos. Ademais, algumas atividades afetas ao poder de polícia administrativa poderiam ser inviabilizadas, a exemplo de investigações no âmbito do Sistema Financeiro Nacional, dentre outras”, diz ainda a justificativa do veto.
Outro veto é no artigo 26, que veda o compartilhamento de dados entre entes públicos e privados, mas cria algumas exceções. Uma delas estaria no inciso II, para “quando houver previsão legal e a transferência for respaldada em contratos, convênios ou instrumentos congêneres”. Banco Central e Fazenda reclamaram de a exigência ser cumulativa. A ideia é que no instrumento legal que criar a autoridade nacional, este inciso venha com “ou”, no lugar do “e”.
“A cumulatividade da exigência estabelecida no dispositivo inviabiliza o funcionamento da Administração Pública, já que diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais, dentre outros”, sustentaram BC e Fazenda.
O terceiro veto foi no artigo 28. Ele diz que “a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade, nos termos do inciso I do caput do art. 23 desta Lei”. Fazenda, Planejamento e CGU pediram o corte por entender que “a publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, imposta pelo dispositivo, pode tornar inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa”.
O quarto veto aconteceu nos incisos VII, VIII e IX do artigo 52, que trata des sanções administrativas por violações à nova legislação. São elas a “suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador”; a “suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período”; e a “proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados”.
Os ministérios da Fazenda, do Planejamento, o MCTIC e o Banco Central entenderam que tais sanções seriam desproporcionais. “As sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados podem gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional.”
Finalmente, o quinto veto é o que elimina completamente os artigos 55 a 59 do texto aprovado no Congresso, que tratam exatamente da criação da autoridade e do conselho nacional de proteção de dados. Neste caso, Justiça, Fazenda, Planejamento, Segurança Pública, MCTIC, CGU e BC sustentam a interpretação de que houve vício de iniciativa, porque o projeto do Executivo sobre o tema, então PL 5276/16, não era explícito a criação do órgão. “Os dispositivos incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, §1º, II, “e”, cumulado com o artigo 37, XIX da Constituição”, explica a justificativa para o veto.
ADEQUAÇÃO
Ficou estabelecido o prazo de 18 meses para as adequações dispostos na Lei. Esse prazo é menor que o previsto pelo GDPR (2 anos), que, a título de exemplo, teve apenas 58% das empresas em conformidade quando ela entrou em vigor.
É importante descatarmos que as multas para descumprimento da LPDP são aplicadas em diversas situações, tendo por limite o reto de R$ 50.000.000,00 (cinquenta milhões de reais).
A Leon Consultoria Empresarial pode ajudar nessa missão.
ÍNTEGRA DA PROPOSTA:
Consultoria e Assessoria Empresariais 