ARTIGO
ARTIGO
116
117
As empresas diante da nova
lei de proteção de dados
pessoais
A
pós dois anos em tramitação no Congresso
Nacional e quase uma década em discussão
no processo público, o Senado Federal apro-
vou o PLC 53/2018, que cria a Lei Geral de Proteção de
Dados Brasileira e altera disposições do Marco Civil
da Internet. O projeto, que aguarda sanção pelo Pre-
sidente Michel Temer, soluciona um problema his-
tórico ao criar uma regra geral brasileira para a pro-
teção de dados pessoais em qualquer suporte, seja
digital ou analógico e aplicável ao tratamento tanto
por pessoas de direito público ou privado, comple-
mentando um sistema atualmente fragmentado e
composto de regras específicas a certos segmentos.
Na prática, muda-se muita coisa para as empresas, incluindo:
• Necessidade de indicação de um responsável para servir como canal de comunicação
com o público e supervisionar o tratamento de dados;
• Sujeição a multas e penalidades severas em caso de descumprimento das regras relati-
vas à proteção de dados;
• Implementação de padrões de segurança e mecanismos de proteção de dados pesso-
ais desde a concepção dos produtos e serviços;
• Exigência de maior controle dos processos de tratamento de dados pessoais, incluindo
mediante a manutenção de registros e elaboração de relatórios; e
• Maior transparência em relação aos usos e finalidades empregados para o tratamento
de dados pessoais.
Votada poucos meses após a entrada em vigor da GDPR (General Data Protection Regu-
lation) da União Europeia, a nova Lei Geral de Proteção de Dados possui clara inspiração
nesta, em especial no que se refere às autorizações para tratamento e à aplicação extra-
territorial da lei. O projeto define como dados pessoais qualquer informação relacionada
à pessoa natural identificada ou identificável, enquanto tratamento inclui toda operação
realizada com dados pessoais, incluindo sua coleta, produção, uso, transmissão, armaze-
namento e descarte.
Adicionalmente, o projeto define como dados sensíveis informações referentes a origem
étnica ou racial, convicções políticas ou religiosas, sobre saúde e vida sexual e dados bio-
métricos, que são objeto de proteção mais rigorosa em razão de sua natureza. São pre-
vistas as hipóteses autorizadas para tratamento de dados pessoais, das quais destaca-se
consentimento livre e informado pelo titular, mas que também poderá ser resultante de
obrigação legal ou regulatória, execução de políticas públicas, proteção da vida ou inte-
gridade do titular dos dados ou de terceiro, exercício de direitos em processo e interesse
legítimo do controlador dos dados ou por terceiro, entre outros.
O projeto ainda estabelece como regra a minimização de dados, devendo as empresas
coletar e de outra forma tratar dados pessoais somente na medida que esses sejam ne-
cessários para a finalidade alegada, encerrando o tratamento após alcançada a finalidade
ou caso os dados deixem de ser necessários ou pertinentes para essa. Os titulares dos
dados poderão ainda obter informações sobre o tratamento realizado, bem como solici-
tar acesso a tais dados e requerer sua correção ou exclusão, dentro dos termos da lei, po-
dendo ainda a qualquer momento e de forma gratuita revogar seu consentimento para o
tratamento dos dados, quando este foi o método de autorização utilizado.
Adicionalmente, são previstas regras para a transferência internacional de dados pesso-
ais, entre elas a obtenção de consentimento específico do titular ou a existência de regras
no país ou organização de destino que proporcionem proteção em grau adequado ou
previsto no projeto. A nova lei será aplicável a todo tratamento de dados que acontecer
no país, bem como a empresas estrangeiras que possuam filial no Brasil ou que ofereçam
serviços ao mercado nacional e de qualquer forma tratem dados de pessoas físicas que
estejam localizadas dentro do território nacional.
A lei não se aplicará ao tratamento de dados por pessoas físicas para fins pessoais, bem
como para fins jornalísticos, artísticos e até certa extensão, acadêmicos, bem como para
fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou de ativida-
des de investigação e repressão de crimes.
O ponto mais polêmico do projeto é a criação de uma Autoridade Nacional de Proteção
de Dados, submetida a regime autárquico e vinculada ao Ministério da Justiça e que terá
como principais funções zelar pela proteção de dados pessoais e fiscalizar e aplicar san-
ções em caso de descumprimento da legislação aplicável, entre as quais estão multas que
podem chegar a R$50.000.000,00 por infração bem como a proibição do exercício de ati-
Foto: Divulgação
