Senado aprova Lei de Proteção de Dados Pessoais

Clique aqui para versão inglês.

O Senado aprovou hoje o Projeto de Lei da Câmara dos Deputados (PLC) nº 53, de 2018, que dará origem à Lei Geral de Proteção de Dados brasileira. O texto irá para sanção presidencial e, uma vez sancionado, entrará em vigor em 18 meses.

A aprovação é resultado de impulso motivado pela entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (GDPR) em maio deste ano. O texto havia sido aprovado pela Câmara em 29 de maio e contou com apoio expressivo da sociedade civil, academia e setores da indústria. A aprovação no Senado ocorreu pouco mais de um mês depois.

O Projeto de Lei aprovado trata dos direitos e obrigações relacionados ao processamento de dados pessoais (ou seja, a informação relacionada a um indivíduo identificado ou identificável), bem como boas práticas, e cria uma autoridade específica para proteção de dados, dentre outros.

A lei será aplicável a particulares, setor privado ou Poder Público, independente do país da sede da empresa ou do local onde os dados estejam localizados, desde que o tratamento ocorra no Brasil ou haja coleta de dados de indivíduos localizados no País. Caso o processamento ocorra no exterior, a lei será aplicável se o tratamento tiver por objeto oferecer ou fornecer bens ou serviços a indivíduos no Brasil.

A norma prevê obrigações específicas aos chamados “controladores” (data controller), que são as pessoas responsáveis pelas decisões relacionadas a processamento de dados pessoais, e aos “processadores” (data processor), que realizam o processamento de dados pessoais em nome do controlador.

Cabe ao controlador, por exemplo, nomear um “encarregado” de proteção de dados (Data Protection Officer). Este será responsável por promover boas práticas internamente (como treinamentos a funcionários), e atuar como canal de comunicação da empresa com autoridades públicas e com titulares de dados.

A Lei também trata das bases legais que permitem o processamento de dados pessoais pelas empresas. Assim, dentre outras bases legais previstas na lei, o processamento de dados pessoais será legal se decorrer de exigência de lei ou regulamento, se decorrer de legítimo interesse ou se houver consentimento do titular dos dados para a finalidade específica do processamento.

Um dos pontos chave da Lei é a criação de uma Autoridade Nacional de Proteção de Dados (ANPD), vinculada ao Ministério da Justiça. Dentre as atribuições da ANPD estão a elaboração de regulamentos e procedimentos sobre proteção de dados pessoais. A Autoridade também será responsável por fiscalizar e aplicar sanções em caso de infrações.

As penalidades envolvem advertência, multa simples (de até 2% do faturamento bruto do grupo no Brasil no último exercício, excluídos tributos e limitada a R$ 50 milhões) e multa diária, limitada ao mesmo valor. As sanções também incluem o bloqueio ou eliminação dos dados pessoais em questão, bem como a suspensão parcial ou total do banco de dados e, finalmente, a suspensão ou proibição do tratamento de dados relacionados à infração.

Essa Lei impactará intensamente todas as empresas que atuam no Brasil, exigindo uma mudança de cultura, políticas e procedimentos nos mais diversos departamentos, incluindo TI, RH e Marketing. Nosso escritório está à disposição para auxiliá-los nesta fase de adaptação e adequação, além de prestar quaisquer esclarecimentos necessários.