home > notícias

ASSOCIADOS

16/07/2018

Lei de Proteção de Dados Pessoais brasileira é aprovada pelo Senado [Cescon Barrieu]

O Senado Federal aprovou em 10 de julho de 2018 o Projeto de Lei da Câmara nº 53/2018 (“Projeto de Lei”), que dispõe sobre a proteção de dados pessoais no Brasil. O Projeto de Lei estabelece princípios, garantias, direitos e obrigações que deverão ser observados por todas as empresas, sediadas no território nacional ou no exterior (i) que tratarem dados no território nacional; (ii) que tratarem dados coletados no território nacional – sempre que o titular estiver no Brasil; ou (iii) cujo tratamento de dados vise oferecer bens ou serviços ou tratar dados de pessoas localizadas no território nacional.

O Projeto de Lei está pendente somente de sanção presidencial, o que deverá ocorrer dentro do prazo de até 15 dias úteis. Neste sentido, a questão que vem sendo mais discutida é a criação de uma autoridade nacional para a proteção de dados. Isto porque, os principais setores do mercado entendem que a autoridade é essencial para garantir a correta e efetiva aplicação da Lei. Entretanto, neste momento, existe o risco de sua criação ser vetada por questões orçamentárias.

Inspirada no rigoroso regulamento europeu - General Data Protection Regulation (GDPR) – o Projeto de Lei se mostrou necessário diante do crescimento global de modelos de negócios baseados no tratamento de dados pessoais, bem como no aumento do interesse das empresas no uso destes dados, que cada vez mais se mostram valiosos para subsídio nos processos de big-data, marketing digital, melhoramento de serviços, oportunidades de negócios, entre outras estratégias de mercado.

Abaixo estão os pontos e conceitos principais do Projeto de Lei.

1. O conceito de dados pessoais abrange o tratamento de quaisquer tipos de dados que possam identificar uma pessoa, obtido em qualquer tipo de suporte – papel, eletrônico, som e imagem, etc. (“Dados Pessoais”).

2. Por tratamento entende-se qualquer operação realizada com Dados Pessoais, seja a coleta, recepção, armazenamento, arquivamento, eliminação, avaliação, transferência, etc. (“Tratamento”).

3. Algumas figuras importantes são: o titular, pessoa a quem se refere os dados (“Titular”); o responsável, quem decidir sobre o Tratamento dos Dados Pessoais (“Responsável”); e o operador, quem realiza o Tratamento dos dados em nome do Controlador (“Operador”).

4. As atividades de Tratamento deverão observar os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

5. O Tratamento dos Dados Pessoais deverá ser justificado mediante uma das hipóteses a seguir: (i) consentimento do Titular; (ii) cumprimento de obrigação legal pelo Responsável; (iii) cumprimento de um contrato ou para uso nas etapas anteriores de um contrato, a pedido do Titular; (iv) legítimo interesse do Responsável, desde que não prevaleçam os direitos e liberdades fundamentais do Titular; (v) proteção da vida ou incolumidade física de uma pessoa; (vi) tutela da saúde, pelos profissionais da área da saúde ou entidades sanitárias; (vii) para uso em processo judicial, administrativo ou arbitral; (viii) proteção do crédito; (ix) para fins de pesquisa realizada por órgãos de pesquisa, sem que se individualize o Titular; ou (x) pela administração pública, em alguns casos específicos.

6. Foi criada uma categoria de Dados Pessoais especial, os dados sensíveis. São os Dados Pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, ou Dado Pessoal genético ou biométrico. Estes dados somente poderão ser tratados nas hipóteses de (i) consentimento do titular de forma específica e destacada; (ii) prevenção à fraude e à segurança do Titular; ou (iii) observadas as justificativas mencionadas acima nos itens ii, v, vi, vii, ix, e x.

7. O conceito de anonimização de Dados Pessoais, definido como “Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”; é relevante para que as informações deixem de ser tratadas como Dados Pessoais e estejam sujeitas a menos restrições no seu Tratamento.

8. Adoção de medidas de segurança adequadas desde a concepção de um produto ou serviço até a sua execução, bem como implementação de medidas de segurança por padrão, conceitos chamados de Privacy by Design/by Default na legislação europeia.

9. Sempre que ocorrer um incidente de segurança que possa acarretar um risco ou dano relevante aos Titulares, a autoridade competente deverá ser notificada. A comunicação deverá incluir a indicação das medidas técnicas e segurança utilizadas para proteção de dados e das medidas que serão adotadas para reverter ou mitigar os seus efeitos.

10. A transferência internacional de dados somente é permitida nos casos previstos no Projeto de Lei, o que inclui a transferência para países com grau de proteção adequado à Lei; e mediante cláusulas contratuais padrão em que o Responsável garante o cumprimento da Lei.

11. Por fim, será analisada na aplicação dos princípios do item 4 acima, a implementação de programas de governança em privacidade que demonstrem o comprometimento do Responsável com as boas práticas relativas à proteção de dados, bem como que estabeleça medidas adequadas com base em processo de avaliação dos impactos e riscos à privacidade.

Considerando a grande modificação no cenário brasileiro com relação ao Tratamento de Dados Pessoais trazida por estas normas, a Lei somente entrará em vigor decorridos 18 meses da sua publicação.

Recomendamos a utilização deste período para a elaboração de planos de ação para a conformidade com a Lei, disseminando a cultura de proteção de dados na empresa por meio de medidas como: (i) mapeamento do fluxo dos dados; (ii) implementação de modelos como o Privacy by Default/ by Design; (iii) revisão de modelos de contratação, políticas de privacidade e políticas de segurança da informação; (iv) elaboração de planos para mitigação de riscos de incidentes e notificação as autoridades competentes; (v) nomeação de encarregado pela proteção de dados, quando houver um fluxo de dados interno razoável.

Embora não tenham muitos precedentes que indiquem como o poder judiciário tratará as questões de proteção de dados, diante da falta de legislação específica no Brasil, o Projeto de Lei prevê sanções administrativas específicas como a advertência; multa de até 2% do faturamento do grupo no último exercício, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; bem como a suspensão ou proibição do Tratamento de dados relacionados à infração.

Desta forma, o poder público busca equiparar o nível de proteção de dados brasileira às grandes potências mundiais, possibilitando o desenvolvimento tecnológico em uma plataforma sem fronteiras como a Internet. Embora as novas regras representem um desafio para as empresas brasileiras, é inevitável tratar do assunto, que já possui regulamentação na Europa e em diversos países, inclusive da América do Sul, de forma a preservar o direito constitucional à privacidade.

Este boletim apresenta um resumo de alterações legislativas ou decisões judiciais e administrativas no Brasil. Destina-se aos clientes e integrantes do Cescon, Barrieu, Flesch & Barreto Advogados. Este boletim não tem por objetivo prover aconselhamento legal sobre as matérias aqui tratadas e não deve ser interpretado como tal.

A equipe de Propriedade Intelectual e Tecnologia do Cescon Barrieu está à disposição para esclarecer quaisquer dúvidas e auxiliar nossos clientes no cumprimento às normas referentes à proteção de dados pessoais.

Fonte: Cescon Barrieu



NOTÍCIAS RELACIONADAS
13/08/2018
Pinheiro Neto é destaque no Chambers Latin America 2019 [Pinheiro Neto Advogados]
13/08/2018
Tecnologias e formas disruptivas de recrutamento e seleção [Gi Group Brasil]
13/08/2018
Tributação de Fundo Fechado e FIP – PL 10.638/2018 (Brasil) [FCB - Sociedade de Advogados]
13/08/2018
POINT2POINT amplia área comercial e marketing em Portugal [Point2Point]
13/08/2018
MDS NO CONARH 2018 [MDS Insure Brasil]
13/08/2018
Práticas e advogados do nosso escritório são reconhecidos pela Chambers Latin America [Cescon Barrieu]