No último dia 14 de agosto, após intensa discussão pública e debate político, foi promulgada a Lei nº 13.709/2018, conhecida como “Lei Brasileira de Proteção de Dados (LBPD)”.
Abaixo, fizemos um breve resumo sobre os pontos mais importante desta nova Lei.
Imprima aqui a íntegra do documento em PDF
Qual o objetivo da LBPD?
Esta Lei regula o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
O que são Dados Pessoais?
Qualquer informação relacionada a pessoa natural identificada ou identificável.
Além de dados pessoais, a LBPD traz ainda a categoria de dados sensíveis, sendo estes os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Dados anonimizados não serão considerados dados pessoais para os fins da LBPD, salvo quando o processo de anonimização for ou puder ser revertido com esforços razoáveis.
Qual a abrangência da LBPD?
A LBPD abrange qualquer operação de tratamento de dados pessoais:
(i) realizada no território nacional;
(ii) que tenha por objetivo a oferta ou o fornecimento de bens/serviços ou o tratamento de dados de indivíduos localizados no território nacional; e,
(iii) cujos dados pessoais a serem tratados tenham sido coletados no território nacional.
O que está excluído da LBPD?
A LBPD não abrange o tratamento de dados pessoais:
(i) realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
(ii) para fins exclusivos jornalísticos ou acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ou;
(iii) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.
Mas, afinal, o que é tratamento de dados pessoais?
Basicamente toda operação realizada com dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
E quem realiza este tratamento?
O tratamento pode ser realizado por pessoa física ou jurídica, de direito público ou privado.
A LBPD qualifica as pessoas que realizam o tratamento como:
1. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
2. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
3. Encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Em quais hipóteses pode ser realizado o tratamento dos dados pessoais?
(i) mediante o consentimento do titular dos dados;
(ii) para o cumprimento de obrigação legal ou regulatória pelo controlador;
(iii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
(iv) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
(v) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
(vi) para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
(vii) para a proteção da vida ou da incolumidade física do titular ou de terceiro;
(viii) para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
(ix) quando necessário para atender aos interesses legítimos do controlador ou de terceiro; ou,
(x) para a proteção do crédito.
Como deve ser o consentimento do titular para o tratamento dos seus dados pessoais?
O consentimento deve consistir em manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (autorizações genéricas serão nulas).
O consentimento deverá ser fornecido por escrito (mediante cláusula destacada das demais cláusulas contratuais) ou por outro meio que demonstre a manifestação de vontade do titular.
Importante destacar que se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
Para o tratamento de dados sensíveis, é necessário a obtenção de um consentimento específico e adicional ao consentimento para o tratamento dos demais dados pessoais.
É possível ao titular revogar o consentimento?
Sim, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.
Quando o tratamento dos dados pessoais é encerrado?
O tratamento dos dados pessoais deve cessar nas seguintes hipóteses:
(i) Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica;
(ii) Fim do período de tratamento;
(iii) Revogação do consentimento pelo titular; ou
(iv) Determinação da autoridade competente.
O que ocorre com os dados pessoais após o término do tratamento?
Os dados pessoais deverão ser eliminados após o término de seu tratamento, sendo autorizada a conservação apenas nos seguintes casos:
(i) Cumprimento de obrigação legal ou regulatória pelo controlador;
(ii) Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
(iii) Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LBPD; ou
(iv) Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
O que é transferência internacional de dados e quando ela pode ser realizada?
A transferência internacional de dados é a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Ela somente pode ser realizada nas hipóteses previstas em lei.
Quem é responsável por eventuais danos em caso de violação da LBPD?
O controlador ou o operador serão obrigados a indenizar dano patrimonial, moral, individual ou coletivo, em função de violação à LBPD.
Em caso de ação judicial, o juiz pode determinar a inversão do ônus da prova a favor do titular dos dados.
Os agentes de tratamento só não serão responsabilizados quando provarem: (i) que não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou (iii) que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Quais providencias devem ser tomadas em caso de violação?
O controlador deverá comunicar à autoridade competente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Esta comunicação deve indicar, no mínimo: (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter sido imediata; e (vi) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Poderão, ainda, ser exigidas providências como:
(i) ampla divulgação do fato em meios de comunicação; e
(ii) medidas para reverter ou mitigar os efeitos do incidente.
Quais são as penalidades previstas em lei?
Os agentes de tratamento de dados, em razão das infrações cometidas ficam sujeitos às seguintes sanções administrativas:
(i) advertência, com indicação de prazo para adoção de medidas corretivas;
(ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
(iii) multa diária, observado o limite total a que se refere o inciso II;
(iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência;
(v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
(vi) eliminação dos dados pessoais a que se refere a infração;
Quem é a autoridade responsável pela fiscalização da LBPD?
O texto legal previa a criação de uma Autoridade Nacional de Proteção de Dados (ANPD) e um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Entretanto, em função de vícios no processo legislativo, foi vetada a criação dos referidos órgãos.
Espera-se, porém, que estes sejam criados por meio de projeto de lei especifico antes do início da vigência da LBPD.
Quando a LBPD entra em vigor?
A Lei entra em vigor após decorridos 18 (dezoito) meses de sua publicação oficial (ocorrida em 14 de agosto de 2018).
Equipe Responsável:
Leandro Borges
leandro.borges@velloza.com.br
(11) 3145-0464
Hildelene Bertolini
hildelene.bertolini@velloza.com.br
(11) 3145-0953
Luciana Pelogi
luciana.pelogi@velloza.com.br
(11) 3145-0056
Marianna Bazzon
marianna.bazzon@velloza.com.br
(11) 3145-0094