Home Outros Tudo que você precisa saber sobre a PL 53/2018 – Lei de Proteção de Dados

Tudo que você precisa saber sobre a PL 53/2018 – Lei de Proteção de Dados

by user

João Mendes de Oliveira
Head of Legal @ IDwall

No dia 10 de julho foi aprovado pelo plenário do Senado Federal o Projeto de Lei 53 de 2018 da Câmara dos Deputados, que disciplina a proteção de dados pessoais , encerrando assim seu ciclo no Congresso Federal. Agora, o projeto de lei de proteção de dados vai para apreciação da Presidência da República, que terá 15 dias úteis para sancioná-lo, vetá-lo integralmente ou vetá-lo parcialmente. Enquanto aguardamos as próximas movimentações, é importante nos familiarizarmos com aquilo que logo poderá tornar-se lei.

A quem se destina a lei de proteção de dados?
São sujeitos ao PL qualquer pessoa, física ou jurídica, privada ou pública, aplicando-se a qualquer tratamento de dados realizado no Brasil, qualquer tratamento que tenha como objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil e a qualquer tratamento de dados que seja realizado com dados pessoais que tenham sido coletados no Brasil. Ou seja, redes sociais, sites de compras e até recepções de prédios terão de atender o PL.

Quais são as exceções?
O PL não se aplica ao tratamento de dados pessoais (i) realizado por pessoa natural para fins particulares; (ii) realizado para fins jornalísticos, artísticos ou acadêmicos; (iii) realizado para fins de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais; ou (iv) provenientes de fora do território nacional e que não seja objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado ao da lei brasileira.

Quais cuidados devo ter?
O PL estabelece que dados pessoais somente podem ser armazenados e tratados (i) mediante a autorização e consentimento do titular das informações; (ii) para cumprimento de obrigação legal ou regulatória pelo controlador; (iii) pela administração pública, para tratamento de dados necessários a políticas públicas; (iv) para realização de estudos por órgãos de pesquisa, sendo garantida a anonimização dos dados; (v) quando necessário para a execução de contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) para a proteção da vida ou incolumidade física do titular ou terceiros; (viii) para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (ix) interesses legítimos do controlador ou de terceiro; e (x) proteção ao crédito.

Ainda, o PL estipula que as pessoas e empresas que armazenem e tratem dados divulguem de modo claro e objetivo as informações que serão coletadas e solicitem uma autorização e consentimento expresso do titular das informações. Deste modo, autorizações genéricas garantidas através de termos gerais, como praticado hoje em dia, seriam considerados inválidas.

Quais são os direitos do titular dos dados?
O PL estabelece um rol de direitos do titular, visando garantir mais autonomia sobre o uso e divulgação de seus dados pessoais. Segundo o texto do PL, são direitos do titular, mediante requisição: (i) a confirmação de existência de tratamento; (ii) o acesso aos dados; (iii) a correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; (v) portabilidade dos dados pessoais a outro fornecedor; (vi) eliminação dos dados pessoais tratados com o consentimento do titular; (vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa; (ix) revogação do consentimento concedido previamente; e (x) requerer a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetam seus interesses.

Quais são as penalidades?
Eventuais infrações à lei de proteção de dados e suas disposições podem implicar em sanções administrativas, entre elas (i) multa simples ou diária no valor de 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, tendo como base seu último exercício fiscal, excluído os tributos, sendo a multa limitada em R$ 50.000.000,00 por infração; (ii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. De acordo com o texto aprovado, o órgão responsável por fiscalizar os direitos e obrigações previstos no PL, bem como aplicar sanções por eventuais violações, será a Autoridade Nacional de Proteção de Dados.

Quando devo estar preparado?
Caso sancionado ou vetado parcialmente, o PL entrará em vigor decorridos 18 meses da data de sua publicação oficial. Neste meio tempo, todos aqueles sujeitos ao PL deverão adequar seus processos internos de acordo com a nova regulamentação.

Primeiras Impressões
As primeiras impressões são de um projeto coerente, coeso e que tem como base a recém aprovada regulamentação europeia, Regulação Geral de Proteção de Dados (GDPR), apesar de destoar em alguns aspectos.

As obrigações previstas no PL 53/2018 irão, potencialmente, gerar altos custos para empresas que lidam com dados pessoais, tanto do ponto de vista de mapeamento interno de processos, quanto do ponto de vista de implementação de novos procedimentos com o objetivo de atender à nova lei.

Ainda, existem alguns pontos que somente serão esclarecidos quando o PL entrar em vigor e forem verificados a forma de aplicação de determinados conceitos previstos em seu texto. Um exemplo é a hipótese de sanção. De acordo com o PL, sanções serão aplicadas “por evento”. Consideremos, então, um vazamento de massa de dados. Neste caso seria o vazamento coletivamente considerado um “evento”, ou seriam as sanções aplicadas de acordo com o vazamento de dados de cada titular, sendo o “evento” definido à partir de uma ótica individual? Este tipo de questionamento somente será resolvido mediante a existência de discussões legais e a consolidação de uma jurisprudência acerca do tema, ainda que mínima.

Por fim, conforme recentemente veiculado na mídia, é possível que o Presidente Michel Temer vete o PL 53/2018 parcialmente, barrando a criação da Agência Nacional de Proteção de Dados (ANPD). O argumento utilizado pela base do Governo é que a ANPD só pode ser instituída por lei específica, gerando assim uma expectativa que tarefa seja alocada para o próximo Governo.

Caso isso se verifique, a magnitude dessa postergação só será verificada em 2020, quando a lei de proteção de dados pessoais entra em vigor. A falta de proatividade do novo governo pode gerar um cenário carente de segurança jurídica e previsibilidade, no qual existem direitos, mas não existem as autoridades criadas para executar a verificação e fiscalização dos direitos e obrigações dos envolvidos com dados pessoais.

Entender a importância de se adequar às leis é fundamental para proteger a sua empresa das multas e punições estabelecidas. A IDwall oferece uma série de soluções para proporcionar segurança e velocidade no processo de cadastro de novos clientes, para que você possa impulsionar novos negócios, garantindo o compliance com as obrigações regulatórias. Conheça as nossas soluções: idwall.co

Tem interesse em mais assuntos regulatórios? Confira nosso Guia Prático sobre GDPR e sua aplicabilidade no Brasil.

Definições

  • Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável
  • Dados Sensíveis: dado pessoal sobre a (i) origem racial ou étnica; (ii) a convicção religiosa; (iii) a opinião política; (iv) a filiação a sindicato ou a organização de caráter religioso, filosófico ou político; (v) dado referente à saúde ou à vida sexual; (vi) dado genético ou biométrico, quando vinculado a uma pessoa natural.
  •  Dado Anonimizado: dado relativo a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  • Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
  • Titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • Controlador: A pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Operador: A pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • Encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e o Autoridade nacional.
  • Agentes de Tratamento: o controlador e o operador.
  • Tratamento: toda a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Transferência Internacional de Dados: transferência de dados pessoais para um país estrangeiro ou organismo internacional da qual o país seja membro.
  • Uso Compartilhado de Dados: a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou o tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
  • Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  • Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objeto social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
  • Autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da lei.

A idwall pode ajudar sua empresa a estar em conformidade com a nova Lei Geral de Proteção de Dados! Entre em contato com um de nossos especialistas pelo formulário abaixo: 

Related Posts

Loading Facebook Comments ...