A Lei nº 13.709 de 2018 – Lei Geral de Proteção de Dados Pessoais – LGPD foi sancionada no Brasil para proteger os direitos fundamentais de privacidade e de liberdade.
A LGPD delimita como deverá ser o tratamento de dados pessoais da pessoa natural ou da pessoa jurídica de direito público ou de direito privado. A referida lei se aplica a qualquer órgão ou entidade pública, às empresas públicas e às sociedades de economia mista.
A Lei nº 13.853 de 08 de julho de 2019 alterou dispositivos da Lei nº 13.709 de 2018 – LGPD. Ressalta-se que a Lei nº 13.853 de 2019 trata da proteção de dados pessoais e da criação da Autoridade Nacional de Proteção de Dados – ANPD.
A previsão para a entrada em vigor da nova lei é em agosto de 2020. Contudo, conforme indicado pela página institucional da Câmara dos Deputados, o Projeto de Lei nº 5.762 de 2019 prorroga por dois anos, de agosto de 2020 para agosto de 2022, a vigência da maior parte de dispositivos da LGPD.
Até o presente momento, o respectivo projeto aguarda parecer do Relator na Comissão de Constituição e Justiça e de Cidadania (CCJC).
Autoridade Nacional de Proteção de Dados – ANPD
Preliminarmente, cabe informar que o Presidente Michel Temer ao sancionar a LGPD em 14 de agosto de 2018 vetou a criação da ANPD. Os principais argumentos que fundamentam o veto à Autoridade indicada estavam relacionados com a possibilidade de vício de iniciativa e questões orçamentárias.
Foi alegado ainda, que a ANPD só poderia ser criada pelo Poder Executivo e não pelo Poder Legislativo. Posteriormente, mais precisamente, em dezembro de 2018, Temer recriou a ANPD pela Medida Provisória nº 869, que foi aprovada em Maio de 2019.
Salienta-se que a maioria dos países que possuem legislação sobre proteção de dados pessoais possuem uma autoridade nacional independente. O Reino Unido, a França, a Itália, a Argentina e o Uruguai são tidos como referências sobre o tema.
Argumenta-se que quanto maior for a compatibilidade entre os sistemas mais fáceis serão os fluxos internacionais de dados, o que beneficiará vários setores, podendo ser utilizados para finalidades comerciais ou de cooperação entre entidades públicas.
Assim, partindo dessa perspectiva, é importante que a legislação brasileira se inspire nas regulamentações sobre proteção de dados de tais países.
A Autoridade Nacional pode ser definida como “o órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento” da LGPD em todo território nacional, nos termos do art. 5º, XIX.
A ANPD é composta de Conselho Diretor, órgão máximo de direção; de Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; de Corregedoria; de Ouvidoria; de órgão de assessoramento jurídico próprio e de unidades administrativas e de unidades especializadas necessárias à aplicação do disposto na LGPD.
As competências da ANPD encontram-se dispostas no art. 55 – J, da LGPD, incluído pela Lei nº 1.3853 de 2019, entre elas cabe indicar alguns incisos:
Art.55 – J Compete à ANPD:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público.
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
Quanto ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, informa-se que é composto por 23 membros, possui representantes do Executivo, do Legislativo e do Judiciário, do Ministério Público, da sociedade civil, do setor empresarial e de instituições científicas.
O Conselho citado fica responsável por propor diretrizes estratégicas e fornecer subsídios para elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para atuação da ANPD; por elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Outrossim, compete ao Conselho sugerir ações a serem realizadas pela ANPD, elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
Tratamento de dados pessoais
Os agentes de tratamento de dados pessoais são o controlador e o operador. O controlador define as finalidades, condições e meios do processamento de dados pessoais, nos termos do art. 5º, VI, da LGPD. O operador processa os dados pessoais em nome do controlador, com base no art. 5º, VII, da LGPD.
O controlador ou o operador que, em virtude do exercício de tratamento de dados pessoais causarem a outrem dano patrimonial, moral, individual ou coletivo, violando a LGPD serão obrigados a repará-lo.
Destaca-se que é necessário o consentimento – explícito e inequívoco - do titular dos dados pessoais para que aconteça o tratamento de dados. Em casos excepcionais, quando for indispensável o processamento de dados, para cumprir situações legais previstas na LGPD ou na Lei de Acesso à Informação, não há necessidade de consentimento.
De acordo com o art. 19, §2º, da LGPD as informações e os dados poderão ser fornecidos pelo titular por meio eletrônico – seguro e idôneo – ou sob forma impressa.
O tratamento de dados pessoais deve respeitar alguns princípios: a finalidade, a adequação, a necessidade, o acesso livre, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização.
A finalidade deve ser informada de forma detalhada ao titular. A finalidade acordada deve estar em harmonia com a finalidade divulgada. A necessidade se refere tratamento, limitado ao uso de dados fundamentais para alcançar a finalidade final. O acesso aos dados tratados deve ser fácil e livre.
Ademais, os dados devem ser atualizados de acordo com a necessidade de tratamento. Devem ser fornecidas ao titular informações claras e acessíveis sobre o tratamento de dados e os seus responsáveis. Deve ser garantida a segurança, para reprimir situações acidentais ou ilícitas – invasão, destruição, perda e difusão de dados e informações.
Ainda, com relação aos princípios, cabe informar, a prevenção contra danos ao particular e aos envolvidos; a não discriminação, pois não se pode permitir atos ilícitos ou abusivos e, por fim, a responsabilização do agente, que deve demonstrar a eficácia das medidas adotadas.
Salienta-se que a LGPD não se aplica ao tratamento de dados pessoais proveniente de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados, com agentes de tratamento brasileiros.
A LGPD também não se aplica ao tratamento de dados pessoais objeto de transferência internacional de dados com outro país que não o de proveniência, contanto que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
Sanções administrativas
As empresas e organizações que descumprirem as disposições da LGPD estarão sujeitas às sanções administrativas.
Os agentes de tratamento de dados, em virtude de infrações cometidas às normas previstas na LGPD, ficam sujeitos a sanções administrativas, que deverão ser aplicadas pela autoridade nacional. As sanções administrativas encontram-se dispostas no art. 52, da LGPD.
Embora a LGPD seja um avanço, ressalta-se que as sanções brasileiras indicadas são mais amenas do que as previstas na legislação europeia – GDPR.
As sanções administrativas brasileiras são:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)
§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empress, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.