Confira o novo artigo da dra. Gisele Truzzi, sobre a nova Lei Geral de Proteção de Dados (PLC 53/2018), publicado originalmente na revista ISTOÉ DINHEIRO em 18/07/2018.

Faça o download do artigo aqui.

Que direitos o Governo tem sobre nossos dados?

Impactos da futura Lei Geral de Proteção de Dados (LGPD) no cenário brasileiro

Este PLC absorveu outros 2 projetos de lei anteriores, que também versavam sobre o mesmo tema: o PL 5276/2016 e o PL 4060/2012. Após aprovação na Câmara dos Deputados, e cerca de 8 anos de debates, consultas públicas e discussões, finalmente chegou ao Senado, onde também foi aprovado, e agora seguiu para sanção (ou veto) presidencial. O presidente Michel Temer tem até o dia 07/08/2018 para aprovar ou vetar (no todo ou em parte) este projeto de lei.

O PLC 53/2018 altera o Marco Civil da internet (Lei nº 12.965/2014) e é nomeado como a “Lei Geral de Proteção de Dados” (LGPD). Se a LGPD for aprovada pelo presidente, após o prazo de 18 meses, finalmente teremos uma legislação sobre o uso e tratamento de dados pessoais no Brasil, que será aplicável tanto no ambiente online, quanto offline, devendo ser observada pelos setores público e privado.

• Panorama atual:

Se a LGPD for aprovada, teremos um marco histórico no ordenamento jurídico brasileiro, pois até então o Brasil não possuía legislação específica sobre proteção de dados pessoais e privacidade.

Importante lembrar que nosso país dispõe de mais de 30 normas legais que versam sobre privacidade e dados pessoais, contudo, tais legislações são esparsas e funcionam mais como regulações setoriais (ex: normas do BACEN, da ANATEL, dispositivos específicos do Código de Defesa do Consumidor e do Código Penal, etc.).

O volume de legislações esparsas acaba por gerar conflitos e insegurança jurídica, além de entraves econômicos, tendo em vista que aos olhos do mercado internacional, é duvidoso investir em um país que não possui lei a respeito do tratamento de dados pessoais, indo na contramão de muitas nações.

Nesse cenário, não havia até então um regramento único e padronizado, aplicável a todos os setores da economia brasileira, que tratasse de questões sobre dados pessoais e definisse regras e limitações para instituições públicas e privadas quanto ao uso dessas informações coletadas de seus usuários. Ou seja: o cidadão, proprietário de seus dados, não tinha ideia do que o Governo e as empresas privadas podiam fazer com seus dados. Não havendo limitações sobre isso, não é de se ficar surpreso com escândalos de vazamento de dados noticiados pela mídia, tais como os casos do SERPRO, Receita Federal e Netshoes, por exemplo.

Se não há regras específicas para o que pode ser feito com nossos dados, então o Governo e as empresas privadas acabam agindo sem limitações. Temos a sensação de que nossos dados não nos pertencem.

Sendo assim, a LGPD veio para complementar e padronizar nosso ordenamento jurídico referente a proteção de dados pessoais, visando garantir direitos individuais, unificando procedimentos de tratamento de informações e impulsionando o desenvolvimento econômico e tecnológico através de normas claras e específicas. Pois dessa forma, finalmente o Brasil entrará na lista de países que possuem legislação sobre proteção de dados pessoais e privacidade, o que se torna um diferencial competitivo para nossa economia.

• LGPD – Objetivos e vantagens:

Em resumo, estes são alguns dos principais objetivos e vantagens da LGPD:

• Garantir o direito à privacidade e à proteção dos dados pessoais dos cidadãos, ao permitir-lhes maior gerência sobre suas informações, dando-lhes controle sobre seus dados, através de práticas seguras a serem cumpridas pelas empresas e órgãos públicos, de modo transparente. Isso confere ao cidadão poder e autonomia sobre seus dados, garantindo-lhe o exercício de seus direitos fundamentais.
• Definição de regras claras para empresas privadas e órgãos públicos quanto à coleta, armazenamento, tratamento e compartilhamento dos dados dos usuários e cidadãos, tanto no ambiente online, quanto offline.
• Aprimoramento da segurança jurídica em relação aos dados pessoais e à privacidade.
• Incentivo ao desenvolvimento econômico e tecnológico, tendo em vista que o capital atual consiste em dados.
• Fortalecimento das relações comerciais, através de práticas seguras e claras de tratamento de dados.
• Aumento do nível de compliance das instituições, já que todos os setores da economia (tanto público, quanto privado) terão que se adequar à nova lei.
• Fortalecimento do consumidor, através do aprimoramento da livre iniciativa, livre concorrência, e de maior transparência nas relações de consumo.
• Portabilidade: permitir ao usuário a transferência de seus dados de um serviço para outro sem prejuízo, permitindo-lhe autonomia e liberdade de escolha na contratação, bem como favorecendo a livre iniciativa e competitividade econômica.
• Nivelamento do Brasil aos demais países que já possuem legislação sobre proteção de dados: a LGPD torna o nosso país apto a competir economicamente com demais países que já possuem leis sobre proteção de dados, tais como E.U.A, Europa e grande parte dos países da América Latina. Esse diferencial pode alavancar setores vinculados a tecnologia.

 

• Principais pontos da LGPD – limites impostos às instituições quanto ao uso de nossos dados:

A LGPD tem aplicação a todos os setores da economia: público ou privado, online ou offline; portanto, qualquer empresa ou órgão público que colete dados pessoais, seja através da internet ou por meios presenciais, deverá se adequar à nova lei.

A nova lei, em geral, conceitua dados pessoais, define as bases que autorizam seu uso, sendo o consentimento um dos mais importantes, trata dos direitos básicos do titular dos dados; bem como cria regras, obrigações e limites que devem ser respeitados quanto ao uso de dados pessoais.

Estes são alguns de seus pontos que considero principais:

• A quem se aplica: a todos os setores da economia (público, privado, online, offline) onde houver uso de dados pessoais.
• Onde se aplica: a LGPD terá limites extraterritoriais, ou seja, afetará também pessoas e empresas fora do Brasil. Será aplicada a toda empresa, nacional ou estrangeira com filial no Brasil, que coletar e/ou tratar dados de pessoas físicas localizadas no nosso país.
• Dados pessoais: “dado pessoal” é toda informação relacionada à pessoa física identificada ou identificável. Ou seja, é qualquer dado que isolado ou associado a qualquer outra informação, permita chegar-se à identidade de um sujeito. Exemplos: nome, endereço, RG, CPF, dados de geolocalização, número de telefone, etc.
• Dados pessoais sensíveis: “dados sensíveis” são aqueles que poderão gerar qualquer discriminação do seu titular, tais como informações relacionadas a origem étnica, status financeiro, orientação sexual, religião, opinião política, dados biométricos ou genéticos. Para captura e tratamento desses dados, seu titular deverá fornecer consentimento específico.
• Dados anonimizados: “dados anonimizados” são aqueles vinculados a um titular que não possa ser identificado, de acordo com o estado da técnica na época em que foram coletados. A título exemplificativo, são dados utilizados em pesquisas estatísticas e métricas, de modo que não permitam a identificação de seu titular dentro de um grupo de pessoas.
• Dados públicos: há discussões sobre o que seriam dados públicos, se tal conceito englobaria informações constantes em bases de órgãos públicos, ou se estariam também vinculados aqueles em que seu titular permitiu a publicização. A LGPD limita o uso de dados públicos àqueles que estejam vinculados à finalidade para a qual foram coletados.
• Direitos básicos: com a LGPD os titulares dos dados tiveram seus direitos ampliados, destacando-se: o direito de acesso aos dados, retificação, cancelamento ou exclusão, oposição ao tratamento, informação, explicação sobre uso dos dados e portabilidade, sendo este último o principal destaque. O titular tem o direito de solicitar uma cópia de seus dados, bem como portá-los para outro serviço/empresa, conservando-se a interoperabilidade das informações.
• Responsáveis pelo tratamento dos dados: as empresas privadas e órgãos públicos deverão eleger um responsável pelo tratamento de dados pessoais. Tal encargo estará vinculado à responsabilização por eventuais incidentes de segurança da informação ou não conformidades legais. Tal indivíduo deverá reportar à Autoridade Nacional de Proteção de Dados sobre os incidentes ocorridos.
• Designação de uma Autoridade Nacional de Proteção de Dados (ANPD): deverá ser criada uma autoridade pública autônoma e independente para a fiscalização, supervisão e aplicação da nova lei. Tal autoridade deverá funcionar como uma agência reguladora, tal qual ANATEL, ANAC e similares, ou nos moldes de um órgão fiscalizador, como o CADE.
• Notificação obrigatória de incidentes: o responsável pelo tratamento de dados deverá reportar à Autoridade Nacional de Proteção de Dados sobre eventuais incidentes de segurança da informação, bem como vazamento de dados pessoais ou uso indevido dos mesmos.
• Privacy by design e privacy by default: a privacidade deverá ser observada desde a concepção de produtos, serviços e modelos de negócio. Sendo assim, quaisquer controles de privacidade deverão ser oferecidos aos usuários no modo mais restritivo possível, para que estes, caso queiram, flexibilizem tais níveis.
• Penalidades: poderão ser aplicadas pela ANPD as sanções administrativas àqueles que violarem a LGPD. Entre as sanções, estão elencadas: advertências, multas e até a proibição total ou parcial das atividades relacionadas ao tratamento de dados. Em relação às multas: estas variam de entre 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Ainda há possibilidade de arbitramento de multa diária, a fim de compelir a instituição a cumprir com as determinações.
• Período de adaptação: se aprovada, a LGPD entrará em vigor 18 meses após a sua publicação. Tal período servirá para as instituições públicas e privadas se adaptarem à nova lei.

 

• Entraves para a LGPD ser definitivamente aprovada:

Apesar da aprovação final da LGPD trazer inúmeros benefícios para nosso país e para a sociedade como um todo, infelizmente há alguns obstáculos que deverão ser superados para que de fato essa lei entre em vigor.

Vejamos:

• Criação da Autoridade Nacional de Proteção de Dados (ANPD): de acordo com a lei, a ANPD deve ser autônoma, independente, a fim de fiscalizar todos os setores da economia (público e privado). Contudo, por questões burocráticas e de processo legislativo, tal órgão não poderia ser criado pela Câmara, mas sim pelo Executivo. E como o Executivo poderia criar um órgão que o fiscalizaria? Uma das saídas seria vetar os trechos do PLC 53/2018 onde há menções à ANPD, o que empobreceria demais o texto. Outra saída seria vincular a ANPD à outras entidades, tais como o GSI (Gabinete de Segurança Institucional), que tem entre suas atribuições, a ABIN (Agência Brasileira de Inteligência). E se a ANPD teria vínculos com o órgão público, como fiscalizar quem fiscaliza o Governo?
• Setor bancário: este foi o único setor, junto com a Casa Civil, que se opôs ao texto do PLC 53/2018. Isso porque a LGPD, ao definir limitações à proteção dos dados pessoais, acaba confrontando o “Cadastro Positivo”, que os bancos tanto querem aprovar.

• E agora?

Agora o Presidente terá que optar entre sancionar (aprovar) ou vetar (total ou parcialmente) a LGPD. Ao optar pela sanção, ele terá a oportunidade de criar uma ANPD de fato autônoma, apta a fiscalizar todos os setores (inclusive o próprio Governo), em prol da proteção dos dados pessoais dos cidadãos. Aí sim as empresas e órgãos públicos terão limitações no uso de nossos dados pessoais e poderemos dizer que o Governo não terá direitos sobre nossos dados.

Se a LGPD for vetada, ou se o Presidente vincular a ANPD a algum órgão governamental, então corremos o risco de voltarmos ao status quo: na prática, continuaremos não tendo a titularidade plena de nossos dados, pois na ausência de lei específica ou na parcialidade de quem fiscaliza, não há garantias de direitos.

Gisele Truzzi

Advogada especialista em Direito Digital, fundadora de “Truzzi Advogados”.