Lei regulamenta proteção de dados pessoais no Brasil

O tratamento de dados pessoais será fiscalizado nas empresas e em órgãos públicos

Por Gabriel Dittert e Thiliane Leitoles

O projeto de Lei Geral de Proteção de Dados (LGPD) foi aprovado no Senado Federal no dia 10 de julho, e foi sancionada pelo Presidente da República no último dia 14. A LGPD é uma iniciativa do deputado federal  Milton Monti (PR/SP), que determina o início da proteção de dados pessoais, e fiscaliza o uso de tais informações que são tratados pelo Estado e por empresas.

Influenciada pelo vazamento de dados ocorridos no ano passado pela rede social Facebook, a LGPD também teve interferência no seu trâmite pela General Data Protection Regulation (GDPR), lei que fiscaliza o tratamento de dados pessoais na União Europeia, conforme explica o advogado e especialista em direito do consumidor, Murilo Fidelis. “Após a GDPR, a LGPD começou a tramitar em ritmo de urgência porque é interesse do Brasil mostrar que há uma regulamentação de dados, na medida em que poderia perder mercado por conta da ausência de uma lei nos padrões da União Europeia”.

Fidelis também comenta sobre o controle que o usuário terá sobre estes dados e o direito de livre acesso a eles. “O usuário poderá pedir para a empresa esquecer todos os dados que ela tem com relação a ele, terá o direito de atualizá-los, e também de saber como estas empresas estão tratando esses dados e por quais motivos”.

Com relação aos direitos dos usuários, Fidelis conta que, com a entrada em vigor desta Lei, as empresas terão obrigações sobre o tratamento dos dados pessoais. “As empresas serão obrigadas a serem transparentes, terão que fundamentar melhor a razão da utilização destes dados, pois deverão estar estritamente ligados a finalidade de uso”.

A diretora do Procon-PR, Claudia Silvano, explica quais são os casos em que o usuário pode acessar o órgão, quando ocorrer a violação de dados pessoais.

O doutorando pela Universidade de São Paulo (USP) e especialista em propriedade intelectual e direito digital, Luiz Guilherme Valente, aponta que a LGPD não se limita às empresas brasileiras. “A Lei também regula aquelas que coletam e tratam dados no Brasil, bem como as que oferecem produtos e serviços para o mercado brasileiro”.

Valente comenta, porém, que existem alguns pontos que estão muito amplos na LGPD, como a definição do que são dados pessoais. “A Lei traz exemplo, mas não o limita, então somente com o tempo é que se deve ter maior certeza do que será abrangido”.

De acordo com o texto, caso ocorra a violação de dados pela empresa, a sanção prevista é, além de advertência, multa simples de até 2% do faturamento da empresa, limitado no montante de 50 milhões de reais, podendo ser cumulada, caso exista mais de uma infração, publicização da violação, a suspensão ou até mesmo a proibição do direito da empresa em tratar os dados pessoais por até seis meses, prorrogáveis por igual período.

Ouça o depoimento de Jardel Becker, 28 anos, que foi vítima de violação de dados pessoais.

A startup Pipefy foi fundada em Curitiba, por Alessio Alionço, em 2015. A empresa, que promove soluções de gestão, está atualmente em mais de 140 países, inclusive na Europa, e já iniciou a adequação da empresa em relação a LGPD, conforme informa o gerente de marketing, Henrique Giacometti. “Como a Pipefy já se estruturou para seguir todos os requisitos da GDPR, a adaptação à LGPD foi de fácil implementação e sem surpresas”.

Giacometti conta que será necessário contratar mais pessoas devido a esta adequação, e também pelo ritmo acelerado que a empresa está crescendo. Ele comenta sobre a importância da LGPD para as empresas e clientes. “O foco deve ser sempre a proteção e a garantia da liberdade de ação para todos os usuários da internet, dessa forma, a regulamentação se faz necessária e é bastante benéfica para as pessoas em ambiente online”.

Veja os principais pontos da Lei

A Lei garante em texto maior controle sobre informações pessoais dos cidadãos, através da exigência de consentimento explícito para coleta e uso de dados, sendo dever da empresa esclarecer como as informações serão utilizadas. Além disso, passa a impor que a empresa ofereça ao usuário a chance de visualizar, corrigir e excluir esses dados.

O texto também traz definições para dados pessoais – que envolvem qualquer informação relacionada a pessoa natural identificável – bem como para dados sensíveis – aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico, político, saúde, vida sexual, genética ou biometria, quando vinculado a pessoa natural.

A LGPD proíbe o tratamento de dados para uso abusivo ou ilícito, como o cruzamento de informações de uma pessoa ou grupo para financiar decisões comerciais – tendo em vista o perfil de consumo do indivíduo para divulgação de ofertas ou serviços – políticas públicas ou atuação de órgão público.

No país, o Marco Civil da Internet (Lei N° 12.965/14) já cobria alguns pontos relacionados ao uso da internet, entretanto, o diferencial contido na LGPD é que ela exige um órgão regulador: a Autoridade Nacional de Proteção de Dados (ANPD).

A Lei entra em vigor após 18 meses da data da publicação, tempo que as empresas terão para se adequarem ao ordenamento.