Principais pontos da Lei Geral de Proteção de Dados

15 . agosto . 2018 |

Foi sancionada pelo Presidente da República, em 14.8.2018, a Lei n° 13.709, a Lei Geral de Proteção de Dados (LGPD).

O Brasil conta agora com regras claras para o tratamento adequado de dados pessoais, finalmente adotando uma lei específica que substitui ou complementa um sistema legislativo disperso, que trazia uma insegurança jurídica dissonante com o atual contexto de um mundo cada vez mais movido a dados.

A LGPD entrará em vigor em 15.2.2020 e descrevemos abaixo seus principais pontos:

Abrangência

Qualquer operação (online ou off-line) feita por pessoa natural ou por pessoa jurídica, de direito público ou privado, localizada no Brasil ou no exterior, desde que (i) dados pessoais tenham sido coletados no Brasil; (ii) qualquer atividade de tratamento seja realizada no Brasil; ou (ii) o tratamento objetive a oferta ou o fornecimento de bens e serviços a indivíduos localizados no Brasil.

Exceções

A lei não se aplica ao tratamento de dados pessoais (i) realizado por pessoa natural sem fins econômicos; (ii) para fins jornalísticos, artísticos e acadêmicos; (iii) para segurança pública; e (iv) provenientes do exterior.

Conceitos Importantes

  • Dados pessoais: informações relacionadas a pessoa natural identificada ou identificável (e.g., nome, telefone, endereço e e-mail);
  • Dados pessoais sensíveis: dados pessoais sobre origem racial, etnia, orientação política, sexual e religiosa, dados de saúde, dados genéticos, biometria, etc;
  • Dados anonimizados: dados que não podem identificar um titular, considerando o uso de meios técnicos no tratamento;
  • Tratamento de dados pessoais: qualquer operação realizadas com dados pessoais, como a coleta, uso, acesso, armazenamento, processamento, transferência, etc;
  • Titular dos dados: a pessoa natural a quem se referem os dados pessoais;
  • Controlador de dados: agente a quem competem as decisões referentes ao tratamento dos dados pessoais;
  • Operador de dados: agente que realiza o tratamento de dados pessoais em nome do controlador.

Bases legais para o tratamento de dados pessoais:

  • Consentimento do titular, por escrito ou por outro meio que demonstre sua manifestação de vontade livre, informada e inequívoca;
  • Cumprimento de obrigação legal ou regulatória;
  • Execução de políticas públicas;
  • Estudos por órgãos de pesquisa;
  • Execução de contratos;
  • Exercício regular de direitos em processo judicial, administrativo ou judicia;
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde;
  • Interesses legítimos, que envolvem o apoio e promoção de atividades do controlador e o exercício regular de direitos do titular e a prestação de serviços que o beneficiem (e somente envolvendo dados pessoais estritamente necessários para a finalidade pretendida);
  • Proteção de crédito.

Direitos do titular

A qualquer momento, o titular pode obter do controlador: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desacordo com a lei; (v)  portabilidade dos dados pessoais a outro fornecedor; (vi) eliminação de seus dados, salvo em hipóteses previstas em lei; (vii) informações das entidades com as quais seus dados foram compartilhados; (viii) informações sobre a possibilidade de não fornecer consentimento e consequências da negativa; e (ix) revogação do consentimento.

Término do tratamento e eliminação dos dados pessoais

O término do tratamento deverá ocorrer mediante: (i) alcance da finalidade para os quais os dados foram tratados; (ii) fim do período de tratamento; (iii) revogação do consentimento pelo titular; e (iv) determinação da autoridade nacional.

Dados pessoais devem ser então eliminados, autorizada a conservação para: (i) cumprimento de obrigação legal; (ii) estudo por órgão de pesquisa; (iii) transferência a terceiros; ou (iv)  uso exclusivo do controlador, desde que os dados sejam anonimizados.

Transferência internacional de dados

Permitida, dentre outras hipóteses: (i) para países ou organizações internacionais que proporcionem grau de proteção aos dados pessoais adequado ao previsto na LGPD; (ii) quando o controlador puder comprovar a adequada proteção, mediante cláusulas contratuais, normas corporativas, certificados, etc.; (iii) quando necessária para a cooperação jurídica entre órgãos públicos; (iv) quando necessária para proteção da vida ou incolumidade física; (v) quando a autoridade nacional autorizar a transferência; (vi) mediante consentimento específico do titular; (vii) para cumprimento de contrato, obrigação legal e exercício de direitos em processo judicial pelo controlador.

Encarregado pelo tratamento de dados pessoais

O controlador deve indicar um encarregado pelo tratamento de dados pessoais, que terá dentro de suas atribuições prestar esclarecimentos e tomar providências frente a comunicações dos titulares e da autoridade nacional e orientar o corpo de empregados e contratados quanto as práticas que devem ser adotadas para a proteção de dados pessoais.

Segurança da informação

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de eventos acidentais ou ilícitos. Os padrões técnicos mínimos serão dispostos pela autoridade nacional.

O controlador deverá comunicar em prazo razoável à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Sanções

Advertência; multa por infração de até 2% do faturamento da pessoa jurídica ou seu grupo econômico no Brasil no último exercício limitada a R$ 50.000.000,00; publicização da infração; e bloqueio ou eliminação de dados pessoais.

Prazo de adequação

18 meses desde a publicação, ou seja, 15.2.2020.

Criação de Autoridade Nacional de Proteção de Dados

A autoridade ainda será criada pelo governo, porém, por meio de projeto de lei específico para sua criação.
Para mais informações, entre em contato com nossa equipe de Propriedade Intelectual.


ver todas as publicacoes