Lobo de Rizzo

Voltar
15.08.18

Principais pontos da Lei Geral de Proteção de Dados

Compartilhe
Foi sancionada pelo Presidente da República, em 14.8.2018, a Lei n° 13.709, a Lei Geral de Proteção de Dados (LGPD). O Brasil conta agora com regras claras para o tratamento adequado de dados pessoais, finalmente adotando uma lei específica que substitui ou complementa um sistema legislativo disperso, que trazia uma insegurança jurídica dissonante com o atual contexto de um mundo cada vez mais movido a dados. A LGPD entrará em vigor em 15.2.2020 e descrevemos abaixo seus principais pontos: Abrangência Qualquer operação (online ou off-line) feita por pessoa natural ou por pessoa jurídica, de direito público ou privado, localizada no Brasil ou no exterior, desde que (i) dados pessoais tenham sido coletados no Brasil; (ii) qualquer atividade de tratamento seja realizada no Brasil; ou (ii) o tratamento objetive a oferta ou o fornecimento de bens e serviços a indivíduos localizados no Brasil. Exceções A lei não se aplica ao tratamento de dados pessoais (i) realizado por pessoa natural sem fins econômicos; (ii) para fins jornalísticos, artísticos e acadêmicos; (iii) para segurança pública; e (iv) provenientes do exterior. Conceitos Importantes
  • Dados pessoais: informações relacionadas a pessoa natural identificada ou identificável (e.g., nome, telefone, endereço e e-mail);
  • Dados pessoais sensíveis: dados pessoais sobre origem racial, etnia, orientação política, sexual e religiosa, dados de saúde, dados genéticos, biometria, etc;
  • Dados anonimizados: dados que não podem identificar um titular, considerando o uso de meios técnicos no tratamento;
  • Tratamento de dados pessoais: qualquer operação realizadas com dados pessoais, como a coleta, uso, acesso, armazenamento, processamento, transferência, etc;
  • Titular dos dados: a pessoa natural a quem se referem os dados pessoais;
  • Controlador de dados: agente a quem competem as decisões referentes ao tratamento dos dados pessoais;
  • Operador de dados: agente que realiza o tratamento de dados pessoais em nome do controlador.
Bases legais para o tratamento de dados pessoais:
  • Consentimento do titular, por escrito ou por outro meio que demonstre sua manifestação de vontade livre, informada e inequívoca;
  • Cumprimento de obrigação legal ou regulatória;
  • Execução de políticas públicas;
  • Estudos por órgãos de pesquisa;
  • Execução de contratos;
  • Exercício regular de direitos em processo judicial, administrativo ou judicia;
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde;
  • Interesses legítimos, que envolvem o apoio e promoção de atividades do controlador e o exercício regular de direitos do titular e a prestação de serviços que o beneficiem (e somente envolvendo dados pessoais estritamente necessários para a finalidade pretendida);
  • Proteção de crédito.
Direitos do titular A qualquer momento, o titular pode obter do controlador: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desacordo com a lei; (v) portabilidade dos dados pessoais a outro fornecedor; (vi) eliminação de seus dados, salvo em hipóteses previstas em lei; (vii) informações das entidades com as quais seus dados foram compartilhados; (viii) informações sobre a possibilidade de não fornecer consentimento e consequências da negativa; e (ix) revogação do consentimento. Término do tratamento e eliminação dos dados pessoais O término do tratamento deverá ocorrer mediante: (i) alcance da finalidade para os quais os dados foram tratados; (ii) fim do período de tratamento; (iii) revogação do consentimento pelo titular; e (iv) determinação da autoridade nacional. Dados pessoais devem ser então eliminados, autorizada a conservação para: (i) cumprimento de obrigação legal; (ii) estudo por órgão de pesquisa; (iii) transferência a terceiros; ou (iv) uso exclusivo do controlador, desde que os dados sejam anonimizados. Transferência internacional de dados Permitida, dentre outras hipóteses: (i) para países ou organizações internacionais que proporcionem grau de proteção aos dados pessoais adequado ao previsto na LGPD; (ii) quando o controlador puder comprovar a adequada proteção, mediante cláusulas contratuais, normas corporativas, certificados, etc.; (iii) quando necessária para a cooperação jurídica entre órgãos públicos; (iv) quando necessária para proteção da vida ou incolumidade física; (v) quando a autoridade nacional autorizar a transferência; (vi) mediante consentimento específico do titular; (vii) para cumprimento de contrato, obrigação legal e exercício de direitos em processo judicial pelo controlador. Encarregado pelo tratamento de dados pessoais O controlador deve indicar um encarregado pelo tratamento de dados pessoais, que terá dentro de suas atribuições prestar esclarecimentos e tomar providências frente a comunicações dos titulares e da autoridade nacional e orientar o corpo de empregados e contratados quanto as práticas que devem ser adotadas para a proteção de dados pessoais. Segurança da informação Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de eventos acidentais ou ilícitos. Os padrões técnicos mínimos serão dispostos pela autoridade nacional. O controlador deverá comunicar em prazo razoável à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Sanções Advertência; multa por infração de até 2% do faturamento da pessoa jurídica ou seu grupo econômico no Brasil no último exercício limitada a R$ 50.000.000,00; publicização da infração; e bloqueio ou eliminação de dados pessoais. Prazo de adequação 18 meses desde a publicação, ou seja, 15.2.2020. Criação de Autoridade Nacional de Proteção de Dados A autoridade ainda será criada pelo governo, porém, por meio de projeto de lei específico para sua criação. Para mais informações, entre em contato com nossa equipe de Propriedade Intelectual.On August 14, 2018, the President has approved the Law No. 13,709, the Brazilian General Data Protection Law (LGPD). Brazil now has clear rules for the processing of personal data, finally adopting a specific law that replaces or complements a scattered legal system that brought legal uncertainty inharmonious with the current context of an increasingly data driven world. The LGPD will come into force on February 15, 2020 and we describe below its main aspects: Scope Any operation (online or offline) made by natural person or legal entity, public or private, located in Brazil or abroad, provided that (i) personal data has been collected in Brazil; (ii) any processing activity is performed in Brazil; or (ii) the processing aims at offering or supplying goods and services to individuals located in Brazil. Exceptions The law does not apply to the processing of personal data (i) carried out by natural person without economic ends; (ii) for journalistic, artistic and academic purposes; (iii) for public safety; and (iv) collected in other countries. Main concepts
  • Personal data: information related to an identified or identifiable natural person (e.g., name, telephone, address and email);
  • Sensitive personal data: personal data on racial origin, ethnicity, political, sexual and religious orientation, health data, genetic data, biometrics, etc.
  • Anonymized data: data that cannot identify the owner, considering the use of technical measures in the data processing;
  • Processing of personal data: any operation carried out with personal data, such as the collection, use, access, storage, processing, transfer, etc.
  • Data owner: the natural person to whom the personal data refer;
  • Data controller: agent responsible for decisions concerning the processing of personal data;
  • Data processor: agent that performs the processing of personal data on behalf of the controller.
Legal basis for data processing
  • Owners' consent, in writing or by other means that demonstrate their informed and unequivocal manifestation of free will;
  • Compliance with legal or regulatory obligation;
  • Enforcement of public policies;
  • Studies by research entities;
  • Contracts enforcement;
  • Regular exercise of rights in judicial, administrative or judicial process;
  • Protection of the life or physical safety of the data owner or a third party;
  • Health protection;
  • Legitimate interests involving the support and promotion of the activities of the controller and the regular exercise of rights of the data owner and the rendering of services that benefit the data owner (and only involving personal data strictly necessary for the intended purpose);
  • Credit protection.
Owners' rights At any time, the data owner can obtain from the controller: (i) confirmation of the existence of the data processing; (ii) access to data; (iii) data correction; (iv) anonymization, blocking or elimination of unnecessary, excessive or unlawful data; (v) portability of personal data to another supplier; (vi) deletion of his/her data, except in cases provided for by law; (vii) information of the entities with which his/her data has been shared; (viii) information on the possibility of not granting consent and consequences of the refusal; and (ix) revocation of consent. Erasure of personal data The termination of the data processing must occur upon: (i) reaching the purpose for which the data was processed; (ii) the end of the processing period; (iii) the revocation of consent by the data owner; and (iv) a determination from the national authority. Personal data should then be deleted, but its retention is authorized for: (i) the compliance with legal obligation; (ii) a study by a research entity; (iii) the transfer to third parties; or (iv) the exclusive use of the controller, provided the data is anonymized. International transfer of data Permitted, among other cases, if: (i) to countries or international organizations that provide a degree of protection of personal data appropriate when compared to the LGPD; (ii) the controller can prove the adequate protection, through contractual clauses, corporate rules, certificates, etc.; (iii) necessary for legal cooperation between public bodies; (iv) necessary for the protection of life or physical safety; (v) the national authority authorizes the transfer; (vi) the data owner has granted specific consent; (vii) necessary for the enforcement of a contract, legal obligation and exercise of rights in a judicial process by the controller. Data protection officer The controller shall appoint a data protection officer that will be in charge of the processing of personal data, who shall have within its attributions to provide clarifications and take action against communications from the data owners and the national authority and to guide the staff of employees and contractors as to the practices that should be adopted for protection of personal data. Information security The processing agents must adopt technical, safety and administrative measures to protect personal data from unauthorized access and from accidental or unlawful events. The minimum technical standards shall be laid down by the national authority. The controller shall communicate within a reasonable period of time to the national authority and to the data owner the occurrence of a security incident that could cause significant risk or damage to the data owners. Penalties Warning; fine for each infraction of up to 2% of the income of the legal entity or its economic group in Brazil in the previous fiscal year limited to R$ 50,000,000.00; publicizing the infraction; and blocking or deleting personal data. Period for adjustments 18 months after the publication, i.e, February 15, 2020. Creation of a National Data Protection Authority The national authority is yet to be created by the Brazilian government, by means of a specific Bill of Law. For further information, contact our Intellectual Property team.