Lei de Proteção de Dados Pessoais

O vazamento de dados e informações de usuários por empresas de tecnologias tem gerado preocupação com a segurança e o sigilo de dados pessoais. O seu auge desses vazamentos foi atingido quando o escândalo da Cambridge Analytica deflagrou-se, expondo o uso de informações de mais de 87 milhões de usuários do Facebook pela empresa, para inúmeros fins alheios à sua atividade principal. Os usuários da rede foram negativamente surpreendidos com a notícia que suas informações eram objetos de comercialização para diversas entidades, inclusive com fins políticos.

Seguindo o modelo da União Europeia que criou o Regulamento Geral de Proteção de Dados – GDPR (que entrou em vigor em 25 de maio de 2018), foi aprovada a Lei 13.709/2018, que define a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais.

Disponível em: SGS Empresa. Acesso em: 12/08/2018

A nova lei sancionada em 14/08/2018 é oriunda dos projetos PL 4060/12 e PL 5276/16. O primeiro foi apresentado pelo deputado Milton Monti (PR-SP), que ouviu especialistas para elaborá-lo e o segundo foi enviado pelo então governo Dilma Rousseff sobre o assunto, que foi elaborado pelo Ministério da Justiça a partir de contribuições da sociedade. A versão aprovada pela Câmara, em maio, e pelo Senado, em julho, foi preparada pelo relator do texto, o deputado Orlando Silva (PCdoB-SP).

O referido Projeto de Lei, instituído com o objetivo de dispor sobre a proteção de dados pessoais, alterou a Lei Federal n. 12.965/2014 (marco civil da internet), criada um biênio atrás para estabelecer “princípios, garantias, direitos e deveres para o uso da Internet no Brasil”.

Em seu art. 1º vemos que A Lei de Proteção de Dados dispõe sobre o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

A lei define como “dado pessoal” passível de proteção, aquele que possa identificar diretamente uma pessoal ou até mesmo ser considerado “identificável”, ou seja, sozinho não define quem seja, mas que em conjunto com outras informações possa distinguir do usuário detentor das informações.

Eis algumas mudanças introduzidas pela lei que merecem atenção das empresas: dados pessoais podem ser coletados e tratados com o consentimento do usuário; os titulares dos dados podem solicitar o acesso às informações e exclusão a qualquer momento; encerrada a relação entre o usuário e a empresa, os dados deverão ser excluídos; as empresas deverão aplicar medidas de prevenção e proteção à segurança dos dados que manuseia, como a encriptação das informações; eventuais vazamentos de dados deverão ser comunicados imediatamente; as empresas serão responsabilizadas caso os dados sejam vazados ou até mesmo com falhas na segurança das informações; aplicação de sanções, como multas, no caso do descumprimento das regras.

O consentimento é um importante fator trazido pela lei, segundo a qual uma empresa, para realizar uma operação com dados pessoais, deve obter o consentimento do titular das informações pessoais. Esse consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular dos dados. No primeiro caso, deve ser feita uma cláusula destacada das demais cláusulas contratuais e com as suas finalidades específicas, inclusive nos casos de necessidade de comunicação ou compartilhamento das informações com terceiros. Autorizações genéricas são nulas e é proibido qualquer tipo de tratamento de dados pessoais com falhas no consentimento. É possível alterar a forma de tratamento dos dados, desde que essa mudança seja informada ao titular, com destaque no texto da mudança, podendo o titular revogá-lo caso discorde das novas condições. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.

 

Tratamento dos Dados Pessoais

Tratamento de dados inclui toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O art. 6º define os princípios que devem ser observados para o tratamento de dados pessoais, tais como:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com 7 abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais;

V – qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

X – responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia das medidas.”

Disponível em: Profissional de E-Commerce. Acesso em: 12/08/2018.

A lei trata ainda dos dados pessoais sensíveis. São os que tratam de origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.

Essas informações só poderão ser coletadas ou compartilhadas sem o consentimento do titular em situações específicas, como o cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; e tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.

 

Penalidades

O tratamento de dados deve ocorrer de forma transparente e respeitando os direitos de privacidade, liberdade e intimidade dos envolvidos. Em caso de descumprimento da Lei, o infrator poderá sofrer penalidades, tais como: advertência; multa simples de até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere à infração até a sua regularização; e eliminação dos dados pessoais a que se refere à infração.

 

Ciência PolíticaPolíticas PúblicasCiência, Tecnologia & Inovação → Lei de Proteção de Dados Pessoais

A Lei de Proteção de Dados Pessoais (Lei 13.709/2018) que cria um marco legal para a proteção de informações pessoais dos brasileiros, como nome, endereço, idade, estado civil, e-mail e situação patrimonial foi sancionada pelo presidente Michel Temer em 14/08/2018. A norma visa garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital. O objetivo final é dar ao cidadão maior controle sobre o uso das suas informações pessoais.

A lei só entra em vigor em 2020 para dar tempo às entidades públicas e privadas se adaptarem às regras de uso de dados pessoais. Pelo texto, órgãos públicos e empresas privadas só poderão coletar e utilizar dados com o consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e exclusão dos dados.

A nova legislação estabelece a responsabilidade civil dos responsáveis pelo tratamento de dados, que ficam obrigados a ressarcir danos patrimoniais, morais, individuais e coletivos. A norma prevê multa diária de até 2% do faturamento da empresa infratora, limitada, no total, a R$ 50 milhões por infração.

Vetos
A lei foi sancionada com vetos. O principal diz respeito à criação de uma autarquia federal para fiscalizar a aplicação das regras de proteção, chamada no projeto de Autoridade Nacional de Proteção de Dados. Temer afirmou que a criação do órgão é prerrogativa do Poder Executivo, que deverá enviar um projeto de lei ao Congresso Nacional sobre o assunto.

Também houve veto de parte das sanções administrativas contra quem descumprir a lei. Com isso, ficaram de fora da norma a suspensão do funcionamento do banco de dados responsável pela infração e a proibição do exercício da atividade de tratamento de dados – tratamento de dados é a coleta, utilização, processamento, armazenamento e eliminação de informações pessoais.

Temer vetou ainda o dispositivo que estabelece que a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público serão objeto de publicidade. O argumento do governo é de que a publicidade irrestrita dos dados “pode tornar inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa”.

com informações da Agência Câmara de Notícias

Sancionada, com nove vetos, lei que cria Autoridade Nacional de Proteção de Dados

O Diário Oficial da União publicou na terça-feira (9/7) a Lei 13.853/19, que cria a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que vai editar normas e fiscalizar procedimentos sobre proteção de dados pessoais.

Editada no final do ano passado pelo então presidente Michel Temer, a MP 869/18 altera a Lei Geral de Proteção de Dados Pessoais (LGPD, 13.709/18), norma que regulamentou a forma como as organizações (empresas, bancos, órgãos públicos e outros) utilizam os dados pessoais.

Atuação
De acordo com a nova lei, entre as competências da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.

Vetos
Todos os itens vetados haviam sido incluídos pelos parlamentares. Bolsonaro barrou o dispositivo que permitia à ANPD cobrar taxas por serviços prestados. A alegação do presidente foi de que, devido à natureza jurídica transitória da ANPD, não seria cabível a cobrança de taxas. Com isso, o órgão terá como principal fonte de sustento o Orçamento da União.

Ouro veto importante foi sobre o dispositivo que proibia o poder público de compartilhar, com outros órgãos públicos ou com pessoas jurídicas de direito privado, os dados pessoais de requerentes que utilizaram a Lei de Acesso à Informação (12.527/11). Bolsonaro alegou que a medida afetaria “diversas atividades e políticas públicas”. Ele deu como exemplo o banco de dados da Previdência Social, que é construído com informações pessoas compartilhadas de outros órgãos.

Também foram vetados os dispositivos que ampliavam o rol de sanções administrativas aplicadas pela autoridade nacional. O Congresso aprovou três novos tipos de punição: suspensão parcial do funcionamento do banco de dados por seis meses, suspensão do exercício da atividade de tratamento dos dados pessoais também por até seis meses, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Os nove vetos serão analisados agora em sessão do Congresso. São necessários os votos de pelo menos 257 deputados e 41 senadores para derrubar um veto presidencial.

Íntegra da proposta:

 

via Agência Câmara de Notícias