Publicações

A Nova Lei Brasileira de Proteção de Dados Pessoais

A Nova Lei Brasileira de Proteção de Dados Pessoais

A Lei nº 13.709, publicada em 15 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por indivíduos ou pessoas jurídicas de direito público ou privado. Inspirada no recente regulamento europeu sobre o assunto, o General Data Protection Regulation – GDPR, a nova lei entrará em vigor em 18 meses.

A nova lei define “dado pessoal” como qualquer informação relacionada a uma pessoa natural identificada ou identificável (tais como nome, endereço, número de cartão de identificação, endereço de e-mail, dados de localização e endereço de IP) e “tratamento” como toda a operação realizada com dados pessoais, como coleta, produção, classificação, utilização, reprodução, processamento, armazenamento, transferência e difusão.

Ainda que bem menos detalhada do que o GDPR, a nova lei brasileira é complexa. Conta com 65 artigos divididos em 10 capítulos. Dentre as suas várias disposições, há regras sobre tratamento de dados sensíveis (dentre outros, dados sobre origem racial ou étnica, convicção religiosa, opinião política, saúde ou vida pessoal, genéticos ou biométricos), tratamento de dados de crianças e adolescentes, transferência internacional de dados pessoais e implementação de boas práticas e medidas de segurança.

Destacamos, a seguir, alguns aspectos relevantes da nova lei, os quais são consistentes em grande parte com as diretrizes estabelecidas no GDPR:

Extraterritorialidade. A nova lei é aplicável não só ao tratamento de dados realizado no Brasil ou envolvendo dados de indivíduos localizados no território nacional, como também ao tratamento realizado no exterior desde que com dados coletados no território nacional ou que tenham por objetivo a oferta ou o fornecimento de bens ou serviços a indivíduos situados no Brasil.

Hipóteses de Tratamento e Consentimento. A nova lei permite o tratamento de dados pessoais apenas em determinadas hipóteses. O consentimento do titular nem sempre será necessário para o tratamento dos dados, podendo ser dispensado em algumas hipóteses, tais como: quando necessário para a execução de contrato ou procedimentos preliminares relacionados a contrato que envolva o titular, para o cumprimento de obrigação legal ou regulatória, para o exercício de direitos em processo judicial, administrativo ou arbitral, ou quando houver “interesse legítimo” da parte que trata os dados. Fora das hipóteses expressamente previstas, o tratamento exigirá o consentimento expresso e específico do titular, obtido com base em informações claras sobre a finalidade, forma e duração de tal tratamento.

Direitos do Titular. A nova lei possibilita ao titular amplo controle sobre seus dados. O titular poderá, a qualquer tempo, ter acesso a tais dados, solicitar sua correção, anonimização ou portabilidade, revogar consentimento que tenha sido fornecido para o seu tratamento, ou solicitar a eliminação de dados tratados com seu consentimento.

Penalidades e Responsabilidade. A nova lei prevê multas que podem chegar a R$ 50 milhões por violações às suas disposições e a responsabilidade objetiva dos infratores pelos danos causados ao titular dos dados.

A nova lei foi sancionada pelo Presidente com vetos, dentre os quais se destaca o veto à criação da Autoridade Nacional de Proteção de Dados – ANDP. De acordo com o projeto de lei aprovado no Congresso Nacional, a ANDP seria uma agência especial com atribuições para zelar pela proteção dos dados pessoais e fiscalizar o cumprimento da nova lei. Com o veto à criação da ANDP, criam-se incertezas a respeito de quem terá a responsabilidade por essas atribuições e sobre como serão desempenhadas.

Este conteúdo é apenas para fins de informação geral e não se destina a ser considerado como uma opinião legal para uma situação específica. Este material é protegido pela lei de direitos autorais. Entre em contato com o CGM Advogados para obter permissão para copiar, distribuir ou reimprimir.