O plenário do Senado aprovou na terça-feira, 10 de julho, o Projeto de Lei Complementar (PLC) nº 53/2018, que trata da proteção de dados pessoais. O texto segue agora para sanção do presidente da República e, caso sancionado, o Brasil terá uma lei de proteção de dados pessoais em vigor 18 meses após sua publicação no Diário Oficial.

Aguardada há bastante tempo, a nova lei colocará o Brasil em patamar similar ao dos países desenvolvidos. Destacamos a seguir alguns pontos da nova legislação.

Principais conceitos empregados, que tratam do âmbito de aplicação das normas e das pessoas físicas e jurídicas alcançadas pelo novo regime:

Dado pessoal: qualquer informação relacionada a uma pessoa natural (física) que possa ser identificada a partir dos dados coletados. É o conceito central da nova legislação, cujo fim é proteger a privacidade dos titulares cujos dados pessoais sejam objeto de tratamento.

Titular: pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento: é toda operação realizada com dados pessoais, como coleta, utilização, processamento, armazenamento e eliminação.

Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.

Aplicação: a nova legislação se aplica a pessoas físicas ou jurídicas, de direito público ou privado, que tratem dados pessoais no Brasil ou que coletem dados no Brasil ou, ainda, quando o tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a titulares localizados no Brasil.

Hipóteses para o tratamento: o tratamento de dados pessoais somente poderá ser realizado em uma das seguintes hipóteses: (a) baseado no consentimento do titular dos dados pessoais; (b) ocorrer para o cumprimento de obrigação legal ou regulatória do controlador; (c) pela administração pública, para a execução de políticas públicas; (d) por órgãos de pesquisa, para a realização de estudos; (e) quando necessário para execução de um contrato ou de procedimentos preliminares a um contrato do qual é parte o titular, a pedido do titular; (f) para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais; (g) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (h) para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; (i) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular dos dados pessoais que exijam a proteção dos dados pessoais; ou (j) para a proteção do crédito.

Crianças e adolescentes: no caso de tratamento de dados pessoais de crianças e adolescentes, deverá haver consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.

Direitos do titular: a nova legislação estabelece os seguintes direitos dos titulares de (a) obter informações sobre a existência de tratamento de seus dados pessoais; (b) acessar os seus dados pessoais; (c) corrigir dados pessoais incompletos, inexatos ou desatualizados; (d) fazer com que sejam anonimizados, bloqueados ou eliminados dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na legislação; (e) realizar a portabilidade dos dados pessoais a outro fornecedor de serviço ou produto (ou seja, de fazer como que alguém que mantenha seus dados pessoais transfira-os a um terceiro, a pedido do titular); (f) eliminar seus dados pessoais tratados com base em seu consentimento (ou seja, o direito de revogar seu consentimento dado anteriormente); (g) obter informação sobre as entidades, públicas e privadas, com as quais o controlador realizou o compartilhamento dos dados pessoais do titular; e (h) obter informação sobre a possibilidade de não fornecer o seu consentimento para o tratamento de seus dados pessoais e sobre as consequências da negativa.

Transferência internacional de dados: a transferência de dados pessoais para fora dos limites territoriais do Brasil será permitida somente nos casos previstos na lei, entre eles, (i) para países que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei nacional; (ii) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; ou (iii) quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência. Dessa forma, os controladores deverão tomar precauções extras ao transferirem dados pessoais, inclusive quando da contratação de fornecedores de serviços de tecnologia da informação, que podem armazenar dados em outros países e, dessa forma, podem violar as regras sobre transferência internacional de dados.

Encarregado pelo tratamento de dados pessoais: os controladores deverão indicar um encarregado pelo tratamento de dados pessoais, cujas principais funções serão responder a reclamações e pedidos de titulares; receber comunicações da autoridade nacional de proteção dados (abaixo descrita) e adotar as providências necessárias, bem como orientar empregados e contratados sobre as práticas relacionadas à proteção de dados pessoais.

Penalidades: entre outras penalidades, a lei prevê multas de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos e limitadas, no total, a R$ 50 milhões por infração. Seguindo o modelo do regramento da União Europeia (GDPR – General Data Protection Regulation), a nova legislação estabeleceu penalidades bastante rigorosas, que enfatizam a importância do tema.

Criação de Autoridade Nacional de Proteção de Dados: a lei cria a Autoridade Nacional de Proteção de Dados, cuja principal função será zelar pela proteção dos dados pessoais.

Nos próximos meses, as pessoas que fazem o tratamento de dados pessoais objeto da nova lei, especialmente as empresas nacionais, deverão tomar uma série de medidas para garantir o cumprimento da nova legislação. Entre elas estão a implementação de políticas corporativas adequadas, a contratação de recursos de tecnologia da informação e o treinamento de pessoal tanto para respeitar os direitos dos titulares de dados pessoais (geralmente clientes, empregados e outros contratados) quanto para evitar as sanções previstas.