Editada hoje Medida Provisória que cria a Autoridade Nacional de Proteção de Dados.
Thais Farhat Neves
Conheça as funções deste órgão e saiba quais mudanças devem ser verificadas pelas empresas em cumprimento às exigências legais, que passarão a valer no dia 15 de fevereiro de 2020.
Após 8 anos de tramitação do projeto de lei visando à proteção dos direitos básicos dos titulares de dados e à garantia do uso adequado dos dados coletados dos cidadãos para fins econômicos, foi sancionada e publicada no dia 14 de agosto de 2018 a Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), em resposta à lacuna legislativa quanto à necessidade de cooperação de empresas estrangeiras na disponibilização de informações solicitadas por juízes.
No entanto, como já era esperado, em razão da impossibilidade de o Poder Legislativo criar despesas ao Poder Executivo, o presidente Michel Temer vetou parcialmente a criação a Autoridade Nacional de Proteção de Dados (ANPD), sob a justificativa de que seria criada por iniciativa do Poder Executivo, a fim de tomar medidas regulatórias e garantir a aplicação unânime da lei entre os tribunais e órgãos administrativos.
Nesse sentido, foi editada hoje, em 28 de dezembro de 2018, a Medida Provisória n. 869, que altera a LGPD, para dispor sobre a criação da ANPD, a autoridade principal na interpretação da Lei e criação de normas e diretrizes para a sua implementação, que atuará em conjunto com o Sistema Nacional de Defesa do Consumidor, do Ministério da Justiça, e outros órgãos e entidades sancionatórios que tratem de matérias correlatas à proteção de dados pessoais.
Adotada como órgão da administração pública federal, integrante da Presidência da República, contará com conselho a ser nomeado pelo presidente, composto por membros do Poder Executivo federal, do Senado, da Câmara dos Deputados, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público, do Comitê Gestor da Internet no Brasil, da sociedade civil com atuação comprovada em proteção de dados pessoais, de instituições científicas, tecnológicas e de inovação e de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
A autoridade terá como funções principais, a fim de zelar pela proteção dos dados pessoais, a edição de normas e procedimentos sobre o tema, deliberação na esfera administrativa sobre a interpretação desta Lei, suas competências e os casos omissos, solicitação de informações aos controladores e operadores de dados pessoais e implementação mecanismos para o registro de reclamações por descumprimento da Lei, fiscalizando e aplicando sanções.
Contará também com funções didáticas, visando estimular a adoção de padrões de controle e proteção dos titulares por parte dos controladores, além de elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade e realizar consultas públicas para colher sugestões sobre temas correlatos de interesse público.
No mais, a Medida Provisória alterou dispositivos da Lei que cuidavam essencialmente do tratamento de dados pelo Poder Público, autorizando a transferência a entidades privadas de dados pessoais a que tenha acesso, independente de aviso à autoridade nacional competente, caso (i) conte com um operador encarregado para tratamento dos dados pessoais, (ii) haja instrumento jurídico formalizando a transferência, (iii) tenha por objetivo a prevenção de fraudes ou irregularidades e garantir a segurança do titular dos dados ou (iv) os dados estejam disponíveis publicamente.
No mesmo sentido, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas com fundamento legal, respaldadas em instrumentos formais ou em caso de estudos por órgão de pesquisa, os titulares dos dados não serão comunicados da transferência de dados realizada pela administração pública.
Quanto aos dados coletados para fins exclusivos de segurança pública, defesa nacional ou segurança do Estado, a coleta agora poderá ser realizada por pessoa jurídica privada, não integralmente, sendo obrigatória a tutela por pessoa jurídica de direito público.
Sobre a Lei Geral de Proteção de Dados Pessoais
Com inspiração em legislação europeia, a General Data Protection Regulation, o Brasil passou a integrar o grupo de mais de 120 países que contam com legislação específica para tratar da matéria.
A lei regula a proteção, o tratamento e o uso de dados no Brasil das pessoas naturais e jurídicas de direito público ou privado, obtidos por qualquer meio e em qualquer país, dispondo sobre a segurança e a interconexão de dados e definindo conceitos e princípios aplicáveis, dentre os quais a proteção da privacidade, da garantia da liberdade e da inviolabilidade da honra e da imagem.
De acordo com a LGPD, dados como nome, endereço, idade, e-mail, estado civil e condição financeira, ou quaisquer outros que permitam a identificação de uma pessoa, só poderão ser coletados, armazenados, utilizados e tratados com o consentimento prévio de quem as fornece.
As regras serão aplicáveis a quaisquer empresas e órgãos públicos, que deverão coletar o mínimo de dados necessários, informar a que se destinam, preservá-los de terceiros – ou obter autorização para sua divulgação – e informar a política de proteção adotada, bem como exclui-los ao final da relação estabelecida com o usuário.
Nesse sentido, os proprietários e gestores de bancos de dados deverão (i) obter consentimento para coleta, armazenamento e tratamento dos dados; (ii) não fornecer dados a terceiros sem consentimento; informar a finalidade do tratamento automatizado dos seus dados; (iii) excluir definitivamente as informações pessoais armazenadas após o término dos contratos; (v) adotar medidas destinadas à proteção dos dados pessoais contra a perda ou destruição acidental ou ilícita, a alteração, a difusão e o acesso não autorizados; (vi) impedir que pessoas não autorizadas tenham acesso aos meios de armazenamento dos dados; (vii) permitir o acesso somente de pessoas autorizadas; (viii) possibilitar a verificação das alterações realizadas na gestão dos dados; (ix) viabilizar a portabilidade dos dados; (x) abster-se de coletar e utilizar dados anônimos que possam ser identificados a partir de cruzamento de informações, dos que revelem orientação pessoal, seja religiosa, política ou sexual, origem racial ou étnica, ou convicções filosóficas, salvo com consentimento expresso do titular.
Em caso de descumprimento, são aplicáveis, sem prejuízo de indenização do titular ou de terceiros por dano material ou moral, individual ou coletivo, independentemente da existência de culpa, além de outras sanções civis, penais, e regras específicas, sanções administrativas como (i) multa, de até 2% do faturamento no último ano e limitada a R$ 50 milhões; (ii) suspensão temporária, total ou parcial, das atividades de tratamento de dados, por até 5 (cinco) anos; (iii) intervenção administrativa, para adoção de medidas corretivas; (iv) intervenção judicial; e (v) interdição da atividade exercida pelo proprietário ou gestor de banco de dados, para retificação ou cancelamento do banco de dados.
As mudanças dizem respeito, essencialmente, a departamentos de Recursos Humanos, TI, Compras, Comercial, Gestão de Contratos, Licitações, quanto aos contratos com fornecedores, clientes, prestadores e parceiros, termos de confidencialidade, termos de uso e políticas de privacidade, nas áreas cível, empresarial, concorrencial e trabalhista, desde a coleta, ao armazenamento e uso, compartilhamento e exclusão dos dados.
Em suma, em uma primeira etapa seria realizado mapeamento de todos os procedimentos que incluem coleta de dados. Posteriormente, seriam identificados os departamentos e seus responsáveis para atualização interna, incluindo capacitação de pessoal, desenvolvimento de sistemas de proteção de dados contra acessos não autorizados, identificação de canais de comunicação para informar sobre a utilização dos dados, e atualização dos documentos jurídicos que tratem do uso e da proteção dos dados.
Nesse sentido, caso a empresa adote cadastro de dados de seus clientes, fornecedores, empregados ou contratados em geral, será necessária a adoção de algumas medidas de compliance e governança corporativa, a fim de alinhar os processos e procedimentos internos às exigências legais até 2020, quando a lei será exigível.
A banca do Romano Donadel fica a inteira disposição para quaisquer esclarecimentos necessários e elaboração de mecanismos de compliance.