Legislação

10/09/2018

Inédita no Brasil, Lei Geral de Proteção dos Dados Pessoais entra em vigor em 2020

Legislação se aplica a dados coletados em meios físicos ou digitais, nos setores privados e públicos, e a infração das normas resultará em sanções e multas

Inédita no Brasil, Lei Geral de Proteção dos Dados Pessoais entra em vigor em 2020

Lei inova em alguns aspectos, como a criação da figura dos agentes de tratamento, chamados de controlador e operador 
(Arte: TUTU)

Inédita no Brasil, a Lei n.º 13.709/2018, que trata da proteção dos dados pessoais, foi sancionada em agosto deste ano e define as situações em que essas informações podem ser coletadas e usadas. Inspirada na Regulamentação Europeia de Proteção de Dados (GDPR), que entrou em vigor em maio deste ano, a nova legislação elevou o País a um patamar compatível com as demais leis internacionais sobre proteção de dados.

A nova Lei Geral de Proteção de Dados (LGPD) define como dado pessoal sensível aqueles que se referem à origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; e saúde ou vida sexual, além de dado genético ou biométrico. A lei exige consentimento específico para coleta e tratamento desses dados, assim como o tratamento de dados de crianças e menores de idade.

Veja também:
FecomercioSP comemora sanção presidencial à Lei de Proteção de Dados
Empresas brasileiras precisam se adaptar à nova lei de proteção de dados da União Europeia
Nova regulamentação para proteção de dados entra em vigor e afeta empresas brasileiras

A norma se aplica a todas as pessoas físicas ou jurídicas, de direito público ou privado, que realizem a coleta e o tratamento de dados de cidadãos no território nacional, tanto de forma física quanto nos meios digitais. Entretanto, a lei não se aplica ao tratamento de dados realizado por pessoa física exclusivamente para fins particulares e não econômicos ou para fins exclusivamente jornalísticos, artísticos, acadêmicos e pelo Poder Público para segurança e defesa nacional.

Antes da LGPD não existia no Brasil uma legislação específica sobre proteção de dados pessoais. A matéria era regulada por algumas leis esparsas (Código de Defesa do Consumidor, Lei do Cadastro Positivo, Lei de Acesso à Informação e outras) e pelo chamado “Marco Civil da Internet” e seu decreto regulamentador (Lei n.º 12.965 e Decreto n.º 8.771/16), que estabeleceu princípios e garantias para o uso da internet no Brasil, bem como requisitos mínimos para tratamento e proteção de dados pessoais.

A nova lei inova em alguns aspectos, como a criação da figura dos agentes de tratamento, que são respectivamente o controlador (responsável pelas decisões referentes ao tratamento de dados pessoais) e o operador (aquele que realiza o tratamento de dados em nome do controlador). Enquanto o controlador – que geralmente será a empresa gestora dos dados – deverá indicar um funcionário encarregado pelo tratamento de dados, o operador pode ser contratado para responder pelo tratamento e gestão dos dados coletados.

Para a Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP), a nova legislação aumenta a segurança jurídica no País e, consequentemente, o potencial para estimular investimentos, melhorando o ambiente de negócios e o desenvolvimento econômico em longo prazo.

No projeto original do Senado, constava no texto a criação de dois órgãos: a Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. No entanto, essas instituições deixaram de ser aprovadas quando a lei foi sancionada. Ainda assim, o governo federal deve editar uma nova lei de autoria do Poder Executivo com o objetivo de criar os órgãos reguladores.

Fiscalização e sanções
A Nova Lei Geral de Proteção de Dados entra em vigor em fevereiro de 2020, e a infração das normas previstas resultará nas seguintes sanções:

*Advertência, com indicação de prazo para adoção de medidas corretivas;
*Multa simples, de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos. Essa sanção é limitada ao valor de R$ 50 milhões por infração;
*Multa diária, observado o limite total a que se refere o item anterior;
*Divulgação pública da infração após devidamente apurada e confirmada a sua ocorrência;
*Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
*Eliminação dos dados pessoais a que se refere a infração;
*Suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
*Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
*Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As sanções devem ser aplicadas após procedimento administrativo que possibilite a oportunidade de defesa e devem ser aplicadas de acordo com critérios como gravidade e natureza das infrações; boa-fé do infrator, vantagem auferida ou pretendida; condição econômica do infrator; reincidência da prática; e grau do dano.