Lei Geral de Proteção de Dados Pessoais

Origem: Wikipédia, a enciclopédia livre.
Saltar para a navegação Saltar para a pesquisa
Wikitext.svg
Esta página ou seção precisa ser wikificada (desde julho de 2018).
Por favor ajude a formatar esta página de acordo com as diretrizes estabelecidas.


Lei Geral de Proteção de Dados Pessoais (LGPDP)
Criado Câmara dos Deputados do Brasil e Senado Federal do Brasil
Ratificado 14 de Agosto de 2018
Propósito Fornece as diretrizes de como os dados pessoais dos cidadãos podem ser coletados e tratados e altera a Lei 12.965/14 (Marco Civil da Internet).

A Lei Geral de Proteção de Dados Pessoais (LGPDP), Lei nº 13.709/2018, é a legislação brasileira que determina como os dados dos cidadãos podem ser coletados e tratados, e que prevê punições para transgressões.[1]

O trâmite no Congresso Nacional do Brasil (Câmara e Senado) teve duração de 2 anos, duas consultas públicas, mais de 2500 contribuições de atores nacionais e internacionais, de todos os setores, inúmeros eventos. A lei foi sancionada em 14 de agosto de 2018, publicada no Diário Oficial da União de 15/08/2018 e republicado parcialmente no mesmo dia em edição extra. A lei prevê um período de adaptação de 18 meses.[2] A lei foi aprovada no plenário do Senado Federal brasileiro, no dia 10 de julho de 2018, sob o Projeto Lei da Câmara 53/2018[3]. O projeto sofreu vetos de Michel Temer, o qual alegando "vício de iniciativa", vetou a criação da Autoridade Nacional de Proteção de Dados (ANPD) que seria o órgão independente que faria a fiscalização da aplicação da lei. [4]

O Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.[5] Outros regulamentos similares ao LGPDP no Brasil são o General Data Protection Regulation (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Européia (UE), [6] e o California Consumer Privacy Act of 2018 (CCPA)[7], nos Estados Unidos da América, implementado através de uma iniciativa em âmbito estadual, na Califórnia, onde foi aprovado no dia 28 de junho de 2018 (AB 375).[8]

A Medida Provisória nº 869, de 2018 altera pontos relevantes da LGPDP, inclusive o momento de início da vigência e a criação da Autoridade Nacional de Proteção de Dados (ANPD).

Contexto[editar | editar código-fonte]

O contexto no qual o projeto de lei sobre a proteção de dados foi aprovado pelo Poder Legislativo brasileiro foi fundamental para que sua tramitação tenha acontecido de maneira rápida. Além do fato de o projeto de lei ter sido fruto da aglutinação de outras propostas que há muito tempo vinham tramitando paralelamente sobre o tema, os escândalos de privacidade do Facebook – em que a empresa Cambridge Analytica utilizou de dados dos usuários para que pudessem fazer uma campanha política mais assertiva e customizada na eleição de Donald Trump em 2016 – também trouxeram visibilidade para o assunto. A segurança de dados e a privacidade passaram a ser pautas recorrentes, recaindo uma cobrança sobre os políticos brasileiros no sentido de tratar dessas questões, já que não havia no país legislação que objetivo específico de defender os dados dos usuários e definir responsabilidades relativas ao tratamento destes. Há também investigações acontecendo no Brasil, no final de julho o Ministério Publico do Distrito Federal sinalizou um possível comércio entre órgãos públicos, onde o produto são os dados das pessoas, sem que houvesse consentimento dos donos. O Serpro (Serviço Federal de Processamento de Dados) negou as acusações, alegando que disponibiliza através de um serviço e justificou citando uma portaria do Ministério da Fazenda.[9]

Disposições do Projeto Lei da Câmara 53/2018[editar | editar código-fonte]

O Projeto de Lei aprovado nas casas legislativas (Projeto Lei da Câmara 53/2018) visa alterar a Lei nº 12.965/2014 com intuito de proteger dados tratados no Brasil, tanto no âmbito digital, como fora deste, por empresas ou órgãos públicos, permitindo que os cidadãos tenham mais controle sobre seus dados, especialmente sobre o modo como são usados. Além disso, estabelece meios de responsabilização desses atores em caso de vazamento indevido de informações, inclusive com a fixação de punições.

A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, de comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos liberdade e dignidade das pessoas.

Seu texto determina que todos dados pessoais (informação relacionada à pessoa natural identificada ou identificável, como nome, idade, estado civil, documentos) só podem ser coletados mediante o consentimento do usuário e com a devida explicação sobre a finalidade de solicitar aquele dado. Também classifica, na seção 2 artigo 17, determinados dados como sensíveis, que seriam aqueles que, por sua natureza, devem ter uma proteção mais rigorosa, a exemplo de informações a respeito da origem do usuário (origem racial ou étnica), de crenças (convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político), corporais (referentes à saúde, dados genéticos e dados biométrico) e sexuais (vida sexual).

O tratamento de dados pessoais sensíveis somente poderá ocorrer na seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatório pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive, em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos e liberdades fundamentais do titular no art. 15 desta Lei e excetuado o caso em que prevaleçam direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais.[3]

As empresas ou órgãos públicos, por sua vez, ficam obrigados a seguir o preceito da minimização de dados, de modo que devem coletar somente os dados no momento em que eles são necessários. Quanto à venda dos dados, esta não é permitida sem que haja consentimento do usuário.

No entanto, o texto, no artigo 4, afasta a aplicação da legislação a determinados casos, como os de dados pessoais tratados por pessoa física para fins exclusivamente pessoais ou para fins exclusivamente artísticos ou acadêmicos.

Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalísticos b) artísticos c)acadêmicos, aplicando-se a esta hipótese os arts. 13 e 17 desta Lei; d) de segurança pública e) de defesa nacional; f) de segurança do Estado; g) de atividades de investigação e repressão de infrações penais; III - proveninentes de fora do território nacional e que: a) não sejam objeto de comunicação ou de uso compartilhado com agentes de tratamento brasileiros; b) sejam objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. [3]

Dentre os direitos conferidos aos titulares dos dados, estão o de obter do responsável pelo tratamento de suas informações, a qualquer tempo e por meio de requisição, a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou manipulado de forma diversa aos termos da lei; a eliminação dos dados pessoais tratados com o consentimento do titular; as informação das entidades públicas e privadas com as quais o responsável pelo tratamento compartilhou dados; informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa, além da revogação do consentimento.

Há também a previsão do direito à portabilidade de dados, de modo que o serviço deverá prover a possibilidade de o usuário mover todos seus dados de um serviço para outro.

Além disso, deverá ser indicada publicamente, pela empresa ou poder púbico, a pessoa que possui a atribuição de tratar dados pessoais de terceiros em sua respectiva esfera de atuação. Está deverá ficar responsável por receber reclamações ou pedidos.

Em caso de ocorrência de vazamentos indevido de informações, prevê-se que os usuários devem ser avisados imediatamente, para que possam tomar alguma providência.

Os Termos de uso, por sua vez, deverão ser mais claros e descritivos, destrinchando onde cada informação coletada será utilizada. Quando se tratar de um serviço ou produto destinado a crianças, a linguagem deverá ser adequada para a faixa etária, sendo ainda mais clara e compreensível, mas se dirigindo também aos pais ou responsáveis – inclusive porque é exigido, no artigo 20 inciso 2, o consentimento destes para o tratamento dos dados de crianças e adolescentes.

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.[3]

Está prevista, ainda, a criação de uma Autarquia nacional responsável pela fiscalização e punição das empresas que estiverem infringindo as regras da Lei Geral de Proteção de Dados Pessoais. O órgão atuaria de maneira autônoma e independente sob égide do Ministério da Justiça.

Esse é um dos pontos que mais desperta polêmica no texto do projeto, pois membros do Executivo alegam sua inconstitucionalidade. Já Orlando Silva, o Relator do projeto na Câmara, alega que, por ser uma proposta oriunda do Executivo, através da consulta pública pelo Ministério da Justiça, a criação dessa Autarquia seria constitucional. No entanto, o custo que acarretaria a criação do novo órgão é outro ponto que atrai críticas, embora também haja defensores de sua criação sob o fundamento de que, sem um órgão similar não haveria como garantir efetividade com a nova lei.

O texto dispõe que qualquer empresa ou órgão público que atue no tratamento de dados pessoais deva ser responsabilizado se violar a legislação. Ocorrendo vazamento de dados ou qualquer outro tipo de violação da segurança destes, determina que a autoridade da Autarquia criada seja comunicada, a fim de tomar as providências necessárias, como a divulgação da falha ocorrida em meios de comunicação.

Também estão estabelecidas punições para as empresas que deixarem de proteger os dados dos usuários nos moldes da lei, como a suspensão de suas atividades relativas a tratamento de dados pessoais de terceiros por seis meses ou multas de até 2% de seu faturamento, sem exceder o limite máximo de cinquenta milhões de reais.

Ademais, há previsão para criação de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que deverá ser composto por 23 membros de órgãos públicos, privados e representantes civis. Esse conselho terá a responsabilidade de fomentar o debate e propor medidas relativas à política de proteção de dados no Brasil.

Fiscalização[editar | editar código-fonte]

A lei entra em vigor 18 meses após a sua publicação no Diário Oficial da União, ou seja, a partir de fevereiro de 2020. . As infrações deverão ser aplicadas pela autoridade nacional, mencionada na lei.[3] Entretanto, a Autoridade Nacional de Proteção de Dados (ANPD) foi vetada pelo presidente Michel Temer,[4] criando o questionamento sobre a efetividade da lei caso a autoridade nacional não fosse criada.[10][11]

Autoridade Nacional de Proteção de Dados[editar | editar código-fonte]

A Autoridade Nacional de Proteção de Dados foi criada pela medida provisória nº 869, de 27 de dezembro de 2018.[12]

Referências

  1. ALECRIM, EMERSON. Technoblog, ed. «O que você deve saber sobre a lei de proteção de dados pessoais do Brasil». Consultado em 22 de julho de 2018 
  2. MONTEIRO, RENATO LEITE. JOTA.Info, ed. «Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada». Consultado em 22 de julho de 2018 
  3. a b c d e Senado Federal do Brasil (ed.). «PLC 53/2018». Senado Federal. Consultado em 22 de julho de 2018 
  4. a b Mazui, Guilherme; Castilhos, Roniara (14 de agosto de 2018). «Temer sanciona com vetos lei de proteção de dados pessoais». G1. Consultado em 11 de novembro de 2018 
  5. ALECRIM, EMERSON. Technoblog, ed. «O que você deve saber sobre a lei de proteção de dados pessoais do Brasil». Consultado em 22 de julho de 2018 
  6. Comissão Européia (ed.). «Proteção de dados». Comissão Européia. Consultado em 22 de julho de 2018 
  7. Californians for Consumer Privacy (ed.). «Página Principal». Californians for Consumer Privacy. Consultado em 22 de julho de 2018 
  8. California Legislative Information! (ed.). «AB-375 Privacy: personal information: businesses.». California Legislative Information!. Consultado em 22 de julho de 2018 
  9. «O que diz o projeto de lei de proteção de dados que tramita no Senado» 
  10. Lemos, Ronaldo (20 de agosto de 2018). «Lei de dados nasceu desgovernada». Folha de S. Paulo. Consultado em 11 de novembro de 2018 
  11. Monte-Serrat, Daniela (20 de agosto de 2018). «Brasil precisa de autoridade de dados para se manter próximo do mercado europeu». Jota.info. Consultado em 11 de novembro de 2018 
  12. MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018


Ligações externas[editar | editar código-fonte]