Lei Geral de Proteção de Dados – Contagem regressiva

Lei Federal nº 13.709, de 14 de agosto de 2018

Em 2018, passados oito anos de debates e ainda carente de legislação específica quanto ao tratamento de dados pessoais, o Brasil, inspirado na legislação europeia de proteção de dados pessoais: General Data Protection Regulation (GDPR), aprovou a Lei nº 13.709, a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020, após dois anos de vacatio legis.

A LGPD visa a garantir maior controle no tratamento dos dados pessoais, leia-se: maior controle acerca da coleta, utilização, transferência, correção e do processamento de dados pessoais.

A nova Lei, baseada na GDPR, está pautada em fundamentos (no seu artigo 2º) que remetem aos direitos e garantias constitucionais quanto à livre manifestação de pensamento, à inviolabilidade da intimidade, da vida privada, da honra e da imagem, do sigilo de dados.

Inovou ao quebrar a hegemonia do “consentimento” do titular para a utilização de seus dados, previsto em legislações anteriores, as quais tinham alguns de seus artigos dedicados à proteção de dados, como o Código de Defesa do Consumidor e a Lei do Marco Civil da Internet. Mesmo sem o consentimento do titular, há hipóteses previstas na LGPD em que os dados pessoais poderão ser tratados, como por exemplo para atender interesses legítimos de quem os detenha ou de terceiro (artigo 7º, IX). Nesse caso, a empresa deve gerar um relatório de impacto à proteção de dados pessoais – documento que descreverá detalhadamente o tratamento dos dados utilizados e a sua finalidade -, assegurando e demonstrando o devido cumprimento da LGPD.

O advento da LGPD coloca o Brasil em posição de igualdade em relação a outros países que já têm regramento sobre proteção de dados, possibilitando o aumento de investimentos no país, em razão da segurança jurídica que passará a existir efetivamente.

A partir de 14 de agosto de 2020, qualquer pessoa natural ou jurídica de direito público ou privado que trate dados de pessoas naturais deverá observar e cumprir a LGPD, sob pena de sofrer punições, após a devida tramitação de processo administrativo instaurado pela autoridade competente. As penalidades estabelecidas vão desde advertência até multa em percentual sobre faturamento (artigo 52), incluindo-se a proibição do exercício de atividades relacionadas a tratamento de dados – o que redundaria na inviabilização de atividades de algumas empresas cujo produto final advém exclusivamente do tratamento de dados.

As empresas brasileiras deverão adotar ações de compliance a fim de garantir o cumprimento da LGPD. Revisar e adequar as suas políticas internas e em relação a terceiros serão ações fundamentais. Regramentos claros e acessíveis sobre o tratamento de dados serão imprescindíveis para comprovar o engajamento e a observância da Lei, evitando-se a cominação de sanções.

A General Data Protection Regulation (GDPR), vigente na União Europeia há pouco mais de um ano, vem gerando vultosas condenações a grandes empresas que não têm cumprido o regramento. De certa forma, portanto, já se pode ter um prognóstico do quão impactante será a LGPD no Brasil; e isso também pode ser visto como incentivo pelas empresas brasileiras para se adequarem à nova Lei. Ainda há tempo.