Na prática, muda-se muita coisa para as empresas, incluindo: Necessidade de indicação de um responsável para servir como canal de comunicação com o público e supervisionar o tratamento de dados; Sujeição a multas e penalidades severas em caso de descumprimento das regras relativas à proteção de dados; Implementação de padrões de segurança e mecanismos de proteção de dados pessoais desde a concepção dos produtos e serviços; Exigência de maior controle dos processos de tratamento de dados pessoais, incluindo mediante a manutenção de registros e elaboração de relatórios; e maior transparência em relação aos usos e finalidades empregados para o tratamento de dados pessoais.

Votada poucos meses após a entrada em vigor da GDPR (General Data Protection Regulation) da União Europeia, a nova Lei Geral de Proteção de Dados possui clara inspiração nesta, em especial no que se refere às autorizações para tratamento e à aplicação extraterritorial da lei. O projeto define como dados pessoais qualquer informação relacionada à pessoa natural identificada ou identificável, enquanto tratamento inclui toda operação realizada com dados pessoais, incluindo sua coleta, produção, uso, transmissão, armazenamento e descarte.

Adicionalmente, o projeto define como dados sensíveis informações referentes a origem étnica ou racial, convicções políticas ou religiosas, sobre saúde e vida sexual e dados biométricos, que são objeto de proteção mais rigorosa em razão de sua natureza. São previstas as hipóteses autorizadas para tratamento de dados pessoais, das quais destaca-se consentimento livre e informado pelo titular, mas que também poderá ser resultante de obrigação legal ou regulatória, execução de políticas públicas, proteção da vida ou integridade do titular dos dados ou de terceiro, exercício de direitos em processo e interesse legítimo do controlador dos dados ou por terceiro, entre outros.

O projeto ainda estabelece como regra a minimização de dados, devendo as empresas coletar e de outra forma tratar dados pessoais somente na medida que esses sejam necessários para a finalidade alegada, encerrando o tratamento após alcançada a finalidade ou caso os dados deixem de ser necessários ou pertinentes para essa. Os titulares dos dados poderão ainda obter informações sobre o tratamento realizado, bem como solicitar acesso a tais dados e requerer sua correção ou exclusão, dentro dos termos da lei, podendo ainda a qualquer momento e de forma gratuita revogar seu consentimento para o tratamento dos dados, quando este foi o método de autorização utilizado.

Adicionalmente, são previstas regras para a transferência internacional de dados pessoais, entre elas a obtenção de consentimento específico do titular ou a existência de regras no país ou organização de destino que proporcionem proteção em grau adequado ou previsto no projeto. A nova lei será aplicável a todo tratamento de dados que acontecer no país, bem como a empresas estrangeiras que possuam filial no Brasil ou que ofereçam serviços ao mercado nacional e de qualquer forma tratem dados de pessoas físicas que estejam localizadas dentro do território nacional.

A lei não se aplicará ao tratamento de dados por pessoas físicas para fins pessoais, bem como para fins jornalísticos, artísticos e até certa extensão, acadêmicos, bem como para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de crimes.

O ponto mais polêmico do projeto é a criação de uma Autoridade Nacional de Proteção de Dados, submetida a regime autárquico e vinculada ao Ministério da Justiça e que terá como principais funções zelar pela proteção de dados pessoais e fiscalizar e aplicar sanções em caso de descumprimento da legislação aplicável, entre as quais estão multas que podem chegar a R$ 50.000.000 por infração bem como a proibição do exercício de atividades relacionadas a tratamento de dados.

A criação de uma autarquia por ato do Legislativo vem sendo criticada por membros do Executivo que defendem o veto parcial do projeto em razão de sua alegada inconstitucionalidade, enquanto outros como o Relator do projeto na Câmara, deputado Orlando Silva (PCdoB-SP) defendem que, por se basear em projeto de origem do Executivo (através da consulta pública realizada pelo Ministério da Justiça que gerou o anteprojeto proposto na forma do PL 5276/2016, Anexado ao PL 4060/2012, que deu origem ao PLC 53/2018), a criação da autarquia seria constitucional. Adicionalmente, o financiamento da nova autarquia, considerando o corte de gastos efetuado pelo Governo Federal, vem sendo motivo de discussões sobre a viabilidade de tal órgão.

São definidas ainda diversas obrigações para o controlador de dados, incluindo: Notificação à Autoridade Nacional de Proteção de Dados em prazo razoável de qualquer incidente de segurança de informação, bem como eventual notificação aos titulares e ampla divulgação ao incidente para o público, conforme a gravidade de sua natureza; Indicação pelo controlador de um encarregado que servirá de canal de comunicação entre os titulares dos dados e o controlador, bem como supervisão e fiscalização do cumprimento das regras de proteção de dados pessoais, equivalendo à figura de Data Protection Officer (DPO) prevista na GDPR; A adoção de padrões de segurança a serem definidos pela autoridade competente no processo de tratamento dos dados, bem como de práticas de proteção de dados pessoais desde a concepção dos produtos e serviços até a sua efetiva execução de modo a garantir o maior nível de proteção dos dados pessoais; e Registro de todas as atividades de tratamento realizadas, incluindo o tipo de dado, o prazo de tratamento e a fundamentação para o tratamento, bem como a elaboração de relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação.

Após sanção presidencial, a Lei entrará em vigor após um prazo de 18 meses, que deverá ser utilizado pelas empresas para a regularização de suas atividades com base na nova legislação. Não obstante o prazo relativamente longo para implementação, a adoção das normas da Lei Geral de Proteção de Dados Pessoais deve ser efetuada o mais cedo possível para evitar desgastes ao final do prazo, conforme fora observado este ano em relação à GDPR, bem como para fornecer às empresas uma vantagem competitiva.

*Isabela Moreira Vilhalba, sócia do Saiani & Saglietti Advogados