Tedesco e Portolan Advogados Associados

Notícias


20/Ago

MP adia Lei de Proteção de Dados para 2021

Tedesco e Portolan | MP adia Lei de Proteção de Dados para 2021 O Brasil é um dos países que cada vez mais se preocupam com a proteção de dados de empresas e cidadãos. Porém, para colocar em prática uma lei protetiva, há diversos desafios que precisam ser superados. Recentemente, a MP 959/2020 adiou a Lei Geral de Proteção de Dados (13.709/2018) para 2021. A medida provisória tem validade até o final deste mês, quando deve entrar em votação na Câmara dos Deputados e Senado Federal.

Além disso, em junho, foi publicado no Diário Oficial da União, a Lei 14.010/2020, estabelecendo que as sanções administrativas e multas referentes a LGPD, passem a vigorar a partir de 1º de agosto de 2021.

Vale destacar que a Lei de Proteção de Dados foi aprovada, com o intuito de estabelecer regras de coleta e tratamento de informações de pessoas, empresas e instituições públicas, os direitos de titulares de dados, as responsabilidades de quem processa esses registros e as estruturas e formas de fiscalização e eventuais reparos em caso de abusos nesta prática. (Confira na matéria de julho de 2018 - Mais proteção para dados pessoais).

Direitos fundamentais

Por outro lado, alguns fatos mostram que o Brasil se encaminha para a aplicação da nova lei, quando pensa em diretos fundamentais. Recentemente, o Supremo Tribunal Federal suspendeu a eficácia da polêmica Medida Provisória 954/2020, que determinava que as operadoras de telefonia disponibilizassem ao IBGE da relação dos nomes, endereços e telefones de todos os brasileiros que possuem uma linha fixa ou móvel.

Essa ação demonstra que, embora não estivesse em vigor os princípios da LGPD, a finalidade, transparência e segurança dos dados já devem ser considerados desde a interpretação da constituição federal.

Cenários para entrada em vigor da LGPD

• Cenário atual: vigência das sanções administrativas em 1/8/2021 (artigos 52,53 e 54 da LGPD adiados pela Lei 14.010/2020), o que não afasta penalidades pela via judicial. Esse cenário não pode ser alterado pela MP.
• Cenário 1: com a rejeição da MP 959 a LGPD entra em vigor imediatamente, exceto pelas sanções administrativas.
• Cenário 2: com a aprovação da MP 959 a LGPD passa a vigorar em maio de 2021, com exceção das sanções administrativas.
• Cenário 3: aprovação da MP 959, alterando a entrada em vigor da LGPD para alguma outra data.
• Cenário 4: caducidade da MP 959 (votação não concluída até 26/8/2020). LGPD passa a vigorar imediatamente nesta data.

O que muda com a Lei de Proteção de Dados

Empresas

O gerente executivo de política industrial da Confederação Nacional da Indústria (CNI), João Emílio Gonçalves, relata que a entidade tem recebido empresas preocupadas com a adaptação às exigências da lei. Muitos negócios que antes não se percebiam como relacionados à coleta e tratamento de dados estão percebendo seu envolvimento com essas atividades, especialmente na adoção de novos modelos. Empresas de logística, exemplifica o executivo, passam a ter mecanismos de controle de frota, o que demanda o tratamento desses registros.

“Empresas estão olhando negócios em transformação pela possibilidade de passar a incorporar cada vez mais serviços que dependem muito da coleta e tratamento de dados Principalmente nas empresas líderes a gente vê uma atuação para se adaptar à lei. As empresas de maior porte elas mais ou menos atendem, estão mais preparadas para lidar com questão de tecnologia da informação (TI) e segurança da informação. Já firmas menores vão ter que fazer novos investimentos em TI. Acho que é um processo de aprendizado”, comenta Gonçalves.

Segundo a Federação Brasileira de Bancos (Febraban), as instituições financeiras também estão se movimentando para se adaptar às obrigações da LGPD. Entre as medidas neste sentido estão a nomeação de responsáveis pela proteção de dados, a obtenção de consentimento dos clientes para a utilização de seus dados em diversas finalidades, a atualização de documentos como contratos e políticas internas, a adequação de contratos com fornecedores e a processos para atendimento aos novos direitos dos clientes.

Para o diretor-executivo no Brasil da empresa de segurança da informação Kaspersky, Roberto Rebouças, há ainda muita falta de compreensão de companhias sobre a adequação às regras da LGPD. “A sensação é que a gente tem que empresas acham que não serão afetadas, que não tem nada de muito extraordinário. Empresas têm funcionários, tem folha de pagamento, têm dados dos funcionários.

Até mesmo um dentista tem que tomar cuidado com vazamento de dados do cliente dele”, exemplifica.

Cidadãos

Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de “dado sensível”, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Mas quem fica sujeito à lei? Todas as atividades realizadas ou pessoas que estão no Brasil. A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para segurança pública.

Ao coletar um dado, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei. A Lei previu uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse” desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.

De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).

Fiscalização a cargo da Autoridade Nacional de Proteção de Dados

A fiscalização ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD). Após vetos, uma Medida Provisória (No 869 de 2018) editada e aprovada (na forma da Lei No 13.353 de 2019) mudando a Lei e novos vetos pelo presidente Bolsonaro, a Autoridade perdeu poderes frente ao previsto na primeira redação da Lei aprovada pelo Congresso em 2018. Diferentemente da versão do

Parlamento, o órgão não terá uma estrutura independente, mas ficará subordinado à Presidência da República, com um compromisso de revisão de sua natureza institucional após dois anos.

As sanções também sofreram mudanças com a MP No 869. Ao fim, a Autoridade poderá aplicar multas de até 2% do faturamento da empresa (com limite de R$ 50 milhões) e bloqueio ou eliminação dos dados relacionados a uma infração. A suspensão parcial ou total de banco de dados de um ente que violar a Lei havia sido prevista na Lei de Conversão da MP (No 13.353 de 2019) foi um dos pontos vetados pelo presidente Jair Bolsonaro, que ainda passarão por análise do Congresso Nacional.

Autoridade

Tanto para o gerente executivo da CNI quanto para o diretor-executivo da Kaspersky, o disciplinamento e a orientação da adequação às normas passam pela criação da Autoridade Nacional de Proteção de Dados. É a posição também do Google. "A Autoridade Nacional de Proteção de Dados terá um papel fundamental para guiar a interpretação da lei e unir os objetivos de inovação e supervisão regulatória eficaz, proporcionando transparência e confiança aos cidadãos", ressaltou a companhia em nota enviada à Agência Brasil. Na avaliação do advogado especialista em proteção de dados do escritório Pereira, Neto e Macedo Associados Rafael Zanatta, a eficácia dessas funções passa pela garantia de fato de independência técnica e funcional do órgão regulador, o que envolve a composição da sua direção e da equipe bem como a definição de como irá atuar.

“O desafio vai ser montar estrutura interna que demonstre funcionalidade. Pessoas capazes de produzir a parte burocrática, estrutura de recebimento de denúncias, investigações externas, processo administrativo, cooperação internacional. Mesmo com possibilidade de supervisão pela Casa Civil, a autoridade deve ter autonomia de fato”, diz. Caso isso não ocorra, acrescenta, o vácuo pode ser ocupado por outros entes, como na fiscalização e punição pelo Ministério Público.

O líder do Programa de Telecomunicações e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), Diogo Moyses, destaca que a Autoridade terá papel fundamental de disciplinar a adequação do tratamento dos dados à finalidade para a qual eles foram coletados e para evitar abusos em exceções previstas na Lei, como no caso do uso de informações de saúde ou das notas (scores) de crédito.

“No caso das empresas avaliadoras de risco de crédito, ainda é preciso delimitar com maior precisão quais dados podem ser utilizados e em quais circunstâncias o score do consumidor pode ser empregado como referência para relações de consumo. Esses são somente alguns exemplos das inúmeras tarefas que serão reservadas à ANPD, daí a importância de ela ser criada o mais rapidamente possível”, defende Moyses

Ele lembra que, enquanto a lei não entra em vigor, ainda assim o cidadão pode recorrer à legislação em vigor caso se sinta lesado, como é o caso do Marco Civil da Internet ou do Código de Defesa do
Consumidor. Essa norma assegura ao cidadão direitos como à informação, à transparência e, de forma objetiva e a ser informado em caso de coleta de dados do consumidor. Já o Marco Civil prevê, na Internet, a obrigação de consentimento do usuário para a coleta de informações sobre ele. O indivíduo também pode cobrar juntamente à Justiça ou ao Ministério Público violações à privacidade e problemas como vazamento de dados.