Após um longo processo legislativo, em 14 de agosto de 2018 foi aprovada a nova Lei de Proteção de Dados Pessoais – LPDP (Lei nº 13.709/2018), que entrará em vigor vinte e quatro meses após a data de sua publicação.
O projeto original da LPDP sofreu alguns vetos presidenciais, dentre eles o do artigo que previa a criação de uma agência independente de proteção de dados. Isso chamou a atenção de especialistas que entendem que a criação da agência seria um importante passo para a segurança dos titulares de dados e para a garantia de eficácia da lei.
A nova lei tem evidente inspiração na lei europeia que trata do mesmo tema (GDPR), que entrou em vigor em 2018. A visão globalizada da proteção de dados pessoais é uma tendência entre os países que estão buscando regular o tema. Isso porque, tratar dessa questão da forma mais uniforme possível é uma necessidade, especialmente por conta da característica de transterritorialidade das operações no meio digital.
Muitas pessoas se surpreendem ao tomar conhecimento de que a LPDP se aplica a todos os indivíduos e entidades públicas ou privadas que lidam, de alguma maneira, com o tratamento de dados pessoais no Brasil. Em outras palavras, tanto as grandes corporações, que coletam alto volume de dados, quanto pessoas físicas que vendem produtos e prestam serviços estão sujeitas às disposições da LPDP, independentemente de onde estejam localizados.
A lei estabelece os requisitos para o tratamento de dados pessoais, sendo o mais relevante deles a necessidade de o consentimento do titular (arts. 7º e 8º). Além disso, LPDP traz um artigo que trata da transferência internacional de dados pessoais e os requisitos para esse tipo de operação (arts. 33 a 36).
Um dos aspectos mais importantes da LPDP é estabelecer os direitos do titular dos dados (art. 9º), que vão desde a possibilidade de acesso aos dados que foram coletados até o pedido de que tais dados sejam total ou parcialmente excluídos.
Vale ressaltar ainda que a LPDP se estende aos dados coletados de empregados, prestadores de serviço e pessoas que tenham participado de processos seletivos.
Atualmente, muitas organizações não sabem como se adequar às novas exigências da LPDP, especialmente em relação aos dados que já foram coletados. É evidente que o processo de adaptação irá depender das especificidades de cada caso e deverá contar com o apoio de profissionais especializados no assunto. Contudo, em linhas gerais, é recomendável que se verifique se houve consentimento prévio dos titulares dos dados coletados e qual o escopo de tal consentimento. Caso não tenha havido consentimento e/ou tenha sido insuficiente, será necessário solicitar novo consentimento.
É importante lembrar que todos aqueles que lidam com o tratamento de dados devem adotar medidas de segurança – os padrões mínimos serão estabelecidos pela autoridade competente mediante regulamento – que protejam tais dados de acessos não autorizados ou de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Em caso de inobservância das medidas de segurança e/ou das obrigações previstas na lei, o controlador dos dados poderá ser responsabilizado civil e criminalmente, além de sofrer sanções administrativas que vão desde advertências até multas que podem chegar a R$ 50.000.000,00 por infração.
É claro que, como toda legislação nova e que traz grande impacto nas operações de diversas entidades, muitos aspectos controvertidos estão sendo levantados – como, por exemplo, a aplicabilidade da LPDP a organizações do terceiro setor. Além disso, a LPDP ainda carece de regulamentação e é incerto quem será a entidade fiscalizadora. Contudo, trata-se de um importante passo para garantir que o desenvolvimento econômico do país caminhe de mãos dadas com o respeito à privacidade e à liberdade de informação.