Tudo o que você precisa saber sobre a nova lei de proteção de dados do Brasil
Em 14 de agosto de 2018, o Brasil aprovou uma lei geral abrangente de proteção de dados, a Lei Geral de Proteção de Dados (LGPD), que visa alinhar a legislação existente ao novo padrão internacional estabelecido pelo Regulamento Geral de Proteção de Dados (GDPR) da UE.
Embora o Brasil já tivesse mais de 40 normas legais que regiam, direta e indiretamente, a proteção da privacidade e dos dados pessoais em nível federal, elas às vezes eram conflitantes ou eram muito ambíguas. A LGPD irá substituir e complementar essas normas existentes, regulamentando o uso de dados pessoais pelos setores público e privado.
A nova legislação entrará em vigor no dia 15 de agosto de 2020, 24 meses após a sua aprovação. O período inicial de espera até a execução foi de 18 meses, mas foi posteriormente estendido por mais 6 meses por meio de uma ordem do presidente Michel Temer.
O LGPD deve muitos de seus requisitos ao precedente estabelecido pelo GDPR. Inclui a necessidade de responsáveis pela proteção de dados, avaliações do impacto da proteção de dados e notificações de violação de dados e tem, em sua essência, os princípios de privacidade desde o projeto e por padrão, desenvolvidos pelo GDPR. As grandes semelhanças entre as duas leis também podem sinalizar o desejo do Brasil de buscar uma decisão de adequação da Comissão Europeia que, se positiva, liberaria as transferências transfronteiriças entre o país sul-americano e o bloco europeu.
A quem se aplica o LGPD?
A LGPD se aplica a todas as pessoas físicas e jurídicas, públicas e privadas, que realizam atividades de processamento de dados pessoais ocorridas ou relacionadas a pessoas físicas localizadas no Brasil, objetivando fornecer bens ou serviços no país ou que envolvam dados pessoais coletados no Brasil.
Assim como o GDPR, o LGPD tem alcance extraterritorial, ou seja, protege os dados de pessoas físicas no Brasil, independentemente da localização do coletor de dados. Todas as empresas que atendem ao mercado brasileiro, tenham ou não escritórios no país, estão, portanto, sujeitas ao LGPD.
A aplicabilidade do LGPD é ampla. Ao incluir indivíduos que processam dados para fins econômicos, o objetivo claramente é regular não apenas as grandes empresas, mas todas as entidades que coletam e processam dados, desde pequenos empresários até empresas multinacionais.
A nova lei não se aplica ao tratamento de dados realizado para fins estritamente pessoais por indivíduos, para fins exclusivamente jornalísticos, artísticos, literários ou acadêmicos ou para fins de segurança nacional, defesa nacional, segurança pública ou atividades de investigação ou punição criminal.
O que são dados pessoais de acordo com o LGPD?
Os dados pessoais protegidos pela LGPD são definidos de forma muito ampla como informações relacionadas a um indivíduo identificado ou identificável. Isso significa que se aplica não apenas aos dados que podem identificar explicitamente uma pessoa, mas também às informações das quais a identidade pode ser inferida.
Os dados confidenciais que exigem camadas adicionais de segurança incluem dados relacionados à raça ou origem étnica, opiniões religiosas, políticas ou filosóficas e afiliações, bem como dados de saúde, sexuais, biométricos ou genéticos.
Embora os dados anônimos estejam fora do escopo de regulamentações como o GDPR e o CCPA, o LGPD declara que os dados anônimos serão considerados dados pessoais quando usados para perfis comportamentais.
Obrigações da empresa sob o LGPD
As associações no âmbito da LGPD devem, em primeiro lugar, designar um Data Protection Officer (DPO) que será responsável por orientar as melhores práticas, receber reclamações e comunicar com a ANPD.
As empresas são obrigadas a adotar medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e destruição, perda, alteração, comunicação ou disseminação acidental ou ilegal. Eles devem implementar um programa de segurança da informação, conduzir avaliações de impacto de proteção de dados (DPIA) e desenvolver uma resposta a incidentes e um plano de remediação.
Em caso de violação de dados que possam resultar em risco ou dano relevante aos titulares dos dados, a organização deve notificar a ANPD em prazo razoável, para posterior esclarecimento pela autoridade. Se solicitado pela ANPD, a empresa deve, então, notificar os titulares dos dados afetados pelo incidente de segurança, alertar a mídia ou tomar providências para mitigar os efeitos do incidente.
Os titulares dos dados devem ser informados sobre a finalidade para a qual seus dados estão sendo coletados. Eles também têm o direito de solicitar que seus dados sejam corrigidos, excluídos ou fornecidos a eles em um formato de fácil leitura com o objetivo de transferi-los para outra empresa. As organizações devem garantir que tenham políticas e procedimentos internos em vigor para responder a todas essas solicitações.
As empresas também devem excluir os dados depois que eles não forem mais necessários para a finalidade original para a qual foram coletados, a menos que os titulares dos dados tenham permitido expressamente a retenção dos dados.
A ANPD brasileira
O texto original da LGPD incluía disposições para a criação de uma Autoridade Nacional de Proteção de Dados (ANPD), um órgão público independente que seria responsável pela aplicação da nova lei e ofereceria orientações e normas complementares .
No entanto, antes de sancionar a lei, o então presidente Michel Temer vetou vários artigos do projeto, incluindo aqueles que regem a criação da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e Privacidade ou Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, uma instituição semelhante ao Conselho de Proteção de Dados da UE. O presidente justificou sua decisão referindo-se ao fato de não caber ao Congresso Nacional a criação de novos órgãos reguladores, a iniciativa deveria partir do Executivo.
A constituição da ANPD foi uma das últimas ordens executivas expedidas pelo Presidente Temer antes do final de seu mandato e foi publicada em 28 de dezembro de 2018. A nova ANPD terá uma estrutura multinível e será dirigida por um conselho de cinco diretores, a ser indicado pelo presidente brasileiro.
O Conselho Nacional de Proteção de Dados Pessoais também foi criado para atuar como órgão consultivo da ANPD e auxiliar na orientação da política de dados no Brasil. Será composto por 23 membros, 11 de diferentes partes do governo brasileiro e 12 de empresas privadas, universidades e sociedade civil.
Transferências transfronteiriças
Os dados pessoais coletados no Brasil só podem ser transferidos para fora do país sob regras específicas, semelhantes às do GDPR. Os dados só podem ser transferidos para países que oferecem um nível de proteção de dados comparável ao da LGPD, embora a lei não especifique como e por quem esse nível será determinado.
As transferências também podem ser permitidas para organizações em países terceiros que estejam vinculadas por contrato por meio de cláusulas contratuais padrão ou por políticas corporativas globais que demonstrem um nível de proteção de dados em conformidade com a LGPD.
As restrições de transferência transfronteiriça não se aplicam à cooperação jurídica internacional entre agências governamentais ou se os titulares dos dados tiverem dado consentimento prévio para a transferência.
As penalidades
Quando se trata de penalidades, o LGPD tirou uma página do livro do GDPR e não se esquivou de impor multas graves por descumprimento. As empresas são obrigadas a pagar até 2% de sua receita total no Brasil no ano anterior ou até 50 milhões de reais (aproximadamente $13 milhões no momento da redação), o que for maior.