A Proteção de Dados Pessoais e PLC 53/2018

Você já chegou a se perguntar por que o atendente de uma loja ou o recepcionista de um consultório exige sempre que você faça um cadastro com informações sobre você? Pedem CPF, data de aniversário, telefone ou endereço, foto, impressão digital, nível de escolaridade etc. Muitas vezes, a informação solicitada nada tem a ver com o serviço prestado ou com a compra realizada. Afinal, para que a loja precisa saber qual é o seu nível de escolaridade, por exemplo?

 

Fica a dúvida de para que eles precisam dessa informação ou o que eles farão com elas (especialmente com aquelas que nada afetam a prestação pretendida).

 

A resposta protocolar é sempre a mesma: é o sistema que pede. Ficamos reféns do sistema para fazer uma compra, entrar num prédio ou receber uma consulta.

 

Entretanto, isso vai mudar.

 

Terça-feira, dia 10 de julho de 2018, foi aprovado, no Senado, o Projeto de Lei da Câmara 53/2018, que cria a Lei Geral de Proteção de Dados, uma legislação que protege dados pessoais e que altera a Lei nº 12.965, de 23 de abril de 2014 (o Marco Civil da Internet). O PLC 53/2018 é originário da Câmara dos Deputados e foi votado às pressas, em decorrência do vazamento de dados dos usuários do Facebook coletados pela Cambridge Analytica e usados nas últimas eleições norte-americanas, bem como da entrada em vigor do General Data Protection Regulation (“GDPR”), o Regulamento Geral de Proteção de Dados da União Europeia.

 

O PLC 53/2018 aguarda, agora, sanção do Presidente da República. Se sancionada, a lei entrará em vigor após decorridos 18 (dezoito) meses de sua publicação oficial.

 

A Lei de Proteção de Dados Pessoais impactará todos os negócios, no Brasil, que coletam dados pessoais de pessoas físicas. Se, em razão do seu negócio, você costuma coletar dados como nome completo, CPF, e-mail, endereço residencial, dados de localização, endereço de IP, dados de cartão de crédito, ou quaisquer outros dados que permitam individualizar uma pessoa ou qualquer informação relacionada à pessoa natural identificada ou identificável, você e/ou sua sociedade estarão sujeitos à Lei de Proteção de Dados Pessoais.

 

Essas informações são consideradas dados pessoais para os fins de aplicação da Lei. Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada.

 

Assim, antes de coletar quaisquer desses dados, você deverá informar, de forma clara e transparente, ao indivíduo quais dados dele serão coletados e qual será a finalidade para a qual eles serão usados.  Deve haver uma relação entre os dados coletados e os serviços prestados, para que o indivíduo possa manifestar, por escrito, seu consentimento a tais usos de seus dados.

 

O consentimento do indivíduo deve referir-se a finalidades determinadas e claramente especificadas, sendo consideradas nulas as autorizações genéricas para o tratamento de dados pessoais.

 

O titular dos dados pessoais coletados pode revogar/cancelar seu consentimento a qualquer tempo, mediante sua manifestação por escrito, devendo a ele ser disponibilizado procedimento gratuito e facilitado para manifestar essa revogação.

 

Em caso de violação às determinações da Lei, o violador, além de sujeitar-se às sanções de leis específicas eventualmente aplicáveis, como a Lei de Defesa do Consumidor, também sujeitar-se-á a penalidades administrativas aplicadas pela Autoridade Nacional de Proteção de Dados e ainda reparação de danos.

 

O responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

 

Em caso de infração, as penalidades podem ser multas elevadas, que variam, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; bloqueio ou eliminação de dados pessoais a que se refere a infração até a sua regularização; suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo responsável; suspensão do exercício de atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogáveis por igual período; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Com a entrada em vigor da Lei de Proteção de Dados Pessoais e em virtude das penalidades pesadas, você precisará adequar sua política de privacidade à uma série de exigências legais com relação ao tratamento dos dados, a finalidade dos usos dos dados, duração do tratamento, além de garantir mecanismos ao indivíduo para acessar seus dados, corrigir dados, revogar consentimento, portabilidade de dados etc.

 

Não bastará, apenas, mudar a política de privacidade em seu site. É importante, na prática, adotar medidas compatíveis com a legislação, na medida em que ela se aplica a qualquer tipo de coleta de dados pessoais e não meramente a coleta em meios digitais.

 

Flávia Amaral – famaral@dev.chiarottino.com.br

Nuno Gonçalves Correia dos Santos – nsantos@dev.chiarottino.com.br

Advogados da Área de Propriedade Intelectual de CNA

(11) 2163-8989