Dados

Nova lei de proteção de dados pessoais entrará em vigor em 2020

Nosso CEO David Reck falou para o Valor Econômico sobre a nova lei de proteção de dados pessoais no Brasil

Dentro de um ano e meio, as empresas que recolhem e processam dados pessoais no Brasil terão que se adaptar à nova lei de proteção das informações pessoais sancionada ontem pelo presidente Michel Temer. A lei, que deve ser publicada hoje no “Diário Oficial da União”, cria regras para empresas e entidades usarem e coletarem os dados (online e offline).

A coleta de dados exigirá consentimento dos usuários e para que as empresas possam compartilhá-los será preciso um aval inequívoco do cidadão. A medida afeta bancos, operadoras de saúde e o governo. As sanções para o descumprimento da norma vão da simples advertência à multa, que será proporcional à extensão do dano. A multa varia de 2% do faturamento da empresa até o máximo de R$ 50 milhões. Além disso, há previsão de multas diárias e divulgação da infração, após a concorrência ser apurada e confirmada.

O texto prevê ainda que os controladores e operadores do tratamento de dados pessoais poderão formular regras de boas práticas e de governança que estabeleçam “as condições de organização, o regime de funcionamento, os procedimentos”.

Para David Reck, especialista em marketing digital e sócio-fundador da Reamp, dependendo da forma como for aplicada a lei, o impacto no mercado será enorme, pois ela forçará as empresas a se organizarem para ter um melhor relacionamento com o consumidor. “As empresas terão que criar praticamente um departamento de proteção de dados”, afirmou.

Segundo a lei, a proteção de dados tem como fundamento o respeito à privacidade; a liberdade de expressão; a inviolabilidade da intimidade, da honra e da imagem; a defesa do consumidor; os direitos humanos e o exercício da cidadania.

O projeto estava em debate já anos e ganhou força com o escândalo do uso de dados do Facebook para influenciar a eleição americana e com a entraga em vigor, em maio, da nova norma europeia para proteção de dados (a GDPR), que exige a legislação compatível com outros países para permitir operações entre empresas. O Brasil tinha leis dispersas, agora consolidadas numa única norma.

Durante a solenidade de sanção da lei, Temer confirmou o veto à Autoridade Nacional de Proteção de Dados (ANPD) e ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, e acrescentou que o Executivo enviará ao Congresso um projeto de lei para criar o órgão fiscalizador.

O presidente esclareceu que o veto foi necessário porque havia “vício formal” para a criação da agência. Ele afirmou que, no contexto de seu governo de reformas, a lei sancionada ontem pode ser considerada uma “reforma, talvez até dos costumes”.

Temer disse que enviará “logo” o projeto de lei de criação de um órgão fiscalizador. Ele esclareceu que ainda será definido se o novo órgão continuará vinculado ao Ministério da Justiça, conforme previsto no texto aprovado pelo Congresso. “Vou deixar mais ou menos como está”, sinalizou.

Apesar de reforçar que a intenção do governo é resolver de forma breve a pendência, o ministro de Ciência, Tecnologia, Inovações e Comunicações, Gilberto Kassab, disse que a disposição “é encaminhar o mais rápido possível na forma de projeto de lei”, mas não descartou a medida provisória. “É porque existem algumas poucas vozes que legitimamente discordam e querem que haja esse debate”, completou.

Ao ser questionado se o novo órgão ficará subordinado à Justiça, Kassab disse que seja em PL ou MP essa questão será discutida. “Qualquer que seja a modalidade, nós vamos discutir onde ficará alocada. Alguns entendem que o Ministério da Justiça é o mais adequado, outros entendem que talvez seja a área da Pesquisa, da Inovação da Ciência para que haja permanente acompanhamento, não existe vaidade de nenhum ministério nessa questão”, garantiu.

Marcela Waksman Ejnisman, sócia na área de Propriedade Intelectual do escritório Tozzini-Freire Advogados, explica que alguns pontos da lei devem ser regulados posteriormente, tais como regras sobre a transferência internacional de dados, regras relacionadas com o “encarregado” de dados, regras relacionadas com a notificação de vazamento de dados e criação de uma autoridade nacional de proteção de dados. “Uma vez que foi vetada sua criação na nova lei, mas a lei menciona em vários trechos que essa autoridade tomará providências”, alerta.

Temer também vetou outros pontos da norma. A pedido do Ministério da Fazenda, foi vetado o inciso II do artigo 23, que previa que fossem protegidos e preservados dados pessoais de requerentes de acesso à informação e vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado.

Segundo o ministro de Direitos Humanos, Gustavo do Vale Rocha, que é subchefe de Assuntos Jurídicos da Casa Civil, esse artigo “em alguns casos inviabilizaria alguns serviços públicos”. Ele explicou que a “dificuldade era justamente porque esse artigo traria complicadores entre a Receita e instituições públicas ou órgãos públicos”.

Também foi vetado um inciso do parágrafo primeiro do artigo 26, que dizia que é vedado ao Poder Público transferir as entidades privadas de dados pessoais constantes de bases de dados a que tenha acesso, exceto “quando houver previsão legal e a transferência foi respaldada em contratos, convênios ou instrumentos congêneres”. No caso, segundo orientações do Banco Central e do Ministério da Fazenda, uma das opções já seria suficiente.

Outro veto, por orientação da Fazenda, Planejamento e Controladoria-geral da União, foi ao artigo 28, que dizia que a “comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade”. Segundo o ministro, o tema deve constar também no projeto que o governo vai enviar para corrigir algumas distorções já que avaliou-se que seria complicado colocar em vigor dentro do prazo que a lei vai passar a valer.

Por fim, Temer vetou os incisos VII, VIII e IX do capítulo sobre as sanções administrativas. No primeiro caso, o dispositivo previa a suspensão parcial ou total do funcionamento do banco de dados relativo à infração por até seis meses, prorrogáveis por igual período, até a regularização da atividade.

Os outros artigos previam a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere à infração por até seis meses, prorrogáveis por igual período, e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Originalmente veiculada em Valor Econômico 

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Início