LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Transcrição

1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (No /2018) Em 14 de agosto de 2018, o Presidente da República, Michel Temer, sancionou o Projeto de Lei nº 53/2018 que disciplina a proteção dos dados privados e define as situações em que informações pessoais podem ser coletadas e tratadas pelas empresas e pelo Poder Público. O Projeto, agora Lei No /2018, entrará em vigor em 16/02/2020. Em linhas gerais, a norma brasileira está alinhada ao GDPR (General Data Protection Regulation), norma de privacidade de dados europeia, vigente desde maio de Com a aprovação da Lei, o Brasil se junta ao grupo de mais de 100 países que possuem legislação sobre o tema. Só na América do Sul já são seis: Argentina, Chile, Colômbia, Paraguai, Peru e Uruguai. Visando auxiliar o leitor a entender como a norma impactará o dia-a-dia de empresas e pessoas, Martorano Law elaborou esse guia apresentando os principais dispositivos da nova legislação.

2 SUMÁRIO GLOSSÁRIO... 2 PRINCIPAIS PONTOS... 3 Abrangência... 3 Obtenção de dados... 3 Utilização de dados... 3 Direitos do titular dos dados... 3 Canal de comunicação... 3 Tratamento de dados pelo Poder Público sem consentimento... 4 Dados sensíveis... 4 Dados de crianças e adolescentes... 4 Término do tratamento, eliminação e conservação de dados... 4 Transferência de dados internacional... 4 Quebra de segurança... 4 Fiscalização... 5 Sanções... 5 Ressarcimento privado... 5 Excludentes da responsabilidade dos agentes. 5 Vigência... 5 PONTOS DE ATENÇÃO ANTITRUSTE... 5 EMPRESAS: O QUE FAZER?... 7 GLOSSÁRIO a) Dados pessoais Dados pessoais são todas as informações que se relacionam a uma pessoa identificada ou identificável. b) Dados pessoais sensíveis Dados que registram informações de raça, opiniões políticas, crenças, filiações a sindicatos ou a organizações de caráter religioso, filosófico ou político, vida sexual, condições de saúde e características genéticas/biométricas. c) Banco de dados Conjunto estruturado de dados pessoais. d) Titular Pessoal natural a quem se referem os dados pessoais objeto de tratamento. e) Agentes de tratamento São o controlador quem toma as decisões referentes ao tratamento de dados e o operador quem realiza o tratamento de dados. f) Tratamento Toda operação realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, transferência, extração etc.

3 PRINCIPAIS PONTOS Abrangência A lei abrange todas as operações de tratamento realizadas no Brasil ou que no Brasil se originaram por meio da coleta de dados. A norma também é aplicável às empresas ou entes que ofertem bens e serviços ou que tratem informações de pessoas que estão no país a qualquer título. Excetuam-se o tratamento de dados pessoais destinado a fins jornalísticos e artísticos, acadêmicos, de segurança pública, defesa ou oriundos de investigação de infrações penais. O tratamento realizado por pessoa natural com fins particulares e não econômicos também se excetua assim como o proveniente de fora do território nacional, que não seja objeto de comunicação ou uso compartilhado com agentes de tratamento brasileiros. Obtenção de dados Para coletar e tratar um dado, o agente precisa solicitar o consentimento de seu titular, o qual deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, com detalhamento de seus fins, em cláusula específica, e não de maneira genérica. Dados tornados públicos pelo titular, contudo, carecem de consentimento. Em situações específicas, o consentimento do titular se torna dispensável, como em situações de proteção à vida, cumprimento de obrigação legal e procedimento de saúde. Utilização de dados Os dados deverão ser utilizados para o apoio e a promoção das atividades do responsável ou para a prestação de serviços que beneficiem o titular, principalmente. O tratamento de dados deve ser limitado ao mínimo necessário para a realização das suas finalidades. Direitos do titular dos dados O titular pode solicitar acesso às informações que um controlador detém sobre ele, incluindo a finalidade, a forma, a duração do tratamento e se houve uso compartilhado de dados com algum outro agente. O prazo de atendimento do pedido é de 15 dias. Ao titular também é permitido requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. Adicionalmente, o titular pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo. A revisão então será realizada por pessoa natural. A qualquer momento, o titular pode requerer a eliminação de seus dados pessoais. Canal de comunicação O controlador deverá indicar um encarregado pelo tratamento de dados pessoais. Esse encarregado será o canal de comunicação entre o público e o controlador. Dentre as atividades do encarregado estão: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e

4 adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; entre outras. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva. Tratamento de dados pelo Poder Público sem consentimento O Poder Público também ganhou a possibilidade de tratar dados pessoais sem o consentimento de seus titulares. Para isso, o órgão deve informar em seu site em que hipótese o processamento de dados será realizado, sua finalidade e quais são os procedimentos adotados. Essas regras especiais se aplicam também aos registros notariais. Dados sensíveis Os dados sensíveis poderão ser tratados por entes privados e públicos, havendo o consentimento do titular, para casos específicos. Há situações, contudo, em que o tratamento de dados pode ocorrer sem o consentimento, principalmente para pesquisas e formulação de políticas públicas. Nesses casos os dados devem ser anonimizados, preferencialmente. Dados de crianças e adolescentes O tratamento de dados pessoais de crianças e adolescentes deve ser realizado após o consentimento específico por pelo menos um dos pais ou pelo responsável legal. Nesses casos, o controlador deve realizar todos os esforços razoáveis para verificar se o consentimento foi dado pelo responsável pela criança. Término do tratamento, eliminação e conservação de dados O término do tratamento de dados ocorre quando a finalidade do tratamento é alcançada; ao final do período de tratamento; quando a autoridade nacional a ser criada por projeto de lei oriundo do Executivo Federal - determinar ou quando o titular assim o decidir. Ao final do tratamento, os dados pessoais devem ser eliminados, podendo ser conservados para o uso exclusivo do controlador ou para estudo por órgão de pesquisa, de forma anonimizada, entre outras hipóteses. Transferência de dados internacional É permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível com a lei ou se o controlador responsável pelo tratamento comprovar a garantia das mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas. Casos excepcionais como quando a incolumidade física do titular estiver em jogo ou casos de cooperação internacional, dentre outros, também permitem a transferência internacional. A transferência também pode ocorrer se o titular consentir especificamente. Quebra de segurança Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deve rapidamente comunicar o ocorrido à autoridade nacional e ao titular afetado. A comunicação deverá conter a descrição dos dados pessoais invadidos, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de

5 segurança utilizadas, os riscos relacionados e as medidas a serem adotadas. Caso achar conveniente, a autoridade pode determinar a ampla divulgação da quebra de segurança em meios de comunicação. Fiscalização A autoridade nacional ficará responsável pela fiscalização das obrigações previstas na lei. A autoridade, além de outras medidas, poderá exigir das empresas a elaboração de relatórios de impacto à privacidade. O relatório deverá dizer como o processamento de dados é realizado, as medidas de segurança adotadas e as ações tomadas para reduzir riscos. Sanções Em casos de irregularidade em qualquer atividade de tratamento, a autoridade poderá aplicar uma gama de sanções, entre as quais: multa de até 2% do faturamento da empresa envolvida, com limite de R$ 50 milhões; bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento. As metodologias que orientarão o cálculo do valor base das sanções de multa será definido em regulamento próprio pela autoridade nacional. Ressarcimento privado O titular, em nome próprio ou por meio de ação coletiva, pode requerer o ressarcimento dos danos sofridos. Tal dano pode ser ressarcido solidariamente pelo operador quando este descumprir as instruções do controlador. Os controladores diretamente envolvidos, também respondem solidariamente. Enquanto às hipóteses de violação no âmbito das relações de consumo, estas permanecem sujeitas às regras de responsabilidade previstas na legislação consumerista. Excludentes da responsabilidade dos agentes Os agentes de tratamento não serão responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído, que embora tenham realizado o trabalho, não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. Vigência A lei terá vacatio legis de 18 meses da sua publicação oficial e entrará em vigor em 16/02/2020. PONTOS DE ATENÇÃO ANTITRUSTE Bancos de dados de consumidores implicam, via de regra, presunção de vantagem competitiva, pois podem permitir acesso a informações comercialmente sensíveis às empresas e respectivos grupos econômicos que os detêm. Empresas com posição presumidamente dominante (+20% de market share) em seus mercados de atuação, devem tomar cuidado redobrado na administração, transferência e portabilidade desses dados, pois qualquer ação que criei óbice à migração do consumidor (ou de seus dados) para outro competidor, pode ser entendido pela autoridade antitruste como

6 apto a causar (i) consumer lock-in effect, (ii) tentativa de exclusão de concorrente do mercado e (iii) market foreclosure para concorrente à jusante/à montante (se o detentor do dado atuar em mercados verticais para os quais as informações dos consumidores detidas tenham alguma relevância competitiva). O mercado de negociação de dados é um mercado como outro qualquer, no qual a informação, no caso, é o bem/serviço transacionado. O dado pode ser entendido de duas formas no contexto de mercado: (i) contendo valor individual, ou seja, encerrando sua utilidade em si ou (ii) contendo valor da forma agregada, ou seja, é utilizado como input para melhorar outro produto ou serviço (network effect). Nesse segundo caso, é importante observar a cadeia de valor do dado e as eventuais relações entre os envolvidos, a fim de evitar o compartilhamento de dados não necessários ou a imposição de restrições anticompetitivas. A lei prevê que os controladores e operadores poderão formular regras de boas práticas e governanças para estabelecer as condições de organização, padrões e o procedimentos a ser adotado no setor. Para tanto, sugere que a formulação seja adotada no âmbito de associações. Reuniões de funcionários em associações e sindicatos de classe podem gerar exposição anticompetitiva para as empresas, principalmente quando são compartilhadas informações comercialmente sensíveis ou quando a própria associação induzir seus associados a adotarem comportamento uniforme de atuação no mercado. Informações concorrencialmente sensíveis versam diretamente sobre o desempenho das atividades-fim dos agentes econômicos, tais como: custos das empresas; nível de capacidade e planos de expansão; estratégias de marketing; precificação de produtos (preços e descontos); principais clientes e descontos assegurados; salários de funcionários; principais fornecedores e termos de contratos com eles celebrados; informações não públicas sobre marcas e patentes e Pesquisa e Desenvolvimento (P&D); planos de aquisições futuras; estratégias competitivas etc. A troca de informações comercialmente sensíveis entre competidores pode ser entendida como cartel pelo CADE. A multa prevista pela Lei de Defesa da Concorrência (LDC) para troca de informação sensível é pesada, podendo chegar a 20% do faturamento bruto auferido pela empresa no ano anterior à instauração do processo administrativo. Cuidado redobrado deve ser adotado pelos funcionários em quaisquer contatos com concorrentes para evitar troca de informações comercialmente sensíveis de qualquer tipo.

7 EMPRESAS: O QUE FAZER? Sempre solicite o consentimento do titular para a utilização de seus dados e especifique o fim que será dado a ele. Utilize dados pessoais de seus clientes somente pera os fins especificados e aprovados. Martorano Law tem expressiva atuação em mercados digitais e está preparado para ajudar seus clientes a se adaptarem aos novos regramentos impostos pela lei de proteção de dados pessoais. Contate-nos caso haja qualquer dúvida. martorano@martlaw.com.br MartLaw.com.br Mantenha fácil acesso a informações sobre: finalidade específica dos tratamentos realizados, a forma e a duração do tratamento e referências sobre eventuais compartilhamentos de dados. Atente-se para não divulgar direitos de propriedade intelectual/industrial quando compartilhar dados. Adote medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados. Caso haja qualquer quebra de segurança, reporte rapidamente aos afetados e à autoridade nacional.