Foi sancionada a nova lei de proteção de dados pessoais – Lei 13.709, de 14 de agosto de 2018, que produzirá efeitos a partir de 18 meses, em fevereiro de 2020, no contexto do clamor popular por uma regulamentação do tema, decorrente de inúmeros eventos de vazamento de dados no Brasil e no exterior, incluindo o notável caso da utilização de dados de usuários de redes sociais para influenciar as eleições americanas.

Também contribuiu para sua elaboração a recente regulamentação europeia sobre o mesmo tema e a necessidade de grupos multinacionais europeus imporem aquelas obrigações às suas subsidiárias em todo o mundo, sendo conveniente ao Brasil e às empresas aqui instaladas que houvesse amparo legal àquela proteção.

A lei estende sobre o âmbito privado determinados princípios já adotados pela Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), que regula o tratamento de dados pessoais pelos entes de direito público.

Ela dispõe sobre o tratamento de dados pessoais armazenados por qualquer outra pessoa ou entidade pública ou privada, e estabelece alguns princípios que devem ser utilizados para a interpretação da lei, incluindo a privacidade, a inviolabilidade da honra e da imagem e a livre concorrência, dentre outros.

A aplicabilidade da lei obedece a alguns critérios, tendo em vista que o fluxo de informações ocorre em âmbito global e independentemente de fronteiras. Do ponto de vista brasileiro, não importa a nacionalidade de quem processe as informações, aplicando-se a lei local quando o seu tratamento ocorrer no Brasil, ou se for destinada ao fornecimento de bens ou serviços em território nacional, e ainda se os indivíduos cujos dados forem coletados estiverem no Brasil ou se aqui estes dados forem coletados.

Toda transferência internacional de dados privados fica sujeita às restrições da Lei 13.709/2018, sendo permitida apenas quando os países destinatários proporcionem grau de proteção similar ao previsto na lei nacional, ou quando comprovada a proteção em face de cláusulas contratuais ou normas corporativas, por exemplo, além de outras situações como no caso de cooperação jurídica internacional entre órgãos públicos ou se autorizado por autoridade.

Por outro lado, a lei não veda a utilização de dados pessoais para fins particulares ou quando sejam utilizados com finalidade jornalística, artística ou acadêmica, bem como para promover a segurança pública ou defesa nacional.

Só poderá haver utilização de dados pessoais nas hipóteses permitidas pela lei, que incluem, dentre outras:

  • Quando houver consentimento do titular (por escrito ou por outro meio que demonstre a inequívoca manifestação de vontade);
  • No cumprimento de obrigação legal ou regulatória;
  • Pela administração pública, se respaldada por lei;
  • Para a proteção da vida, integridade física ou saúde do titular ou de terceiro;
  • Para proteção do crédito.

segurança da informação pessoalO consentimento para utilização de dados deve ser fornecido por escrito ou por outro meio que demonstre a inequívoca manifestação de vontade do titular, que poderá revogá-la a qualquer momento.

É concedido ao dono das informações amplo acesso aos detalhes de seus dados detidos por terceiros, incluindo o conteúdo, forma e duração de seu uso, dados de contato de quem utiliza aquelas informações e todo compartilhamento realizado.

Há especial atenção da nova lei ao tratamento de dados pessoais de crianças e adolescentes, que dependerão de consentimento específico de pelo menos um dos pais ou do responsável legal. Consta restrição expressa a que se condicione a participação em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais, exceto se estritamente necessárias à atividade.

Quando cessar a finalidade para a qual a utilização dos dados houver sido concedida, ou quando o seu uso for revogado pelo próprio titular ou por determinação de autoridade, os dados deverão, como regra geral, ser eliminados. Será possível mantê-los em hipóteses bastante restritas, como no caso de obrigação legal ou estudo por órgão de pesquisa, desde que os dados sejam anonimizados.

Cria-se uma obrigação de adotar medidas de segurança para proteger os dados pessoais coletados. Com isto, as empresas e outras instituições que coletarem tais informações precisarão seguir padrões técnicos a serem divulgados pela autoridade nacional competente, e terão a obrigação de comunicar eventual ocorrência de incidentes que possam acarretar risco ou dano aos titulares.

Em matéria de ressarcimento de danos, há responsabilidade solidária entre o controlador das informações e seus operadores, garantido o direito de regresso entre eles. Logo, do ponto de vista do indivíduo lesado pelo uso indevido de informações pessoais, a lei facilita a reparação. Do mesmo modo, e na mesma linha de proteção já garantida pelo Código do Consumidor, existe a possibilidade de inversão do ônus da prova em favor do titular dos dados, desde que verossímil a alegação ou em caso de hipossuficiência do ofendido para fins de produção de prova.

Já no âmbito administrativo, a lei prevê sanções duras pelo descumprimento das regras que ela estabelece. Após a realização de procedimento administrativo em que seja concedida a oportunidade de ampla defesa, as penalidades poderão consistir em mera advertência e imposição de medidas corretivas, ou na aplicação de multa de até 2% (dois por cento) do faturamento da pessoa jurídica (limitada a R$ 50 milhões), por infração, além de multa diária, divulgação da infração e outras.

Houve, porém, alguns vetos presidenciais ao texto oriundo do Congresso. Foi rejeitada a previsão de criação da autoridade nacional de proteção de dados, órgão previsto em diversos dispositivos da nova lei como responsável pela sua regulamentação, controle e aplicação de sanções. O Presidente da República alegou vício de iniciativa, tendo em vista que não caberia ao Poder Legislativo criar tal órgão, devendo esta decisão partir do Executivo.

No período de 18 meses até a entrada em vigor da nova lei, caberá às empresas e demais entidades tomar as medidas de adequação de suas práticas, o que tem um potencial de modernizar as relações comerciais e colocar o Brasil em igualdade com países que já estão em grau avançado de proteção de dados da população em geral.

Crédito das imagens: 
Designed by Freepik
Designed by Kjpargeter / Freepik
Designed by makyzz / Freepik

Orlando Parente da Camara FilhoOrlando Parente da Camara Filho foi graduado na Universidade Federal do Amazonas, em 2002. Pós-graduado em Direito Contratual e Empresarial pela Pontifícia Universidade Católica de São Paulo (PUC/SP), membro da Ordem dos Advogados do Brasil (OAB), Secção de São Paulo, desde 2004 e da American Bar Association.