Após anos de debates, foi recentemente sancionada a Lei Geral de Proteção de Dados Pessoais no Brasil (“LGPD”) – Lei nº 13.709/18. A nova lei foi aprovada por unanimidade em regime de emergência pelo Plenário do Senado Federal em decorrência da entrada em vigor, em maio deste ano, da legislação europeia de proteção de dados, o Regulamento Geral de Proteção de Dados (“GDPR”).
O GDPR, por sua vez, tem como um dos pilares sua aplicação extraterritorial, uma vez que seus impactos não se restringem a União Europeia, exigindo, portanto, a adaptação de empresas brasileiras que trabalham na União Européia ou processam dados de cidadãos europeus, a fim de evitarem as vultosas e rigorosas multas previstas nesta lei, além de sanções de natureza comercial, como a perda de contratos com parceiros e clientes locais, e, ainda, a perda de credibilidade com forte abalo na reputação.
A legislação brasileira, que muito se assemelha à GPDR, define o que são “dados pessoais” e “tratamento” para fins de atendimento às suas disposições. Assim, “dados pessoais” são definidos “como qualquer informação que identifique diretamente ou torne identificável uma pessoa natural”; e “tratamento” é definido como “qualquer operação realizada com dados pessoais, como coleta, uso, acesso, transmissão, processamento, arquivamento, armazenamento, transferência, dentre outros”.
Desta forma, qualquer operação de processamento de dados pessoais realizada no território nacional, por pessoa física ou jurídica de direito público ou privado, cujos proprietários estejam localizados no Brasil ou objetivo seja a oferta de produtos ou serviços no país, deve seguir o disposto na LGPD, sendo umas das suas principais regras são: a obrigatoriedade do consentimento expresso do usuário para realização de qualquer operação e a obrigatoriedade de fornecer a esse mesmo usuário, opções para que ele possa visualizar, corrigir e excluir quaisquer de seus dados.
A lei institui ainda as figuras dos Agentes de Tratamento (controladores e operadores) e do Diretor de Proteção de Dados (“DPO”) com o objetivo de:
• Controlar o processamento de seus dados pessoais;
• Manter registros de todas as operações de tratamento através da elaboração do Relatório de Impacto sobre a Proteção de Dados Pessoais; e
• Monitorar e disseminar as boas práticas em relação à proteção de dados pessoais para funcionários e contratados da empresa.
Por fim, a LGPD prevê penalidades administrativas, que são aplicáveis pela autoridade nacional, aos Agentes de Tratamento, por infrações cometidas às regras estabelecidas nesta lei.
Com isso, as empresas devem estabelecer, desde já, cuidados especiais com o tratamento de dados pessoais, avaliando suas políticas e mecanismos de proteção de tais dados, sendo tais cuidados imediatos para as operações envolvendo parte que esteja sujeita ao GDPR, e que deverão ser observados por todas as empresas brasileiras a partir do momento em que a LGPD entrar em vigor.