Autoridade (ANPD) será criada por meio de Projeto de Lei de iniciativa do Executivo, diante do veto parcial apresentado por Temer
 
Após mais de 8 anos de debates na sociedade civil, foi sancionada no dia 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) brasileira. Com isso, diante do prazo de 18 meses de vacatio legis, a eficácia plena da lei se dará em fevereiro de 2020.
 
Com essa sanção, o Brasil passará a contar com nível elevado de legislação, em termos de proteção dos dados pessoais, superando o atual estágio de tratamento setorial, no qual há diversos dispositivos abordando a temática (há mais 30 diplomas legais sobre o assunto – aí se inclui o Marco Civil da Internet, Código de Defesa do Consumidor, Lei de Acesso à Informação, Lei do Cadastro Positivo, entre outros).
 
Em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento dos seus dados pessoais (assim entendidos como qualquer informação que identifique diretamente ou torne identificável uma pessoa natural), do que decorrem diversas obrigações para controladores (a quem competem as decisões sobre o tratamento dos dados) e operadores (aqueles que tratam os dados por ordem dos controladores).
 
Entre outros, passam a vigorar o princípio da finalidade (por meio do qual os dados deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos titulares), juntamente com o princípio da minimização da coleta (isto é, somente devem ser coletados os dados mínimos necessários para que se possa atingir a finalidade) e o da retenção mínima (o qual determina a imediata exclusão dos dados, após atingida a finalidade pela qual eles foram coletados).
 
Juntamente com isso, surgem direitos dos usuários, cabendo destaque ao direito de acesso (por meio do qual os titulares poderão solicitar aos controladores que lhes forneçam todos os dados que mantêm sobre si), o qual traz como consequência os direitos de retificação e atualização (por meio dos quais os agentes devem manter os dados sempre corretos e atualizados).
 
Além disso, muita atenção deve ser dada ao direito de portabilidade dos dados, por meio do qual será possível ao titular solicitar que seus dados (resguardados segredos industriais e de negócio) sejam encaminhados (“portados”) para outros controladores, o que certamente trará ampla necessidade de que os diversos players da indústria se ajustem, na tentativa de criar padrão único para essas trocas.
 
O cumprimento da integralidade da norma precisará ser comprovado por todos os agentes que tratarem dados pessoais, diante do princípio da prestação de contas (do inglês accountability).
 
E uma das formas de atender a esse princípio será por meio da elaboração de Relatório de Impacto de Proteção de Dados, por meio do qual os controladores deverão avaliar o ciclo de vida completo do tratamento de dados pessoais (contemplando desde a coleta, o uso, armazenamento, compartilhamento e exclusão dos dados), passando pela indicação do fundamento que autoriza o tratamento dos dados (que passarão a ser 10 hipóteses, sendo o consentimento apenas uma dessas possibilidades), bem como das medidas de segurança da informação implementadas, incluindo os procedimentos para mitigação de eventuais incidentes que venham a ocorrer.
 
Nesse sentido, surge como de fundamental importância a estipulação do Encarregado de Proteção de Dados (DPO – Data Protection Officer), que ficará responsável, entre outros, por criar a cultura de proteção de dados dentro das companhias (com especial atenção para as boas práticas e a governança), bem como por ser a ponte com a Autoridade Nacional de Proteção de Dados (ANPD), a qual será criada por meio de Projeto de Lei de iniciativa do Poder Executivo, diante do veto parcial apresentado pelo Presidente da República.
 
Incidentes envolvendo dados pessoais, sempre que acarretarem em risco aos seus titulares, deverão ser reportados à ANPD, assim como às próprias vítimas. Essa comunicação já deverá conter diversas informações envolvendo: o tipo de dado vazado; a quantidade de pessoas afetadas; as medidas tomadas para conter o incidente, dentre outros.
 
Além disso, companhias que têm fluxo de dados para outros países, também precisam ficar atentas às novas obrigações para que tal seja concretizado, dentro dos ditames legais, devendo ainda observar as regras de validade extraterritorial da futura lei, a qual poderá ser aplicável mesmo a companhias que não possuam estabelecimento em nosso país, nas situações em que dados forem tratados em território nacional (aí se incluindo coleta, uso, compartilhamento ou armazenamento), bem como quando houver oferta de bens ou serviços a usuários localizados no Brasil, independentemente da nacionalidade e do local de residência do titular.
 
Tais obrigações precisarão ser seguidas com bastante atenção, especialmente diante das sanções administrativas que surgem, as quais passam por advertências e multas, que podem atingir o patamar de 50 milhões de reais, por infração.
 
Certamente, muito se discutirá sobre o tema nos próximos meses, sendo de especial valor ficar atento ao desenrolar da aplicação do GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados da Europa) em território europeu, diante da clara inspiração da nossa futura LGPD nessa Regulamentação.
 
Ao longo dos próximos meses traremos aqui em nossa coluna no Jota diversos aprofundamentos acerca da LGPD, endereçando pontos específicos da legislação que têm demandando maior atenção.
 
*CAIO CÉSAR CARVALHO LIMA – Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados, fundador e Secretário-Geral da Associação Brasileira de Proteção de Dados (ABPDados). Mestre em Direito Processual Civil pela PUC-SP.
 
*RONY VAINZOF – Sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados, fundador e Vice-Presidente da Associação Brasileira de Proteção de Dados (ABPDados) e Coordenador da Pós-Graduação em Direito Eletrônico da Escola Paulista de Direito.