Novo paradigma para a proteção de dados no Brasil

Tatiana Campello e Matheus Bastos Oliveira*

18 Julho 2018 | 11h00

O projeto da nova lei geral brasileira de proteção de dados pessoais foi aprovado pelo Senado Federal e segue para a sanção presidencial. O PLC 53/2018 promete grande impacto aos mais diversos agentes econômicos brasileiros por atingir a todos que atuam com o processamento de dados pessoais, como a coleta, tratamento e armazenamento.

A edição da lei geral de proteção de dados pessoais insere o Brasil no atual cenário internacional de transferência e proteção de dados, capitaneado pela União Europeia. O velho continente saiu na frente com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (GDPR), em 25 de maio de 2018, pressionando o avanço dos projetos de lei sobre o tema em outros países, como no Brasil. O GDPR fixou rígidas regras para a transferência internacional de dados pessoais entre a União Europeia e países que não possuíssem legislação compatível para a proteção de dados pessoais.

Entretanto, a repentina inserção da lei geral de proteção de dados na congestionada agenda legislativa brasileira não culminou com a aprovação de um projeto de lei prematuro. Muito pelo contrário. Apesar de seu expedito trâmite no Senado Federal, onde permaneceu por cerca de 45 dias, a aprovação do PLC 53/2018 é amplamente festejada por seu amadurecimento. A versão do texto legal que chegou ao Senado Federal foi o resultado de amplo debate durante o longo tempo de tramitação dos projetos que lhe deram origem na Câmara dos Deputados.

Na reta final de sua aprovação pela Casa revisora, o projeto recebeu o apoio de cerca de 67 entidades do setor produtivo e da sociedade civil, que se manifestaram expressamente a favor da sua aprovação e destacaram a potencial atração de investimentos na ordem de R$ 250 bilhões ao país em tecnologias de transformação digital at& eacute; 2021, segundo dados divulgados pela Brasscom e Frost & Sullivam. Além disso, o PLC 53/2018 cria a autarquia destinada a atuar na proteção de dados pessoais – a Autoridade Nacional de Proteção de Dados (ANPD) – e remove uma relevante barreira à aspiração brasileira para integrar a Organização para a Cooperação e Desenvolvimento Econômico – OCDE.

Dentre as diversas medidas a serem adotadas por entidades do setor público e privado, algumas merecem destaque por sua relevância ou potencial discussão. Nesse contexto, pode-se enumerar (i) a inserção da dinâmica de obtenção de consentimento do titular de dados pessoais por aqueles interessados em coletá-los e trata-los, até então estipulada somente no ambiente da Internet pela Lei nº 12.965/2014 (Marco Civil da Internet); (ii) os limites à definição (e, consequentemente, da coleta e tratamento) de dados anominizados; (iii) o conceito casuístico de interesse legítimo e finalidades legítimas, a estabelecer as balizas para a coleta e tratamento de dados do indivíduo; (iv) a possibilidade de revogação do consentimento pelo titular e exclusão dos dados pessoais cedidos; (v) o tratamento de dados pessoais pelo poder público; (vi) a distinção entre as figuras do controlador (responsável pelas decisões referentes ao tratamento de dados) e do operador (pessoa que realiza o tratamento de dados em nome do controlador) , delimitando-se as suas respectivas responsabilidades; (vii) a criação do encarregado (Data Protection Officer), pessoa natural nomeada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a ANPD; entre outras.

Embora o GDPR já venha causando a mobilização de agentes econômicos brasileiros que atuam na União Europeia (mediante a oferta de produtos, serviços ou coleta de dados), o verdadeiro impacto fica a cargo da lei brasileira por demandar grande transformação e investimento aos mais diversos prestadores de serviços que deverão se adaptar às suas regras.

As grandes corporações já vêm se adequando ao GDPR e possuem vantagem sinérgica e financeira para suportar a implementação de práticas de conformidade com a lei brasileira, mas outros agentes econômicos de menor porte (como as startups) deverão adicionar a verificação de conformidade a esses elementos no seu radar, a fim de tomar as medidas necessárias o quanto antes. O prazo de 18 (dezoito) meses para a vigência da lei é inferior ao conferido pelo GDPR, de 24 (vinte e quatro) meses, e demonstra que as medidas de adequação d evem ser iniciadas imediatamente.

Aqueles que não conseguirem se adaptar à norma a tempo ficarão sujeitos a aplicação das sanções pela ANPD, que podem variar desde a aplicação de advertência, passando por multa de até R$ 50.000.000,00 (cinquenta milhões de reais) e até a proibição total do exercício da atividade relacionada ao tratamento de dados.

Além de potencializar o avanço econômico externo e interno, a lei geral de proteção de dados também representa o aperfeiçoamento jurídico da matéria no Brasil. A lacuna legislativa trazia interrogações aos agentes econômicos que coletam e tratam dados pessoais no Brasil, fomentando a insegurança jurídica no setor.

A aprovação e sanção do PLC 53/2018 é apenas o primeiro – e grande – passo brasileiro na busca pela sua inserção no rol de países que possuem adequada proteção aos dados pessoais. É fundamental que se continue a avançar nesse sentido, notadamente com a criação da ANPD e a efetiva utilização dos instrumentos preventivos, fiscalizatórios e sancionatórios dispostos no PLC 53/2018, promovendo-se o desenvolvimento tecnológico que se espera do Brasil.

*Tatiana Campello, sócia do Demarest, e Matheus Bastos Oliveira, advogado do Demarest 

Mais conteúdo sobre:

Artigoproteção de dados