Em 10 de julho, o Senado aprovou projeto de lei que trata da proteção de dados pessoais e define regras a serem observadas por instituições públicas e privadas (PLC 53/2018). Este PLC absorveu outros dois projetos de lei anteriores, que também versavam sobre o mesmo tema: o PL 5276/2016 e o PL 4060/2012. Após aprovação na Câmara dos Deputados, e cerca de oito anos de debates, consultas públicas e discussões, finalmente chegou ao Senado, onde também foi aprovado, e agora seguiu para sanção (ou veto) presidencial. O presidente Michel Temer tem até o dia 07/08/2018 para aprovar ou vetar (no todo ou em parte) este projeto de lei.

O PLC 53/2018 altera o Marco Civil da internet (Lei nº 12.965/2014) e é nomeado como a “Lei Geral de Proteção de Dados” (LGPD). Se a LGPD for aprovada pelo presidente, após o prazo de 18 meses, finalmente teremos uma legislação sobre o uso e tratamento de dados pessoais no Brasil, que será aplicável tanto no ambiente online, quanto offline, devendo ser observada pelos setores público e privado.

• Panorama atual:
Se a LGPD for aprovada, teremos um marco histórico no ordenamento jurídico brasileiro, pois até então o Brasil não possuía legislação específica sobre proteção de dados pessoais e privacidade.

Importante lembrar que nosso país dispõe de mais de 30 normas legais que versam sobre privacidade e dados pessoais, contudo, tais legislações são esparsas e funcionam mais como regulações setoriais (ex: normas do BACEN, da ANATEL, dispositivos específicos do Código de Defesa do Consumidor e do Código Penal, etc.).

O volume de legislações esparsas acaba por gerar conflitos e insegurança jurídica, além de entraves econômicos, tendo em vista que aos olhos do mercado internacional, é duvidoso investir em um país que não possui lei a respeito do tratamento de dados pessoais, indo na contramão de muitas nações.

Nesse cenário, não havia até então um regramento único e padronizado, aplicável a todos os setores da economia brasileira, que tratasse de questões sobre dados pessoais e definisse regras e limitações para instituições públicas e privadas quanto ao uso dessas informações coletadas de seus usuários. Ou seja: o cidadão, proprietário de seus dados, não tinha ideia do que o Governo e as empresas privadas podiam fazer com seus dados. Não havendo limitações sobre isso, não é de se ficar surpreso com escândalos de vazamento de dados noticiados pela mídia, tais como os casos do SERPRO, Receita Federal e Netshoes, por exemplo.

Se não há regras específicas para o que pode ser feito com nossos dados, então o Governo e as empresas privadas acabam agindo sem limitações. Temos a sensação de que nossos dados não nos pertencem.

Sendo assim, a LGPD veio para complementar e padronizar nosso ordenamento jurídico referente a proteção de dados pessoais, visando garantir direitos individuais, unificando procedimentos de tratamento de informações e impulsionando o desenvolvimento econômico e tecnológico através de normas claras e específicas. Pois dessa forma, finalmente o Brasil entrará na lista de países que possuem legislação sobre proteção de dados pessoais e privacidade, o que se torna um diferencial competitivo para nossa economia.

LGPD – Objetivos e vantagens:
Em resumo, estes são alguns dos principais objetivos e vantagens da LGPD:
– Garantir o direito à privacidade e à proteção dos dados pessoais dos cidadãos, ao permitir-lhes maior gerência sobre suas informações, dando-lhes controle sobre seus dados, através de práticas seguras a serem cumpridas pelas empresas e órgãos públicos, de modo transparente. Isso confere ao cidadão poder e autonomia sobre seus dados, garantindo-lhe o exercício de seus direitos fundamentais.
– Definição de regras claras para empresas privadas e órgãos públicos quanto à coleta, armazenamento, tratamento e compartilhamento dos dados dos usuários e cidadãos, tanto no ambiente online, quanto offline.
Aprimoramento da segurança jurídica em relação aos dados pessoais e à privacidade.
Incentivo ao desenvolvimento econômico e tecnológico, tendo em vista que o capital atual consiste em dados.
Fortalecimento das relações comerciais, através de práticas seguras e claras de tratamento de dados.
Aumento do nível de compliance das instituições, já que todos os setores da economia (tanto público, quanto privado) terão que se adequar à nova lei.
Fortalecimento do consumidor, através do aprimoramento da livre iniciativa, livre concorrência, e de maior transparência nas relações de consumo.
Portabilidade: permitir ao usuário a transferência de seus dados de um serviço para outro sem prejuízo, permitindo-lhe autonomia e liberdade de escolha na contratação, bem como favorecendo a livre iniciativa e competitividade econômica.
Nivelamento do Brasil aos demais países que já possuem legislação sobre proteção de dados: a LGPD torna o nosso país apto a competir economicamente com demais países que já possuem leis sobre proteção de dados, tais como E.U.A, Europa e grande parte dos países da América Latina. Esse diferencial pode alavancar setores vinculados a tecnologia.

Principais pontos da LGPD – limites impostos às instituições quanto ao uso de nossos dados:
A LGPD tem aplicação a todos os setores da economia: público ou privado, online ou offline; portanto, qualquer empresa ou órgão público que colete dados pessoais, seja através da internet ou por meios presenciais, deverá se adequar à nova lei.

A nova lei, em geral, conceitua dados pessoais, define as bases que autorizam seu uso, sendo o consentimento um dos mais importantes, trata dos direitos básicos do titular dos dados; bem como cria regras, obrigações e limites que devem ser respeitados quanto ao uso de dados pessoais.

Estes são alguns de seus pontos que considero principais:
A quem se aplica: a todos os setores da economia (público, privado, online, offline) onde houver uso de dados pessoais.
Onde se aplica: a LGPD terá limites extraterritoriais, ou seja, afetará também pessoas e empresas fora do Brasil. Será aplicada a toda empresa, nacional ou estrangeira com filial no Brasil, que coletar e/ou tratar dados de pessoas físicas localizadas no nosso país.
Dados pessoais: “dado pessoal” é toda informação relacionada à pessoa física identificada ou identificável. Ou seja, é qualquer dado que isolado ou associado a qualquer outra informação, permita chegar-se à identidade de um sujeito. Exemplos: nome, endereço, RG, CPF, dados de geolocalização, número de telefone, etc.
Dados pessoais sensíveis: “dados sensíveis” são aqueles que poderão gerar qualquer discriminação do seu titular, tais como informações relacionadas a origem étnica, status financeiro, orientação sexual, religião, opinião política, dados biométricos ou genéticos. Para captura e tratamento desses dados, seu titular deverá fornecer consentimento específico.
Dados anonimizados: “dados anonimizados” são aqueles vinculados a um titular que não possa ser identificado, de acordo com o estado da técnica na época em que foram coletados. A título exemplificativo, são dados utilizados em pesquisas estatísticas e métricas, de modo que não permitam a identificação de seu titular dentro de um grupo de pessoas.
Dados públicos: há discussões sobre o que seriam dados públicos, se tal conceito englobaria informações constantes em bases de órgãos públicos, ou se estariam também vinculados aqueles em que seu titular permitiu a publicização. A LGPD limita o uso de dados públicos àqueles que estejam vinculados à finalidade para a qual foram coletados.
Direitos básicos: com a LGPD os titulares dos dados tiveram seus direitos ampliados, destacando-se: o direito de acesso aos dados, retificação, cancelamento ou exclusão, oposição ao tratamento, informação, explicação sobre uso dos dados e portabilidade, sendo este último o principal destaque. O titular tem o direito de solicitar uma cópia de seus dados, bem como portá-los para outro serviço/empresa, conservando-se a interoperabilidade das informações.
Responsáveis pelo tratamento dos dados: as empresas privadas e órgãos públicos deverão eleger um responsável pelo tratamento de dados pessoais. Tal encargo estará vinculado à responsabilização por eventuais incidentes de segurança da informação ou não conformidades legais. Tal indivíduo deverá reportar à Autoridade Nacional de Proteção de Dados sobre os incidentes ocorridos.
Designação de uma Autoridade Nacional de Proteção de Dados (ANPD): deverá ser criada uma autoridade pública autônoma e independente para a fiscalização, supervisão e aplicação da nova lei. Tal autoridade deverá funcionar como uma agência reguladora, tal qual ANATEL, ANAC e similares, ou nos moldes de um órgão fiscalizador, como o CADE.
Notificação obrigatória de incidentes: o responsável pelo tratamento de dados deverá reportar à Autoridade Nacional de Proteção de Dados sobre eventuais incidentes de segurança da informação, bem como vazamento de dados pessoais ou uso indevido dos mesmos.
Privacy by design e privacy by default: a privacidade deverá ser observada desde a concepção de produtos, serviços e modelos de negócio. Sendo assim, quaisquer controles de privacidade deverão ser oferecidos aos usuários no modo mais restritivo possível, para que estes, caso queiram, flexibilizem tais níveis.
Penalidades: poderão ser aplicadas pela ANPD as sanções administrativas àqueles que violarem a LGPD. Entre as sanções, estão elencadas: advertências, multas e até a proibição total ou parcial das atividades relacionadas ao tratamento de dados. Em relação às multas: estas variam de entre 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Ainda há possibilidade de arbitramento de multa diária, a fim de compelir a instituição a cumprir com as determinações.
Período de adaptação: se aprovada, a LGPD entrará em vigor 18 meses após a sua publicação. Tal período servirá para as instituições públicas e privadas se adaptarem à nova lei.

Entraves para a LGPD ser definitivamente aprovada:
Apesar da aprovação final da LGPD trazer inúmeros benefícios para nosso país e para a sociedade como um todo, infelizmente há alguns obstáculos que deverão ser superados para que de fato essa lei entre em vigor.

Vejamos:
Criação da Autoridade Nacional de Proteção de Dados (ANPD): de acordo com a lei, a ANPD deve ser autônoma, independente, a fim de fiscalizar todos os setores da economia (público e privado). Contudo, por questões burocráticas e de processo legislativo, tal órgão não poderia ser criado pela Câmara, mas sim pelo Executivo. E como o Executivo poderia criar um órgão que o fiscalizaria? Uma das saídas seria vetar os trechos do PLC 53/2018 onde há menções à ANPD, o que empobreceria demais o texto. Outra saída seria vincular a ANPD à outras entidades, tais como o GSI (Gabinete de Segurança Institucional), que tem entre suas atribuições, a ABIN (Agência Brasileira de Inteligência). E se a ANPD teria vínculos com o órgão público, como fiscalizar quem fiscaliza o Governo?
Setor bancário: este foi o único setor, junto com a Casa Civil, que se opôs ao texto do PLC 53/2018. Isso porque a LGPD, ao definir limitações à proteção dos dados pessoais, acaba confrontando o “Cadastro Positivo”, que os bancos tanto querem aprovar.

E agora?
Agora o Presidente terá que optar entre sancionar (aprovar) ou vetar (total ou parcialmente) a LGPD. Ao optar pela sanção, ele terá a oportunidade de criar uma ANPD de fato autônoma, apta a fiscalizar todos os setores (inclusive o próprio Governo), em prol da proteção dos dados pessoais dos cidadãos. Aí sim as empresas e órgãos públicos terão limitações no uso de nossos dados pessoais e poderemos dizer que o Governo não terá direitos sobre nossos dados.

Se a LGPD for vetada, ou se o Presidente vincular a ANPD a algum órgão governamental, então corremos o risco de voltarmos ao status quo: na prática, continuaremos não tendo a titularidade plena de nossos dados, pois na ausência de lei específica ou na parcialidade de quem fiscaliza, não há garantias de direitos.

* Gisele Truzzi é advogada especialista em Direito Digital e fundadora da Truzzi Advogados