Após oito anos de intensa discussão realizada por meio de consultas e audiências públicas, aprovação pela Comissão de Assuntos Econômicos do Senado (“CAE”) e pelo plenário do Senado, o presidente Michel Temer sancionou com vetos na noite de ontem o Projeto de Lei 53/2018, atual Lei nº 13.709 de 14 de agosto de 2018, que altera o Marco Civil da Internet e estipula regras para o tratamento de dados no Brasil.
A nova lei, publicada na data de hoje no Diário Oficial da União, tem por objetivo regulamentar o tratamento de dados pessoais coletados no Brasil, seja pelo poder público ou iniciativa privada, independentemente do meio, do país sede ou do país onde estejam localizados os dados, desde que referido tratamento seja aqui realizado, e busca conciliar o respeito à privacidade, a intimidade, a liberdade de expressão e a defesa do consumidor com o desenvolvimento econômico e tecnológico, inovação, livre iniciativa e livre concorrência.
Fortemente elogiado por convergir interesses setor empresarial, sociedade civil, Ministério Público e instituições acadêmicas, a nova Lei busca, nas palavras do senador Armando Monteiro (PTB-PE), membro da CAE, “equilibrar as garantias individuais com a preocupação de não impedir o dinamismo econômico de um país que deve ter propensão à inovação.”
Restam críticas apenas em relação ao setor bancário, que, de acordo com o Banco Central, teme que a dificuldade ao acesso à informação atrapalhe a fiscalização do setor financeiro e comprometa a implantação do cadastro positivo.
Inspirado no Regulamento Geral de Proteção de Dados Europeu (“GDPR”), que entrou em vigor no dia 25 de maio de 2018, a Lei 13.709/18 determina que o tratamento de dados pessoais somente será realizado mediante consentimento expresso e inequívoco do titular, e garante a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais.
Para os contratos de adesão em que o tratamento de dados pessoais é condição para o fornecimento do produto ou serviço, o titular deverá ser informado com destaque sobre esta condição.
A nova Lei, diferencia “dados pessoais”, relacionados à identificação da pessoa, tais como o nome, data de nascimento, endereço e número de documentação, de “dados sensíveis”, relacionados à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações, dados referentes à saúde ou à vida sexual, bem como dados genéticos ou biométricos, sendo vedado o tratamento de dados pessoais sensíveis, com poucas exceções previstas na Lei.
A infração desta Lei implicará em sanções que vão de advertência, com indicação de prazo para adoção de medidas corretivas, até multa de 2% do faturamento da empresa que descumpra as regras, limitada a R$ 50 milhões por infração, além de publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, bem como proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Importante ressaltar que a Lei determina que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais, que deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Por fim, vale destacar, ainda, que esta Lei não se aplica ao tratamento de dados pessoais realizado por pessoa jurídica de direito público, para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de infrações penais, que deverá ser regido por legislação específica.
O projeto original previa a criação da Autoridade Nacional de Proteção de Dados, autarquia especial vinculada ao Ministério da Justiça para zelar pela proteção de dados e, entre outras atribuições, realizar a fiscalização e aplicação de sanções pelo descumprimento da Lei. Entretanto, em razão de debates constitucionais a respeito da competência para a criação de referido órgão, sua criação por iniciativa legislativa foi vetada pelo Presidente.
As novas regras passarão a viger após 18 meses de sua publicação oficial.
Para se adaptar às novas diretrizes, consulte as áreas Contratual e de Compliance do Finocchio & Ustra Advogados.