• Por meio da Medida Provisória (MP) 959/20, o governo federal propôs o adiamento da entrada em vigor da Lei n.º 13.709/18 (Lei Geral de Proteção de Dados Pessoais, “LGPD”), postergando o início de sua vigência para o dia 3 de maio de 2021. O Congresso, no entanto, rejeitou a alteração, e a LGPD está em vigor desde o dia 15 de agosto de 2020, dois anos após sua publicação no Diário Oficial. Os únicos artigos da LGPD ainda não vigentes se referem às sanções administrativas, que valerão a partir de 1.º de agosto de 2021;
  • Principais objetivos. A LGPD em linhas gerais “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Em resumo, todos aqueles que de alguma forma coletam dados de pessoas naturais, seja por meios físicos ou digitais, estão sujeitos à nova LGPD;
  • Figuras-chave. Principais figuras da LGPD:

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

  • Criação da Agência Nacional de Proteção de Dados (ANPD), órgão do Executivo federal responsável pela aplicação, regulamentação e fiscalização da nova lei – acabou de ser criado, mas ainda não foi efetivamente constituído, sobretudo nos seus quadros técnicos,
  • Dados protegidos. A LGPD prevê que o tratamento de dados pessoais, como armazenamento do endereço de uma pessoa, exige o consentimento do titular ou do seu responsável. Tal previsão é especialmente aplicável aos chamados “dados sensíveis”, que são as informações sobre origem étnica de uma pessoa, suas convicções religiosas e opiniões políticas, sua filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, os dados referentes à sua saúde ou vida sexual, bem como dados genéticos ou biométricos. A rede social ou o aplicativo que tenha acesso a essas informações não poderá usá-las sem o consentimento expresso do titular;
  • Sanções: Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional (ANPD):

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

  • Data para eventuais sanções. Muito embora a LGPD já esteja em vigor, eventuais sanções previstas na referida lei e aplicáveis aos infratores passam a vigorar a partir de 1º de agosto de 2021;
  • Documentos jurídicos a serem oferecidos e elaborados aos clientes: termos de consentimento (opt-in, opt-out) para fornecimento e utilização de dados, política de privacidade (estabelecendo de forma transparente como os dados são tratados pelo controlador/operador) e termos de uso (contrato entre controlador/operador e titular prevendo os principais direitos e obrigações de cada um, com todos os disclaimers necessários).