LGPD em vigor: entenda o que muda

post_instagram cópia

Sancionada em 14/08/18, após inúmeras discussões normativas, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor hoje, 18 de setembro de 2020. A exceção fica por conta das sanções administrativas, que, de acordo com a Lei 14.010/2020, só passam a valer em 1º de agosto do ano que vem.

Qual era o cenário antes da LGPD?

O direito brasileiro carecia de legislação específica e abrangente sobre proteção de dados pessoais, harmonizando e atualizando conceitos antes esparsos em inúmeras outras normas setoriais, como o Código de Defesa do Consumidor, o Marco Civil da Internet, a Lei do Cadastro Positivo, entre outras.

A Constituição Federal também destaca o direito fundamental à intimidade e à vida privada, previsto no artigo 5º, inciso X. Em maio deste ano, justamente com base nesse princípio, entre outros, o STF reconheceu, em julgamento que suspendeu a Medida Provisória 954/20, que previa o compartilhamento de dados pessoais com o IBGE (Instituto Brasileiro de Geografia e Estatística), a existência, na Constituição Federal, do direito dos indivíduos à autodeterminação informativa. O julgamento pode ser considerado um marco na história brasileira de proteção de dados pessoais.

Por fim, há importante Proposta de Emenda à Constituição (PEC), a de número 17/2019, que acrescenta expressamente a proteção de dados pessoais no rol de direitos e garantias fundamentais, estabelecendo também a competência privativa da União para legislar sobre o tema. Além disso, conforme sugestão de acréscimo oriunda da Câmara dos Deputados, pretende a modificação da natureza jurídica da Autoridade Nacional de Proteção de Dados (ANPD), que pode passar a ser um órgão independente, integrante da administração pública federal indireta e submetida ao regime autárquico especial.

O que muda agora que a LGPD entrou em vigor?

A LGPD visa trazer maior segurança jurídica, mediante a previsão, em norma específica, dos requisitos a serem seguidos pelas organizações para que tratem dados pessoais de forma ética, responsável e segura, elevando a proteção aos direitos individuais e o fomento à economia digital.

Além disso, o Brasil está agora alinhado com as melhores práticas internacionais. A LGPD, que se inspirou no GDPR (General Data Protection Regulation – Regulamento Geral de Proteção de Dados), considerado referência no mundo inteiro, potencializa a atração de investimentos externos e deixa o fluxo internacional de dados menos burocrático.

Os principais pontos de atenção diante da eficácia da LGPD são os seguintes:

A autodeterminação informativa, prevista como fundamento no artigo 2º, II, da LGPD, deve servir como norte para as organizações no tratamento de dados pessoais, assim como seus respectivos princípios, elencados no artigo 6º, como finalidade, necessidade, transparência, livre acesso, segurança e prevenção.

Vale ressaltar, no entanto, que a LGPD apresenta diversos dispositivos que necessitam de regulamentação ou orientação da ANPD, como:

  • Prazos para atendimento de alguns dos requerimentos dos titulares;
  • Padrões para portabilidade de dados;
  • Regulamentação do Relatório de Impacto à Proteção de Dados;
  • Clarear as hipóteses de aplicação do Legítimo Interesse;
  • Padrões e técnicas de anonimização e pseudonimização de dados pessoais;
  • Decisão sobre a adequação de outros países e cláusulas-padrão contratuais para facilitar a transferência internacional de dados; e
  • Editar orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas, empresas de pequeno porte e startups possam se adequar à Lei Geral de Proteção de Dados Pessoais.

Sanções administrativas a partir de 1º de agosto de 2021. O que isso significa?

As sanções administrativas previstas na LGPD, de competência exclusiva da ANPD, só poderão ser aplicadas, em atendimento à Lei 14.010/2020, a partir de 1º de agosto de 2021. Vejamos quais são elas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total a que se refere o inciso II do artigo 52 da LGPD (ou seja, R$ 50 milhões por infração);
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)

Competirá à ANPD definir, após consulta pública, as metodologias que serão usadas para calcular o valor-base da multa, assegurando a publicação prévia, formas e dosimetria objetivas, bem como a fundamentação detalhada de todos os elementos e critérios para se definir uma sanção.

Também é papel da ANPD, como órgão central de interpretação da LGPD e do estabelecimento de diretrizes para sua implementação, articular-se com outros órgãos e entidades que têm competências sancionatórias e normativas ligadas à proteção de dados pessoais. Sem tal articulação, há risco de aplicação cumulativa de punição administrativa decorrente de um único fato (o chamado bis in idem), especialmente em setores econômicos muito regulados ou sujeitos à proteção consumerista.

O trabalho da Autoridade, que ainda não está em funcionamento, deve priorizar, em nossa opinião, o engajamento construtivo com a iniciativa privada por meio do diálogo, apoio, mútua cooperação, orientação, conscientização e informação, ao invés de sanções, que devem ser a última opção – apenas nos casos de violação dolosa ou práticas exponencialmente negligentes, condutas reiteradas ou muito graves.

No entanto, com a eficácia plena da LGPD a partir de hoje (18/09/20), órgãos setoriais e o Poder Judiciário poderão fundamentar suas decisões com base na LGPD, a fim de aplicar medidas administrativas existentes em normas setoriais e condenações judiciais por responsabilidade civil, o que esperamos não ser o “novo normal” com a LGPD em vigor.

O que falta para a ANPD começar, de fato, a funcionar?

Até o momento, a ANPD não saiu do papel. A necessária segurança jurídica ressaltada anteriormente pode estar comprometida até que a Autoridade comece efetivamente a funcionar e regulamentar a LGPD.

Vale lembrar que o Decreto 10.474/2020, publicado no dia 27 de agosto no Diário Oficial da União, aprovou a estrutura regimental da ANPD e do quadro demonstrativo dos cargos em comissão e das funções de confiança.

Esse é, no entanto, somente o passo inicial para que a ANPD tenha condições de iniciar suas operações. Agora, a Presidência da República precisa indicar os membros do Conselho Diretor da ANPD, que ainda serão sabatinados e aprovados pelo Senado Federal, o que deve ocorrer nas próximas semanas. Também deve ser definido o Conselho Nacional de Proteção de Dados e da Privacidade, órgão consultivo ligado à ANPD.

 

LIVE às 15h com sócios e coordenadores da área

Hoje, às 15h, faremos uma live para detalhar todos os aspectos da entrada em vigor da LGPD. A transmissão será ao vivo no YouTube. Clique aqui para assistir.

 

Para mais informações, as equipes do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp