Valor econômico, v.19 , n.4568 , 15/08/2018. Empresas, p. B6
Nova lei de proteção de dados pessoais entrará em vigor em 2020
Carla Araújo e Andrea Jubé
15/08/2018
Dentro de um ano e meio, as empresas que recolhem e processam dados pessoais no Brasil terão que se adaptar à nova lei de proteção das informações pessoais sancionada ontem pelo presidente Michel Temer. A lei, que deve ser publicada hoje no "Diário Oficial da União", cria regras para empresas e entidades usarem e coletarem os dados (on-line e off-line).
A coleta de dados exigirá consentimento dos usuários e para que as empresas possam compartilhá-los será preciso um aval inequívoco do cidadão. A medida afeta bancos, operadoras de saúde e o governo. As sanções para o descumprimento da norma vão da simples advertência à multa, que será proporcional à extensão do dano. A multa varia de 2% do faturamento da empresa até o máximo de R$ 50 milhões. Além disso, há previsão de multas diárias e divulgação da infração, após a ocorrência ser apurada e confirmada.
O texto prevê ainda que os controladores e operadores do tratamento de dados pessoais poderão formular regras de boas práticas e de governança que estabeleçam "as condições de organização, o regime de funcionamento, os procedimentos".
Para David Reck, especialista em marketing digital e sócio fundador da Reamp, dependendo da forma como for aplicada a lei, o impacto no mercado será enorme, pois ela forçará as empresas a se organizarem para ter um melhor relacionamento com o consumidor. "As empresas terão que criar praticamente um departamento de proteção de dados", afirmou.
Segundo a lei, a proteção de dados tem como fundamento o respeito à privacidade; a liberdade de expressão; a inviolabilidade da intimidade, da honra e da imagem; a defesa do consumidor; os direitos humanos e o exercício da cidadania.
O projeto estava em debate há anos e ganhou força com o escândalo do uso de dados do Facebook para influenciar a eleição americana e com a entrada em vigor, em maio, da nova norma europeia para proteção de dados (a GDPR), que exige legislação compatível com outros países para permitir operações entre empresas. O Brasil tinha leis dispersas, agora consolidadas numa única norma.
Durante a solenidade de sanção da lei, Temer confirmou o veto à Autoridade Nacional de Proteção de Dados (ANPD) e ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, e acrescentou que o Executivo enviará ao Congresso um projeto de lei para criar o órgão fiscalizador.
O presidente esclareceu que o veto foi necessário porque havia "vício formal" para criação da agência. Ele afirmou que, no contexto de seu governo de reformas, a lei sancionada ontem pode ser considerada uma "reforma, talvez até dos costumes".
Temer disse que enviará "logo" o projeto de lei de criação de um órgão fiscalizador. Ele esclareceu que ainda será definido se o novo órgão continuará vinculado ao Ministério da Justiça, conforme previsto no texto aprovado pelo Congresso. "Vou deixar mais ou menos como está", sinalizou.
Apesar de reforçar que a intenção do governo é resolver de forma breve a pendência, o ministro de Ciência, Tecnologia, Inovações e Comunicações, Gilberto Kassab, disse que a disposição "é encaminhar o mais rápido possível na forma de projeto de lei", mas não descartou a medida provisória". "É porque existem algumas poucas vozes que legitimamente discordam e querem que haja esse debate", completou.
Ao ser questionado se o novo órgão ficará subordinado à Justiça, Kassab disse que seja em PL ou MP essa questão será discutida. "Qualquer que seja a modalidade, nós vamos discutir onde ficará alocada. Alguns entendem que o Ministério da Justiça é o mais adequado, outros entendem que talvez seja a área da Pesquisa, da Inovação da Ciência para que haja um permanente acompanhamento, não existe vaidade de nenhum ministério nessa questão", garantiu.
Marcela Waksman Ejnisman, sócia na área de Propriedade Intelectual do escritório TozziniFreire Advogados, explica que alguns pontos da lei devem ser regulados posteriormente, tais como regras sobre a transferência internacional de dados, regras relacionadas com o "encarregado" de dados, regras relacionadas com a notificação de vazamento de dados e criação de uma autoridade nacional de proteção dados. "Uma vez que foi vetada sua criação na nova lei, mas a lei menciona em vários trechos que essa autoridade tomará providências", alerta.
Temer também vetou outros pontos da norma. A pedido do Ministério da Fazenda, foi vetado o inciso II do artigo 23, que previa que fossem protegidos e preservados dados pessoais de requerentes de acesso à informação e vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado.
Segundo o ministro de Direitos Humanos, Gustavo do Vale Rocha, que é subchefe de Assuntos Jurídicos da Casa Civil, esse artigo "em alguns casos inviabilizaria alguns serviços públicos". Ele explicou que a "dificuldade era justamente porque esse artigo traria complicadores entre a Receita e instituições públicas ou órgãos públicos".
Também foi vetado um inciso do parágrafo primeiro do artigo 26, que dizia que é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto "quando houver previsão legal e a transferência for respaldada em contratos, convênios ou instrumentos congêneres". No caso, segundo orientações do Banco Central e do Ministério da Fazenda, uma das opções já seria suficiente.
Outro veto, por orientação da Fazenda, Planejamento e Controladoria-geral da União, foi ao artigo 28, que dizia que a "comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade". Segundo o ministro, o tema deve constar também no projeto que o governo vai enviar para corrigir algumas distorções já que avaliou-se que seria complicado colocar em vigor dentro do prazo que a lei vai passar a valer.
Por fim, Temer vetou os incisos VII, VIII e IX do capítulo sobre as sanções administrativas. No primeiro caso, o dispositivo previa a suspensão parcial ou total do funcionamento do banco de dados relativo à infração por até seis meses, prorrogáveis por igual período, até a regularização da atividade.
Os outros artigos previam a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até seis meses, prorrogáveis por igual período, e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.