Novos marcos legais para proteção de dados na União Europeia e Brasil

18/09/2017


Lautenschlager, Romeiro e Iwamizu Advogados

Apesar do advento da rede mundial de computadores ter potencializado a importância da segurança de informação quanto aos dados sensíveis, sigilosos e privados, tanto pessoais, como corporativos, a preocupação com a matéria vai muito além dos dados colhidos e armazenados via internet, possuindo relevância também para informações obtidas por telefone, fichas cadastrais, atendimento de SAC, serviços de proteção ao crédito e outros ambientes.

A partir de maio de 2018 a União Europeia passará a adotar um novo marco legal para proteção de dados pessoais que traz grandes inovações, inclusive, para empresas que não possuem presença no bloco econômico (Regulamento 2016/679).

O Regulamento em questão substitui a norma anterior de 1996 e introduz no ordenamento legal internacional os conceitos de "direito ao esquecimento", portabilidade de dados, medidas contra vazamento e violação de dados pessoais (data breach), entre outros.

Outra importante inovação trazida pelo Regulamento é a possibilidade de responsabilização e aplicação de multas mesmo em face de pessoas e empresas sem presença na EU. Isso poderá acontecer nas seguintes hipóteses: (i) os dados pessoais de um residente da UE sejam processados em relação a bens e serviços a ele oferecidos; e (ii) em situações em que o comportamento de um indivíduo dentro do território comunitário é monitorado.

As multas aplicáeis contra os infratores podem chegar a EUR 10 mil ou, no caso de empresa, até 2% do valor do volume de negócios anual total do exercício anterior, o que for maior.

Dessa forma, mesmo as empresas sem presença na UE, mas que possuem relações com empresas e indivíduos lá estabelecidos, devem analisar melhor o impacto que o Regulamento 2016/679 poderá acarretar às suas atividades e adequar seu compliance às exigências necessárias.

Apesar de não se encontrar em vigor no Brasil, atualmente, uma legislação específica referente a proteção de dados e segurança de informação, o tema é tratado de forma esparsa na Contituição Federal, Código Civil, CLT, Código de Defesa do Consumidor, Marco Civil da Internet e Lei de Lavagem de Dinheiro.

Apesar da existência da legislação esparsa acima mencionada, tramita perante o Congresso Nacional quatro projetos de lei visando estabelecer um marco legal para a proteção de dados pessoais no Brasil, sendo o PL 5726/2016, o mais abrangente deles, que segue, predominantemente, a mesma linha normativa da Diretiva Europeia 95/46/EC, que será revogado pelo Regulamento 2016/679 em maio de 2018.

Dentre os principais pontos contidos no referido projeto de lei, vale destacar os seguintes:

  • os responsáveis pelo tratamento de dados pessoais deverão atender os princípios da Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade de Dados, Transparência, Segurança, Prevenção e Não Discriminação.
  • o tratamento de dados pessoais somente poderá ser realizado em três hipóteses: (i) pelo consentimento livre do titular; (ii) para cumprimento de obrigação legal; e (iii) pela administração pública, para tratamento e uso compartilhado de dados necessários à execução pública.
  • imposição de obrigações ao responsável pelo tratamento de dados para facilitar o acesso do titular dos dados a informações no tocante aos seguintes tópicos: finalidade, forma, duração, identificação, contato do responsável, sujeitos e âmbito nos quais os dados poderão ser comunicados.
  • faculdade do titular dos dados obter, do responsável pelo tratamento, a confirmação da existência de dados pessoais que lhe digam respeito, bem como o acesso aos dados em si, tanto diretamente, como por meio de habeas data.
  • aplicação de sansões administrativas e cíveis em face do responsável pelo tratamento de dados pessoais em caso de incidente de segurança passível de acarretar risco ou prejuízo relevante aos titulares (data breach).
  • criação do Conselho Nacional de Proteção de Dados Pessoais e Privacidade.

Referido projeto de lei foi apresentado ao Congresso Nacional, por iniciativa do Poder Executivo, com pedido de tramitação com urgência, sendo apensado ao PL 4060/2012, apresentado pelo Deputado Federal Milton Monti (PR/SP), que também trata sobre proteção de dados. Em 18.08.2016, foi criada Comissão Especial para sua análise e, posteriormente, designado como relator o Deputado Federal Orlando Silva (PCdoB/SP).