As empresas europeias que possuem operações de tratamento de dados pessoais no território brasileiro deverão se atentar às disposições da recém-publicada Lei nº 13.853/19, que alterou a Lei Geral de Proteção de Dados – LGPD – e que criou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
A autoridade já havia sido prevista pela LGPD, mas foi objeto de veto presidencial na ocasião. Na época, o então Presidente Michel Temer vetou a criação da autoridade sob as justificativas de ausência de verbas para tanto e a ausência de competência do Legislativo para criar uma autarquia com independência orçamentária, gerando críticas no sentido de que a ausência da autoridade enfraqueceria a aplicação da nova lei de proteção de dados pessoais.
Agora, com a publicação da nova lei, a ANPD poderá editar normas e procedimentos sobre a política de proteção de dados pessoais, nos termos da LGPD, bem como tomar decisões na esfera administrativa acerca de eventuais interpretações sobre a matéria, podendo firmar compromisso com agentes de tratamento para eliminar irregularidades ou incertezas jurídicas. Funcionando com independência técnica, mas vinculado ao Executivo, o órgão criado terá poder de requisitar informações, fiscalizar o cumprimento da legislação de dados pessoais e, ainda, aplicar sanções.
A legislação europeia serviu de espelho à elaboração do texto da LGPD, que deverá ser observada quando a operação de tratamento de dados for realizada no território brasileiro, quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou, por fim, quando os dados objeto do tratamento tenham sido coletados no território nacional. Contudo, em seu atual texto, a legislação brasileira diverge da europeia, a qual, por sua vez, obriga todas as empresas localizadas fora da União Europeia que desejam tratar os dados de cidadãos europeus a se submeterem à legislação.
A regulamentação qualifica os “dados pessoais” como qualquer informação que possa ser utilizada para identificar uma pessoa, incluindo o nome, sobrenome, endereço, endereço de e-mail e os dados referentes à sua localização.
Entre as principais mudanças trazidas pela Lei nº 13.853/19 à LGPD, além da criação da ANPD, podemos mencionar:
– Alteração da definição de “encarregado” de dados – o chamado Data Protection Officer, ou DPO – que pode ser tanto pessoa física quanto pessoa jurídica e que figura como a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD;
– Possibilidade de tratamentos de dados públicos para outra finalidade que não aquela para a qual os dados foram inicialmente coletados, se observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do seu titular;
– Impossibilidade de tratamento de dados, pelas operadoras de planos privados de assistência à saúde, destinado à seleção de riscos na contratação de modalidades e na contratação/exclusão de beneficiários;
– Inclusão da disposição que prevê a destinação dos valores arrecadados com o recolhimento das multas ao Fundo de Defesa de Direitos Difusos;
– Atribuição de autonomia técnica e decisória à ANPD;
– Previsão de disposições específicas às microempresas, empresas de pequeno porte e startups, indicando a competência da ANPD para prever procedimentos diferenciados a esses tipos de empresas para facilitar sua adequação às disposições da LGPD;
– Remoção da previsão de penalidade de suspensão parcial, por até 6 meses, do funcionamento do banco de dados ou suspensão absoluta do tratamento de dados pessoais por até 6 meses.
No que diz respeito às outras previsões relevantes trazidas pela LGPD, a regulamentação dispõe que a transferência de dados pessoais localizados no Brasil a outros países é possível sob duas condições concomitantes:
– Se o país destinatário possui um nível de proteção de dados pessoais similar ao do Brasil; e
– Se a empresa que recebe os dados fornece uma garantia de conformidade aos princípios estabelecidos pela lei brasileira.
Para as empresas que não respeitarem as novas obrigações, a regulamentação prevê, além da aplicação de advertências com prazo para a adoção de medidas corretivas, o pagamento de uma multa de 2% sobre o faturamento anual referente ao último exercício da empresa, ao limite de R$ 50 milhões. Por este motivo, é importante que as empresas que desejam coletar ou tratar dados pessoais dentro do território brasileiro tenham conhecimento da nova regulamentação e das alterações trazidas pela Lei 13.853/19.
Nesse sentido, o Manucci Advogados se encontra à disposição para aconselhar as empresas a adotarem as medidas necessárias para adaptar suas atividades às disposições dos novos diplomas legais.
Dra. Gabriela Leite – Advogada do Manucci Advogados
