Legislação
22/01/2019Lei Geral de Proteção de Dados: saiba o que muda com a edição da Medida Provisória 869/18
Adiamento da data inicial de vigência da norma e criação de órgão para fiscalizar irregularidades são as principais novidades
Medida Provisória n.º 869 tem prazo de vigência de 60 dias, prorrogável automaticamente por igual período
(Arte/Tutu)
Publicada em 28 de dezembro de 2018, a Medida Provisória (MPV) n.º 869 entrou em vigor no mesmo dia com efeitos imediatos e alterou alguns dispositivos da Lei n.º 13.709/2018, também conhecida como “Lei Geral da Proteção de Dados” (LGPD), que estabelece as situações em que informações pessoais podem ser coletadas, tratadas e utilizadas para finalidades comerciais ou não. Entre as principais novidades estão a criação da Autoridade Nacional de Proteção de Dados e a prorrogação do prazo para entrada em vigor da norma, passando de fevereiro de 2020 para agosto do mesmo ano.
Criada sem aumento de despesa e com autonomia técnica, a Autoridade Nacional de Proteção de Dados é órgão integrante da Presidência da República e fica responsável por zelar pela proteção de dados pessoais, requisitar informações aos controladores e operadores, interpretar a lei e editar normas e procedimentos sobre proteção de dados. Além disso, o órgão deve fiscalizar e aplicar sanções na hipótese de tratamento de dados em desconformidade com a lei e educar a sociedade em relação a proteção de dados e segurança.
Veja também
Empresas de pequeno porte serão mais afetadas pela nova Lei de Proteção de Dados
Conheça as situações em que o tratamento de dados pessoais será permitido
Empresas devem se preparar para atender às normas da nova Lei Geral de Proteção de Dados
A MPV também flexibilizou as hipóteses de compartilhamento de dados pessoais entre os setores público e privado. O texto original da lei previa que esse procedimento fosse feito apenas em casos de execução descentralizada de atividade pública que exija transferência e quando os dados forem acessíveis publicamente. Agora, também é possível quando for indicado um encarregado para as operações de tratamento de dados pessoais; quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; e quando o objetivo da transferência dos dados for prevenir fraudes e irregularidades ou proteger e resguardar a segurança e a integridade do titular dos dados.
Por fim, outra modificação importante trazida pela MVP é a exclusão da expressão “por pessoa natural” do artigo 20 da LGPD, que diz respeito ao direito de o titular solicitar revisão de todos os dados e as decisões tomadas com base em tratamento automatizado. Com isso, a assessoria jurídica da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) avalia que as informações relativas à revisão de decisões totalmente automatizadas poderão ser prestadas pelas empresas aos solicitantes de forma digital e automática, não necessariamente por pessoa física como previa o texto legal anteriormente.
A Medida Provisória n.º 869 tem prazo de vigência de 60 dias, prorrogável automaticamente por igual período. Portanto, o texto precisa ser votado e aprovado por ambas as Casas do Congresso Nacional em até 120 dias – do contrário, perde a validade.
Saiba mais sobre a lei
A Lei Geral de Proteção de Dados foi inspirada na Regulamentação Europeia de Proteção de Dados (GDPR), que entrou em vigor em maio de 2018. A nova legislação elevou o País a um patamar compatível com as demais normas internacionais que regulam o assunto.
A norma se aplica a todas as pessoas físicas ou jurídicas, de direito público ou privado, que realizem a coleta e o tratamento de dados de cidadãos no território nacional, tanto de forma física quanto nos meios digitais. Entretanto, a lei não se aplica ao tratamento de dados realizado por pessoa física exclusivamente para fins particulares e não econômicos ou para fins exclusivamente jornalísticos, artísticos, acadêmicos e pelo Poder Público para segurança e defesa nacional.
A matéria define como dado pessoal sensível aquele que se refere à origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; e saúde ou vida sexual, além de dado genético ou biométrico. A lei exige consentimento específico para coleta e tratamento desses dados, assim como o tratamento de dados de crianças e menores de idade.
Antes da LGPD não existia no Brasil uma legislação específica sobre proteção de dados pessoais. O assunto era regulado por algumas leis esparsas (Código de Defesa do Consumidor, Lei do Cadastro Positivo, Lei de Acesso à Informação e outras) e pelo chamado “Marco Civil da Internet” e seu decreto regulamentador (Lei n.º 12.965 e Decreto n.º 8.771/16), que estabeleceu princípios e garantias para o uso da internet no Brasil, bem como requisitos mínimos para tratamento e proteção de dados pessoais.