Lei geral de proteção de dados pessoais é publicada

A Lei nº 13.709, de 14 de agosto de 2018, também conhecida como Lei Geral de Proteção de Dados (“LGPD”), foi sancionada pelo Presidente da República e publicada no Diário Oficial da União em 15 de agosto de 2018.

A LGPD afeta diretamente as atividades de empresas em diversos setores da economia e dispõe amplamente sobre o tratamento de dados pessoais obtidos por pessoas naturais ou jurídicas, do Poder Público ou setor privado, independentemente do país de sua sede, desde que tenha por objeto a oferta ou fornecimento de serviços ou bens no Brasil, ou de onde estejam localizados os dados, desde que estes sejam tratados ou coletados no Brasil. Em regra, portanto, desde pequenos empreendedores até multinacionais estarão sujeitos à LGPD.

As empresas deverão estabelecer políticas e procedimentos internos para se adaptarem às novas obrigações legais em tempo à sua entrada em vigor em 16 de fevereiro de 2020.

Dentre os principais aspectos da LGPD encontram-se as seguintes previsões:

• A LGPD define dados pessoais como qualquer “informação relacionada à pessoa natural identificada ou identificável”. Assim, informações básicas de um indivíduo (e.g., nome, telefone, data de nascimento) e qualquer informação que possa lhe ser atribuída serão consideradas dados pessoais.

• As três principais figuras no tratamento de dados previsto pela LGPD são: (i) o “titular”: pessoa natural proprietária dos dados; (ii) o “controlador”: pessoa natural ou jurídica que tem o poder de decisão em relação aos dados, determinando quais destes deverão ser tratados; e (iii) o “operador”: pessoa natural ou jurídica que realiza o tratamento dos dados em nome do controlador. O controlador e o operador são responsáveis solidários pela segurança no tratamento de dados (“agentes de tratamento”).

• Em regra, o tratamento de dados pessoais requer: (i) uma finalidade específica e (ii) o consentimento do titular, o qual poderá, inclusive, ser revogado sem ônus a qualquer momento. Todavia, a LGPD também prevê exceções ao requisito do consentimento, tais como realização de estudos por órgão de pesquisa (garantido o anonimato), proteção de crédito, exercício regular de direito em processo judicial, administrativo ou arbitral (observado o procedimento legal) e situações determinadas envolvendo interesses legítimos do controlador ou de terceiro. O tratamento de dados pessoais sensíveis ou dados pessoais de crianças e de adolescentes também está sujeito a uma série de requisitos específicos.

• A transferência de dados pessoais para o exterior poderá ocorrer. Entretanto, a LGPD determina uma série de requisitos, como a exigência de que o país de destino ofereça proteção adequada aos dados pessoais transferidos, autorização da autoridade de proteção de dados competente e consentimento do titular. Ainda, diversos destes requisitos estipulados deverão ser regulamentados pela autoridade nacional.

• A LGPD assegura à toda pessoa natural titular de dados pessoais uma série de direitos e prerrogativas, incluindo confirmação sobre o tratamento e acesso de seus dados, correção, portabilidade, anonimização, revogação de consentimento, eliminação, etc. Estes direitos podem ser exigidos, individual ou coletivamente, em face de todos daqueles que coletam e tratam dados pessoais, inclusive perante a autoridade nacional, organismos de defesa do consumidor e em juízo.

• As sanções às infrações cometidas incluem multa diária e multa simples de até 2% do faturamento do infrator, do seu grupo econômico ou conglomerado no Brasil, limitada a R$ 50 milhões por infração. Além de multas, as sanções administrativas podem levar à proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

• Dentre os vetos de maior relevância, estão os artigos que previam a criação da Agência Nacional de Proteção de Dados (“ANPD”) e suas atribuições. Tais vetos foram justificados pelo “vício de iniciativa”, uma vez que a LGPD não seria a medida legal adequada para sua criação. Espera-se, assim, que projeto de lei de iniciativa do Presidente da República seja enviado ao Congresso Nacional para regulamentar as atribuições da ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (“CNPD”).

• A LGPD prevê ainda a obrigação de empresas implementarem medidas de segurança, boas práticas e de governança, voltadas à proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Para tanto, a LGPD prevê que tais medidas devem estar integradas à estrutura geral de governança da empresa e que estabeleçam e apliquem mecanismos de supervisão internos e externos.

Diante de tais novas regras, é fundamental que as empresas introduzam novos mecanismos de controle e fiscalização voltados à segurança do tratamento de dados pessoais e que tais mecanismos estejam em conformidade com as regras gerais da LGPD bem como às políticas internas já existentes de compliance e governança.

Estamos à disposição em caso de qualquer dúvida sobre a LGPD e sobre o conteúdo deste boletim informativo.

Luis Antonio Semeghini de Souza
luis.souza@mellotorres.com.br.br
+55 (11) 3074-5702

Fabricio A. Cardim de Almeida
fabricio.cardim@mellotorres.com.br.br
+55 (11) 3074-5709

Patrícia Eid
patricia.eid@mellotorres.com.br.br
+55 (11) 3074-5718

Juliana Dal Moro Amarante P. Freitas
juliana.amarante@mellotorres.com.br.br
+55 (11) 3074-5720

Este boletim (i) apresenta um resumo de alterações legislativas ou decisões judiciais e administrativas no Brasil, (ii) destina-se aos clientes do Mello Torres, e (iii) não tem por objetivo prover aconselhamento legal sobre as matérias aqui tratadas e não deve ser interpretado como tal.

General law on the protection of personal data is published

Law No. 13.709, of August 14, 2018, also known as the General Data Protection Law (“GDPL”), was sanctioned by the President of the Republic and published in the Official Gazette on August 15, 2018.

The GDPL directly affects the activities of companies doing businesses in several economic sectors and provides extensively on the processing of personal data obtained by individuals or legal entities, from the government or private sector, regardless of the location of their headquarters, provided that their purpose is the offering or supply of goods and services in Brazil, or from wherever the data is located, provided it is processed and collected in Brazil. From small entrepreneurs up to multinational companies are subject to the GDPL.

Companies must implement internal policies and procedures to adapt to the GDPL as it will become fully effective from February 16, 2020.

The following provisions are among the main aspects introduced by the GDPL:

• The GDPL defines personal data as any “information related to an identified or identifiable natural person”. Therefore, individual’s basic information (e.g.: name, mobile phone number, date of birth) and any information that may be attributed to an individual shall be considered personal data.

• The three main figures in the processing of data are: (i) the “holder”: the natural person who owns the data; (ii) the “controller”: the natural or legal person with power to decide on the data, determining which data should be treated, and (iii) the “operator”: the natural or legal person that processes the data on behalf of the controller. Both controller and operator are jointly liable for data processing security (“processing agents”).

• As a rule, the processing of personal data requires: (i) a specific purpose and (ii) the holder’s consent, which may be revoked at any time at no cost. However, the GDPL also provides exceptions to the consent requirement, such as the undertaking of studies by research organizations (as long as anonymity is guaranteed), credit protection, regular exercise of rights in judicial, administrative or arbitral proceedings (subject to due process), and specific cases involving legitimate interests held by the controller or third-parties. The treatment of sensitive personal data or the personal data of children and adolescents is also subject to several specific requisites.

• The transfer of personal data abroad may occur. Nevertheless, the GDPL lays down a number of requirements, such as evidence that the country of destination provides adequate protection to the transferred personal data, authorization from the data protection authority with jurisdiction on the matter, and the holder’s consent. Moreover, several of these requirements must be regulated by the national authority.

• The GDPL guarantees to all individuals holding personal data several rights and prerogatives, including confirmation on the processing and access to their data, amendments, portability, anonymization, withdrawal of consent, elimination, etc. These rights may be demanded, individually or collectively, from all those who collect and process personal data, including from national authorities, consumer protection agencies and Courts.

• Penalties for violations include daily and simple fines of up to 2% of the offender’s revenue, its economic group’s revenue or the conglomerate’s revenue in Brazil, limited to R$ 50 million per infraction. In addition to fines, the administrative sanctions may lead to partial or total prohibition of the exercise of activities related to data processing.

• Among the relevant vetoes are the Articles which set forth the creation of the National Data Protection Agency (“NDPA”) and its attributions. These vetoes were justified by the “initiative defect” in that the GDPL would not be the appropriate legal measure for the creation of the NDPA. It is expected, therefore, that a bill with the President of the Republic’s initiative is to be sent to the National Congress to regulate attributions of the NDPA and the National Council for the Protection of Personal Data and Privacy (“NCPD”).

• The GDPL also provides the obligation of companies to implement safety measures, good practices and corporate governance mechanisms aimed at the protection of personal data from unauthorized access and accidental or illicit situations resulting in the destruction, loss, alteration, communication or any other means of inadequate or illicit treatment. To this end, the GDPL requires that such measures be integrated into the general corporate governance structure of companies and that they establish and apply internal and external supervision mechanisms.

In light of these new rules, it is paramount that companies introduce new controlling and oversighting mechanisms aimed at the secure processing of personal data and ensure that such mechanisms are in compliance with the GDPL’s general rules as well as existing compliance and corporate governance internal policies.

We are at your entire disposal should you have any queries regarding the GDPL and the content of this newsletter.

Luis Antonio Semeghini de Souza
luis.souza@mellotorres.com.br.br
+55 (11) 3074-5702

Fabricio A. Cardim de Almeida
fabricio.cardim@mellotorres.com.br.br
+55 (11) 3074-5709

Patrícia Eid
patricia.eid@mellotorres.com.br.br
+55 (11) 3074-5718

Juliana Dal Moro Amarante P. Freitas
juliana.amarante@mellotorres.com.br.br
+55 (11) 3074-5720

This newsletter (i) presents a summary of legislative amendments or judicial and administrative decisions in Brazil, (ii) is addressed to the clients of Souza, Mello and Torres, and (iii) is not intended to provide legal advice on the matters herein discussed and therefore should not be interpreted as such.