Foi publicada no Diário Oficial da União de 15.08.2018, a Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados (LGPD), que dispõe sobre a proteção de dados pessoais e impõe severas sanções a quem violar suas normas.
Serão submetidas à LGPD as empresas e órgãos públicos, independentemente de suas origens e nacionalidades, que efetuem o tratamento de dados pessoais ou que ofertem bens ou serviços dentro do território nacional.
A LGPD segue, predominantemente, a General Data Protection Regulation (GDPR), legislação europeia de proteção de dados recentemente promulgada, que vem demandando grande esforço de empresas pessoas em todo o mundo para adaptarem-se às suas normas.
Dentre os principais pontos contidos na LGPD cujas as empresas nacionais e estrangeira deveram se atentar, vale destacar os seguintes:
• os responsáveis pelo tratamento de dados pessoais deverão atender os princípios da Finalidade, Adequação, Necessidade, Livre Acesso, Qualidade de Dados, Transparência, Segurança, Prevenção e Não Discriminação.
• o tratamento de dados pessoais somente poderá ser realizado em três hipóteses: (i) pelo consentimento livre do titular; (ii) para cumprimento de obrigação legal; e (iii) pela administração pública, para tratamento e uso compartilhado de dados necessários à execução pública.
• imposição de obrigações ao responsável pelo tratamento de dados para facilitar o acesso do titular dos dados a informações no tocante aos seguintes tópicos: finalidade, forma, duração, identificação, contato do responsável, sujeitos e âmbito nos quais os dados poderão ser comunicados.
• faculdade do titular dos dados obter, do responsável pelo tratamento, a confirmação da existência de dados pessoais que lhe digam respeito, bem como o acesso aos dados em si, tanto diretamente, como por meio de habeas data.
• aplicação de sanções administrativas e cíveis em face do responsável pelo tratamento de dados pessoais em caso de incidente de segurança passível de acarretar risco ou prejuízo relevante aos titulares (data breach), que podem ser estimadas em até 2% do faturamento da empresa, limitadas a R$ 50 milhões.
• criação do Conselho Nacional de Proteção de Dados Pessoais e Privacidade.
A LGPD entrará em vigor em 16.02.2020, ou seja, 18 meses após sua publicação, tempo considerável razoável para que empresas nacionais e estrangeiras possam se adaptar às suas normas.
Ainda dentro do escopo da proteção de dados no Brasil, caberá ao Poder Executivo propor Projeto de Lei visando a criação da Autoridade Nacional de Proteção de Dados (ANPD), que terá como função regular e fiscalizar as normas de proteção de dados e aplicar sanções contra quem descumprir a legislação vigente.