Finalmente teremos o “GDPR brasileiro”?

Fonte: Caio César Lima no LinkedIn

Menos de 1 semana após a eficácia plena do GDPR (Regulamento Geral de Proteção de Dados – General Data Protection Regulation), foi aprovado o Relatório do Deputado Orlando Silva ao Projeto de Lei (“PL”) 4060/2012, que dispõe sobre o tratamento de dados pessoais – esse Projeto mencionado aglutinou o PL 5.276/2016 (este apresentado pelo Poder Executivo e derivado do Anteprojeto de Lei, debatido há quase 8 anos). Com isso, o PL de Proteção de Dados da Câmara segue para apreciação e votação no Senado.

O principal fundamento da futura Lei é dotar o titular de maior controle sobre os seus dados pessoais

Em síntese, a ratio legis maior da futura regulamentação é dotar o titular de direitos ainda mais relevantes em relação aos seus dados (isto é, empoderar o titular, para ficar na “palavra da moda”), facilitando o controle sobre o tratamento dos seus dados pessoais. Diante disso, abaixo destacamos os 10 temas que merecem maior atenção:

1. A futura lei poderá ser aplicável a empresas estrangeiras, as quais poderão ser intimadas de todos os atos previstos na lei em nome de qualquer pessoa física ou jurídica que a represente no Brasil;
2. Há previsão da criação de Autoridade de Proteção de Dados, vinculada ao Ministério da Justiça;
3. A regulamentação será aplicável a entidades públicas e privadas, independentemente do meio do tratamento dos dados;
4. São previstas 10 hipóteses para o tratamento de dados pessoais, sendo o consentimento apenas uma dessas possibilidades;
5. São estipulados 10 princípios que devem ser contemplados para o tratamento de dados pessoais, englobando finalidade, qualidade dos dados, segurança, responsabilização e prestação de contas, entre outros;
6. Dados de crianças e adolescentes passam a ter proteção mais específica, sendo entendida como ilegal a coleta de dados de menores de 12 anos sem consentimento específico e em destaque;
7. Foi trazido maior detalhamento sobre o Relatório de Impacto à Proteção de Dados, cuja elaboração poderá ser solicitada pela Autoridade de Proteção de Dados;
8. As notificações sobre incidentes de segurança da informação (e não apenas sobre vazamento de dados) passarão a ser obrigatórias, nos casos em que houver risco relevante aos titulares de dados;
9. As sanções podem representar até 2% do faturamento da empresa, considerando-se o teto de R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
10. A vacatio legis (tempo entre a sanção da lei e sua produção plena de efeitos) será de 18 (dezoito) meses.

Diante disso, você entende que estamos próximos a ter aprovado o GDPR brasileiro? Deixe seus comentários abaixo, inclusive sugestões para melhoria desse texto, que segue para apreciação pelo Senado.

PS: Em agosto de 2017 tivemos a oportunidade de escrever sobre 10 pontos que, no nosso entendimento, demandariam especial atenção do Poder Legislativo, a fim de que tivéssemos uma Lei Geral no Brasil mais consentânea com a realidade local. E para a nossa felicidade, no novo texto que foi aprovado hoje (o link será disponibilizado em breve), entendemos que praticamente 8 dos 10 pontos foram ajustados, tendo ficando pendentes, em síntese, a questão das “Considerandas” e o que diz respeito às bases de dados legadas.