A NOVA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD).
Ontem, quinta-feira (28/01) comemorou-se o dia Internacional da Proteção de Dados. Trata-se de uma data de grande importância para o Brasil, que tem a plena vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), com atuação da Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais. Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores.
No Brasil, a LGPD (Lei nº 13.709, de 14/8/2018) entrou em vigor em 18 de setembro de 2020, depois de muitas idas e vindas e de muitos holofotes, mas que, enfim, acaba representando um passo importante para o Brasil. Com isso, passamos a fazer parte de um grupo de países que contam com uma legislação específica para a proteção de dados dos seus cidadãos. Diante dos atuais casos de uso indevido, comercialização e vazamento de dados, as novas regras garantem a privacidade dos brasileiros, além de evitar entraves comerciais com outros países.
A legislação se fundamenta em diversos valores e tem como principais objetivos:
- Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
- Estabelecer regras claras sobre o tratamento de dados pessoais.
- Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
- Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
A rigor, a LGPD foi criada porque o aumento dos casos de vazamento de dados nos últimos anos fez com que governos, empresas e sociedade se preocupassem em criar mecanismos para evitar a invasão de privacidade. Outro fator relevante é a perda financeira causada por ataques cibernéticos. No Brasil, a perda foi de R$ 80 bilhões de reais, em 2019, como informa o levantamento mais recente da União Internacional de Telecomunicações (ITU, na sigla em inglês), órgão da Organização das Nações Unidas (ONU).
A LGPD foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), na sigla em inglês, criado em 2018, como já mencionado acima, que trata da segurança de informação dos cidadãos europeus. No Brasil, até o momento, não havia legislação específica sobre o assunto, apenas disposições gerais no Código Civil, Código de Defesa do Consumidor, na Lei de Acesso à Informação e no Marco Civil da Internet. Por isso, a expectativa é que a nova lei resolva os impasses sobre o uso e a proteção de dados dos cidadãos e consumidores brasileiros.
Algumas mudanças ocorrerão. Todas as empresas, sejam PMEs (Pequenas e Médias Empresas) ou de grande porte, terão que atender às exigências da LGPD. Um das mudanças mais importantes é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações. Isso significa que as companhias precisarão deixar claro para quê as informações serão usadas. Normalmente, os formulários nas páginas de Internet e avisos eletrônicos de empresas públicas e privadas perguntam sobre o consentimento dos usuários. A diferença neste quesito é que agora os termos deverão ser mais transparentes.
A compreensão é fácil. Vejamos o exemplo: se um indivíduo contrata um serviço de qualquer natureza e precisa fornecer informações pessoais para obtê-lo, será obrigatório justificar a necessidade disso. Fica vetado o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade. A LGPD garante aos clientes o direito de responsabilizar as empresas caso seus dados sejam roubados por terceiros. Quem descumprir a lei pode ser multado em R$ 50 milhões por infração ou em até 2% do faturamento.
Cumpre observar que as novas medidas englobam documentos em formato digital e também no papel. A fiscalização das normas será feira pela Autoridade Nacional de Proteção de Dados (ANPD), um órgão federal criado em 2019. É importante destacar também que a LGPD não se aplica em alguns casos, como, por exemplo, empresas jornalísticas e artísticas, de segurança pública, do Estado e de investigação e repressão de infrações penais.
A adaptação à nova lei deve ser buscada desde já por parte das empresas. Promulgada em 2018 com um longo período de vacacio legis (24 meses), após ser sancionada, passou por diversas discussões quanto à sua efetiva vigência.
A nova LGPD estava prevista para entrar em vigor no mês de agosto de 2020. Contudo, foi adiada para setembro de 2020, com efeito retroativo a agosto 2020. Uma confusão desnecessária, criada pelos mecanismos do establishment, que em tudo mexe e em tudo quer intrometer. Mas mesmo em vigência há quatro meses, uma pesquisa realizada pela consultoria de riscos ICTS Protiviti apontou que 84% das empresas não estão preparadas para a implementação das novas regras. Ora, basta vontade. Sem essa de desculpas, pois, a lei é para ser cumprida.
As empresas, principalmente, para se adequarem à LGPD, precisarão mudar a cultura no que diz respeito à gestão dos arquivos, contratação de especialistas e investimento em segurança da informação. Entre as exigências da LGPD está a criação do cargo de DPO (sigla em inglês para Data Protection Officer), um profissional que deve ficar inteiramente responsável pela segurança dos dados (de funcionários, indivíduos de fora da organização ou ambos). A lei não especifica a formação, porém deve ser alguém com conhecimentos em leis e na área de TI. Uma das atribuições desse profissional será prestar contas à ANPD com o envio de relatórios sobre os impactos da proteção dos dados.
Para maior efetividade, é recomendável que a empresa faça um mapeamento e perfile a documentação dos dados que já possui e classifique essas informações. É importante, por exemplo, verificar se estão armazenados de maneira segura, se foram coletadas mediante consentimento e para qual finalidade. Além disso, os funcionários que lidam com dados de pessoas e clientes devem assegurar o sigilo das informações seguindo boas práticas de segurança da informação.
Com isso, qualquer empresa que incluir em sua base informações de seus clientes, por mais básicas que sejam - como nome e e-mail, deve seguir os procedimentos da nova lei.
Toda novidade tecnológica demanda pessoas especializadas. Portanto, a LGPD aumenta a demanda por profissionais de TI. É sabido que os profissionais de TI representam uma peça-chave no processo de adequação das empresas à LGPD porque são eles que, geralmente, já cuidam dos dados armazenados na nuvem ou em servidores das empresas. Também são os responsáveis por monitorar riscos de ataques virtuais e por tornar eficiente todas as operações de tecnologia. De acordo com a LGPD, obrigatoriamente, todos os dados terão de ser criptografados para que, em caso de vazamento, não possam ser lidos por terceiros.
A tendência é que, com a implantação da lei, haja maior investimento em soluções como VPN (a VPN é uma ferramenta que possibilita se conectar à Internet de maneira segura e confidencial, e pode ser instalada em dispositivos como computadores, tablets e celulares. Ao acessar a web com o recurso, os dados enviados e recebidos são redirecionados para o servidor criptografados, e assim, não podem ser lidos caso alguém tente interceptá-los); e dispositivos de firewall (um firewall é, em português, uma parede de fogo. No computador, mais do que isso, o firewall é o caminho que toda informação de uma rede local precisa passar e ser fiscalizada antes de entrar ou sair. Sendo assim, o recurso comum em todos os PC tem o objetivo aplicar uma política de segurança, decidindo o que entra e o que sai, de forma segura para o usuário); ou outras opções de conexão e armazenamento seguro, que já são utilizados por muitas empresas e que são administrados pela equipe de TI. Outra atribuição dessa área que será essencial para os gestores é o conhecimento em boas práticas de segurança e de processamento de dados confidenciais. Uma recomendação leal para quem está nesse mercado é procurar cursos de atualização e certificações.
Depois de todas essas explicações preliminares, vejamos o texto da lei:
Presidência da República
Secretaria-Geral
Subchefia para
Assuntos Jurídicos
LEI Nº 13.853, DE 8 DE JULHO DE 2019
|
Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. |
O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
Art. 1º A ementa da Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com a seguinte redação:
“Lei Geral de Proteção de Dados Pessoais (LGPD).”
Art. 2º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
“Art. 1º .........................................................................................................
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.” (NR)
“Art. 3º .........................................................................................................
...........................................................................................................................
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
..........................................................................................................................” (NR)
“Art. 4º ......................................................................................................
.........................................................................................................................
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.” (NR)
“Art. 5º ........................................................................................................
..........................................................................................................................
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
...........................................................................................................................
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.” (NR)
“Art. 7º ........................................................................................................
...........................................................................................................................
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
...........................................................................................................................
§ 1º (Revogado).
§ 2º (Revogado).
..........................................................................................................................
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.” (NR)
“Art. 11. .......................................................................................................
...........................................................................................................................
II - .................................................................................................................
...........................................................................................................................
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
..........................................................................................................................
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.” (NR)
“Art. 18. .......................................................................................................
..........................................................................................................................
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
..........................................................................................................................
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
..................................................................................................................” (NR)
“Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
..........................................................................................................................
§ 3º (VETADO).” (NR)
“Art. 23. ......................................................................................................
.........................................................................................................................
III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e
IV - (VETADO).
................................................................................................................” (NR)
“Art. 26. ....................................................................................................
§ 1º ............................................................................................................
.........................................................................................................................
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.” (NR)
“Art. 27. ....................................................................................................
Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação.” (NR)
“Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.” (NR)
“Art. 41. ....................................................................................................
........................................................................................................................
§ 4º (VETADO).” (NR)
“Art. 52. .....................................................................................................
........................................................................................................................
X - (VETADO);
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Promulgação partes vetadas)
XI - (VETADO);
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Promulgação partes vetadas)
XII - (VETADO).
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Promulgação partes vetadas)
.........................................................................................................................
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.
§ 3º (VETADO).
§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. (Promulgação partes vetadas)
.........................................................................................................................
§ 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.
§ 6º (VETADO).
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas: (Promulgação partes vetadas)
I - somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e (Promulgação partes vetadas)
II - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos. (Promulgação partes vetadas)
§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.” (NR)
“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.
§ 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.
§ 2º A avaliação quanto à transformação de que dispõe o § 1º deste artigo deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD.
§ 3º O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias.”
“Art. 55-B. É assegurada autonomia técnica e decisória à ANPD.”
“Art. 55-C. A ANPD é composta de:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - órgão de assessoramento jurídico próprio; e
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.”
“Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5.
§ 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
§ 3º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos.
§ 4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação.
§ 5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.”
“Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.
§ 1º Nos termos do caput deste artigo, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis.
§ 2º Compete ao Presidente da República determinar o afastamento preventivo, somente quando assim recomendado pela comissão especial de que trata o § 1º deste artigo, e proferir o julgamento.”
“Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6º da Lei nº 12.813, de 16 de maio de 2013.
Parágrafo único. A infração ao disposto no caput deste artigo caracteriza ato de improbidade administrativa.”
“Art. 55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
§ 1º Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.
§ 2º O Conselho Diretor disporá sobre o regimento interno da ANPD.”
“Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal.”
“Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.”
“Art. 55-J. Compete à ANPD:
I - zelar pela proteção dos dados pessoais, nos termos da legislação;
II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei;
III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
§ 1º Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.
§ 2º Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
§ 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.
§ 4º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.
§ 5º No exercício das competências de que trata o caput deste artigo, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei.
§ 6º As reclamações colhidas conforme o disposto no inciso V do caput deste artigo poderão ser analisadas de forma agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.”
“Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.”
“Art. 55-L. Constituem receitas da ANPD:
I - as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;
II - as doações, os legados, as subvenções e outros recursos que lhe forem destinados;
III - os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;
IV - os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo;
V - (VETADO);
VI - os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais;
VII - o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.”
“Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos:
I - 5 (cinco) do Poder Executivo federal;
II - 1 (um) do Senado Federal;
III - 1 (um) da Câmara dos Deputados;
IV - 1 (um) do Conselho Nacional de Justiça;
V - 1 (um) do Conselho Nacional do Ministério Público;
VI - 1 (um) do Comitê Gestor da Internet no Brasil;
VII - 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
VIII - 3 (três) de instituições científicas, tecnológicas e de inovação;
IX - 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
X - 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
XI - 2 (dois) de entidades representativas do setor laboral.
§ 1º Os representantes serão designados por ato do Presidente da República, permitida a delegação.
§ 2º Os representantes de que tratam os incisos I, II, III, IV, V e VI do caput deste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.
§ 3º Os representantes de que tratam os incisos VII, VIII, IX, X e XI do caput deste artigo e seus suplentes:
I - serão indicados na forma de regulamento;
II - não poderão ser membros do Comitê Gestor da Internet no Brasil;
III - terão mandato de 2 (dois) anos, permitida 1 (uma) recondução.
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.”
“Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III - sugerir ações a serem realizadas pela ANPD;
IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.”
“Art. 65. Esta Lei entra em vigor:
I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e
II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.” (NR)
Art. 3º Ficam revogados os §§ 1º e 2º do art. 7º da Lei nº 13.709, de 14 de agosto de 2018.
Art. 4º Esta Lei entra em vigor na data de sua publicação
Brasília, 8 de julho de 2019; 198o da Independência e 131o da República.
JAIR MESSIAS BOLSONARO
Sérgio Moro
Paulo Guedes
Marcos César Pontes
Wagner de Campos Rosário
Roberto de Oliveira Campos Neto
Este texto não substitui o publicado no DOU de 9.7.2019
LEI Nº 13.853, DE 8 DE JULHO DE 2019
|
Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências.
|
O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu promulgo, nos termos do parágrafo 5º do art. 66 da Constituição Federal, as seguintes partes vetadas da Lei nº 13.853, de 8 de julho de 2019:
“Art. 2º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
‘Art. 52. ......................................................................................................
.........................................................................................................................
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
..........................................................................................................................
§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
..........................................................................................................................
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:
I - somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e
II - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
.................................................................................................................’” (NR)
Brasília, 19 de dezembro de 2019; 198º da Independência e 131º da República.
JAIR MESSIAS BOLSONARO
Este texto não substitui o publicado no DOU de 20.12.2019.
Fonte: LGPD; Notas de entidades oficiais do governo.
Wilson Campos (Advogado/Especialista com atuação nas áreas tributária, trabalhista, cível e ambiental/Presidente da Comissão de Defesa da Cidadania e dos Interesses Coletivos da Sociedade, da OAB-MG/Delegado de Prerrogativas da OAB-MG).
Clique aqui e continue lendo sobre temas do Direito e da Justiça, além de outros temas relativos a cidadania, política, meio ambiente e garantias sociais.
Grande contribuição Dr. Wilson, ainda mais com as explicações no início do artigo. Muito boa sua redação e sua forma clara e limpa de colocar as coisas para todos nós lermos e entendermos. Muito bom o texto e parece que a Lei é muito boa também. Vamos torcer para que a lei pegue e funcione na defesa dos dados das pessoas, dos consumidores, etc, etc. Att.: Dimas S.J.Filho.
ResponderExcluirDr. Wilson essas mudanças na lei é que confundem as pessoas. Muda uma vez, duas vezes, tres vezes, emenda aqui e ali. Poxa isso é irritante. Não fazem uma lei pronta e dizem é essa e ponto final. Não. Tem de ficar emendando, emendando e emendando, e traz confusão e ninguém sabe mais o que vale e o que não vale. Vamos usar uma lei pronta e sem ficar mexendo todo ano. Vamos aguardar pelo menos 5 anos para ver o resultado e somente depois disso mudar alguma coisa que fiou ruim. É assim que acho. Agradeço ao Dr. Wilson Campos, advogado, pelo artigo e pelo blog muto positivo e de bem proveito para todos e com muitas verdades que considero importantes para nõs e para o Brasil. Muito bom mesmo o blog e todos os artigos. Parabéns. Sou Breno P.P. Jr. - empresário e consultor técnico.
ResponderExcluir