Você está no site do SINDMOGI FEHOESP 360 Clique aqui para acessar o portal FEHOESP 360

Notícias

Sancionada a lei de proteção de dados pessoais

22/08/2018

Divulgamos a Lei nº 13709/2018, que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965/2014.

Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. A mesma entrará em vigor no prazo de um ano e meio e regulamenta o uso, a proteção e a transferência de dados pessoais com nome, endereço, e-mail, idade, estado civil e situação patrimonial.

Determina, ainda, que o uso dos dados exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa. O tratamento das informações também será permitido se estiver dentro das hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.

A Lei estabelece que:

i)       Dados de crianças devem ser tratados com o consentimento dos pais;
ii)      Informações sobre a saúde das pessoas podem ser utilizadas para pesquisa;
iii)      Dados pessoas deverão ser excluídos após o encerramento da relação entre o cliente e a empresa;
iv)      Os titulares das informações poderão corrigir dados que estejam de posse de uma empresa;
v)       A Transferência de dados pessoais só poderá ser feita a países com nível “adequado” de proteção de dados.
vi)      As empresas deverão coletar somente os dados necessários aos serviços prestados;
vii)     As empresas deverão adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
viii)    O responsável pela gestão dos dados deverá comunicar casos de incidente de segurança, como vazamentos, que possam trazer risco ou dano ao titular das informações.

Não se aplica esta lei nas seguintes situações:

I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - realizado para fins exclusivamente:
-   jornalístico e artísticos; ou
-   acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III - realizado para fins exclusivos de:

-  segurança pública;
-  defesa nacional;
-  segurança do Estado; ou
-  atividades de investigação e repressão de infrações penais

Para fins desta lei considera-se:

-  dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
-  dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
-  dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
-  banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
-  titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
-  controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
-  operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
-  encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
-  agentes de tratamento: o controlador e o operador;
-  tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
-  anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
-  consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
-  bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
-  eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
-  transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
-  uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
-  relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
-  autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

-  finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
-  adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
-  necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
-  livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
-  qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
-  transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
-  segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
-  prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
-  não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
-  responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

-  mediante o fornecimento de consentimento pelo titular;
-  para o cumprimento de obrigação legal ou regulatória pelo controlador;
-  pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
-  para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
-  quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
-  para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
-  para a proteção da vida ou da incolumidade física do titular ou de terceiro;
-  para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
-  quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
-  para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

1)    quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
2) sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
-  cumprimento de obrigação legal ou regulatória pelo controlador;
-  tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
-  realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
-  exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
-  proteção da vida ou da incolumidade física do titular ou de terceiro;
-  tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
-  garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Tratamento de dados pessoais de Crianças e de Adolescentes:

-  Deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

-  verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
-  fim do período de tratamento ( comunicação do titular).

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

-  cumprimento de obrigação legal ou regulatória pelo controlador;
-  estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
-  transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
-  uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

-  confirmação da existência de tratamento;
-  acesso aos dados;
-  correção de dados incompletos, inexatos ou desatualizados;
-  anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
-  portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
-  eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
-  informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
-  informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
-  revogação do consentimento

Tratamento de dados pessoais pelo poder público, regras:

-  finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

i)    para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
ii)    quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

     cláusulas contratuais específicas para determinada transferência;
     cláusulas-padrão contratuais;
     normas corporativas globais;
     selos, certificados e códigos de conduta regularmente emitidos;

iii)    quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
iv)    quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
v)    quando a autoridade nacional autorizar a transferência;
vi)    quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
vii)   quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
viii)   quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;

Responsabilidade e do Ressarcimento de Danos.

-  O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
-  O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

Sanções Administrativas:

Há previsão de multas para as empresas que descumprirem a Lei. Os valores podem ir de 2% do faturamento da empresa, limitados a R$ 50 milhões por infração, bem como advertência, com indicação de prazo para adoção de medidas corretivas; multa diária, etc.

Em derradeiro:

O consentimento do titular deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, e é vedado o tratamento de dados pessoais mediante vício de consentimento.

 

 

Fonte: Diário Oficial da União