A Lei Geral de Proteção de Dados e o impacto nas relações dos fornecedores com os consumidores


Foi publicado no Diário Oficial da União o texto integral da nova Lei Geral de Proteção de Dados (Lei Federal n.º 13.709/18), sancionada pelo Presidente Michel Temer, e que vem a regulamentar o uso dos dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com vistas a garantir os Direitos Fundamentais de Liberdade, Privacidade e Livre Desenvolvimento da Personalidade da Pessoa Natural.

Com isso, ficarão submetidos ao que dispõe a Lei toda e qualquer operação de dados pessoais realizado por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada em território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens e serviços ou o tratamento de dados de indivíduos localizados no território nacional; e os dados pessoais tenham sido coletados em território nacional.

A necessidade de regulamentar a crescente circulação de dados pessoais trazida – embora a Lei não tenha sua aplicação restrita a estes meios – pelos meios eletrônicos e a necessidade de dar aos titulares destes dados não só a ciência, mas o poder de decisão de como e quando os dados poderão ser utilizados, modificados, ou até mesmo, excluídos são os principais motivos para a promulgação da legislação sobre o tema.

Vale ressaltar que a União Europeia, da mesma forma, aprovou o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation), que serviu como base para a conclusão da Lei brasileira, e que começou a ser idealizado ainda no início da década com a finalidade de instituir regras rígidas a qualquer um (pouco importando se grande ou pequena empresa, ou mesmo pessoa natural) que desejasse coletar, compartilhar ou mesmo guardar dados pessoais.

Com isso, empresas brasileiras que tinham atividades ligadas a países da União Europeia já tiveram que fazer adaptações na forma como coletavam, armazenavam e utilizavam os dados de seus clientes e fornecedores.

A Lei 13.709/18 define, para efeitos do seu cumprimento, dado pessoal como a informação relacionada a pessoa natural identificada ou identificável, e tratamento como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais, seja de que meio for.

É necessário observar que o tratamento de dados pessoais somente poderá ser realizado nas hipóteses trazidas pela lei em seu artigo 7º. São elas:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termosda Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O tratamento das informações pessoais verificar-se-á quando a finalidade da captação dos dados for alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada, ou, ainda, quando ocorrer o fim do período de tratamento dos dados, ocorrer a comunicação do titular dos dados, e por determinação da autoridade nacional, quando houver violação ao disposto na Lei.

Vale destacar que a não observância dos preceitos legais trazidos pela Lei 13.709/18 poderá acarretar, entre outras sanções, em multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitadas ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração ou, ainda, multas diárias, observando-se o mesmo limite.

A publicação ocorreu em 15 de agosto de 2018, mas a vigência da nova Lei dar-se-á apenas em 18 (dezoito) meses, inclusive possibilitando que todos se adequem aos seus termos.

Com isso, será necessário que todos observem a nova disciplina sobre o tratamento de dados no Brasil, devendo, inclusive, as empresas investir em treinamento daqueles que diretamente trabalharão nesta função, tendo em vista que passarão a integrar o rol de fatores que poderia ensejar sua responsabilização pelo mal uso dos dados pessoais e, consequentemente, incorrer em severos prejuízos.