Aprovada na última terça-feira (14/08/2018) pelo Presidente Michel Temer, a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), passará a vigorar em 18 (dezoito) meses. O movimento de edição de normas legais de proteção de dados, liderado pela União Europeia por meio do GDPR (General Data Protection Regulation, ou Regulamento Geral de Proteção de Dados – RGPD), em vigor desde 25 de maio de 2018, vem ganhando cada vez mais adeptos ao redor do mundo. Na América Latina, Chile, Colômbia, Costa Rica, Peru, Uruguai, e Argentina já se destacam por terem leis consideradas do mesmo nível do GDPR, e agora, o Brasil faz parte deste rol.
Em linhas gerais, a lei se alinha com os princípios e disposições das demais legislações existentes: transparência, controle e responsabilidade. Transparência porque o tratamento, uso e comercialização destes dados continuará sendo possível por empresas e órgãos governamentais, mas o controle passa a ser do indivíduo proprietário das informações. A LGPD vem no sentido de reforçar um direito que já é do cidadão, dispondo que todos têm o direito de saber quais de seus dados estão sendo coletados, com quem estão sendo compartilhados, para quais finalidades e, principalmente, requerer que sejam transferidos ou excluídos. Seguindo a base de princípios e regras estabelecidas, respeitando a capacidade jurídica de contratação e contando com a autorização do proprietário das informações, os dados podem ser vendidos ou repassados normalmente.
A lei também prevê responsabilizações para vazamento de dados, falhas nos sistemas de segurança de proteção desses dados sensíveis e ainda, para o caso de uma dessas hipóteses ocorrer e a empresa não informar as autoridades competentes.
Apesar de mantida em sua quase integralidade, o projeto de lei enfrentou alguns vetos presidenciais, dentre eles a mitigação de algumas regras para o compartilhamento de dados pessoais entre o poder público e entidades privadas no que diz respeito à necessidade de comunicação de dados pessoais entre órgãos e entidades de direito para viabilizar o exercício de ações públicas de fiscalização, controle e polícia administrativa. As sanções originalmente previstas também sofreram pequenas limitações. Pela redação original do Projeto, aqueles que infringissem as disposições da lei poderiam enfrentar advertências, publicidade da infração, suspensão, bloqueio ou exclusão do banco de dados relacionado à infração, proibição total de exercer atividades relacionadas ao tratamento de dados pessoais e/ou multa de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado envolvidos, limitada ao teto de R$ 50 mi. Com o veto presidencial, deixam de constar como possíveis sanções no Art. 52 da lei a suspensão, exclusão e proibição do banco de dados e a proibição total de exercício de atividades relacionadas à proteção de dados. As demais sanções foram mantidas, no entanto.
A principal alteração ocorrida pelo veto presidencial se deu em relação à Autoridade Fiscalizadora da lei. Vetada, a Autoridade Nacional de Proteção de Dados (ANPD), pilar da LGPD por ser entidade autônoma (sem subordinação a nenhum outro órgão) e dotada de orçamento próprio, se vê em risco. A justificativa do veto se dá ante o vício de iniciativa da lei. Nossa Constituição Federal dispõe que só quem pode propor a criação de novos órgãos governamentais é o próprio poder executivo, e não o legislativo.
Sob a alegação de se evitar possíveis alegações de inconstitucionalidade da lei que acaba de nascer, o Presidente Michel Temer optou pelo veto à criação da ANPD, consignando que irá encaminhar à aprovação a medida cabível para a criação da Autoridade competente. Ao final da cerimônia de aprovação da Lei, disse ainda, sem se vincular a prazos, que não deverá alterar os termos de criação da Autoridade, mas que ainda analisará a quem ficará vinculada: se ao Ministério da Justiça ou se ao Ministério da Ciência, Tecnologia, Inovações e Comunicações.