• Pro Societate

Novidade Legislativa – Lei nº 13.709/18 (Marco Legal de Proteção, Uso e Tratamento de informações)

O tratamento de dados, fruto do avanço da tecnologia da informação, tem implicado em inúmeras discussões doutrinárias sobre a forma como deve ser regulamentado.


A Lei nº 13.709/18, apelidada de “Marco Legal de Proteção, Uso e Tratamento de informações”, veio tentar solucionar as inúmeras lacunas existentes, regulamentando o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.


Passemos à análise detalhada das principais inovações trazidas pelo novo diploma.


1) Normas existentes sobre Proteção de Dados e Privacidade


O ordenamento jurídico brasileiro conta, atualmente, com inúmeras normas que têm como objetivo tutelar a proteção de dados e da privacidade.


No âmbito constitucional, o artigo 5° dispõe:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;


No âmbito infraconstitucional, o Código de Defesa do Consumidor regulamenta a matéria, especialmente no que concerne ao direito de acesso à informação, ao direito de retificação e ao limite temporal para manutenção dos dados, entre outros aspectos.[1]


Ademais, a Lei n° 12.414/2011, também conhecida como “Lei do Cadastro Positivo”, veda o armazenamento de dados sensíveis e excessivos, dispondo, ainda, sobre o acesso aos principais elementos da análise de risco.[2]


Não bastasse, a Lei n° 12.527/2011, conhecida como “Lei de Acesso à Informação”, disciplina de forma geral o tratamento de informações pessoais.[3]


Por fim, a Lei n° 12.965/14, conhecida como “Marco Civil da Internet”, contempla inúmeras disposições sobre a proteção de dados.


Contudo, nenhum desses diplomas regulamenta forma específica e estruturada a tutela de dados pessoais.[4]


Diante da existência de lacuna, sobreveio o Projeto de Lei n° 330/2013, do Senado Federal, com o intuito de ocupar esse espaço, sendo recentemente convertido na Lei nº 13.709/18.



2) Objeto e campo de aplicação da Lei nº 13.709/18


O objeto da nova lei é a tutela de dados pessoais referentes a pessoas naturais. Não está incluído em seu campo de aplicação dados relacionados a pessoas jurídicas.


Contudo, a “preservação” dos dados pessoais incide para qualquer pessoa que tenha acesso a eles, seja natural ou jurídica. E mais: as disposições incidem tanto para pessoas jurídicas de direito público, como de direito privado.


A nova lei incide em relação à internet? Embora seja possível o surgimento de uma primeira corrente que venha a responder negativamente a este questionamento, sob o argumento de que o “Marco Civil da Internet” seja responsável pela matéria, acreditamos que a nova lei tem incidência ampla no que concerne à defesa dos dados pessoais, com fulcro no princípio da especialidade, razão pela qual deve ser aplicada, inclusive, às relações estabelecidas através da internet.



3) Objetivos


A Lei nº 13.709/18 tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural, através da tutela dos dados pessoais.



4) Conceito de dados pessoais e de dados sensíveis


O art. 5º, da Lei nº 13.709/18, estabelece dois conceitos importantes para a adequada compreensão do tema:


A) Dados pessoais: informações relacionadas à pessoa natural identificada ou identificável. A contrário sensu, pode-se sustentar que dados referentes a pessoas jurídicas ou que não permitam a identificação da pessoa natural (dados anonimizados) não entram no âmbito de proteção da nova lei.


B) Dados sensíveis: são os dados pessoais mais íntimos e relevantes para a defesa da identidade da pessoa natural, abrangendo sete categorias distintas: I - Dados pessoais sobre a origem racial ou étnica; II – Dados pessoais sobre as convicções religiosas; III - Dados pessoais sobre as opiniões políticas; IV - Dados pessoais sobre a filiação a sindicatos ou a organizações de caráter religioso filosófico ou político; V - Dados pessoais referentes à saúde ou à vida sexual; VI - Dados genéticos ou biométricos, quando vinculados a uma pessoa natural.


Perceba-se que a norma fez questão de destacar os dados genéticos e biométricos, visto serem relevantes para evitar eventual “guerra” ou “preconceitos” relacionados às condições biofísicas de cada indivíduo, inclusive a eugenia.



5) Quais pessoas participam das relações jurídicas envolvendo o tratamento de dados pessoais?


No que concerne aos dados pessoais, as relações jurídicas envolvem três posições distintas:


A) O titular: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;


B) O responsável: é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais; e


C) O operador: é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável.



6) Fundamentos da proteção de dados pessoais


A disciplina da proteção de dados pessoais tem como fundamentos (artigo 2º):

I - o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos e o livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.



7) Campo de incidência espacial da Lei nº 13.709/18


O novo diploma incide independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que, alternativamente, estejam presentes os seguintes requisitos (art. 3º):

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional, ou seja, cujo titular nele se encontre no momento da coleta.



8) Campo de não incidência da Lei nº 13.709/18


A nova lei não se aplica ao tratamento de dados pessoais (art. 4º):

I – realizado por pessoa natural para fins exclusivamente pessoais (ex. um adolescente que venha a obter dados de um amigo para a sua recreação);

II – realizado para fins exclusivamente: a) jornalísticos e artísticos (ex. divulgação de notícia envolvendo determinada pessoa, em que seja relevante a referência ao estado civil); ou b) acadêmicos (ex. realização de pesquisas científicas);

III – realizado para fins exclusivos de segurança pública (ex. policial que usa dados na análise de digitais), de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais. Nessas hipóteses, a Lei nº 13.709/18 veda o tratamento dos dados por pessoa de direito privado (ex. SPC e SERASA), exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico ao órgão competente;

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto novo diploma.



9) É possível tornar os dados “identificados” em “anônimos”?


Sim. A “anonimização” é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (artigo 5º, inciso XI, da Lei nº 13.709/18).


Contudo, caso o processo de anonimização ao qual foram submetidos os dados seja revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido, os dados deverão se submeter ao regime legal de proteção (artigo 12, da Lei nº 13.709/18).



10) O que é “pseudonimização” dos dados?


A “pseudonimização” é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo responsável em ambiente controlado e seguro (artigo 13, § 4°, da Lei nº 13.709/18).



11) Direitos do titular dos dados pessoais


Dentre os direitos do titular dos dados pessoais, a nova lei assegura expressamente a liberdade, a intimidade e a privacidade (art. 17, da Lei nº 13.709/18).


Ademais, o titular dos dados pessoais tem direito a obter do responsável, a qualquer momento e mediante requisição (art. 18, da Lei nº 13.709/18):

I – a confirmação da existência de tratamento dos dados;

II – o acesso aos dados (direito de acesso);

III – a correção de dados incompletos, inexatos ou desatualizados (direito de retificação);

IV – a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei (direito de bloqueio);

V – a portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão responsável;

VI – a eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16, da Lei nº 13.709/18;

VII – informação das entidades públicas e privadas com as quais o responsável realizou uso compartilhado de dados (direito de informação);

VIII – informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa (direito de informação);

IX – a revogação do consentimento (direito de cancelamento).


Ressalte-se que, em caso de impossibilidade de adoção imediata da providência solicitada, o responsável enviará ao titular resposta em que poderá: I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência (artigo 18, § 4°, da Lei nº 13.709/18).


Por fim, o titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade (artigo 20, da Lei nº 13.709/18).



12) Quais são as vias disponíveis para tutelar os direitos do titular de dados pessoais?


A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, por meio de todas as ações disponíveis, em especial através do Habeas Data e da Ação Civil Pública (artigo 22, da Lei nº 13.709/18).



13) É possível a utilização em prejuízo do titular de dados pessoais referentes ao exercício regular de direitos?


Não. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo (artigo 21, da Lei nº 13.709/18).



14) O que é tratamento dos dados pessoais?


Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (artigo 5º, inciso X, da Lei nº 13.709/18).



15) Princípios reitores do tratamento dos dados


A nova lei estabelece, em seu art. 6º, dez princípios a serem observados no tratamento de dados, que podem ser sintetizados da seguinte forma:

I – Boa-fé e tratamento dos dados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular;

III – Necessidade: limitação do tratamento ao mínimo necessário para a realização das suas finalidades;

IV – Livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais;

V – Qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – Transparência: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e

X – Responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia das medidas.



16) “Legitimação” ou “requisitos gerais” para o tratamento dos dados


O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses (artigo 7°, da Lei nº 13.709/18):

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo responsável;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, nos termos da Lei de Arbitragem;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.



17) Em que hipóteses é possível o tratamento de dados sensíveis?


O tratamento de dados sensíveis é admissível de forma ampla com o fornecimento de consentimento específico e em destaque, pelo titular, para finalidades específicas (artigo 11, inciso I, da Lei nº 13.709/18).


Sem o consentimento do titular, contudo, será possível o tratamento de dados sensíveis nas hipóteses em que for indispensável para (artigo 11, inciso II, da Lei nº 13.709/18):

a) cumprimento de obrigação legal pelo responsável;

b) tratamento e uso compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato, processo judicial, administrativo ou arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.



18) É possível o amplo tratamento de dados de natureza pública?


Não. O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização (artigo 7°, § 3°, da Lei nº 13.709/18), sendo desnecessário o consentimento do titular (artigo 7°, § 4°, da Lei nº 13.709/18).



19) Como deve se dar o consentimento para o tratamento de dados?


O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento seja fornecido por escrito, este deverá constar de cláusula destacada das demais cláusulas contratuais. Ademais, o consentimento deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais (artigo 8°, da Lei nº 13.709/18).



20) É possível a revogação do consentimento?


Sim. O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (artigo 8°, § 5°, da Lei nº 13.709/18).



21) Tratamento de dados pessoais em estudos em saúde pública


Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão utilizados estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, que incluam, sempre que possível, a anonimização ou pseudomização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas (artigo 13, caput, da Lei nº 13.709/18).



22) Divulgação de resultados em estudos em saúde pública


Em nenhuma hipótese a divulgação dos resultados ou de qualquer excerto do estudo ou pesquisa em saúde pública poderá revelar dados pessoais (artigo 13, § 1°, da Lei nº 13.709/18).



23) Dados pessoais de crianças e de adolescentes


O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado no seu melhor interesse, sendo, em regra, indispensável o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal (artigo 14, caput e § 1°, da Lei nº 13.709/18).


O responsável pelos dados deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis (artigo 14, § 5°, da Lei nº 13.709/18).


Excepcionalmente, poderão ser coletados dados pessoais de crianças sem o consentimento de pelo menos um dos pais ou responsável legal quando a coleta for necessária para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento expresso (artigo 14, § 3°, da Lei nº 13.709/18).



24) Tratamento irregular de dados


O tratamento de dados pessoais será considerado irregular em duas hipóteses (artigo 44, da Lei nº 13.709/18):

A) Quando deixar de observar a legislação; ou

B) Quando não fornecer a segurança que o titular dele pode esperar, considerando-se: I – o modo pelo qual é realizado; II – o resultado e os riscos que razoavelmente dele se esperam; III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.



25) Término do tratamento de dados pessoais


O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses (artigo 15, da Lei nº 13.709/18):

I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

II – fim do período de tratamento;

III – comunicação do titular, inclusive no exercício do seu direito de revogação do consentimento, resguardado o interesse público; ou

IV – determinação do órgão competente, quando houver violação da legislação em vigor.



26) Eliminação dos dados


Os dados pessoais serão eliminados após o término de seu tratamento (artigo 16, da Lei nº 13.709/18). Excepcionalmente, contudo, fica autorizada a conservação para as seguintes finalidades:

I – cumprimento de obrigação legal do responsável;

II – estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III – transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos na Lei nº 13.709/18; ou

IV – uso exclusivo do responsável, vedado o seu acesso por terceiros, e desde que anonimizados os dados.



27) A qual regime de tratamento de dados se submetem as empresas públicas e as sociedades de economia mista?


De forma geral, não há tratamento diferenciado para o setor público, salvo no que concerne a ausência de necessidade do consentimento e a existência de regras sobre fluxo de dados entre diferentes sujeitos públicos e/ou privados.


No que concerne às empresas públicas e as sociedades de economia mista que atuem em regime de concorrência, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado (artigo 24, da Lei nº 13.709/18).


De outro modo, as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do poder público (artigo 24, parágrafo único, da Lei nº 13.709/18).



28) Da responsabilidade pelos danos causados em virtude do tratamento de dados pessoais


De forma geral, o novo diploma estabeleceu que o responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano em violação à legislação de proteção de dados pessoais fica obrigado a repará-lo (artigo 42, da Lei nº 13.709/18).


Nas hipóteses de violação ao direito do titular no âmbito das relações de consumo, a nova norma dispõe que permanecem sujeitas às regras de responsabilidade previstas no Código de Defesa do Consumidor (artigo 45, da Lei nº 13.709/18).



29) Quais as modalidades de dano devem ser reparadas?


A lei estabelece que os danos a serem reparados podem ser tanto os patrimoniais, como os morais, sejam eles individuais ou coletivos.



30) Como devem ser processadas as ações de reparação de danos coletivos?


Em atenção ao microssistema processual coletivo (CDC e Lei da Ação Civil Pública), as ações de reparação por danos coletivos que tenham por objeto a responsabilização podem ser exercidas coletivamente em juízo, observado o disposto no Título III do Código de Defesa do Consumidor.



31) Qual a natureza da responsabilidade do operador e dos responsáveis?


O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do responsável (artigo 42, § 1°, inciso I, da Lei nº 13.709/18).


Do mesmo modo, os responsáveis que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente (artigo 42, § 1°, inciso I, da Lei nº 13.709/18). A contrário sensu, os responsáveis que não estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem apenas subsidiariamente.


Ademais, aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso (artigo 42, § 4°, da Lei nº 13.709/18).



32) Inversão do ônus da prova


O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa (artigo 42, § 2°, da Lei nº 13.709/18).


A norma está em consonância com a teoria da distribuição dinâmica do ônus da prova prevista no artigo 373, § 1o,, do CPC, dispondo que, nos casos previstos em lei ou diante de peculiaridades da causa relacionadas à impossibilidade ou à excessiva dificuldade de cumprir o encargo ou à maior facilidade de obtenção da prova do fato contrário, poderá o juiz atribuir o ônus da prova de modo diverso, desde que o faça por decisão fundamentada, caso em que deverá dar à parte a oportunidade de se desincumbir do ônus que lhe foi atribuído.



33) Hipóteses de exclusão da responsabilidade dos agentes de tratamento dos dados


De forma similar ao estabelecido pelo Código de Defesa do Consumidor, a Lei nº 13.709/18 dispõe que os agentes de tratamento só não serão responsabilizados quando provarem (artigo 43, da Lei nº 13.709/18):

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados;

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.



34) Incidentes de segurança


Na hipótese de ocorrência de incidentes de segurança (v.g., invasão de sistemas computacionais por hackers), o responsável deverá comunicar ao órgão competente e ao titular a ocorrência em prazo razoável (artigo 48, da Lei nº 13.709/18).


O órgão competente verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao responsável a adoção de providências, tais como (artigo 48, da Lei nº 13.709/18): I – ampla divulgação do fato em meios de comunicação; e II – medidas para reverter ou mitigar os efeitos do incidente.



35) Das sanções administrativas


O artigo 52, da Lei nº 13.709/18, estabelece as sanções administrativa aplicáveis aos agentes de tratamento de dados, podendo-se destacar:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples ou diária, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

IV – bloqueio de dados pessoais a que se refere a infração até a sua regularização;

V – eliminação dos dados pessoais a que se refere a infração;

VI – suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo responsável;


Perceba-se que os incisos VII, VIII e IX do art. 52 da Lei nº 13.709/18 foram vetados, sob o argumento de que “As sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados podem gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional.”



36) Parâmetros e critérios para a aplicação das sanções administrativas


As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios (artigo 52, § 1°, da Lei nº 13.709/18):

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.



37) Veto à criação da “Autoridade Nacional de Proteção de Dados” e do “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”


O artigo 55, da Lei nº 13.709/18, pretendia criar uma nova autarquia especial, denominada “Autoridade Nacional de Proteção de Dados”, integrante da administração pública federal indireta, vinculada ao Ministério da Justiça e composta por Conselho Diretor (órgão máximo, composto por 3 Conselheiros, nomeados para mandato de 04 anos) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. A nova autarquia teria inúmeras atribuições relacionadas à proteção de dados, podendo-se destacar a elaboração de diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade, a fiscalização e aplicação de sanções em caso de tratamento de dados realizado em descumprimento à legislação, a promoção do conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, entre outras.


Do mesmo modo, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade seria composto por 23 (vinte e três) representantes titulares, e seus suplentes, dos mais diversos órgãos e grupos da sociedade, tendo como objetivo propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade, realizar estudos e debates sobre a proteção de dados pessoais e da privacidade, entre outras (artigos 58 e 59, da Lei nº 13.709/18).


Ocorre que todos os dispositivos que regulamentavam a matéria foram vetados, sob o argumento de vício no processo legislativo, “por afronta ao artigo 61, § 1º, II, ‘e’, cumulado com o artigo 37, XIX, da Constituição.”



38) Da competência para o recebimento de notificações e intimações expedidas para empresas estrangeiras


As empresas estrangeiras serão notificadas e intimadas de todos os atos processuais previstos na nova lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil (artigo 61, da Lei nº 13.709/18).



39) Vigência


O novo diploma entrará em vigor após decorridos 18 (dezoito) meses da data de sua publicação oficial (15/08/18).

[1] Nesse sentido: “Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público. § 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.”


[2] Art. 3o Os bancos de dados poderão conter informações de adimplemento do cadastrado, para a formação do histórico de crédito, nas condições estabelecidas nesta Lei. § 1o Para a formação do banco de dados, somente poderão ser armazenadas informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado.


[3] Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais. § 1o As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem: I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. § 2o Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido. § 3o O consentimento referido no inciso II do § 1o não será exigido quando as informações forem necessárias: I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico; II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem; III - ao cumprimento de ordem judicial; IV - à defesa de direitos humanos; ou V - à proteção do interesse público e geral preponderante. § 4o A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância. § 5o Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.


[4] Art. 3º - A disciplina do uso da internet no Brasil tem os seguintes princípios: … II - proteção da privacidade; III - proteção dos dados pessoais, na forma da lei. O art. 7º dispõe que: “O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; … IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei.”



134 visualizações

Posts recentes

Ver tudo

© 2018 - Pro Societate

  • Branca Ícone Instagram
  • White Facebook Icon
  • White Twitter Icon