Em 10 de julho de 2018, foi aprovado no Senado, o projeto de lei da Câmara dos Deputados nº 53/2018, que, após sanção presidencial e publicação no Diário Oficial da União, passou a ser a Lei Geral de Proteção de Dados no Brasil.
Referida legislação segue a tendência global de promulgar leis nacionais de proteção de dados ou fortalecer as existentes, a fim de regulamentar o tratamento de dados pessoais.
Tratamento de dados pessoais compreende toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O anterior quadro legal no Brasil continha regras gerais de proteção de dados em diversas normas, no entanto, não existia uma lei específica para o tratamento de dados pessoais.
A nova legislação traz regras complexas, contendo numerosas referências a conceitos também encontrados na recente legislação europeia de proteção de dados (GDPR), que entrou em vigor em maio de 2018.
Tanto autoridades públicas quanto empresas privadas serão afetadas pelas novas regras e a responsabilidade será solidária, ou seja, se uma empresa da cadeia descumprir as regras, todas poderão ser punidas, sendo que, dentre as sanções previstas, estão multas diárias de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a BRL50.000.000,00 (cinquenta milhões de reais) por infração.
Com a nova lei será necessário o consentimento explícito dos usuários para a coleta e o uso de seus dados pessoais, tanto pelo poder público ou quanto por empresas privadas. Além disso, o usuário deverá ter opções de visualizar, corrigir e excluir tais dados.
Observe-se, que tais fatores estão vinculados, inclusive, aos contratos de trabalho. Isto porque, a partir do advento da Lei Geral de Proteção de Dados, tornou-se obrigatória a previsão de cláusulas contratuais claras e específicas sobre o assunto, até mesmo quanto à transferência internacional de dados.
À vista disso, as empresas deverão ter um cuidado especial na elaboração dos contratos de trabalho de forma a conter previsão sobre os motivos exatos da coleta e uso dos dados requeridos e, especialmente, quanto à autorização e consentimento do titular para o uso de seus dados.
A legislação será aplicável mesmo a empresas com sede no exterior, desde que o tratamento dos dados pessoais seja realizado em território nacional, a atividade tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou os dados pessoais objeto do tratamento tenham sido coletados no Brasil.
Ainda, a depender do porte da empresa, será obrigatória a indicação de pessoa física que atuará como canal de comunicação entre a empresa, o titular dos dados e a autoridade nacional.
A esse respeito, importante ressaltar que a Lei Geral de Proteção de Dados apenas estabelece as atribuições que competirão a este indivíduo, nada mencionando sobre a obrigatoriedade de ser empregado ou mesmo exigindo credenciais específicas para a prestação desse serviço.
Dentre as especificações trazidas pela nova lei, verifica-se a existência de dados pessoais sensíveis, os quais estão relacionados a informações específicas do titular dos dados como origem racial, convicção religiosa e filiação sindical.
Considerando-se as alterações trazidas pela Lei nº 13.467/17 (Reforma Trabalhista brasileira) e estando a filiação sindical diretamente vinculada às questões trabalhistas, deverá existir um cuidado especial quando da coleta e divulgação de dados relacionados ao assunto, especialmente quanto ao desconto da contribuição sindical.
Os dados coletados pelas empresas poderão ser conservados para seu uso exclusivo, vedado o acesso por terceiro e desde que anonimizados, para cumprimento de obrigação legal ou regulatória e demais situações previstas em lei. Ressalvadas as exceções legais, todos os dados deverão ser eliminados quando do fim do contrato de trabalho.
As obrigações estabelecidas pela Lei Geral de Proteção de Dados passarão a ser exigíveis a partir de 18 meses a contar da data de sua publicação, ou seja, a partir de 15 de fevereiro de 2020, prazo esse que as empresas e entidades públicas terão para se adaptar às novas regras.