A Lei nº 13.709, de 14 de agosto de 2018, com a redação dada pela Lei nº 13.853, de 8 de julho de 201 9, conhecida como LGPD:
Vigência:
• Prevista para 16/08/2020
Dispõe:
• sobre o tratamento de dados pessoais no Brasil, on-line ou off-line, das pessoas naturais (pessoas físicas vivas) por pessoas físicas ou jurídicas, incluindo as de direito público, de modo a garantir a Privacidade destes dados a seus titulares, permitindo-lhes maior controle e evitando-se o compartilhamento indiscriminado.
Aplicação:
• dados tratados no Brasil; cujo tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a pessoas localizadas no Brasil; e/ou que tenham sido coletados no Brasil;
• a quaisquer empresas, independentemente do seu porte ou do segmento em que atuem.
Considera-se:
• dado pessoal: “a informação relacionada a pessoa natural identificada ou identificável!;
• tratamento de dados pessoais: “toda operação realizada com dados pessoais, como, mas não se limitando, à coleta, recepção, classificação, utilização, acesso, transmissão, distribuição, processamento, arquivamento, comunicação e controle da informação”;
• controlador: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (em se tratando de promoção comercial, via de regra, o controlador é a empresa promotora); e
• operador: “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (numa promoção comercial, são operadores as agências de promoção, de sistemas de TI, de logística, escritório de advocacia, dentre outros).
Pontos principais:
• norteia o tratamento dos dados em princípios fundamentais (art. 6º), dentre eles, o da finalidade, o da transparência e o da necessidade, de forma que devem ser coletados apenas o mínimo de dados necessários à execução da finalidade a que se destinam, e que esta tenha sido informada de forma clara e precisa aos titulares dos dados.
• além do tratamento dos dados por meio do consentimento (previsto no Marco Civil da Internet), fixa outras nove bases legais, para que os dados possam ser tratados de forma adequada. Vale ressaltar que o consentimento deixa de ser a única base legal para ao tratamento de dados, não sendo soberano sobre as demais bases legais estabelecidas.
• dentre as bases legais, para efeitos do tratamento dos dados promoção comercial, destacam-se: (i) o consentimento pelo titular dos dados; (ii) o cumprimento de obrigação legal ou regulatória pelo controlador; (iii) o legítimo interesse (equilíbrio entre os interesses do controlador e os direitos fundamentais do titular); (vi) a necessidade para a execução de contrato pelo controlador (regulamento é um contrato de adesão); e (v) o exercício regular do direito em processo judicial, administrativo ou arbitral.
Sanções:
• advertência, com indicação de prazo para adoção de medidas
corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o inciso II;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração.
Todas as empresas devem:
• mapear todos os dados que foram e são coletados em todas as áreas (marketing, RH, jurídico, contabilidade, TI, etc), de forma a definir o tipo de informação que foi ou está sendo coletada, identificando para qual finalidade;
• verificar como os dados foram ou estão sendo processados, armazenados e por quanto tempo;
• avaliar a necessidade e relevância da manutenção desses dados de acordo com a finalidade da sua coleta ou alteração da finalidade. Em caso de consentimento expresso do titular, verificar se a finalidade se mantém;
• fazer o enquadramento de todos os dados em uma ou mais bases legais previstas;
• verificar os pontos e contas de acesso;
• avaliar os procedimentos para a exclusão/destruição/anonimização dos dados (atingida a finalidade para os quais os dados foram coletados e tratados, o controlador deverá eliminá-los de forma automática, observados o âmbito e os limites técnicos das atividades, sendo certo que para determinadas finalidades permitir-se-á a conservação dos dados ou sua anonimização, conforme disciplina o artigo 16 da LGPD);
• criar ou adaptar as políticas e os meios de segurança da informação, bem como as políticas de contingenciamento de riscos na ocorrência de incidentes, como vazamento de dados;
• criar ou adaptar seus termos e condições de uso, políticas de privacidade, sistemas de acesso , de segurança da informação, dentre outros, bem como adotar procedimentos compatíveis com as determinações legais.
Impacto direto nas ações promocionais em geral:
• a coleta de dados dos seus participantes deverá (i) ter uma finalidade determinada e claramente informada aos titulares; (ii) ser fixado tempo de armazenamento; (iii) haver o enquadramento do tratamento em uma ou mais bases legais
• recomendada a elaboração de política de privacidade própria para cada plataforma promocional. Assim, caberá aos controladores, informar aos titulares dos dados, antes da sua coleta, de forma específica e destacada, por meio da política de privacidade, termos de uso, contrato ou outro documento pertinente, de fácil acesso aos titulares, quais as finalidades do tratamento.
• o tratamento de dados pessoais de crianças (indivíduos com até 12 anos incompletos), só será permitido com o consentimento específico de um dos pais ou responsável legal e com o destaque para o fim ao qual se destina, cabendo ao controlador dos dados demonstrar a necessidade o melhor interesse do menor, além de envidar todos os esforços no sentido de obter o devido consentimento.