O projeto vem para preencher uma lacuna na nossa legislação quanto à tutela dos dados pessoais, criando diversas obrigações para os responsáveis pelo tratamento de dados pessoais de terceiros, além de determinar sanções por eventuais violações.
Caso o Projeto de Lei venha a ser aprovado, as empresas cujo modelo de negócio engloba o tratamento de dados pessoais, ou seja, que realizam a coleta, armazenamento e cessão de uso, necessitarão adequar seu modelo de negócio à legislação.
O Projeto de Lei foi colocado em tramitação prioritária. Isto significa dizer que, caso não ocorra nenhuma alteração no trâmite político, deverá ser votado em até 45 dias pela Câmara e, após, pelo Senado, que deverá observar o mesmo prazo.
Se não ocorrerem surpresas, é possível admitir que no primeiro semestre de 2017 a legislação esteja vigente. Assim, as empresas terão um prazo curto para se adequarem às novas demandas.
Para se ter uma ideia do trabalho que está por vir, enumeramos abaixo as principais mudanças que, ao nosso ver, impactarão no modelo de negócio das empresas que realizam o tratamento de dados pessoais de terceiros:
- Empresas com sede no estrangeiro ficam submetidas à Lei, desde que alguma das etapas do processo de tratamento de dados pessoais ocorra no Brasil;
- Será necessário o consentimento prévio, livre, informado e inequívoco do titular dos dados pessoais a serem tratados;
- As empresas deverão ser transparentes quanto às finalidades do tratamento, devendo fornecer informações relativas a forma e duração do tratamento, direitos do titular dos dados, contato do responsável, mecanismos disponíveis ao titular dos dados para que este manifeste eventual oposição ao tratamento dos seus dados, entre outras informações;
- Necessidade de indicação de um encarregado pelo tratamento dos dados pessoais, que atuará junto à autoridades governamentais e usuários titulares dos dados pessoais (Data Privacy Officer);
- Será criado um órgão público para regulação do tratamento de dados pessoais;
- Deverão ser adotados determinados padrões de segurança da informação para proteger os dados coletados;
- Poderão ser aplicadas sanções em caso de violação das regras previstas, que variam desde multa até a suspensão do funcionamento do banco de dados.
Uma adoção tardia destas medidas poderá aumentar os riscos jurídicos do negócio, tendo em vista a complexidade e tamanho dos trabalhos exigidos.