Amanhã, dia 10, o Congresso Nacional, irá promulgar, às 15h30, a Emenda Constitucional 115, que altera a Constituição de 1988, ao incluir a proteção de dados pessoais como direito fundamental, além de também estabelecer a competência da União para legislar sobre proteção e tratamento de dados pessoais.

A Emenda, que se origina da PEC 17/19, já havia sido aprovada ano passado pelo Senado e pela Câmara dos Deputados e aguardava a promulgação.

A PEC, que foi apresentada pelo senador Eduardo Gomes e relatada por Simone Tebet, também senadora, atribui a responsabilidade de organizar e fiscalizar a proteção e tratamento de dados pessoais de acordo com a Lei Geral de Proteção de Dados (LGPD), à União, e oferece "abrigo constitucional" à Autoridade Nacional de Proteção de Dados (ANPD), conforme previsto na LGPD.

A proteção de dados como direito fundamental e cláusula pétrea significa grandes avanços para os titulares de dados pessoais e uma garantia aos direitos de privacidade, deixando claro a necessidade de um esforço de todos na criação de uma cultura de respeito à privacidade de dados pessoais.

A medida entrará em vigor na data de sua publicação.

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados Pessoais (LGPD), ou Lei nº 13.709/2018, é a legislação brasileira que altera os artigos 7º e 16 do Marco Civil da Internet, e define a forma como dados pessoais e privacidade devem ser tratados.

Inspirada na europeia GDPR, a LGPD foi aprovada em 2018, após inúmeros escândalos sobre privacidade de dados, incluindo o caso do Facebook, onde a empresa Cambridge Analytica se utilizou de dados dos usuários com o objetivo de fazer campanha política para a eleição de Donald Trump em 2016.

A lei entrou em vigor em 2020 e as sanções começaram a ser aplicadas em 2021, gerando uma corrida contra o tempo em busca da adequação à nova lei.

Após a aprovação da LGPD, o Brasil está entre os 120 países que possuem uma lei específica visando a proteção de dados pessoais.

Entre as sanções que podem ser aplicadas por descumprimento, estão:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% do faturamento, limitada a R$ 50 milhões;
• multa diária;
• publicização da infração;
• bloqueio dos dados pessoais até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de seis meses;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.