Propostas sobre proteção de dados pessoais são debatidas no Congresso

Publicado em 07/05/2018 - 09:20 Por Jonas Valente – Repórter Agência Brasil - Brasília

Escândalos de vazamento de dados colocaram em evidência a importância da proteção das informações produzidas pelas pessoas nas mais diversas atividades sociais, políticas e culturais e ajudaram a dar força para propostas de regulação da proteção de dados pessoais em tramitação no Congresso.

Atualmente, Câmara e Senado analisam proposições sobre o tema.

>> Entenda as polêmicas em torno das propostas de proteção de dados pessoais 

As propostas disciplinam quais dados devem ser considerados pessoais, como pode ser feita a coleta, quais os parâmetros e limites do tratamento, quem deve estar submetido a exigências (pessoas, empresas, entes públicos), os direitos e as obrigações, as proibições, quais as sanções decorrentes da violação das normas e quem fica responsável por fiscalizar e aplicar sanções.

Na Câmara, tramita o Projeto de Lei (PL) 5276/2016, discutido desde 2010 e enviado pelo governo federal ainda na gestão Dilma Rousseff. Uma comissão especial foi montada para examinar a matéria. A previsão do relator, deputado Orlando Silva (PC do B-SP), é apresentar uma nova redação ainda em maio.

No Senado, o PL 330/2013, do senador Antônio Carlos Valadares (PSB-SE), está nas mãos de Ricardo Ferraço (PSDB-ES), que relata a matéria na Comissão de Assuntos Econômicos. O parlamentar apresentou nesta semana uma nova versão, denominada na linguagem do Legislativo de substitutivo.

Fundamentos

Os dois projetos de lei dispõem sobre a regulação da coleta e do tratamento de dados. O projeto da Câmara define como objetivo “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa individual”.

Já o do Senado destaca como fundamentos a autodeterminação informativa, a liberdade de expressão, a inviolabilidade da intimidade e da honra, o desenvolvimento econômico e tecnológico, a livre concorrência, a livre iniciativa e a defesa do consumidor.

Consentimento e finalidade

O consentimento é um elemento chave das regras para uso de dados. É por meio desse conceito que a lei vai obrigar empresas a pedir a autorização do usuário na coleta e uso dos dados.

O PL 5276 define consentimento como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica”.

De acordo com o texto, a empresa só poderá usar os dados para a finalidade informada ao titular no momento da coleta. Nesse cenário, por exemplo, uma pessoa que liga o Google Maps para traçar uma rota, só poderia ter a sua localização registrada pelo aplicativo durante o trajeto.

Outra questão importante diz respeito ao tratamento de dados que deve se limitar ao mínimo necessário para atingir a finalidade. O texto define ainda obrigações de transparência.

Já o PL 330 firma o consentimento como requisito do tratamento de dados devendo ser “inequívoco”. Não entram como obrigações a necessidade de que o usuário seja informado expressamente para a obtenção da permissão.

O texto do senador Ferraço lista como princípio a transparência no tratamento dos dados, por meio da comunicação de “informações necessárias” a este procedimento, como finalidade, forma de coleta e período de conservação. Quanto à finalidade, o tratamento dos dados deve ser “necessário, adequado e proporcional à finalidade desejada ou que tenha fundamentado sua coleta”, restrito ao mínimo necessário e indispensável aos objetivos do processamento das informações.

Legítimo interesse

Outro ponto de tensão nos debates é a definição das hipóteses de legítimo interesse. Essas seriam as situações em que uma empresa ou órgão poderia utilizar um dado com finalidade diferente daquela informada no momento da coleta. O PL 330 prevê possibilidade de tratamento “quando necessário para atender aos interesses legítimos do responsável pelo tratamento ou do terceiro a quem os dados sejam comunicados, desde que não prevaleçam sobre os interesses ou os direitos e liberdades fundamentais do titular dos dados”. O texto, contudo, não detalha quais seriam os “interesses legítimos”.

O PL 5276 estabelece hipóteses mais definidas, bem como garantias ao dono dos dados pessoais. Ele estabelece que o legítimo interesse deve se dar em uma situação concreta, contemplar as expectativas do titular e se ater ao “estritamente necessário para a finalidade pretendida”. Outra exigência é que este tipo de processamento seja transparente e que a empresa permita o direito do titular de, a qualquer momento, se opor ao uso desses dados. O órgão responsável pela regulação pode solicitar do responsável que nesses casos seja produzido um “relatório de impactos à privacidade”.

Escopo

Uma das principais discussões é se o escopo da lei deve ou não incluir o Poder Público e que tipo de exceções seriam aceitas. As duas matérias preveem disciplinar também governos, parlamentos e o Judiciário, com algumas diferenças.

No projeto do senador Ricardo Ferraço as garantias e obrigações não valem para bancos de dados para exercício do jornalismo; tratamento de pessoas para fins particulares e não econômicos e para dados anônimos ou anonimizados (em que não é possível identificar a pessoa).

No texto, o Poder Público deve ser submetido a regras diferentes. No caso desses entes, o tratamento de dados pode ser realizado para assegurar a adequada prestação de serviços públicos, ampliar efetividade na formulação e implementação de políticas públicas e instrumentalizar atividades de regulação, fiscalização e controle.

Os órgãos públicos ficam liberados de cumprir várias obrigações, como: obter consentimento; desfazer-se dos dados após o fim do tratamento; comunicação de todas as informações necessárias ao tratamento, como finalidade e forma de coleta; garantir o conhecimento dos critérios no caso de decisões automatizadas; cancelamento e oposição ao tratamento, “salvo quando indispensável para o cumprimento de obrigação legal ou contratual”. A redação também prevê que a administração pública pode repassar a entidades privadas informações coletadas em caso de “execução descentralizada de políticas”.

O PL 5276 traz um capítulo para o tratamento de dados pelo Poder Público, que deve acontecer no atendimento a uma previsão legal, na busca do interesse público e na execução de políticas públicas. O órgão público deve informar os titulares acerca desses procedimentos. Dados de acesso público (salários de servidores disponibilizados pelo Portal da Transparência, por exemplo), segundo o texto, teriam o processamento sujeito às regras da lei.

O PL remete o tratamento de informações para fins de segurança pública para uma lei específica, mas inclui nessa outra norma também os casos em que o propósito é a segurança nacional. Uma novidade do texto é a inclusão, como exceções, do tratamento de dados para fins jornalísticos, artísticos, literários e acadêmicos. Outra previsão é que no caso dessas exceções o órgão competente pela regulação peça aos responsáveis relatórios de impactos à privacidade.

Territorialidade

Um dos maiores desafios das legislações sobre o tema é como disciplinar atividades que não se limitam pelas fronteiras nacionais. O texto do senador Ricardo Ferraço resolve a questão abrangendo “o uso e tratamento de dados pessoais realizados no todo ou em parte no território nacional ou que nele produza ou possa produzir efeito, qualquer que seja o mecanismo empregado”.

Isso inclui empresas com sede no exterior, mas que ofertem serviços a brasileiros ou que algum integrante do grupo econômico tenha sede no Brasil. A lei também alcançaria nações em que a legislação brasileira tem validade por força de convenção.

A proposta da Câmara também abrange outras duas possibilidades: empresas de fora do país que ofertem serviços e bens a brasileiros (como um site hospedado na China que vende produtos para o Brasil) e tratamento de dados de pessoas que estavam em território nacional no momento da coleta de dados.

Fiscalização

As possíveis punições a quem comete abusos no tratamento de dados também estão entre as preocupações dos projetos. O PL 330, do Senado, prevê algumas hipóteses de sanções.

Quem realizar tratamento inadequado e causar dano será obrigado a ressarcir o prejudicado se não tiver cumprido as obrigações da Lei ou do órgão competente. Os gestores de bancos de dados também devem garantir a segurança, devendo comunicar ao órgão competente eventuais incidentes (como um roubo ou ataque) e podem ser responsabilizados por vazamentos ou acessos ilícitos às informações.

As autoridades administrativas, diz o texto, devem fiscalizar a comunicação e a interconexão de dados, podendo determinar o cancelamento dos dados e da interconexão, bem como outras medidas que garantam os direitos dos titulares.Também são estabelecidas obrigações de segurança e resguardo do sigilo das informações pelos responsáveis pelo tratamento de dados. As sanções previstas são advertência; alteração, retificação ou cancelamento do banco de dados; multa de 2% sobre faturamento da empresa ou do grupo econômico, em caso de reincidência; e suspensão ou proibição parciais ou totais da atividade de tratamento. Na definição da pena, devem ser consideradas a gravidade, a situação econômica do infrator, a vantagem obtida e a reincidência.

O projeto tramitando na Câmara estabelece a obrigação de reparação de danos decorrentes do tratamento de dado ou de reversão em caso de incidente de segurança. Entre as sanções elencadas estão multa; bloqueio de dados pessoais; suspensão do tratamento; e suspensão do banco de dados, sem prejuízos de sanções penais ou administrativas previstas em outras leis.

Órgão regulador

Associada à polêmica das medidas de fiscalização e sanções está a disputa sobre a criação de uma autoridade que ficaria responsável pela aplicação de multas e supervisão. Um primeiro problema diz respeito ao procedimento. A legislação exigiria um projeto de Lei do Executivo criando um órgão, embora haja avaliações distintas entre especialistas acerca de formas alternativas de implantação do órgão.

A saída do PL 330 foi estabelecer prerrogativas para uma autoridade responsável a ser criada, como: fiscalizar o tratamento de dados pessoais; estimular padrões que facilitem o controle dos dados pelos titulares; definir as formas de divulgação das operações de tratamento e editar normas complementares sobre a proteção de dados.

O projeto 5276 também fala genericamente em órgão competente. O texto atribui prerrogativas à autoridade, como fiscalizar; estabelecer medidas adicionais de proteção de dados sensíveis; cobrar relatórios de impacto à privacidade; normatizar aspectos diversos, como forma de registro da guarda de dados e dispor sobre padrões de segurança.

 

Leia as matérias do especial da Agência Brasil sobre proteção de dados pessoais:

Proteção de dados ganha importância na política e economia no Brasil

Relatores discutem projetos de lei sobre proteção de dados

Empresas e sociedade civil divergem sobre lei de proteção de dados

Legislação de proteção de dados já é realidade em outros países

Edição: Lílian Beraldo

Dê sua opinião sobre a qualidade do conteúdo que você acessou.

Para registrar sua opinião, copie o link ou o título do conteúdo e clique na barra de manifestação.

Você será direcionado para o "Fale com a Ouvidoria" da EBC e poderá nos ajudar a melhorar nossos serviços, sugerindo, denunciando, reclamando, solicitando e, também, elogiando.

Denúncia Reclamação Elogio Sugestão Solicitação Simplifique
Últimas notícias
Bola, campeonato brasileiro
Esportes

CRB vence no fechamento da segunda rodada da Série B

Galo alagoano supera Oeste com gol do centroavante Léo Gamalho. Competição tem Juventude como líder.

Foto: Alexandre Vidal / Flamengo
Esportes

Atlético-GO supera Flamengo, que continua sem pontuar no Brasileiro

Apontado como um dos favoritos ao título, time da Gávea soma duas derrotas em duas rodadas. Em Salvador, Bahia vence Coritiba por 1 a 0.

Brasília 60 Anos - Congresso Nacional
Política

Congresso derruba cinco vetos presidenciais

Entre os vetos derrubados está o do projeto que dispensa a exigência de licitação para contratação de advogados e contadores pela administração pública. 

atlético-mg x corinthians
Esportes

Brasileiro: Atléticos vencem e Botafogo empata na abertura da rodada

Time do argentino Jorge Sampaoli derrota Corinthians de virada em casa e lidera campeonato ao lado do xará paranaense.

Doleiro Dario Messer
Justiça

Doleiro Dario Messer fecha acordo judicial e vai devolver R$ 1 bilhão

De acordo com a força-tarefa da Lava Jato no Rio, o acordo permitirá a coleta de provas para investigações em andamento. Messer é suspeito de lavagem de dinheiro.

Medicamentos
Geral

Polícia apreende R$ 1 milhão em medicamentos desviados da rede pública

Foram apreendidas cerca de 800 caixas de remédio, muitos vencidos. Os agentes prenderam um homem acusado de integrar a quadrilha especializada neste tipo de crime.