A Câmara dos Deputados aprovou o projeto que prevê a criação da Lei Geral de Proteção de Dados Pessoais (PL 4.060, de 2012). O projeto disciplina a forma como informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais.
A matéria foi aprovada por unanimidade na noite de terça-feira (29) e foi encaminhada ao Senado.
A votação ocorreu em meio a uma “corrida” entre as duas Casas do Legislativo. No Senado, estava na pauta, também para ontem, a votação do Projeto 330, de 2013, de autoria do senador Antônio Carlos Valadares (PSB-SE), que trata do mesmo tema. Contudo, o presidente da Casa, Eunício Oliveira (PMDB-CE), encerrou a sessão.
Na Câmara, o relator da comissão especial criada para analisar a matéria, Orlando Silva (PCdoB-SP), apresentou o novo texto, que incorpora aspectos do PL 5276, de 2016, elaborado pelo governo federal. Silva destacou que seu relatório éi resultado de dois anos de discussões, incluindo um seminário internacional e 13 debates temáticos, e de uma negociação envolvendo todos os setores, de empresas à sociedade civil. “Este processo garantiu a elaboração de um projeto consistente. E isso permitiu algo inimaginável para alguns, uma votação unânime”, disse Silva à Agência Brasil.
Para o autor da proposta, deputado Milton Monti (PR-SP), o projeto é muito importante, ainda mais após a revelação de escândalos de abuso no tratamento de dados pessoais, como o caso envolvendo o Facebook e a empresa de marketing digital britânica Cambridge Analytica (entenda melhor a importância da coleta e processamento de dados).
“O projeto traz marco regulatório para que tratamento dos dados seja feito por meio de regramentos que garantam primordialmente a privacidade dos usuários. Estabeleceram-se também regras para entidades governamentais. Além disso, o projeto define aqueles que são dados sensíveis e que, por isso, não devem ser compartilhados, como, por exemplo, as orientações sexuais, raça e opiniões políticas”, destacou Monti.
Conceitos e abrangência
O deputado considera dados pessoais a informação relacionada a uma pessoa que seja “identificada” ou “identificável”. Ou seja, o projeto de lei regula também aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo) mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo).
Foi criada uma categoria especial, denominada dados “sensíveis”, que abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, já que traz riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).
O projeto de lei abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Assim, por exemplo, por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras. Também é permitida a transferência internacional de dados (como no exemplo citado), desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.
Ficaram de fora das obrigações o tratamento para fins pessoais, jornalísticos e artísticos. Também não são cobertos o processamento de informações em atividades de segurança nacional, segurança pública e repressão a infrações. O texto indica que esses temas devem ser tratados em uma lei específica.
O Poder Público ganhou também a possibilidade de tratar dados sem consentimento das pessoas, em determinadas situações, como na execução de políticas públicas. Para isso, o órgão deve informar em seu site em que hipótese o processamento de dados é realizado, sua finalidade e quais são os procedimentos adotados. Essas regras especiais se aplicam também aos cartórios.
Obrigações e direitos
Para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular, que deve ser livre e informado. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada se o titular assim o desejar.
O projeto prevê, contudo, algumas situações em que este não é necessário, como a proteção da vida, o cumprimento de obrigação legal e procedimento de saúde. A exceção mais polêmica é chamada de “legítimo interesse”, que na prática permite a uma empresa coletar um dado para um propósito e usá-lo para outro, desde que para “finalidades legítimas” e a “partir de situações concretas”. Nesse caso, somente os dados “estritamente necessários” podem ser manejados.
Outra obrigação das empresas incluída no relatório do deputado Orlando Silva é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.
A redação prevê uma série de direitos ao titular, que pode solicitar acesso às informações que uma empresa tem dele – incluindo a finalidade, a forma e a duração do tratamento – e se houve uso compartilhado com algum outro ente e com qual finalidade. Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. Ou seja, o usuário de uma conta de e-mail pode ter todas as suas mensagens, caso deseje abrir conta em outro serviço deste tipo. O titular também pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.
Fiscalização e órgão regulador
O relatório de Silva propõe a criação da Autoridade Nacional de Proteção de Dados, que ficará responsável pela edição de normas complementares e pela fiscalização das obrigações previstas na lei. Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos. Ou seja, se o órgão suspeitar que em alguma empresa há risco de problemas no tratamento dos dados, o relatório reúne informações necessárias para uma primeira apuração. Pode também fazer uma auditoria, em que se verifique no local da empresa se o manejo dos dados está sendo realizado corretamente.
Se constatar alguma irregularidade em qualquer atividade de tratamento, a autoridade pode aplicar uma série de sanções, entre as quais está prevista multa de até 2% do faturamento da empresa envolvida, com limite de R$ 50 milhões, o bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento. O substitutivo também institui o Conselho Nacional de Proteção de Dados, formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas. O colegiado tem como atribuições propor diretrizes estratégicas sobre o tema e auxiliar a autoridade nacional.
Repercussão
Integrante do coletivo Intervozes e uma das participantes das negociações envolvendo o texto, Beatriz Barbosa considerou a aprovação do projeto importante. Para Beatriz, o projeto traz responsabilidades e sanções mais desenvolvidas para quem faz o tratamento de dados e garantias mais claras do que o PL em tramitação no Senado. “O texto, que se inspira no PL 5.276 de 2016, enviado pelo Executivo, traz mecanismos de proteção mais detalhados em relação a dados sensíveis e de crianças e adolescentes. Por outro lado, o relatório abre exceções demais para o Poder Público, como em questões de segurança pública”, afirrnou.
Para a advogada Flávia Lefévre, integrante do Comitê Gestor da Internet no Brasil, que também participou das negociações, a proposta aprovada tem mecanismos mais adequados de proteção dos titulares de dados do que a que tramita no Senado. Ela destaca como pontos importantes a criação da Autoridade Nacional de Proteção de Dados e a definição das regras para o chamado “legítimo interesse”. “Ficou estabelecido que passará a ser necessária a demonstração de que o caso concreto justifica que se afaste a necessidade de consentimento”, pontua.
A Agência Brasil contatou empresas e entidades do segmento, como Facebook, Confederação Nacional da Indústria (CNI), Associação Brasileira de Emissoras de Rádio e TV (Abert) e Associação Brasileira das Empresas de Tecnologia da Informação e da Comunicação (Brasscom), mas não recebeu delas avaliação sobre o projeto. A Casa Civil da Presidência da República também não encaminhou sua avaliação.
Próximos passos
O PL foi encaminhado ao Senado. Ele será apensado (reunida a outras propostas sobre o mesmo assunto) ao PL 330, que está na pauta do plenário. O relator desse projeto, senador Ricardo Ferraço (PSDB-ES), informou à Agência Brasil que pediu a retirada da urgência para apreciação em plenário. “Com a aprovação do projeto na Câmara, perde sentido a urgência da votação. Eu vou fazer uma análise e entregar meu parecer à Comissão de Assuntos Econômicos”, afirmou.
Agência Brasil