Brasil

Propostas sobre proteção de dados pessoais são debatidas no Congresso

Escândalos de vazamento de dados colocaram em evidência a importância da proteção das informações produzidas pelas pessoas nas mais diversas atividades

Congresso: atualmente, Câmara e Senado analisam proposições sobre a regulação da proteção de dados pessoais (Paulo Whitaker/Reuters)

Congresso: atualmente, Câmara e Senado analisam proposições sobre a regulação da proteção de dados pessoais (Paulo Whitaker/Reuters)

AB

Agência Brasil

Publicado em 7 de maio de 2018 às 09h40.

Última atualização em 7 de maio de 2018 às 09h51.

Escândalos de vazamento de dados colocaram em evidência a importância da proteção das informações produzidas pelas pessoas nas mais diversas atividades sociais, políticas e culturais e ajudaram a dar força para propostas de regulação da proteção de dados pessoais em tramitação no Congresso.

Atualmente, Câmara e Senado analisam proposições sobre o tema.

As propostas disciplinam quais dados devem ser considerados pessoais, como pode ser feita a coleta, quais os parâmetros e limites do tratamento, quem deve estar submetido a exigências (pessoas, empresas, entes públicos), os direitos e as obrigações, as proibições, quais as sanções decorrentes da violação das normas e quem fica responsável por fiscalizar e aplicar sanções.

Na Câmara, tramita o Projeto de Lei (PL) 5276/2016, discutido desde 2010 e enviado pelo governo federal ainda na gestão Dilma Rousseff. Uma comissão especial foi montada para examinar a matéria. A previsão do relator, deputado Orlando Silva (PC do B-SP), é apresentar uma nova redação ainda em maio.

No Senado, o PL 330/2013, do senador Antônio Carlos Valadares (PSB-SE), está nas mãos de Ricardo Ferraço (PSDB-ES), que relata a matéria na Comissão de Assuntos Econômicos. O parlamentar apresentou nesta semana uma nova versão, denominada na linguagem do Legislativo de substitutivo.

Fundamentos

Os dois projetos de lei dispõem sobre a regulação da coleta e do tratamento de dados. O projeto da Câmara define como objetivo "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa individual".

Já o do Senado destaca como fundamentos a autodeterminação informativa, a liberdade de expressão, a inviolabilidade da intimidade e da honra, o desenvolvimento econômico e tecnológico, a livre concorrência, a livre iniciativa e a defesa do consumidor.

Consentimento e finalidade

O consentimento é um elemento chave das regras para uso de dados. É por meio desse conceito que a lei vai obrigar empresas a pedir a autorização do usuário na coleta e uso dos dados.

O PL 5276 define consentimento como uma "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica".

De acordo com o texto, a empresa só poderá usar os dados para a finalidade informada ao titular no momento da coleta. Nesse cenário, por exemplo, uma pessoa que liga o Google Maps para traçar uma rota, só poderia ter a sua localização registrada pelo aplicativo durante o trajeto.

Outra questão importante diz respeito ao tratamento de dados que deve se limitar ao mínimo necessário para atingir a finalidade. O texto define ainda obrigações de transparência.

Já o PL 330 firma o consentimento como requisito do tratamento de dados devendo ser "inequívoco". Não entram como obrigações a necessidade de que o usuário seja informado expressamente para a obtenção da permissão.

O texto do senador Ferraço lista como princípio a transparência no tratamento dos dados, por meio da comunicação de "informações necessárias" a este procedimento, como finalidade, forma de coleta e período de conservação. Quanto à finalidade, o tratamento dos dados deve ser "necessário, adequado e proporcional à finalidade desejada ou que tenha fundamentado sua coleta", restrito ao mínimo necessário e indispensável aos objetivos do processamento das informações.

Legítimo interesse

Outro ponto de tensão nos debates é a definição das hipóteses de legítimo interesse. Essas seriam as situações em que uma empresa ou órgão poderia utilizar um dado com finalidade diferente daquela informada no momento da coleta. O PL 330 prevê possibilidade de tratamento "quando necessário para atender aos interesses legítimos do responsável pelo tratamento ou do terceiro a quem os dados sejam comunicados, desde que não prevaleçam sobre os interesses ou os direitos e liberdades fundamentais do titular dos dados". O texto, contudo, não detalha quais seriam os "interesses legítimos".

O PL 5276 estabelece hipóteses mais definidas, bem como garantias ao dono dos dados pessoais. Ele estabelece que o legítimo interesse deve se dar em uma situação concreta, contemplar as expectativas do titular e se ater ao "estritamente necessário para a finalidade pretendida". Outra exigência é que este tipo de processamento seja transparente e que a empresa permita o direito do titular de, a qualquer momento, se opor ao uso desses dados. O órgão responsável pela regulação pode solicitar do responsável que nesses casos seja produzido um "relatório de impactos à privacidade".

Escopo

Uma das principais discussões é se o escopo da lei deve ou não incluir o Poder Público e que tipo de exceções seriam aceitas. As duas matérias preveem disciplinar também governos, parlamentos e o Judiciário, com algumas diferenças.

No projeto do senador Ricardo Ferraço as garantias e obrigações não valem para bancos de dados para exercício do jornalismo; tratamento de pessoas para fins particulares e não econômicos e para dados anônimos ou anonimizados (em que não é possível identificar a pessoa).

No texto, o Poder Público deve ser submetido a regras diferentes. No caso desses entes, o tratamento de dados pode ser realizado para assegurar a adequada prestação de serviços públicos, ampliar efetividade na formulação e implementação de políticas públicas e instrumentalizar atividades de regulação, fiscalização e controle.

Os órgãos públicos ficam liberados de cumprir várias obrigações, como: obter consentimento; desfazer-se dos dados após o fim do tratamento; comunicação de todas as informações necessárias ao tratamento, como finalidade e forma de coleta; garantir o conhecimento dos critérios no caso de decisões automatizadas; cancelamento e oposição ao tratamento, "salvo quando indispensável para o cumprimento de obrigação legal ou contratual". A redação também prevê que a administração pública pode repassar a entidades privadas informações coletadas em caso de "execução descentralizada de políticas".

O PL 5276 traz um capítulo para o tratamento de dados pelo Poder Público, que deve acontecer no atendimento a uma previsão legal, na busca do interesse público e na execução de políticas públicas. O órgão público deve informar os titulares acerca desses procedimentos. Dados de acesso público (salários de servidores disponibilizados pelo Portal da Transparência, por exemplo), segundo o texto, teriam o processamento sujeito às regras da lei.

O PL remete o tratamento de informações para fins de segurança pública para uma lei específica, mas inclui nessa outra norma também os casos em que o propósito é a segurança nacional. Uma novidade do texto é a inclusão, como exceções, do tratamento de dados para fins jornalísticos, artísticos, literários e acadêmicos. Outra previsão é que no caso dessas exceções o órgão competente pela regulação peça aos responsáveis relatórios de impactos à privacidade.

Territorialidade

Um dos maiores desafios das legislações sobre o tema é como disciplinar atividades que não se limitam pelas fronteiras nacionais. O texto do senador Ricardo Ferraço resolve a questão abrangendo "o uso e tratamento de dados pessoais realizados no todo ou em parte no território nacional ou que nele produza ou possa produzir efeito, qualquer que seja o mecanismo empregado".

Isso inclui empresas com sede no exterior, mas que ofertem serviços a brasileiros ou que algum integrante do grupo econômico tenha sede no Brasil. A lei também alcançaria nações em que a legislação brasileira tem validade por força de convenção.

A proposta da Câmara também abrange outras duas possibilidades: empresas de fora do país que ofertem serviços e bens a brasileiros (como um site hospedado na China que vende produtos para o Brasil) e tratamento de dados de pessoas que estavam em território nacional no momento da coleta de dados.

Fiscalização

As possíveis punições a quem comete abusos no tratamento de dados também estão entre as preocupações dos projetos. O PL 330, do Senado, prevê algumas hipóteses de sanções.

Quem realizar tratamento inadequado e causar dano será obrigado a ressarcir o prejudicado se não tiver cumprido as obrigações da Lei ou do órgão competente. Os gestores de bancos de dados também devem garantir a segurança, devendo comunicar ao órgão competente eventuais incidentes (como um roubo ou ataque) e podem ser responsabilizados por vazamentos ou acessos ilícitos às informações.

As autoridades administrativas, diz o texto, devem fiscalizar a comunicação e a interconexão de dados, podendo determinar o cancelamento dos dados e da interconexão, bem como outras medidas que garantam os direitos dos titulares.Também são estabelecidas obrigações de segurança e resguardo do sigilo das informações pelos responsáveis pelo tratamento de dados.

As sanções previstas são advertência; alteração, retificação ou cancelamento do banco de dados; multa de 2% sobre faturamento da empresa ou do grupo econômico, em caso de reincidência; e suspensão ou proibição parciais ou totais da atividade de tratamento. Na definição da pena, devem ser consideradas a gravidade, a situação econômica do infrator, a vantagem obtida e a reincidência.

O projeto tramitando na Câmara estabelece a obrigação de reparação de danos decorrentes do tratamento de dado ou de reversão em caso de incidente de segurança. Entre as sanções elencadas estão multa; bloqueio de dados pessoais; suspensão do tratamento; e suspensão do banco de dados, sem prejuízos de sanções penais ou administrativas previstas em outras leis.

Órgão regulador

Associada à polêmica das medidas de fiscalização e sanções está a disputa sobre a criação de uma autoridade que ficaria responsável pela aplicação de multas e supervisão. Um primeiro problema diz respeito ao procedimento. A legislação exigiria um projeto de Lei do Executivo criando um órgão, embora haja avaliações distintas entre especialistas acerca de formas alternativas de implantação do órgão.

A saída do PL 330 foi estabelecer prerrogativas para uma autoridade responsável a ser criada, como: fiscalizar o tratamento de dados pessoais; estimular padrões que facilitem o controle dos dados pelos titulares; definir as formas de divulgação das operações de tratamento e editar normas complementares sobre a proteção de dados.

O projeto 5276 também fala genericamente em órgão competente. O texto atribui prerrogativas à autoridade, como fiscalizar; estabelecer medidas adicionais de proteção de dados sensíveis; cobrar relatórios de impacto à privacidade; normatizar aspectos diversos, como forma de registro da guarda de dados e dispor sobre padrões de segurança.

Acompanhe tudo sobre:CongressoSegurança públicaseguranca-digitalSenado

Mais de Brasil

Acidente com ônibus escolar deixa 23 mortos em Alagoas

Dino determina que Prefeitura de SP cobre serviço funerário com valores de antes da privatização

Incêndio atinge trem da Linha 9-Esmeralda neste domingo; veja vídeo

Ações isoladas ganham gravidade em contexto de plano de golpe, afirma professor da USP