O que diz o projeto de lei de proteção de dados aprovado por Temer

A normativa, que foi debatida ao longo de oito anos, exige consentimento prévio de usuário para uso de dados

    A lei que trata sobre as regras necessárias para a proteção de dados pessoais no Brasil foi sancionada pelo presidente Michel Temer em 14 de agosto de 2018. O texto da lei foi aprovado na Câmara dos Deputados no dia 29 de maio de 2018, sob condução do deputado Orlando Silva (PCdoB-SP), e endossado pelo Senado por unanimidade em 10 de julho de 2018. A lei deve passar a valer em 18 meses e, por ora, não terá o acompanhamento de uma agência fiscalizadora – Michel Temer vetou o artigo que a criava.

    A chamada Lei Geral de Proteção de Dados Pessoais, de número 13.709, é resultado da união de outros dois projetos antigos que caminhavam juntos na Câmara – o PL 4060/2012 e o 5276/2016. No Senado, foi apensado a ele uma outra proposta que tramitava por lá, o PLS (Projeto de Lei do Senado) 330/2013, que até então tramitava com relatoria do senador Aloysio Nunes (PSDB-SP).

    A lei descreve conceitos e lista princípios a serem seguidos por órgãos públicos e privados que coletam, tratam, armazenam ou mesmo vendem dados pessoais no país. De acordo com seu antigo relator, o deputado Orlando Silva, o atual projeto é importante por centralizar as regras sobre o tema.

    “As regras existentes, como o Marco Civil da Internet, o Código de Defesa do Consumidor e a Lei de Acesso à Informação, são dispersas e insuficientes para regular questão tão complexa”, escreveu o parlamentar no site Poder 360.

    Lei necessária

    A lei vem na esteira do escândalo envolvendo o Facebook e a empresa Cambridge Analytica, e da entrada em vigência de novas regras sobre dados pessoais na Europa (GDPR), que formam “o novo paradigma” em termos de legislação de dados pessoais no mundo, como afirmou a coordenadora da área de Privacidade e Vigilância do Internetlab, Jacqueline de Souza Abreu, ao Nexo.

    Sem uma legislação específica, o país se isolava e poderia ter problemas ao precisar compartilhar dados de segurança ou realizar transações comerciais que envolvessem dados pessoais com países que possuem legislação mais avançada.

    O advogado Danilo Doneda, especialista no tema, também havia dito ao Nexo que, sem uma legislação adequada, o país podia ficar sem “acesso ao mercado, porque para muitas transações é necessário ter padronização em termos de proteção de dados”. “Nenhum país europeu vai poder passar dados para o Brasil sem uma legislação minimamente adequada”, disse.

    Une-se ao escândalo e ao GDPR a descoberta de um esquema de venda de dados pessoais pelo governo brasileiro. No início de junho de 2018, o Ministério Público do Distrito Federal apontou para a possível existência de um comércio de dados pessoais de brasileiros entre órgãos públicos, sem o conhecimento ou autorização dos titulares dos dados envolvidos.

    Segundo promotor responsável pelo caso, “trata-se de um negócio milionário”. “O Serpro estaria comercializando informações pessoais constantes das bases de dados da Receita Federal. A venda é feita, também, para a própria administração pública, como indicam contratos analisados”, diz o documento que compila a investigação.

    O Serpro (Serviço Federal de Processamento de Dados) negou as acusações e disse que não comercializa dados do governo, “mas os disponibiliza via serviço”. O órgão cita como base legal não uma lei, mas uma portaria do Ministério da Fazenda de 2016.

    Para Ronaldo Lemos, advogado e diretor do ITS Rio (Instituto de Tecnologia e Sociedade), o “incidente demonstra a necessidade de que a lei de proteção de dados pessoais (...) aplique-se igualmente tanto para o setor público quanto para o setor privado, sem distinções”, escreveu no jornal Folha de S. Paulo.

    Caminho da lei

    O texto é resultado de um trabalho de dois anos adequando diferentes propostas, mas guiado sobretudo pelo conteúdo original do projeto nº 5276, enviado em 2016 pelo governo federal, sob o comando da então presidente Dilma Rousseff.

    A proposta aprovada por Temer, entretanto, vetou a criação de um órgão independente, responsável pela regulação sobre o assunto no país, a chamada Autoridade Nacional de Proteção de Dados. Segundo reportagem da Folha de S. Paulo, a criação da ANDP foi anulada por aconselhamento de técnicos da Casa Civil, sob a alegação de inconstitucionalidade. O projeto de uma agência reguladora deveria partir do Executivo, e não do Legislativo. Michel Temer ainda não apresentou Projeto de Lei ou Medida Provisória sobre o tema.

    O que diz o texto da lei

    Estes são os principais pontos da lei aprovada por Michel Temer:

    • A lei se volta a todo tratamento de dados pessoais feito no Brasil em “meios digitais” ou fora dele, por empresas privadas ou órgãos públicos. Ficam de fora o uso de dados pessoais para fins jornalísticos, artísticos, acadêmicos ou de segurança pública e defesa nacional
    • A proteção de dados pessoais terá como objetivo garantir “direitos fundamentais de liberdade e de privacidade”, bem como outros fundamentos, como o da “autodeterminação informativa” (que dá direito ao acesso, correlação e exclusão de informações pessoais presentes em bancos de dados) e a “inviolabilidade da intimidade”
    • Ela conceitua dado pessoal (“informação relacionada à pessoa natural identificada ou identificável”), dado sensível (em geral, dados que podem ser usados para causar dano ao titular, como dados sobre raça/etnia, religião, sexualidade, opinião política, dados genéticos e biométricos) e dado anonimizado (“dados pessoais relativos a um titular que não possa ser identificado”)
    • Para ter acesso e poder usar um dado pessoal, uma empresa ou órgão público só poderá fazê-lo se tiver o consentimento do titular dos dados (como exceção de dados “tornados manifestamente públicos pelo titular”, como no caso de uma foto publicada em redes sociais, por exemplo)
    • O titular pode retirar seu consentimento, pedir a exclusão ou a portabilidade dos seus dados pessoais. Ele deve ser informado sobre por que um órgão público ou empresa está pedindo seus dados pessoais (princípio da finalidade), os quais devem ser limitados ao mínimo necessário para se atingir o propósito informado (princípio da necessidade)
    • Quem tratar dados não pode usá-los para praticar discriminação e deve fazer uso de medidas de segurança que protejam os dados pessoais armazenados por ele
    • A lei também trata de dados sobre crianças e adolescentes e exige consentimento de pais ou responsável legal para seu tratamento. Uma vez em mãos, a empresa ou órgão público fica impedida de repassá-los a terceiros sem nova autorização
    • Depois de atingida a finalidade da coleta do dado pessoal, ele deve ser excluído pelo responsável que não tenha obrigação legal de mantê-lo ou para fins de estudo
    • Titulares também podem pedir revisão humana dos seus dados mantidos por empresas ou órgãos públicos em casos de decisões automatizadas, como recusa de crédito por um banco, por exemplo
    • A lei cobra que órgãos públicos organizem dados de forma que eles sejam “interoperáveis” e “estruturados”, com o objetivo de torná-los padronizados e acessíveis
    • A empresa ou órgão público deve indicar publicamente quem é a pessoa responsável pelo tratamento dos dados pessoais de terceiros em sua estrutura. É o chamado “encarregado”, a quem devem ser endereçadas reclamações e demais pedidos
    • Qualquer empresa ou órgão público envolvido no tratamento de dados pessoais deve ser responsabilizado em caso de violação à lei
    • Em caso de vazamento ou qualquer outra falha de segurança que possa ter comprometido os dados pessoais sob sua responsabilidade, o “órgão competente” (a autoridade nacional) deve ser comunicada dentro de um “prazo razoável”. A autoridade avalia e decide os próximos passos, que podem envolver a divulgação da falha em meios de comunicação
    • Violações à lei podem acarretar em suspensão das atividades da empresa com dados pessoais alheios por seis meses ou multas de até 2% do seu faturamento (ou no máximo R$ 50 milhões)
    • A lei prevê ainda a criação de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, com 23 membros de órgãos públicos, privados e representantes civis. O conselho será responsável, entre outras coisas, por desenhar propostas à política de dados pessoais no país

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.

    Já é assinante?

    Entre aqui

    Continue sua leitura

    Para acessar este conteúdo, inscreva-se abaixo no Boletim Coronavírus, uma newsletter diária do Nexo: