O plenário do Senado aprovou no último dia 10 o Projeto de Lei número 53, que estabelece as regras para a proteção dos dados pessoais e também define as situações em que estes podem ser coletados e tratados tanto por empresas quanto pelo Poder Público. O projeto agora vai a sanção de o presidente Michel Temer.

O texto disciplina a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais.

Dados pessoais e dados sensíveis

A proposta é bem abrangente e classifica os tipos de dados. Uma delas é o chamado dado pessoal, ou seja, a informação relacionada a uma pessoa que seja “identificada” ou “identificável”. Dessa forma, o projeto de lei regula também aquele dado que, sozinho, não revela a identidade de uma pessoa, mas, em conjunto com outra informação, poderia apontar o nome de quem mora em determinado endereço, a idade ou outra informação pessoal.

Outra novidade é a criação de uma categoria especial chamado dado sensível. Em linhas gerais, ele abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, uma vez que traz riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).

Direitos e deveres

Para coletar e tratar um dado, uma empresa ou ente precisa solicitar o consentimento do titular da informação. Essa autorização deve ser solicitada de forma clara, em cláusula específica, e não de maneira genérica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada por alguém, entretanto, pode ser revogada a qualquer tempo pelo titular.

Por outro lado, a proposta prevê situações onde não é necessário o consentimento do dono do titular do dado: para o cumprimento de obrigação legal e procedimento de saúde.

Confira a edição online da revista Consumidor Moderno!

Uma das exceções que poderá causar muita polêmica diz respeito ao chamado “legítimo interesse”. Na prática, esse trecho do PL aprovado no Senado autoriza que a empresa colete um dado para um propósito e usá-lo para outro, desde que para “finalidades legítimas” e a partir de algo que o texto define como “situações concretas”. Nesse caso, somente os dados “estritamente necessários” podem ser manejados.

Quanto aos direitos do titular da informação, a proposta prevê que o proprietário pode solicitar acesso às informações que uma empresa tem dele – incluindo a finalidade, a forma e a duração do tratamento – e se houve uso compartilhado com algum outro ente e com qual finalidade. Também é possível requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. Ou seja, o usuário de uma conta de e-mail pode ter todas as suas mensagens, caso deseje abrir conta em outro serviço deste tipo. O titular também pode solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.

O tratamento

A proposta ainda cria regras para as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma também vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Mas como isso funciona na prática?

Por exemplo: por mais que o Facebook recolha registros de brasileiros e faça o tratamento em servidores nos Estados Unidos, ele teria de respeitar as regras brasileiras de proteção de dados.

Além disso, será permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.

Exceção

Há, no entanto, determinados grupos ou categorias que estão fora das regras da proteção de dados: o tratamento para fins exclusivamente pessoais, jornalísticos e artísticos. Também não foram cobertos o processamento de informações em atividades de segurança nacional, segurança pública e repressão a infrações. O PL aprovado indica que esses temas devem ser tratados em uma lei específica.

O Poder Público ganhou também a possibilidade de tratar dados sem consentimento das pessoas, em determinadas situações, como na execução de políticas públicas. Para isso, o órgão deve informar em seu site em que hipótese o processamento de dados é realizado, sua finalidade e quais são os procedimentos adotados. Essas regras especiais se aplicam também aos cartórios.

Em entrevista a Agência Brasil, o senador Ricardo Ferraço (PSDB-ES), relator do projeto na Comissão de Assuntos Econômicos, destacou que a regulação do tema já é uma realidade no resto do mundo. “Mais de 100 países já colocaram de pé leis e diretrizes de proteção de dados no ambiente da internet. A internet não pode ser ambiente sem regras. A privacidade é um valor civilizatório”, salientou.

Fiscalização e órgão regulador

O relatório de Silva propõe a criação da Autoridade Nacional de Proteção de Dados, que ficará responsável pela edição de normas complementares e pela fiscalização das obrigações previstas na lei. Essa autoridade terá poder, por exemplo, para exigir relatórios de impacto à privacidade de uma empresa, documento que deve identificar como o processamento é realizado, as medidas de segurança e as ações para reduzir riscos.

Multa

O descumprimento de algumas dessas obrigações previstas na lei, a autoridade dos dados poderá aplicar sanções que variam de uma advertência a uma multa de até 2% do faturamento da empresa envolvida (com limite de R$ 50 milhões), o bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento. O substitutivo também institui o Conselho Nacional de Proteção de Dados, formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas. O colegiado tem como atribuições propor diretrizes estratégicas sobre o tema e auxiliar a autoridade nacional.

Com informações da Agência Brasil