No último dia 29, o Plenário da Câmara dos Deputados aprovou o Projeto de Lei 4060/12, do deputado Milton Monti (PR-SP), que regulamenta o tratamento de dados pessoais no Brasil, tanto pelo poder público quanto pela iniciativa privada. A matéria será enviada ao Senado.
A revista NOVAREJO digital está com conteúdo novo. Acesse agora!
O tratamento de dados pessoais é o cruzamento de dados e informações de uma pessoa específica ou de um grupo para direcionar decisões comerciais (perfil de consumo do titular para fins de marketing ou divulgação de ofertas de bens ou serviços), políticas públicas ou atuação de órgão público.
A proposta define categorias de dados. Um deles é o dado pessoal, que são nome, endereço, e-mail, idade, estado civil e situação patrimonial, seja obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc.). Há também os chamados dados sensíveis, que podem ser os dados bancários ou médicos de uma pessoa.
Outros dados disponíveis para tratamento são as imagens relativas a pessoas recolhidas através dos sistemas de videovigilância, a gravação de chamadas telefônicas quando informadas à pessoa, os endereços de IP, os dados de tráfego e dados de localização do computador e informações de localização obtidas por sistemas de geolocalização.
Leia também:
Entenda por que novo cadastro positivo é considerado ‘urgente’ pela Câmara
Permissões
A proposta permite o tratamento de dados pessoais em dez situações: com a autorização do dono dos dados (ou o titular); para o cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento (o Marco Civil da internet, por exemplo, exige o armazenamento de dados de um consumidor que navegou no site da empresa por um período que varia de 6 meses a dois anos); pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; para a realização de estudos por órgão de pesquisa, sem a individualização da pessoa; para a proteção da vida ou da incolumidade física do titular ou de terceiro; ou para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Outros motivos são para a execução de um contrato ou de procedimentos preliminares relacionados a um contrato do qual é parte o titular quando a seu pedido; para pleitos em processos judicial, administrativo ou arbitral; e para a proteção do crédito, nos termos do Código de Defesa do Consumidor (Lei 8.078/90).
A motivação mais genérica, seguindo conceito da regulamentação europeia, é para atender aos “interesses legítimos” do responsável ou de terceiro. Nesse caso incluem-se, por exemplo, as finalidades comerciais e de marketing dirigido.
Informação
Quando o tratamento de dados for necessário para o cumprimento de obrigação legal ou regulatória ou feita pela administração pública, o titular será informado das hipóteses em que será admitido o tratamento de seus dados.
Já em relação aos dados tratados com o consentimento do titular, se o responsável pelo tratamento precisar comunicar ou compartilhar dados pessoais com outros responsáveis, ele deverá obter consentimento específico do titular para esse fim.
Se houver mudanças da finalidade do tratamento feito com o consentimento necessário do titular, este poderá revogá-lo se não concordar com essas mudanças.
Nos casos de contratos de adesão, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular deverá ser informado com destaque sobre isso.
Leia também:
Proteção de dados é essencial para dois terços dos clientes
Aplicação
A lei será aplicável mesmo a empresas com sede no estrangeiro, desde que a operação de tratamento seja realizada no território nacional, a atividade tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no Brasil.
O texto considera dados coletados no território nacional aqueles de titular que esteja no Brasil no momento da coleta.
As regras não se aplicam, entretanto, se o tratamento for realizado por pessoa física para fins exclusivamente pessoais; ou se realizado para fins exclusivamente jornalísticos e artísticos ou acadêmicos.
Também não valerão para fins de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de infrações penais.
Dados sensíveis
Os dados sensíveis são aqueles que dizem respeito a origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.
O tratamento desses dados somente poderá ocorrer sem o consentimento do titular em algumas situações: cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; estudos por órgão de pesquisa, com a generalização, sempre que possível; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou ainda para prevenir fraude e garantir a segurança do titular em processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Embora não especifique quais tipos de direitos, os dados sensíveis poderão ser tratados também para o exercício regular de direitos inclusive em contrato, processo judicial, administrativo ou arbitral.
Deverá ser dada publicidade à dispensa de consentimento do titular quando do tratamento de seus dados sensíveis no caso de cumprimento de obrigação legal pelo responsável ou de tratamento para execução de políticas públicas pela administração pública.
Se virarem lei, as novas regras passarão a viger depois de um ano e meio de sua publicação para a adaptação de órgãos, empresas e entidades.
Leia também:
5 Fatos sobre a privacidade no varejo
