Nesta terça-feira (3), o PLC 53/2018, que regulamenta o tratamento de dados pessoais no Brasil tanto pelo poder público quanto pela iniciativa privada, foi aprovado pela Comissão de Assuntos Econômicos (CAE) do Senado. A proposta foi encaminhada para o Plenário em regime de urgência.
A chamada Lei Geral de Proteção de Dados Pessoais é o resultado da fusão de outros dois projetos mais antigos que caminhavam juntos na Câmara: o PL 4060/2012 de autoria do deputado federal Milton Monti (PR/SP) e o PL 5276/2016 de iniciativa do Poder Executivo.
O texto foi aprovado no Plenário da Câmara dos Deputados em 29 de maio de 2018, sob a relatoria do deputado Orlando Silva (PCdoB-SP). Com ares de grande consenso, o texto foi aprovado com elogios até da base governista à oposição.
Ao chegar ao Senado, foi nomeado como PLC 53/2018. Por questões regimentais, teve prioridade na tramitação, recebendo como seu apensado o PLS 330/2013 de autoria do senador Antonio Carlos Valadares (PSB/SE) e sob relatoria do senador Ricardo Ferraço (PSDB/ES).
Como a tendência é de que o texto permaneça o mesmo (pois se sofresse alterações teria que retornar à Câmara), seguem os destaques para os principais pontos do PLC 53/2018 que conta com 65 artigos:
Dados Pessoais: digitais e não digitais
A futura lei abrange o tratamento de dados pessoais feito no Brasil em meios digitais ou não, por empresas privadas ou órgãos públicos. Ficam de fora o uso de dados pessoais para atividades jornalísticas, artísticas, acadêmicas, de segurança pública e defesa nacional.
Consentimento prévio
Empresas ou órgãos públicos necessitarão, obrigatoriamente, de consentimento do titular dos dados para acessar ou utilizar as informações pessoais.
– O titular pode retirar seu consentimento, pedir a exclusão ou a portabilidade dos seus dados pessoais posteriormente;
– Pelo princípio da finalidade, o titular deve ser informado sobre o porquê um órgão público ou empresa está solicitando seus dados pessoais
– Pelo princípio da necessidade, os dados devem ser limitados ao mínimo que é preciso para cumprir o objetivo final
– Exceção: dados “tornados manifestamente públicos pelo titular”, como no caso de uma publicação em redes sociais, por exemplo, poderiam ser utilizados sem autorização.
Privacidade
A proteção de dados pessoais terá como objetivo garantir “direitos fundamentais de liberdade e de privacidade”, a “inviolabilidade da intimidade”, bem como outros fundamentos, como o da “autodeterminação informativa” (que dá direito ao acesso, correlação e exclusão de informações pessoais presentes em bancos de dados) e
Menores de Idade
A futura lei também dispõe sobre os dados específicos de crianças e adolescentes e exige consentimento de pais ou responsáveis legais para seu manejo. Dependendo de nova autorização para repassá-los a terceiros.
Responsabilização
Qualquer empresa ou órgão público envolvido no tratamento de dados pessoais deverá ser responsabilizado em caso de violação à futura lei. Quem tratar dados não pode usá-los para praticar discriminação e deve fazer uso de medidas de segurança que protejam os dados pessoais armazenados por ele.
A empresa ou órgão público deve indicar publicamente quem é a pessoa responsável pelo tratamento dos dados pessoais de terceiros em sua estrutura, a quem devem ser encaminhadas as reclamações e demais solicitações. Depois de atingida a finalidade de uso do dado pessoal, ele deve ser excluído pelo responsável.
Violações à futura lei podem acarretar multas de até 2% do seu faturamento (limitada a R$ 50 milhões) ou suspensão das atividades da empresa com dados pessoais por seis meses.
“ANADADOS”
A futura lei “cria” a Autoridade Nacional de Proteção de Dados (o PLS 330 sugeria a criação). A ideia é de uma autarquia vinculada ao Ministério da Justiça, que tem a missão de “zelar pela proteção dos dados pessoais”, garantir o respeito à futura lei, fiscalizar e aplicar sanções e atender solicitações de titulares de dados sobre empresas e órgãos públicos.
Aqui está uma das grandes polêmicas da proposta. Por envolver custos, a criação desta agência seria inconstitucional, por ser demandada pelo Legislativo e não pelo Executivo. Muito embora um dos projetos que serviram de base para o texto veio da parte do Governo (e previa a criação do órgão), especialistas afirmam que o projeto atual, que é um substitutivo, perde a característica da autoria do Executivo. Há quem acredite, ainda, que existe a intenção que o artigo seja vetado propositalmente, sancionando a Lei, mas sem autoridade fiscalizadora.
A futura lei prevê ainda a criação de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, com 23 membros de órgãos públicos, empresas privadas e representantes da sociedade civil. O conselho será responsável, entre outras coisas, por desenhar propostas à política de dados pessoais no país.
Em caso de vazamento ou qualquer outra falha de segurança que possa ter comprometido os dados pessoais, o “órgão competente” (a autoridade nacional) deve ser comunicada dentro de um “prazo razoável”. A autoridade avalia e decide os próximos passos, que podem envolver a divulgação da falha em veículos de comunicação.
Vigor tardio
No texto atual fica estabelecido o prazo de 18 meses para a lei entrar em vigor após sua aprovação. Prazo longo, conforme crítica de alguns especialistas. Entretanto, defendido por outros como um período de observação sobre a efetividade da recém-criada General Data Protection Regulation (GPDR), lei que regula o uso de dados na União Europeia.
Por Assessoria de Comunicação da Abratel
