O Senado aprovou por unanimidade, nesta terça-feira (10), o projeto que disciplina a proteção de dados pessoais dos cidadãos (Projeto de Lei da Câmara – PLC – 53/2018). Os senadores referendaram o texto aprovado na Câmara, do relator Orlando Silva (PCdoB-SP), sobre a regulação do setor, trazendo segurança aos usuários com instrumentos para questionar o uso indevido de suas informações por empresas e instituições.

O texto disciplina a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro ou até mesmo textos e fotos publicadas em redes sociais. A autarquia Autoridade Nacional de Proteção de Dados fiscalizará e multará empresas da internet que explorarem dados pessoais sem o consentimento expresso dos usuários. Elas também terão que dar acesso às informações que têm sobre cada indivíduo que pedir. Informações sobre a saúde das pessoas só poderão ser usadas para pesquisa. Quando um usuário deixar qualquer serviço, todos seus dados devem ser excluídos. O texto vai a sanção presidencial.

Segundo a coordenadora do Fórum Nacional pela Democratização da Comunicação (FNDC  –do qual a Contee faz parte), Renata Mielli, a aprovação foi uma vitória da defesa da privacidade, dos direitos digitais e inclusive da liberdade de expressão. “Num ambiente de coleta e uso indiscriminados de dados pessoais, no qual as pessoas ficam vulneráveis com relação ao poder econômico e político, a privacidade é essencial para a garantia da liberdade de expressão”, diz. Ela lembra que este foi um dos últimos projetos encaminhados pela ex-presidenta Dilma Rousseff ao Congresso Nacional, sendo resultado de um esforço coletivo multissetorial, incluindo representantes da sociedade civil organizada, do setor empresarial, do governo e da academia.

Pelo menos 125 países têm legislação de proteção de dados. Destes, 100 já criaram autoridades centrais para fiscalizar a aplicação das normas. “A regulação sobre os dados pessoais pode permitir ao Brasil ser uma plataforma de exportação de serviços. No tempo da economia digital isso tem um valor enorme. E a regulação, tal qual foi estabelecida, vai permitir que haja atividade econômica, mas garantindo a privacidade, um princípio constitucional”, destaca o deputado Orlando.

Relator do projeto na Comissão de Assuntos Econômicos (CAE), o senador Ricardo Ferraço (PSDB-ES) considerou que “a internet não pode ser ambiente sem regras. A privacidade é um valor civilizatório “. O senador Eduardo Braga (MDB-AM), relator em plenário, defendeu que “na era digital, dados são considerados grande ativo e patrimônio. Dados devem receber grau mínimo de proteção jurídica. Dados trafegam pelas redes e sem consentimento acabam sendo comercializados, em contraposição aos preceitos constitucionais, que garantem o direito à vida privada”.

“Todas as entidades, sem nenhuma exceção, foram partícipes na construção do projeto de lei e estamos votando algo que é uma unanimidade”, afirmou a senadora Vanessa Grazziotin (PCdoB-AM). “Estamos vivendo a revolução das redes sociais. Agora vamos ter marco regulatório que permite que cidadão possa acionar aqueles que fizerem mau uso de seus dados”, acrescentou o senador Jorge Viana (PT-AC).

O que diz o projeto

O PLC 53 considera dados pessoais a informação relacionada a uma pessoa que seja “identificada” ou “identificável”. Ou seja, regula também aquele dado que, sozinho, não revela a quem estaria relacionado (um endereço, por exemplo) mas que, processado juntamente com outros, poderia indicar de quem se trata (o endereço combinado com a idade, por exemplo).

Uma categoria especial, denominada dados “sensíveis”, abrange registros de raça, opiniões políticas, crenças, condição de saúde e características genéticas. O uso desses registros fica mais restrito, por trazer riscos de discriminação e outros prejuízos à pessoa. Também há parâmetros diferenciados para processamento de informações de crianças, como a exigência de consentimento dos pais e a proibição de condicionar o fornecimento de registros à participação em aplicações (como redes sociais e jogos eletrônicos).

O projeto de lei abrange as operações de tratamento realizadas no Brasil ou a partir de coleta de dados feita no país. A norma vale para empresas ou entes que ofertem bens e serviços ou tratem informações de pessoas que estão aqui. Também é permitida a transferência internacional de dados, desde que o país de destino tenha nível de proteção compatível com a lei ou quando a empresa responsável pelo tratamento comprovar que garante as mesmas condições exigidas pela norma por instrumentos como contratos ou normas corporativas.

Ficaram de fora das obrigações o tratamento para fins pessoais, jornalísticos e artísticos. Não são cobertos o processamento de informações em atividades de segurança nacional, segurança pública e repressão a infrações – esses temas devem ser tratados em uma lei específica.

O Poder Público poderá tratar dados sem consentimento das pessoas, em determinadas situações, como na execução de políticas públicas. Para isso, o órgão deve informar em seu site em que hipótese o processamento de dados é realizado, sua finalidade e quais são os procedimentos adotados. Essas regras especiais se aplicam também aos cartórios.

Para coletar e tratar um dado, uma empresa ou ente precisa do consentimento do titular, que deve ser livre e informado. A autorização deve ser solicitada de forma clara, em cláusula específica. Caso uma empresa colete um dado para uma coisa e mude sua finalidade, deve obter novo consentimento. A permissão dada pode ser revogada se o titular assim o desejar.

O projeto prevê situações em que o consentimento do titular não é necessário, como a proteção da vida, o cumprimento de obrigação legal e procedimento de saúde. A exceção, chamada de “legítimo interesse”, permite a uma empresa coletar um dado para um propósito e usá-lo para outro, desde que para “finalidades legítimas” e a “partir de situações concretas”. Nesse caso, somente os dados “estritamente necessários” podem ser manejados.

Outra obrigação das empresas é a garantia da segurança dos dados, impedindo acessos não autorizados e qualquer forma de vazamento. Caso haja algum incidente de segurança que possa acarretar dano ao titular da informação, a empresa é obrigada a comunicar à pessoa e ao órgão competente.

O titular pode solicitar acesso às informações que uma empresa tem dele – incluindo a finalidade, a forma e a duração do tratamento – e se houve uso compartilhado com algum outro ente e com qual finalidade. Também pode requisitar a correção de um dado incompleto, a eliminação de registros desnecessários ou excessivos e a portabilidade para outro provedor de serviço. É possível, ainda, solicitar a revisão de uma decisão automatizada baseada em seus dados, como uma classificação para obtenção de crédito, por exemplo.

É instituído o Conselho Nacional de Proteção de Dados, formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas. Ele proporá diretrizes estratégicas sobre o tema e auxiliará a autoridade nacional.

Fonte: Carlos Pompe, da Contee