data_protection-site

PLC 53/2018: a Lei de Proteção de Dados Pessoais*

É sabido que as informações decorrentes do uso dos diversos meios de interação digital resultam na produção de uma enorme quantidade de dados das mais variadas fontes, todavia, ao aprofundar-se sobre o uso e a importância dos dados privados, é possível concluir que não é propagado entre os usuários a magnitude destes.

Isso porque quando as informações de qualquer indivíduo contidas na internet são organizadas e submetidas a uma análise específica, através do uso de big data,[1] machine learning,[2] algoritmos,[3] etc., é possível assimilar por meio de padrões e correlações, a sua identificação, bem como os seus dados privados, possibilitando o uso de tais informações para múltiplos fins.

A par disso, o plenário do Senado Nacional, no dia 10 de Julho de 2018, aprovou o Projeto de Lei nº 53/2018,[4] que visa proteger e legislar o trato de dados pessoais no âmbito brasileiro, bem como almeja estipular medidas acerca de sua transferência e do prazo de sua conservação. Assim, a Lei Geral de Proteção de Dados Pessoais (LGPDP) brasileira pende tão somente de sanção presidencial, a fim de que seja possibilitada a sua promulgação.

Cumpre referir que tramitavam no Senado outros projetos de leis que visavam regular o uso de dados pessoais, quais sejam: o PLS 131/2014, o PLS 181/2014 e o PLS 330/2013, mas foi o início de vigência do Regulamento Geral de Proteção de Dados da União Europeia (GDPR),[5] que possibilitou a adoção de regime de urgência do PLC 53/2018 e a consequente aprovação pelo plenário da Câmara dos Deputados, acarretando na rejeição dos demais projetos de Lei pela Comissão de Assuntos Econômicos (CAE), em virtude do entendimento de que o PLC 53/2018 abrangeria integralmente o tema de Proteção de Dados do País.

Sob o contexto do GDPR, é imperativo ressaltar a existência de similaridades relevantes entre o Regulamento Europeu e a Lei Geral de Proteção de Dados Pessoais nacional.

Através da publicação da LGPDP, o Senado Nacional deu um passo importante para a regulamentação dos dados pessoais no país, isso porque, mesmo com a publicação da Lei N° 12.965/14, o chamado Marco Civil da internet, cujo objetivo era regularização do uso da internet, não há no ordenamento jurídico pátrio uma norma com condão punitivo, ou seja, ainda que o Marco Civil da internet tenha sido um evento de evolução no trato da internet, havia necessidade de uma Lei com caráter regulatório a fim de normatizar a conduta de empresas e usuários que tratam com informações privadas, sem mencionar a imprescindibilidade de criação de órgão específico a fim de zelar pela aplicação das normas estabelecidas.

Pois bem, ainda que a LGPDP esteja sob aquiescência presidencial, através do exame do texto do Projeto de Lei e de seus 65 artigos, que foram distribuídos em 10 capítulos, já é possível mensurar a relevância e o impacto que a nova legislação irá provocar no cenário nacional. Isso porque a LGPDP ao entrar em vigor, estabelecerá um conjunto de novos requisitos e introduzirá inovações importantes e significativas sobre as responsabilidades que deverão ser observadas por empresas, empreendedores, startups e/ou indivíduos que exploram ou manipulam dados pessoais.

Inicialmente, cabe aclarar que o LGPDP dispõe que informações pessoais são obtidas através de dados estruturados e não-estruturados (fotos, áudios, vídeos, tweets, arquivos de log), bastando a existência de qualquer referência que possa levar à identidade do titular das informações, para que seja imputada a responsabilização.

Através da definição supramencionada, o escopo do LGPDP deve conscientizar o titular das informações acerca da propriedade dos seus dados, sendo de sua autonomia a possibilidade de transferência ou até mesmo a negociação dos mesmos.

Dessa maneira, o LGPDP prevê que o titular dos dados é o indivíduo, cabendo a quem recebe as informações a responsabilidade pelo seu tratamento, sendo seu ônus a adoção de maneiras efetivas de que tornem mais seletivo o processo de recolhimento e a gestão de tais dados (Art. 46).

A redação do LGPDP estabelece através do direito à transparência (Art. 6, VI), a possibilidade de o titular dos dados acionar o responsável pelo tratamento antes de fornecer as suas informações, requerendo que a empresa informe quais procedimentos serão aplicados sobre os seus dados, incluindo a finalidade (I, Art. 6), necessidade (III, Art. 6), forma (VIII, Art. 6) e a duração (IV, Art. 6) do tratamento de informações.

Ainda que o LGPDP seja conivente com o tratamento de dados pessoais, a legislação prevê a necessidade de consentimento prévio para obtenção de informações, sendo considerado o consentimento tácito inválido.

Há ainda a previsão de que deve ser disponibilizado aos titulares dos dados o direito à consulta de suas informações, a ser realizado a qualquer tempo, além da cientificação por parte dos responsáveis pelo tratamento de dados de que é direito do titular solicitar que seja revogada a autorização do uso de informações concedida anteriormente, podendo ser removido o consentimento seja qual for a ocasião (Art. 9).

A fim de garantir uma segurança ainda mais estável das informações privadas, há previsão no LGPDP de que o responsável pelo tratamento de dados, no intuito de atender às expectativas dos titulares, deverá adotar um conjunto de medidas técnicas que certifiquem a segurança dos dados durante toda a vigência da informação (inciso VII, Art. 6).

Ainda, em razão da diversidade inimaginável de violações que possam ocorrer por omissão ou defeito, o LGPDP estipula através do Princípio da Necessidade (III, Art. 6), que os responsáveis pelo tratamento de dados devem utilizar e conservar, tão somente, as informações pertinentes à finalidade destinada.

Nesse sentido, o LGPDP determina ainda que é indispensável e é encargo da controladora que manipula os dados pessoais a notificação ao seu titular e ao órgão competente, em caso de ocorrência de quaisquer transmissões, violação, alteração, eliminação ou acesso indevido às informações, bem como que existindo a necessidade de transferência dos dados, esta seja realizada somente após o consentimento expresso e válido do proprietário, além de impor restrições à transferência internacional dos dados (Art. 33).

Ainda que toda informação pessoal seja tida como vulnerável, o PLC 53/2018 cria uma categoria especial cujas informações ali contidas deverão receber tratamento diferenciado e uso restrito, denominada de Dados Sensíveis (art. 11), que engloba um rol de hipóteses em que o seu vazamento poderá ensejar discriminação, como, por exemplo, os de origem racial ou étnico, os de crenças religiosas, os de opiniões políticas, os de filiação a sindicatos ou a organizações religiosas, bem como o de informações referentes à saúde – cujo compartilhamento é vedado, exceto em casos de portabilidade com consentimento expresso do titular –, entre outros. Sob a perspectiva de dados que exigem uma atenção singular, o art. 14 do LGPDP trata sobre informações de crianças e adolescentes, prevendo que para o seu processamento faz-se indispensável o consentimento dos pais, além de que não é permitida práticas comercialmente exploratórias.

Tendo em vista que o poder público trata de uma gama enorme de dados pessoais, em razão da manutenção de registros de nascimento e afins, a legislação, em seu art. 23, estabelece critérios a serem observados nos casos em que o poder público é o responsável pelo tratamento de informações privadas, definindo e delimitando as suas responsabilidades no trato de tais dados.

Uma figura que se torna relevante, segundo a redação do art. 41 do LGPDP, é a necessidade da indicação, por parte dos responsáveis pela manipulação dos dados pessoais, de um profissional que será encarregado pela conformidade de tais informações, exercendo, entre outras atribuições, a recepção e prestação de esclarecimentos em relação à proteção dos dados vigentes.

Com o intuito de fiscalizar o cumprimento das disposições do LGPDP, o art. 55 prevê a criação de autarquia através de regime especial, que será denominada de Autoridade Nacional de Proteção de Dados (ANPD) e terá a incumbência de regular e zelar pela aplicação das atividades atinentes ao tratamento de dados privados.Há ainda a previsão de criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que deverá ser composto por 23 representantes dos mais variados órgãos do governo e da sociedade civil, e será de responsabilidade do conselho a tarefa de difundir as especificidades sobre a proteção de dados, bem como será da sua alçada a realização de estudos e o fomento de debates e/ou outras ações que possam difundir o tema.

Importante referir que a ANPD terá independência funcional e financeira, bem como será a responsável direta pela aplicação das sanções contidas no art. 52, o qual prevê, dentre outras, a advertência — com imposição de lapso para adequação das medidas impostas — e a imposição de multa — que poderá atingir o valor de R$ 50.000.000,00.

Dito isso, é importante salientar que os efeitos da LGPDP têm alcance a qualquer transação que envolva dados que foram coletados no território nacional ou quando a oferta de bens e serviços tenha como objetivo o público brasileiro. Ou seja, a regulamentação do RGPD é dotada de poderes extensíveis a empresas, empreendedores, startups e/ou internautas de qualquer localidade do planeta.

Após a sanção presidencial, o vacatio legis para vigência da Lei é de dezoito (18) meses após a sua publicação no Diário Oficial, em conformidade com o art. 65, tempo que deverá ser utilizado pelos responsáveis pelo tratamento de dados pessoais a fim de se adequarem às inovações contidas na Lei Geral de Proteção de Dados Pessoais Brasileira.

 

*Dr. Saymon Leão – OAB/RS 99.623

Integrante da Comissão Especial em Seguro e Previdência Complementar da OAB/RS e integrante do Grupo Nacional de Trabalho Novas Tecnologias da AIDA BRASIL (Associação Internacional do Direito do Seguro)

 

[1]https://www.ibm.com/analytics/hadoop/big-data-analytics
[2]http://www.businessinsider.com/what-is-machine-learning-quick-explainer-2017-11/#there-have-been-two-especially-important-developments-in-the-history-of-machine-learning-the-first-began-with-artificial-intelligence-pioneer-arthur-samuel-who-coined-the-term-machine-learning-back-in-1959-1
[3]https://epoca.globo.com/monica-de-bolle/os-algoritmos-que-mandam-em-voce-22878949
[4]https://legis.senado.leg.br/sdleg-getter/documento?dm=7738646&disposition=inline
[5]https://www.eugdpr.org/

 





Quem Somos

Image

Formada por uma equipe de advogados com alto nível de especialização e vasta experiência jurídica, é uma empresa sólida que prima pela competência, pela ética e pelo comprometimento com parcerias consolidadas. Valores estes que se traduzem na excelência da prestação de serviços e da defesa dos interesses de seus clientes.

Facebook

Últimos Posts