Projeto que protege dados pessoais passa na primeira das 4 comissões do Senado
Proposta que cria um marco regulatório para a proteção, o tratamento e o uso de dados pessoais dos brasileiros foi aprovada, nesta terça-feira (13), na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT). Depois da realização de audiências públicas sobre o tema e da apresentação de 30 emendas pelos integrantes da comissão, o substitutivo do senador Aloysio Nunes Ferreira (PSDB-SP) ao Projeto de Lei do Senado (PLS)330/2013 foi acatado e agora segue para as Comissões de Meio Ambiente, Defesa do Consumidor e Fiscalização e Controle (CMA), de Assuntos Econômicos (CAE) e de Constituição, Justiça e Cidadania (CCJ).
O texto, considerado marco geral por especialistas no setor, tem origem na relatoria de três projetos de lei (PLS 181/2014, PLS 330/2014 e PLS 131/2014), dos senadores Vital do Rêgo (PMDB-PB), Antônio Carlos Valadares (PSB-SE) e da CPI da Espionagem, respectivamente.
Pela proposta do parlamentar paulista, o cidadão obtém a garantia de que será informado sobre o uso que se faz de seus dados por qualquer que seja a instituição, desde financeiras a redes sociais.
Se já estivesse em vigor, a lei garantiria punições às empresas que fazem o uso inadequado de dados pessoais. A matéria prevê multa de até 5% do total do faturamento da companhia, além da proibição para o uso de seu banco de dados.
“São propostas que vão na linha do Marco Civil da Internet, do desenvolvimento do direito brasileiro de proteção à privacidade e, aliás, se opõe àquela que inspira um projeto de lei que hoje em tramitação na Câmara dos Deputados, o PL Espião, que visa a reformar o Marco Civil no sentido inverso ao da sua inspiração original.
A intenção é assegurar o uso adequado dos dados coletados dos cidadãos, tendo como fundamentos o princípio da dignidade da pessoa humana, a proteção da privacidade, a garantia da liberdade e a inviolabilidade da honra e da imagem das pessoas.
O texto estabelece que os dados pessoais não poderão ser utilizados para prejudicar o cidadão. A coleta deve ser feita sob consentimento, assim como o armazenamento e o tratamento dados às informações pessoais, por qualquer que seja a instituição, desde financeiras a redes sociais. O cidadão também deve ter o direito de se opor ao tratamento imposto a esses dados; de não ter seus dados fornecidos a terceiros, a não ser mediante consentimento; de conhecer a finalidade do tratamento automatizado dos seus dados ou mesmo de requerer a exclusão definitiva de suas informações pessoais armazenados após o término dos contratos com empresas.
O texto diferencia dados pessoais, sensíveis e anônimos. O projeto proíbe a coleta e uso de dados anônimos que possam ser identificados a partir de cruzamento de informações. Também não permite o tratamento de dados que revelem orientação (religiosa, política ou sexual) convicção (filosófica) ou origem racial ou étnica, entre outros, a menos que haja consentimento expresso do titular. A proposta determina ainda que o tratamento de dados pessoais de criança e pessoa absolutamente incapaz somente pode ser realizado mediante consentimento dos responsáveis legais e no seu melhor interesse.
Aplicação
Uma vez aprovada, a lei será aplicada mesmo que a atividade seja realizada por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos um integrante do mesmo grupo econômico possua estabelecimento no Brasil. Da mesma forma, se a coleta, armazenamento ou utilização dos dados pessoais ocorrer em local onde seja aplicável a lei brasileira por força de tratado ou convenção.
Exceção se aplica aos bancos de dados mantidos pelo Estado exclusivamente para fins de defesa nacional e segurança pública, aos bancos de dados mantidos exclusivamente para o exercício de atividade jornalística, e para a atividade de tratamento de dados realizada por pessoa natural para fins exclusivamente particulares e não econômicos.
A lei também não se aplica à coleta e ao uso de dados anonimizados e dissociados, a chamada “internet das coisas”, desde que não seja possível identificar o titular. Essa foi uma sugestão apresentada nas audiências públicas. Entretanto, os dados "desanonimizados", ou inicialmente anônimos que, por qualquer técnica, mecanismo ou procedimento, permitam a identificação do titular, terão a mesma proteção dos dados pessoais, aplicando-se aos responsáveis por sua coleta, armazenamento e tratamento o disposto no texto.
Os responsáveis pelo tratamento de dados pessoais respondem, independentemente da existência de culpa, pela reparação dos danos causados aos titulares ou a terceiros. Os proprietários e gestores de bancos de dados devem adotar medidas destinadas à proteção dos dados pessoais contra a perda ou destruição acidental ou ilícita, a alteração, a difusão e o acesso não autorizados.
Para isso, precisam impedir que pessoas não autorizadas tenham acesso aos equipamentos, instalações e suportes de tratamento de dados; garantir que somente pessoas autorizadas tenham acesso aos dados transmitidos; e garantir a possibilidade de verificação periódica das alterações produzidas nos arquivos de dados.
Penalidades
O titular dos dados tem direito a inviolabilidade da intimidade, da vida privada, da honra e da imagem. E pode exigir indenização por dano material ou moral, individual ou coletivo caso seja afetado.
A União fiscalizará o cumprimento da Lei, por meio da autoridade administrativa competente, e aplicará penas administrativas aos infratores, sem prejuízo das de natureza civil e penal. Poderá impor advertência, com indicação de prazo para medidas corretivas; alteração, retificação ou cancelamento do banco de dados; multa de até 5% do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos; suspensão ou proibição parcial ou total das atividades de tratamento de dados pessoais; ou até mesmo intervenção judicial. A pena de proibição de tratamento de dados pessoais não será superior a cinco anos.
Apoio
Os senadores Randolfe Rodrigues (Rede-AP), Walter Pinheiro (PT-BA), Cristovam Buarque (PDT_DF) e Lasier Rodrigues (PDT-RS) elogiaram o trabalho de Aloysio Nunes. Walter citou um caso pessoal, quando seus dados foram utilizados para a aquisição de viagens. Ele defendeu a punição a quem permite a divulgação de dados pessoais como os do cartão de crédito e criticou o que se tornou um "novo modelo de negócios", a venda de dados pessoais.
O senador Aloysio Nunes recebeu 30 emendas ao substitutivo do projeto. No total, 12 foram acatadas pelo relator – entre elas aperfeiçoamentos na redação da matéria, mas também novas propostas que se somaram ao texto do tucano.
Uma, de autoria do senador Delcídio do Amaral (PT-MS), implementa a obrigatoriedade de a empresa notificar o cliente nas ocasiões de vazamentos de dados. A outra, também do petista, estimula as companhias a adotar mecanismos modernos de compliance – diretrizes para evitar e detectar qualquer desvio ou falha nos sistemas – com a criação de regras de boas práticas para as empresas responsáveis pelo uso de dados pessoais.
Foi rejeitada uma emenda do senador Randolfe Rodrigues (REDE-AP) que sugeria a anonimização de dados pessoais no tratamento de dados realizado no campo de pesquisa jornalística. Em sua justificativa, Aloysio Nunes registrou que o seu substitutivo “excetua, de sua aplicabilidade, os dados pessoais tratados no âmbito jornalístico”.
Fonte:IDGNOW