O Plenário da Câmara dos Deputados aprovou nesta terça-feira, 29, o Projeto de Lei 4060/12, do deputado Milton Monti (PR-SP), que regulamenta o tratamento de dados pessoais no Brasil, tanto pelo poder público quanto pela iniciativa privada. O projeto agora vai ao Senado, onde já existe um projeto similar esperando para entrar na pauta do Plenário.
A matéria foi aprovada na forma do substitutivo do deputado Orlando Silva (PCdoB-SP), que ressaltou o trabalho da comissão especial sobre o tema, ao ouvir representantes de entidades nacionais e estrangeiras. "Há um tópico exclusivamente para o tratamento dos dados de saúde e outro para estimular práticas de boa gestão", explicou.
A proposta permite o tratamento de dados pessoais em dez situações: com o consentimento do titular; para o cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas; para a realização de estudos por órgão de pesquisa, sem a individualização da pessoa; para a proteção da vida ou da incolumidade física do titular ou de terceiro; ou para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Outros motivos são para a execução de um contrato ou de procedimentos preliminares relacionados a um contrato do qual é parte o titular quando a seu pedido; para pleitos em processos judicial, administrativo ou arbitral; e para a proteção do crédito, nos termos do Código de Defesa do Consumidor (Lei 8.078/90).
A motivação mais genérica, seguindo conceito da regulamentação europeia, é para atender aos "interesses legítimos" do responsável ou de terceiro. Nesse caso incluem-se, por exemplo, as finalidades comerciais e de marketing dirigido.
Informação
Quando o tratamento de dados for necessário para o cumprimento de obrigação legal ou regulatória ou feito pela administração pública, o titular será informado das hipóteses em que será admitido o tratamento de seus dados.
Já em relação aos dados tratados com o consentimento do titular, se o responsável pelo tratamento precisar comunicar ou compartilhar dados pessoais com outros responsáveis, ele deverá obter consentimento específico do titular para esse fim.
Se houver mudanças da finalidade do tratamento feito com o consentimento necessário do titular, este poderá revogá-lo se não concordar com essas mudanças.
Nos casos de contratos de adesão, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular deverá ser informado com destaque sobre isso.
Aplicação
A lei será aplicável mesmo a empresas com sede no estrangeiro, desde que a operação de tratamento seja realizada no território nacional, a atividade tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no Brasil.
O texto considera dados coletados no território nacional aqueles de titular que esteja no Brasil no momento da coleta. As regras não se aplicam, entretanto, se o tratamento for realizado por pessoa física para fins exclusivamente pessoais; ou se realizado para fins exclusivamente jornalísticos e artísticos ou acadêmicos.
Também não valerão para fins de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de infrações penais.
Dados sensíveis
O deputador Orlando Silva diferencia, entre os dados pessoais, aqueles denominados sensíveis: sobre origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.
O tratamento desses dados somente poderá ocorrer sem o consentimento do titular em algumas situações: cumprimento de uma obrigação legal pelo responsável; uso para políticas públicas; estudos por órgão de pesquisa, com a generalização, sempre que possível; proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou ainda para prevenir fraude e garantir a segurança do titular em processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Embora não especifique quais tipos de direitos, os dados sensíveis poderão ser tratados também para o exercício regular de direitos inclusive em contrato, processo judicial, administrativo ou arbitral.
Deverá ser dada publicidade à dispensa de consentimento do titular quando do tratamento de seus dados sensíveis no caso de cumprimento de obrigação legal pelo responsável ou de tratamento para execução de políticas públicas pela administração pública.
Se virarem lei, as novas regras passarão a viger depois de um ano e meio de sua publicação para a adaptação de órgãos, empresas e entidades.
Saúde
O projeto aprovado contém ainda regras sobre uso de dados pessoais em estudos de saúde pública. Sempre que possível, os estudos deverão realizar a anonimização, ou seja, procedimento que torne os dados anônimos ou difíceis de serem associados a uma pessoa em particular.
Será proibida a comunicação ou o uso compartilhado entre responsáveis de dados sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados consentida pelo titular.
Crianças e adolescentes
Quanto ao tratamento de dados pessoais de crianças e de adolescentes, o substitutivo de Orlando Silva (PCdoB-SP) prevê que ele somente poderá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.
Na participação em jogos, aplicações de internet ou outras atividades, por exemplo, os responsáveis por tratamento de dados não devem condicioná-la ao fornecimento de mais informações pessoais que as estritamente necessárias.
Direitos
O titular dos dados pessoais tem direito a obter do responsável várias informações ou procedimentos em relação aos seus dados:
– confirmação da existência de tratamento;
– acesso aos dados;
– correção de dados incompletos, inexatos ou desatualizados;
– anonimato, bloqueio ou eliminação de dados desnecessários ou excessivos;
– portabilidade de seus dados pessoais a outro fornecedor de serviço ou produto;
– a informação das entidades públicas e privadas com as quais o responsável realizou uso compartilhado de dados;
– a informação da possibilidade de não fornecer o consentimento e sobre as consequências dessa negação;
– a revogação do consentimento; e
– entrar com petição contra responsável perante o órgão competente e os organismos de defesa do consumidor.
O responsável pelo tratamento de dados deverá informar de maneira imediata a outros com os quais tenha compartilhado esses dados sobre o pedido de correção, eliminação, transformação em anonimato ou bloqueio dos dados, para que repitam idêntico procedimento.
Penalidades
Os agentes de tratamento de dados estão sujeitos a penalidades que vão desde advertência a suspensão ou proibição de funcionamento, passando por multa e eliminação obrigatória de dados.
As multas serão simples ou diárias, de até 4% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitadas no total a R$ 50 milhões por infração.
Metodologia divulgada antecipadamente deverá prever gradação da multa por gravidade da infração.
A suspensão parcial ou total de funcionamento do banco de dados será por um máximo de seis meses, prorrogáveis por igual período até a regularização da atividade.
Órgão regulador
Como órgão regulador, o projeto cria a Autoridade Nacional de Proteção de Dados, entidade integrante da administração pública federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça.
O órgão terá um Conselho Diretor com três conselheiros e mandato de quatro anos. As decisões serão por maioria.
Entre as atribuições, destacam-se elaborar diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade; fiscalizar e aplicar sanções; promover entre a população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e as medidas de segurança; promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transacional; e realizar ou determinar a realização de auditorias.
A autoridade terá autonomia administrativa e financeira, com recursos vindos da execução da sua dívida ativa; dotações orçamentárias; cobrança de emolumentos por serviços prestados; e recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais e internacionais.
Conselho
Também é criado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por 23 representantes titulares dos seguintes órgãos:
– seis representantes do Executivo federal;
– um representante indicado pelo Senado Federal;
– um representante indicado pela Câmara dos Deputados;
– um representante indicado pelo Conselho Nacional de Justiça;
– um representante indicado pelo Conselho Nacional do Ministério Público;
– um representante indicado pelo Comitê Gestor da Internet no Brasil;
– quatro representantes da sociedade civil com atuação comprovada em proteção de dados pessoais;
– quatro representantes de instituição científica, tecnológica e de inovação; e
– quatro representantes de entidade representativa do setor empresarial ligado à área de tratamento de dados pessoais.
Entre suas competências, podem ser citadas a proposição de diretrizes estratégicas; a elaboração de relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados; a realização de estudos e debates sobre o tema; e a disseminação do conhecimento sobre o assunto entre a população em geral. Com informações da Agência Câmara.
