Escândalos de vazamento de dados colocaram em evidência a importância da proteção das informações produzidas pelas pessoas nas mais diversas atividades sociais, políticas e culturais e ajudaram a dar força a duas propostas de regulação da proteção de dados pessoais em tramitação no Congresso.
Atualmente, Câmara e Senado analisam proposições sobre o tema.
As propostas disciplinam quais dados devem ser considerados pessoais, como pode ser feita a coleta, quais os parâmetros e limites do tratamento, quem deve estar submetido a exigências (pessoas, empresas, entes públicos), os direitos e as obrigações, as proibições, quais as sanções decorrentes da violação das normas e quem fica responsável por fiscalizar e aplicar sanções.
Na Câmara, tramita o Projeto de Lei (PL) 5276/2016, discutido desde 2010 e enviado pelo governo federal ainda na gestão Dilma Rousseff. Uma comissão especial foi montada para examinar a matéria. A previsão do relator, deputado Orlando Silva (PC do B-SP), é apresentar uma nova redação ainda em maio.
No Senado, o PL 330/2013, do senador Antônio Carlos Valadares (PSB-SE), está nas mãos de Ricardo Ferraço (PSDB-ES), que relata a matéria na Comissão de Assuntos Econômicos. O parlamentar apresentou nesta semana uma nova versão, denominada na linguagem do Legislativo de "substitutivo".
Fundamentos
Os dois projetos de lei dispõem sobre a regulação da coleta e do tratamento de dados. O projeto da Câmara define como objetivo “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa individual”.
Já o do Senado destaca como fundamentos a autodeterminação informativa, a liberdade de expressão, a inviolabilidade da intimidade e da honra, o desenvolvimento econômico e tecnológico, a livre concorrência, a livre iniciativa e a defesa do consumidor.
Consentimento e finalidade
O consentimento é um elemento chave das regras para uso de dados. É por meio desse conceito que a lei vai obrigar empresas a pedir a autorização do usuário na coleta e uso dos dados.
O PL 5276 define "consentimento" como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica”.
De acordo com o texto, a empresa só poderá usar os dados para a finalidade informada ao titular no momento da coleta. Nesse cenário, por exemplo, uma pessoa que liga o Google Maps para traçar uma rota, só poderia ter a sua localização registrada pelo aplicativo durante o trajeto.
Outra questão importante diz respeito ao tratamento de dados que deve se limitar ao mínimo necessário para atingir a finalidade. O texto define ainda obrigações de transparência.
Já o PL 330 firma o consentimento como requisito do tratamento de dados devendo ser “inequívoco”. Não entram como obrigações a necessidade de que o usuário seja informado expressamente para a obtenção da permissão.
O texto do senador Ferraço lista como princípio a transparência no tratamento dos dados, por meio da comunicação de “informações necessárias” a este procedimento, como finalidade, forma de coleta e período de conservação. Quanto à finalidade, o tratamento dos dados deve ser “necessário, adequado e proporcional à finalidade desejada ou que tenha fundamentado sua coleta”, restrito ao mínimo necessário e indispensável aos objetivos do processamento das informações.
Legítimo interesse
Outro ponto de tensão nos debates é a definição das hipóteses de legítimo interesse. Essas seriam as situações em que uma empresa ou órgão poderia utilizar um dado com finalidade diferente daquela informada no momento da coleta. O PL 330 prevê possibilidade de tratamento “quando necessário para atender aos interesses legítimos do responsável pelo tratamento ou do terceiro a quem os dados sejam comunicados, desde que não prevaleçam sobre os interesses ou os direitos e liberdades fundamentais do titular dos dados”. O texto, contudo, não detalha quais seriam os “interesses legítimos”.
O PL 5276 estabelece hipóteses mais definidas, bem como garantias ao dono dos dados pessoais. Ele estabelece que o legítimo interesse deve se dar em uma situação concreta, contemplar as expectativas do titular e se ater ao “estritamente necessário para a finalidade pretendida”. Outra exigência é que este tipo de processamento seja transparente e que a empresa permita o direito do titular de, a qualquer momento, se opor ao uso desses dados. O órgão responsável pela regulação pode solicitar do responsável que nesses casos seja produzido um “relatório de impactos à privacidade”.
Escopo
Uma das principais discussões é se o escopo da lei deve ou não incluir o Poder Público e que tipo de exceções seriam aceitas. As duas matérias preveem disciplinar também governos, parlamentos e o Judiciário, com algumas diferenças.
No projeto do senador Ricardo Ferraço, as garantias e obrigações não valem para bancos de dados para exercício do jornalismo; tratamento de pessoas para fins particulares e não econômicos e para dados anônimos ou anonimizados (em que não é possível identificar a pessoa).
No texto, o Poder Público deve ser submetido a regras diferentes. No caso desses entes, o tratamento de dados pode ser realizado para assegurar a adequada prestação de serviços públicos, ampliar efetividade na formulação e implementação de políticas públicas e instrumentalizar atividades de regulação, fiscalização e controle.
Os órgãos públicos ficam liberados de cumprir várias obrigações, como: obter consentimento; desfazer-se dos dados após o fim do tratamento; comunicação de todas as informações necessárias ao tratamento, como finalidade e forma de coleta; garantir o conhecimento dos critérios no caso de decisões automatizadas; cancelamento e oposição ao tratamento, “salvo quando indispensável para o cumprimento de obrigação legal ou contratual”. A redação também prevê que a administração pública pode repassar a entidades privadas informações coletadas em caso de “execução descentralizada de políticas”.
O PL 5276 traz um capítulo para o tratamento de dados pelo Poder Público, que deve acontecer no atendimento a uma previsão legal, na busca do interesse público e na execução de políticas públicas. O órgão público deve informar os titulares acerca desses procedimentos. Dados de acesso público (salários de servidores disponibilizados pelo Portal da Transparência, por exemplo), segundo o texto, teriam o processamento sujeito às regras da lei.
O PL remete o tratamento de informações para fins de segurança pública para uma lei específica, mas inclui nessa outra norma também os casos em que o propósito é a segurança nacional. Uma novidade do texto é a inclusão, como exceções, do tratamento de dados para fins jornalísticos, artísticos, literários e acadêmicos. Outra previsão é que no caso dessas exceções o órgão competente pela regulação peça aos responsáveis relatórios de impactos à privacidade.
Territorialidade
Um dos maiores desafios das legislações sobre o tema é como disciplinar atividades que não se limitam pelas fronteiras nacionais. O texto do senador Ricardo Ferraço resolve a questão abrangendo “o uso e tratamento de dados pessoais realizados no todo ou em parte no território nacional ou que nele produza ou possa produzir efeito, qualquer que seja o mecanismo empregado”.
Isso inclui empresas com sede no exterior, mas que ofertem serviços a brasileiros ou que algum integrante do grupo econômico tenha sede no Brasil. A lei também alcançaria nações em que a legislação brasileira tem validade por força de convenção.
A proposta da Câmara também abrange outras duas possibilidades: empresas de fora do país que ofertem serviços e bens a brasileiros (como um site hospedado na China que vende produtos para o Brasil) e tratamento de dados de pessoas que estavam em território nacional no momento da coleta de dados.
Fiscalização
As possíveis punições a quem comete abusos no tratamento de dados também estão entre as preocupações dos projetos. O PL 330, do Senado, prevê algumas hipóteses de sanções.
Quem realizar tratamento inadequado e causar dano será obrigado a ressarcir o prejudicado se não tiver cumprido as obrigações da Lei ou do órgão competente. Os gestores de bancos de dados também devem garantir a segurança, devendo comunicar ao órgão competente eventuais incidentes (como um roubo ou ataque) e podem ser responsabilizados por vazamentos ou acessos ilícitos às informações.
As autoridades administrativas, diz o texto, devem fiscalizar a comunicação e a interconexão de dados, podendo determinar o cancelamento dos dados e da interconexão, bem como outras medidas que garantam os direitos dos titulares.Também são estabelecidas obrigações de segurança e resguardo do sigilo das informações pelos responsáveis pelo tratamento de dados. As sanções previstas são advertência; alteração, retificação ou cancelamento do banco de dados; multa de 2% sobre faturamento da empresa ou do grupo econômico, em caso de reincidência; e suspensão ou proibição parciais ou totais da atividade de tratamento. Na definição da pena, devem ser consideradas a gravidade, a situação econômica do infrator, a vantagem obtida e a reincidência.
O projeto tramitando na Câmara estabelece a obrigação de reparação de danos decorrentes do tratamento de dado ou de reversão em caso de incidente de segurança. Entre as sanções elencadas estão multa; bloqueio de dados pessoais; suspensão do tratamento; e suspensão do banco de dados, sem prejuízos de sanções penais ou administrativas previstas em outras leis.
Órgão regulador
Associada à polêmica das medidas de fiscalização e sanções está a disputa sobre a criação de uma autoridade que ficaria responsável pela aplicação de multas e supervisão. Um primeiro problema diz respeito ao procedimento. A legislação exigiria um projeto de Lei do Executivo criando um órgão, embora haja avaliações distintas entre especialistas acerca de formas alternativas de implantação do órgão.
A saída do PL 330 foi estabelecer prerrogativas para uma autoridade responsável a ser criada, como: fiscalizar o tratamento de dados pessoais; estimular padrões que facilitem o controle dos dados pelos titulares; definir as formas de divulgação das operações de tratamento e editar normas complementares sobre a proteção de dados.
O projeto 5276 também fala genericamente em órgão competente. O texto atribui prerrogativas à autoridade, como fiscalizar; estabelecer medidas adicionais de proteção de dados sensíveis; cobrar relatórios de impacto à privacidade; normatizar aspectos diversos, como forma de registro da guarda de dados e dispor sobre padrões de segurança.