Pacote de dados pessoais, política e conselho

Após meses de consulta pública em portal on-line, por meio da qual interessados puderam contribuir com comentários e sugestões, o Ministério da Justiça disponibilizou uma nova versão do texto do anteprojeto de Lei de Proteção de Dados Pessoais.

Ao que pese haver normas esparsas em nossa legislação sobre tratamento de dados, privacidade e intimidade, ainda não possuímos uma lei geral que indique parâmetros mínimos para o uso de dados privados.

Apesar dos questionamentos havidos durante a consulta, o novo texto mantém como objeto de proteção os dados apenas das pessoas físicas. A regra geral de uso é a necessidade de consentimento livre e inequívoco dado pelo titular. Haveria dispensa para uso com fins de resguardar a segurança nacional por entes públicos, com procedimentos a serem regidos por lei específica. Também não dependeria de consentimento o uso com fins jornalísticos e, a partir de agora, também para fins artísticos, literários e acadêmicos.

Ainda não possuímos uma lei geral que indique parâmetros mínimos para o uso de dados privados

O titular, que deve ser informado sobre a finalidade, duração de tratamento, seus direitos de uso, modificação, acesso, alteração e até mesmo de anonimização e exclusão de seus dados, possui o direito de revogar a autorização concedida, a qualquer tempo, sem qualquer ônus.

Quanto aos sujeitos às obrigações da potencial futura lei, incluem-se pessoas físicas e jurídicas, independentemente da nacionalidade e do processo utilizado para obtenção de dados, que realizem tratamento de dados no Brasil, que os coletem em território nacional ou que ofertem bens e serviços de tratamento de dados pessoais de indivíduos aqui localizados.

O anteprojeto traz diversas definições de termos técnicos e conceitos, alguns deles modificados entre as duas versões do anteprojeto. Merece destaque o conceito de dados sensíveis, para cujo uso seria necessária uma autorização apartada. Incluem-se na definição os dados que indiquem origem étnica, convicções e filiações a organizações de caráter religioso, filosófico ou político, filiação a sindicatos, dados de saúde, genéticos ou relacionados à vida sexual do titular e também, a partir do novo texto, dados biométricos.

Oportunamente, poderão ser considerados dados pessoais aqueles utilizados para formação de perfil comportamental, ainda que a pessoa não seja identificada.

Aparentemente de forma equivocada foi excluída a definição do conceito de difusão, que se utilizaria para indicar a transferência de dados a um ou mais sujeitos indeterminados. Apesar da exclusão, a expressão continua sendo utilizada como uma das formas de tratamento de dados, sujeita aos termos da possível futura lei.

Merece destaque positivo no avanço entre as versões do texto a inclusão do direito de portabilidade de dados para diferentes fornecedores de serviços, assim como a expressa indicação da possibilidade de utilização de normas de proteção ao consumidor para tutelar a proteção dos dados pessoais.

Houve avanço também, especialmente pró-titular de dados pessoais, nas possíveis sanções administrativas a serem impostas em caso de infração. Incluem-se, dentre elas, a possibilidade individual ou cumulativa de multas, publicidade sobre a infração, anonimização de dados e suspensão de operação. Enquanto na primeira versão havia indicação de limites temporais máximos de suspensão, este aspecto não é mais encontrado na atual.

Adicionalmente, foi dado destaque ao tratamento de dados pessoais pelo poder público, que agora conta com um capítulo específico para este fim. Assume-se que seu principal propósito seja alcançar compatibilidade entre o direito dos titulares de dados pessoais e as obrigações impostas pela Lei de Acesso à Informação, promulgada em 2011.

Algumas questões estão em aberto. Uma delas diz respeito à obrigação de manter o registro das operações de tratamento de dados. Não há prazo previsto, exceto que o tempo de guarda será indicado por um órgão competente, que por sua vez ainda não existe.

Falando dele, mesmo sem criação ou indicação de alguma forma de delegação de competência, o novo texto delimita expressamente suas atribuições, que são focadas principalmente na promoção do conhecimento sobre as formas de proteção, elaboração de relatórios, promoção de ações de cooperação com autoridades, edição de normas, imposição de sanções administrativa e, inclusive, a elaboração de diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, cuja composição já está prevista no novo texto, fornecerá subsídios para a elaboração da política mencionada. Sua composição por 15 membros terá majoritariamente representantes do Poder Executivo federal, mas também pessoas indicadas pela Câmara dos Deputados, Senado Federal, Conselho Nacional de Justiça, Conselho Nacional do Ministério Público, Comitê Gestor da Internet no Brasil, sociedade civil, academia e setor privado.

Também será competência do conselho a elaboração de relatórios para avaliação do desempenho da política de proteção de dados pessoais, a realização de estudos e debates, sugestão de ações para o órgão competente e a disseminação do conhecimento sobre a proteção de dados pessoais e privacidade à sociedade civil.

Antes da possível conversão em um projeto efetivo, é necessário aguardar que o texto seja formalmente aceito e encaminhado do gabinete do Ministro da Justiça para o da Casa Civil.

Alberto Esteves Ferreira Filho e Andreia de Andrade Gomes são, respectivamente, advogado de TozziniFreire e sócia responsável pela área de propriedade intelectual e entretenimento e do grupo setorial de fashion law de TozziniFreire Advogados

Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O jornal não se responsabiliza e nem pode ser responsabilizado pelas informações acima ou por prejuízos de qualquer natureza em decorrência do uso dessas informações

Por Alberto E. Ferreira Filho e Andreia de A. Gomes
Fonte : Valor

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *