Publicações

Lei geral de proteção de dados avança no Senado Federal

Nos últimos meses tem ganhado cada vez mais relevância o debate sobre a proteção de dados. No próximo dia 25 de maio entrará em vigor, na União Europeia, a General Data Protection Regulation, ou GDPR, que substituirá a antiga Diretiva Europeia 95/46/CE, trazendo um novo regulamento geral de proteção de dados, com impacto inclusive em empresas brasileiras que possuem, por exemplo, filiais na União Europeia e processem dados de cidadãos europeus.

No Brasil, o debate começou a ganhar força sobretudo por conta de projetos de lei, sendo que atualmente alguns deles tramitam tanto na Câmara dos Deputados quanto no Senado Federal, com o objetivo de aprovar uma lei geral de proteção de dados. Até então, não temos em nossa legislação norma sobre o assunto, mas tão somente leis esparsas que tratam de um ou outro ponto, como é o caso da lei de sigilo bancário (Lei Complementar nº 105/2001) e do marco civil da internet (Lei Federal nº 12.965/2014), que, todavia, não se prestam a servir como verdadeiro regulamento geral sobre proteção de dados.

Recentemente, foi apresentado na Comissão de Assuntos Econômicos do Senado Federal o parecer do Senador Ricardo Ferraço, proferido no Projeto de Lei nº 330/2013 (que tramita conjuntamente com o PL nº 131 e 181, ambos de 2014) (“PL 330”) que será, quiçá, a lei brasileira geral de proteção de dados. Por meio dela, o legislador arrola os princípios, direitos, garantias e obrigações referentes ao tratamento de dados de pessoas naturais, estabelece a forma como as empresas deverão lidar com tais informações, a fiscalização e a punição dos responsáveis.

Neste artigo, focaremos no parecer do Senador Ricardo Ferraço e em uma questão relevante tratada no PL 330, qual seja, o consentimento para tratamento dos dados.

No parecer apresentado no Senado Federal, o relator justifica a necessidade de se adotar um regulamento geral de proteção de dados, em vista da perda de oportunidades que o Brasil tem sofrido em decorrência da falta de normativo próprio, sobretudo de investimentos financeiros internacionais.

De fato, é interessante notar que, cada vez mais, somos praticamente compelidos a fornecer nossos dados pessoais a diversas empresas, seja bancos, redes sociais, lojas online, serviços médicos etc. Sobretudo na internet, não temos controle sobre a quantidade de vezes em que nossos dados foram fornecidos no passado a empresas que hoje, ou não existem mais, a exemplo de redes sociais, ou cujos serviços não mais nos utilizamos. Assim, esses dados ficam “perdidos” na rede, completamente fora de nosso controle, que não sabemos que uso foi feito deles. Some-se a isso o fato de que, sem muito nos atentarmos, ainda autorizamos que sites compartilhem nossos dados com outros sites. Ou seja, a perda do controle é total. No parecer, o relator ressalta que é fundamental que a futura lei se aplique também aos dados pessoais gerados na internet.

Ao contar com uma regulação sobre proteção de dados, o Brasil estará, enfim, ao lado de outras nações que já possuem regras definidas, dando maior segurança aos usuários e investidores, tanto no plano nacional quanto internacional. Sobre este aspecto, o relator do PL 330 não nega a inspiração na legislação europeia.

Ainda, o parecer aborda a necessidade de se criar uma autoridade central de proteção de dados pessoais. No entanto, o relator é sensível às questões por vezes burocráticas que envolvem a criação de um órgão específico para cuidar do assunto, motivo pelo qual sugere que, até que seja criada a autoridade central, as atividades desta sejam exercidas por órgão do Ministério da Ciência, Tecnologia, Inovações e Comunicações.

Questão importante tratada no PL 330 é o consentimento do titular para o tratamento dos dados pessoais.

Referido projeto prevê expressamente que o tratamento de dados pessoais pode ser realizado mediante consentimento do seu titular, podendo este cancelar a autorização, sem prejuízo do cancelamento automático ao término da relação entre as partes. O PL 330 é ainda mais específico ao mencionar que o consentimento deve estar atrelado a uma finalidade legítima, não se admitindo uma autorização genérica. Ademais, deve a autorização ser dada de forma apartada de outros assuntos, em formato claro e acessível. Portanto, o usuário não poderá consentir com o tratamento de seus dados pessoais no bojo das cláusulas de um contrato, mas sempre em documento separado. O mesmo se aplicará para operações na internet, em que geralmente é utilizada a função opt-in. Neste caso, o cliente deverá tanto consentir para a contratação específica quanto para o tratamento de seus dados, sempre de maneira segregada.

Notamos que outro projeto de lei que tramita na Câmara dos Deputados, o PL 4060/2012, apenas determina que haja autorização para tratamento de dados sensíveis, assim definidas as informações de origem social e étnica, informações genéticas, orientação sexual, convicções políticas, religiosas e filosóficas. Portanto, citado PL é menos abrangente, neste aspecto, do que o PL 330.

À definição de dados sensíveis, o PL 330 acrescenta, em relação ao PL 4060/2012, informações de saúde, genéticas ou biométricas dos titulares dos dados sensíveis. Desta forma, diversas empresas que hoje atuam no ramo da saúde, tais como laboratórios médicos, clínicas, gestores de hospitais etc., deverão também observar a possível futura lei.

A questão do consentimento já é hoje prevista no marco civil da internet que determina, em seu art. 7º, IV, que é direito do usuário o “consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais”. O marco civil também veda que as aplicações de internet guardem dados pessoais que sejam excessivos em relação à finalidade para o qual foi dado o consentimento pelo titular (art. 16, II).

No entanto, o próprio marco civil da internet, ao arrolar os princípios dos usuários, dentre eles a proteção dos dados pessoais, relega à uma futura lei própria a normatização deste tema. Ou seja, não se trata de lei específica sobre a matéria, mas já se anteviu a necessidade de que se aprovasse uma norma geral de proteção de dados.

Este tema – o consentimento para tratamento dos dados – por certo ainda renderá debates, visto que, apesar de importante para o usuário, criará novos desafios às empresas, que passarão a lidar com a necessidade de adoção de controles diferentes dos hoje implementados, a exemplo da alteração do processo de solicitação de consentimento para tratamento de dados (sempre apartado de outros assuntos), o cancelamento do tratamento ao término da relação com o seu titular e, também, a implementação de controles a fim de que tais dados não sejam vazados ou utilizados para propósitos diferentes daqueles para os quais originalmente foram autorizados.

Uma vez que o assunto é complexo e pelo fato de existirem em tramitação outros projetos de lei sobre proteção de dados, tanto no Senado quanto na Câmara, e também em razão da concessão de vista coletiva da matéria, aprovada no último dia 08 pelo presidente da Comissão de Assuntos Econômicos, cremos que ainda haverá outros debates antes da aprovação final do texto, que podemos esperar para o segundo semestre deste ano.

Guilherme Bartoli de Almeida (guilherme@oliveiraramos.com.br)

Coordenador da Área Consultiva




Compartilhar