O Senado aprovou hoje (10/7) o Projeto de Lei da Câmara (PLC) 53, que trata da proteção de dados pessoais. O texto havia sido aprovado pelos deputados em maio e segue para a sanção presidencial.
Em maio deste ano, entrou em vigor o Regulamento Europeu de Proteção de Dados Pessoais (GDPR, na sigla em inglês), o que fez com que diversos países acelerassem a tramitação de legislações sobre o tema.
“A necessidade de se ter uma lei específica sobre proteção dos dados pessoais decorre da forma como se sustenta o modelo atual de negócios da sociedade digital, em que a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a determinados bens, serviços ou conveniências”, explicam os advogados Patrícia Peck e Marcelo Crespo, em análise do projeto. “Na medida em que a economia digital gira em torno dos dados pessoais, é preciso delimitar alguns limites e melhores práticas, para proteção do consumidor, e evitar inclusive concorrência desleal.”
Patrícia Peck resumiu os principais pontos do projeto. A seguir, alguns destaques.
Dados pessoais e dados sensíveis
O projeto define que dado pessoal é qualquer informação que identifique ou torne identificável a pessoa natural. Já dados sensíveis tratam de etnia, raça, crenças religiosas, opiniões políticas, dados genéticos/biométricos, além de informações sobre filiação da pessoa natural a quaisquer organizações.
Obrigatoriedade de consentimento
A coleta e o tratamento de dados só poderão ser realizados se o usuário (dono dos dados ou responsável legal, no caso de menores legais) der consentimento à coleta e tratamento.
Todo agente deve apontar finalidade certa, garantida e justificável ao tratamento do dado. Além disso, deve garantir que o dado será utilizado somente para tal finalidade.
Livre acesso e transparência
Do fornecimento ao término do tratamento dos dados, as informações sobre o processo devem ser claras, acessíveis e adequadas à linguagem e compreensão do usuário, de forma que seu consentimento possa ser revogado a qualquer momento.
O consentimento do usuário deve ser realizado por escrito ou de qualquer outro modo que demonstre a livre manifestação da sua vontade.
Proteção e segurança
As organizações são responsáveis no caso de incidentes, como vazamentos, e devem aplicar aos dados que manuseiam medidas de prevenção e proteção, como anomização e encriptação.
No caso de qualquer incidente, é obrigação das organizações notificar as autoridades imediatamente.
Alteração e exclusão
O titular do dado pessoal pode alterá-lo ou excluí-lo a qualquer momento, exceto nas hipóteses previstas na lei, como fins fiscais.
Da mesma forma, assim que o tratamento de dados chegar ao final – seja por cumprir sua finalidade ou porque o usuário revogou seu consentimento –, as informações devem ser eliminadas.
Aplicação de sanções
A punições vão de advertências e multas até a suspensão e a proibição das atividades relacionadas ao tratamento de dados.
Elas variam conforme critérios como gravidade do dano, condição econômica do infrator, reincidência e boa-fé do infrator e devem ser investigadas por meio de processo administrativo que assegure o contraditório, ampla defesa e direito de recurso.
As multas podem ser simples ou diárias com valor equivalente a 2% do faturamento da organização privada, limitadas a R$ 50 milhões por infração.
Autoridade fiscalizadora
O projeto prevê a criação da Autoridade Nacional de Proteção de Dados, instituição vinculada ao Ministério da Justiça, para fiscalizar, elaborar diretrizes e aplicar sanções, entre outras funções relativas à proteção de dados prevista pela legislação.
Prazo de adaptação
O projeto determina prazo de 18 meses para que todos se adaptem às mudanças.
