O presidente Michel Temer sancionou a lei que cria um sistema de proteção de dados pessoais no Brasil. Foi vetado do texto o artigo que criava a ANDP (Autoridade Nacional de Proteção de Dados). Punições a empresas que infringirem a lei também foram suavizadas.
A discussão sobre a lei teve início em 2010 e a tramitação do texto no Congresso foi concluída em julho. As novas regras terão validade daqui a 18 meses, período estipulado para que empresas e órgãos se adaptem.
O modelo brasileiro é inspirado em legislação da União Europeia que entrou em vigor em maio deste ano. Passa a ser criado um marco legal sobre a captação, armazenamento e tratamento e uso de informações pessoais.
Com base em pareceres técnicos de diversos ministérios, Temer decidiu vetar a criação da Autoridade Nacional de Proteção de Dados, um órgão independente, com orçamento próprio, responsável pela fiscalização das regras.
O trecho sobre a criação da ANDP foi vetado por indicação de técnicos da Casa Civil sob a alegação de inconstitucionalidade. Eles argumentam que a autoridade de fiscalização deveria ter sido criada separadamente e por iniciativa do Executivo, e não Legislativo.
Também foi vetada a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, responsável por elaborar diretrizes e estudos sobre o tema.
Embora o presidente tenha afirmado no evento que enviará ao Congresso um projeto de lei para criar a autoridade, o ministro Gilberto Kassab (Ciência e Tecnologia) disse que essa decisão ainda não foi tomada.
“Não quero aqui descartar a medida provisória, mas o presidente tem evitado usar Medida Provisória no entendimento com Congresso”, afirmou.
Há ainda um questionamento sobre qual será a pasta que abrigará a autoridade. Questionado, Temer deu a entender que manterá a estrutura sob o guarda-chuva da Justiça, como estava previsto no projeto original. Já Kassab disse que essa definição ainda será feita, sugerindo que pode ficar com seu Ministério.
“Existem alguns que entendem que o Ministério da Justiça é o mais adequado outros entendem que seja mais adequado a área da pesquisa, da inovação, da Ciência que haja um permanente acompanhamento e transformações da nossa tecnologia mais afeitas.”
O governo deixou para o prazo máximo para sancionar devido à complexidade e importância do assunto.
De acordo com especialistas, uma MP, que precisaria ser votada em 120 dias, seria mais rápida do que um projeto de lei, que pode perder apelo político no Congresso.
“Com a MP, a possibilidade de desfigurar a autoridade do projeto original é menor”, diz Renato Leite Monteiro, professor de direito digital da Data Privacy Brasil.
A autoridade foi excluída do texto por causa do entendimento jurídico de que o Legislativo não pode propor ao Executivo a estrutura e a composição de um novo órgão.
A Lei Geral de Proteção de Dados Pessoais traz regras para o tratamento de dados online e offline feito tanto por pessoas jurídicas quanto físicas no setor público e no setor privado.
Fica excluído o uso de dados realizados para fins jornalísticos, artísticos, acadêmicos, de segurança pública e defesa nacional.
Daqui a um ano e meio, quando as regras passam a valer, haverá a possibilidade de usuários solicitarem acesso a seus dados, além de pedirem que informações sejam corrigidas ou excluídas. Informações sensíveis, como posição política, opção religiosa e vida sexual receberão tratamento mais rigoroso.
PUNIÇÕES
O presidente também vetou trechos com algumas das punições que, pelo texto aprovado no Congresso, deveriam ser aplicadas aos agentes que infringirem a lei.
Foram retiradas do texto a suspensão do funcionamento do banco de dados e do tratamento dessas informações e a proibição parcial ou total das atividades relacionadas ao tratamento dos dados.
Algumas regras para o compartilhamento de dados entre governo e entidades privadas e entre órgãos administrativos foram excluídas da lei sob o argumento de que inviabilizariam a administração pública. Os pedidos de vetos vieram de vários ministérios.
“A meu ver é um risco porque o poder público tem a maior base de dados que existe e muitos deles foram coletados de maneira compulsória para finalidades específicas. Entendo a preocupação do governo, mas precisam ser criadas regras para que esses dados sejam usados”, afirma André Giacchetta, do Pinheiro Neto Advogados.
Caso os vetos sejam mantidos pelo Congresso, restarão as punições de advertência, multa de até 2% do faturamento da empresa (limitado a R$ 50 milhões), publicização da infração e bloqueio e eliminação de dados pessoais referentes à infração.
Desse modo, as empresas infratoras não serão impedidas de continuar funcionando.
A expectativa é de que a nova lei modifique a relação de captura, armazenamento e uso de dados pessoais em diversas atividades como de bancos, corretoras, seguradoras, clínicas médicas, hospitais, varejo, hotéis, companhias aéreas e restaurantes, por exemplo.
VAZAMENTOS
O projeto estabelece que as empresas devem coletar apenas dados necessários para os serviços. A normativa traz ainda previsões sobre como devem ser tratados casos de vazamento de dados pessoais. O responsável pela gestão das informações deverá comunicar ao órgão competente a ocorrência de incidente de segurança que acarrete risco aos titulares.
Nessas situações, o órgão responsável poderá determinar providências como a divulgação do fato em meios de comunicação e medidas para reverter os efeitos do vazamento.
Quanto à transferência internacional de dados pessoais, será permitida para países ou organizações que proporcionem grau de proteção de dados adequado ao previsto na legislação brasileira.
O projeto prevê que o uso de dados de crianças deverá ser feito com consentimento dado por ao menos um dos pais ou responsável legal.
