Relator prevê agência de proteção de dados ligada ao Ministério da Justiça

O projeto de proteção de dados pessoais que tramita na Câmara dos Deputados ganhou substitutivo do relator Orlando Silva (PCdoB-SP), com a criação de uma autoridade nacional sobre o tema na forma de agência reguladora vinculada ao Ministério da Justiça. A proposta exige consentimento para tratamento de dados, mas o dispensa em casos de “legítimo interesse” e quando as informações foram tornadas públicas pelo próprio titular – como acontece nas redes sociais.

O texto tramita liderado pelo PL 4060/12, mas carrega também os projetos 6291 e 5276, ambos de 2016. Este último, como reconhece o relator, teve a maior influência sobre o substitutivo, além de princípios contidos nas regras gerais de proteção de dados da União Europeia, que entram em vigor nesta sexta, 25/5. Para Silva, “em tempos de computação em nuvem, um país que atenda à legislação europeia possui condições de atrair processamento de dados daquele bloco, a instalação de data centers e as próprias empresas de TIC, incluindo as gigantes ponto com”.

O texto vale tanto para empresas privadas como para o Poder Público, mas excetua o tratamento de dados de segurança pública e nacional, a serem regidos por legislação específica. Ele separa o que chama de dados “gerais”, para uso dos quais exige “consentimento livre, informado e inequívoco”, e dados “sensíveis”, para os quais prevê consentimento “em destaque e para finalidades específicas”. E por sensíveis entende os dados sobre “origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural”.

Ainda no caso do tratamento de dados sensíveis, o consentimento é dispensado para a administração pública ou órgãos de pesquisa, bem como para o cumprimento de obrigação legal e para a proteção e segurança de fraudes contra o titular. A proposta prevê a possibilidade de compartilhamento de dados entre órgãos públicos e empresas privadas. Exige, no entanto, que o Poder Público informe sobre o tratamento dos dados e garanta a sua segurança. Empresas públicas ou de economia mista têm as mesmas obrigações das empresas privadas.

O substitutivo considera que dados “anonimizados” deixam de ser sensíveis, mas reconhece que as técnicas atuais podem ficar obsoletas rapidamente. Daí a ressalva que dados serão considerados anonimizados quando “utilizadas técnicas razoáveis e disponíveis à época de seu tratamento”. Além de criar o órgão competente sobre a proteção de dados pessoais, a proposta prevê que descumprimentos à lei podem render multas de até 4% do faturamento da “empresa, grupo ou conglomerado” no Brasil, com um teto de R$ 50 milhões.

Ao justificar o projeto, Orlando Silva lembra que os dados pessoais se tornaram “insumo vital” na economia moderna, mas que isso exige proteções. “Grandes corporações do setor de TIC, assim como governos, possuem e adquirem, diariamente, imensas quantidades de dados acerca de seus usuários, assinantes, consumidores e cidadãos. O tratamento de dados pessoais, sem as devidas salvaguardas, pode violar a privacidade e a intimidade das pessoas, assim como afrontar os mais variados direitos humanos e o princípio democrático.”