A proposta que cria um marco regulatório para a proteção, o tratamento e o uso de dados pessoais dos brasileiros foi aprovada, nesta terça-feira (13), na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT). Depois da realização de audiências públicas sobre o tema e da apresentação de 29 emendas pelos integrantes da comissão, o substitutivo do senador Aloysio Nunes Ferreira (PSDB-SP) ao Projeto de Lei do Senado (PLS) 330/2013 foi acatado e agora segue para as Comissões de Meio Ambiente, Defesa do Consumidor e Fiscalização e Controle (CMA), de Assuntos Econômicos (CAE) e de Constituição, Justiça e Cidadania (CCJ).
A matéria busca assegurar o uso adequado dos dados coletados dos cidadãos, tendo como fundamentos o princípio da dignidade da pessoa humana, a proteção da privacidade, a garantia da liberdade e a inviolabilidade da honra e da imagem das pessoas. A matéria, originalmente apresentada pelo senador Antonio Carlos Valadares (PSB-SE), tramitava em conjunto com outras duas propostas correlatas: o PLS 131/2014, da CPI da Espionagem, e o PLS 181/2014, do ex-senador Vital do Rego.
O texto estabelece que os dados pessoais não poderão ser utilizados para prejudicar o cidadão. A coleta deve ser feita sob consentimento, assim como o armazenamento e o tratamento dados às informações pessoais, por qualquer que seja a instituição, desde financeiras a redes sociais. O cidadão também deve ter o direito de se opor ao tratamento imposto a esses dados; de não ter seus dados fornecidos a terceiros, a não ser mediante consentimento; de conhecer a finalidade do tratamento automatizado dos seus dados ou mesmo de requerer a exclusão definitiva de suas informações pessoais armazenados após o término dos contratos com empresas.
O texto diferencia dados pessoais, sensíveis e anônimos. O projeto proíbe a coleta e uso de dados anônimos que possam ser identificados a partir de cruzamento de informações. Também não permite o tratamento de dados que revelem orientação (religiosa, política ou sexual) convicção (filosófica) ou origem racial ou étnica, entre outros, a menos que haja consentimento expresso do titular. A proposta determina ainda que o tratamento de dados pessoais de criança e pessoa absolutamente incapaz somente pode ser realizado mediante consentimento dos responsáveis legais e no seu melhor interesse.
Aplicação
Uma vez aprovada, a lei será aplicada mesmo que a atividade seja realizada por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos um integrante do mesmo grupo econômico possua estabelecimento no Brasil. Da mesma forma, se a coleta, armazenamento ou utilização dos dados pessoais ocorrer em local onde seja aplicável a lei brasileira por força de tratado ou convenção.
Exceção se aplica aos bancos de dados mantidos pelo Estado exclusivamente para fins de defesa nacional e segurança pública, aos bancos de dados mantidos exclusivamente para o exercício de atividade jornalística, e para a atividade de tratamento de dados realizada por pessoa natural para fins exclusivamente particulares e não econômicos.
A lei também não se aplica à coleta e ao uso de dados anonimizados e dissociados, a chamada “internet das coisas”, desde que não seja possível identificar o titular. Essa foi uma sugestão apresentada nas audiências públicas. Entretanto, os dados "desanonimizados", ou inicialmente anônimos que, por qualquer técnica, mecanismo ou procedimento, permitam a identificação do titular, terão a mesma proteção dos dados pessoais, aplicando-se aos responsáveis por sua coleta, armazenamento e tratamento o disposto no texto.
Os responsáveis pelo tratamento de dados pessoais respondem, independentemente da existência de culpa, pela reparação dos danos causados aos titulares ou a terceiros. Os proprietários e gestores de bancos de dados devem adotar medidas destinadas à proteção dos dados pessoais contra a perda ou destruição acidental ou ilícita, a alteração, a difusão e o acesso não autorizados.
Para isso, precisam impedir que pessoas não autorizadas tenham acesso aos equipamentos, instalações e suportes de tratamento de dados; garantir que somente pessoas autorizadas tenham acesso aos dados transmitidos; e garantir a possibilidade de verificação periódica das alterações produzidas nos arquivos de dados.
Penalidades
O titular dos dados tem direito a inviolabilidade da intimidade, da vida privada, da honra e da imagem. E pode exigir indenização por dano material ou moral, individual ou coletivo caso seja afetado.
A União fiscalizará o cumprimento da Lei, por meio da autoridade administrativa competente, e aplicará penas administrativas aos infratores, sem prejuízo das de natureza civil e penal. Poderá impor advertência, com indicação de prazo para medidas corretivas; alteração, retificação ou cancelamento do banco de dados; multa de até 5% do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos; suspensão ou proibição parcial ou total das atividades de tratamento de dados pessoais; ou até mesmo intervenção judicial. A pena de proibição de tratamento de dados pessoais não será superior a cinco anos.
Apoio
Com informações da Agência Senado