*Andriei Gutierrez, coordenador do Comitê Regulatório da ABES e cofundador e coordenador do Movimento Brasil, País Digital

Após oito anos de debate, foi aprovado, no dia 10 de julho, o Projeto de Lei de Proteção de Dados Pessoais no Senado Federal. Como próximo passo, o texto ainda precisa receber a sanção presidencial, mas, sem dúvida, a sociedade brasileira já pode comemorar uma grande vitória, que possibilita o desenho de um projeto de Nação digital.

Nas linhas abaixo, pontuo os principais tópicos do projeto, assim como suas semelhanças e diferenças em relação aos modelos de Proteção de Dados aplicados em outros países.

Proteção de direitos fundamentais e segurança jurídica

Já estava na hora de entrarmos para o clube dos mais de 130 países que possuem marcos legais para a proteção de dados pessoais. Nosso marco é importante para a proteção de direitos fundamentais, como a privacidade, a liberdade de expressão e a dignidade da pessoa humana contra qualquer forma de discriminação. Além disso, é um instrumento relevante para que os setores privado e público tenham segurança jurídica para legitimar inovações e serviços baseados em dados pessoais.

Processo democrático

Temos que nos orgulhar muito, tanto do texto final aprovado pelo Congresso, quanto pelo debate democrático que culminou em sua última versão. Foram duas consultas públicas realizadas pelo Ministério da Justiça (em 2010 e 2015), que resultaram em um Projeto de Lei de iniciativa do poder executivo em 2016. Outros cinco projetos também versavam sobre o tema no Congresso Nacional desde 2012. Nos últimos dois anos o debate foi acalorado em meio a 13 audiências públicas na Câmara dos Deputados, duas no Senado Federal e inúmeras reuniões com parlamentares, além de segmentos do setor privado, da sociedade civil e do governo engajados no tema.

Inspiração no GDPR com significativas evoluções

Hoje, temos uma legislação madura e equilibrada. O texto básico e todo o debate foram inspirados na Lei Geral de Proteção de Dados Pessoais da União Europeia, o GDPR (da sigla em inglês). Mas, entendemos que nosso texto vai além, pois introduz evoluções significativas que dão maior amparo legal tanto para as inovações baseadas em dados como para o fluxo internacional desses dados, condição indispensável para a inovação.

Abrangência e territorialidade

O projeto de lei abrange quaisquer dados pessoais, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc.). Aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que 1) a operação de tratamento seja realizada em território nacional; 2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços; ou 3) o tratamento de dados de indivíduos localizados no território nacional; ou 4) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Bases legais para tratamento de dados pessoais

O projeto aprovado pelo Congresso permite 10 possibilidades legais para o tratamento de dados, enquanto o GDPR permite apenas seis bases legais. Isso é muito relevante, pois protege direitos fundamentais de modo a permitir que as inovações movidas a dados floresçam legitimamente.

As bases legais mencionadas no texto são:

  1. consentimento informado (expresso para dados pessoais sensíveis),
  2. para a execução de políticas públicas,
  3. para o cumprimento de obrigação legal ou regulatória pelo controlador,
  4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  10. para a proteção do crédito.

Dados Anônimos

Os dados anônimos são um dos pilares fundamentais da inovação movida a dados, como por exemplo, para a execução de pesquisas para melhorar um produto, serviço ou até mesmo uma recomendação ou tratamento na área de saúde. Durante todo o processo de discussão, os envolvidos buscaram garantir junto às entidades que o Projeto de Lei não criasse impeditivos legais que inviabilizassem o tratamento de dados anônimos.

O Artigo 12 estabelece que “os dados anonimizados não serão considerados dados pessoais, para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido”.

Vacatio Legis

As novas regras só terão vigência após um ano e meio da publicação da lei, para que órgãos, empresas e entidades se adaptem às novas regras.

Autoridade Nacional de Proteção de Dados Pessoais

O projeto prevê a criação de uma autarquia especial vinculada ao Ministério da Justiça com a missão de zelar pela proteção dos dados, fiscalizar e aplicar sanções, entre outras atribuições. Esse ainda é um ponto sensível que necessita ser sancionado e delimitado pelo Poder Executivo. Essa entidade terá papel fundamental durante os 18 meses de adequação até a entrada em vigor da lei, seja na regulamentação ou na promoção de campanhas educativas para organizações e sociedade.

Transferência Internacional de Dados

Apesar da inspiração na legislação europeia, o projeto traz avanços importantes no que diz respeito às bases legais para a transferência internacional de dados, como, por exemplo, a aceitação de selos, certificados e códigos de condutas que comprovem a conformidade com a lei. Desse modo, o texto inclui as seguintes possibilidades legais:

  1. para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na lei brasileira;
  2. quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta lei, na forma de:
    a. cláusulas contratuais específicas para uma determinada transferência;
    b. cláusulas-padrão contratuais;
    c. normas corporativas globais;
    d. selos, certificados e códigos de conduta regularmente emitidos.
  3. quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  4. quando a autoridade nacional autorizar a transferência;
  5. quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  6. quando a transferência for necessária para execução de política pública ou atribuição legal do serviço público;
  7. quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades;
  8. entre outras.

Estes são apenas alguns dos avanços colocados por esse projeto de lei e, é claro, o leitor pode destacar outros aspectos desta legislação.
Confira aqui o texto completo.