Deputado protocola parecer sobre o PL de proteção de dados pessoais

A novidade do dia em relação aos PLs de proteção de dados pessoais em tramitação no Congresso brasileiro foi a divulgação do parecer do deputado Orlando Silva (PCdoB-SP) ao PL 4060/2012, ao qual o PL-5276/2016 está apensado.

Conforme esperado, o texto do substitutivo da Câmara foi bem recebido entre representantes do terceiro setor, academia e parte do setor empresarial. Mas manifestações públicas só deverão ocorrer amanhã, quando deverá ser conhecido a nova redação do substitutivo do senador Ricardo Ferraço (PSDB-ES) para o PLS 330/2013, já que, pelo andar da carruagem,  ele deverá ser votado antes que o texto elaborado por Orlando Silva na Câmara.

Foto: Lucio Bernardo Jr./Câmara dos Deputados

Colunistas do UOL

Entre as mudanças feitas pelo Deputado Orlando Silva no texto do PL 4060 estão pontos importantes. Entre eles:

1 – Dados anonimizados deixam de ser sensíveis. O PL altera a definição de dados sensíveis, incluindo o condicionante de que serão assim considerados somente quando vinculados a uma pessoa natural.

(…) é razoável admitir que a anonimização absoluta e a prova de falhas é impossível de ser atingida e garantida a qualquer tempo. Em outras palavras a anonimização é passível de ser revertida em determinadas situações. Por esses motivos, incluímos uma relativização temporal e tecnológica nas definições constantes nos incisos III e XI, determinando que os dados serão considerados anonimizados quando utilizadas técnicas razoáveis e disponíveis à época de seu tratamento", explica o deputado no relatório.

2 – Dados de segurança pública e nacional devem ser regidos por legislação específica, entretanto, assim como nas legislações de outros países, a norma geral de proteção de dados deve nortear determinados princípios quanto às relações entre os agentes envolvidos no tratamento.

Nesse ponto, o deputado ressalta ainda que esses dados não podem ser totalmente objeto de terceirização junto ao setor privado.

3 – O legítimo interesse representa uma das hipóteses de tratamento de dados pessoais sem a necessidade de obtenção do consentimento prévio,livre, informado e inequívoco do titular, mas deve sempre vir acompanhado dos princípios da adequação, necessidade e transparência bem como da possibilidade de fiscalização.

4 – Além do consentimento livre, informado e inequívoco, o substitutivo do deputado Orlando Silva cria uma segunda categoria de consentimento para os dados sensíveis: o consentimento específico e em destaque para finalidades específicas, adicionais às contidas no consentimento referente ao tratamento de dados pessoais "gerais".

5 – O deputado não só relativizou o conceito de anonimização dos dados no artigo das definições como, levando em consideração a razoabilidade, como incluiu um parágrafo para que sejam considerados fatores objetivos , tais como custo, tempo, tecnologias disponíveis no momento e a utilização exclusiva de meios próprios.

6- E  passou a considerar como dados pessoais aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural apenas se a pessoa for identificada.

7 – Em relação ao dados de Saúde, o texto prevê que os órgãos de pesquisa, assim definidos na Lei, terão acesso a eles para a realização de estudos em saúde pública, desde que para uso exclusivo dentro dos órgãos, para a finalidade específica de pesquisa e quando mantidos em ambiente seguro. além disso, os dados de saúde deverão ser anonimizados, sempre que possível, e os resultados obtidos não poderão revelar dados pessoais.

8 – O substitutivo também cria a Autoridade Nacional de Proteção de Dados, no âmbito da administração indireta, como autarquia, nos ditames estabelecidos pela Lei das Agências, Lei n o 9.986, de 18 de julho de 2000, partindo do princípio de que há consenso que a aplicação da Lei Gera l de Proteção de Dados Pessoais depende da existência de um órgão técnico, centralizado e com independência e autonomia administrativa e financeira para expedir normas complementares e fiscalizar o setor.

Não só isso. O texto enumera as competências da Autoridade Nacional de Proteção de Dados.

Confira os artigos a respeito:

Art. 53 . Fica criado o órgão competente , Autoridade Nacional de Proteção de Dados , entidade integrante da Administração Pública Federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça.

§ 1 o A Autoridade deverá ser regida nos termos previstos na Lei n o 9.986, de 18 de julho de 2000.

§ 2 o A Autoridade terá como órgão máximo o Conselho Diretor, o Conselho Nacional de Proteção de Dados e da Privacidade , além das unidades especializadas para a aplicação desta Lei .

§ 3 o A natureza de autarquia especial conferida à Autoridade é caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira.

§ 4 o O regulamento e a estrutura organizacional da Autoridade serão aprovado s por decreto do Presidente da República.

§ 5 o O Conselho Diretor será composto por três conselheiros e decidirá por maioria.

§ 6 o O mandato dos membros do Conselho Diretor será de quatro anos.

§ 7 o Os mandatos dos primeiros membros do Conselho Diretor serão de três, quatro, cinco anos, a serem estabelecidos no decreto de nomeação.

§ 8 o É vedado ao ex – conselheiro utilizar informações privilegiadas obtidas em decorrência do cargo exercido, sob pen a de incorrer em improbidade administrativa.

Art. 54. O órgão competente terá as seguintes atribuições:

I – zelar pela proteção dos dados pessoais, nos termos da legislação;

II – zelar pela observância do segredo comercial e industrial em ponderação com a proteção de dados pessoais, e do sigilo das informações quando protegido por lei ou quando violar os fundamentos do art . 2 o desta Lei;

III – elaborar diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade;

IV – fiscalizar e aplicar sanções em caso de tratamento de dados em descumprimento com a legislação , mediante processo administrativo que assegure o contraditório e a ampla defesa ;

V – atender petições de titular contra responsável;

VI – promover entre a população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e as medidas de segurança;

VII – promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;

VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais , que deverão levar em consideração especificidades das atividades e o porte dos responsáveis;

IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transacional;

X – dispor sobre as formas pelas quais se dará a publicidade das operações de tratamento , observando o respeito ao segredo comercial e industrial;

XI – solicitar, a qualquer momento, às entidades do Poder Público que realizem operações de tratamento de dados pessoais, informe específico sobre o âmbito, natureza dos dados e demais detalhes do tratamento realizado, podendo emitir parecer técnico complementa r para garantir o cumprimento desta Lei;

XII – elaborar relatórios anuais acerca de suas atividades;

XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade , assim como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar 38 alto risco para a garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; e

XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante, assim como prestar contas sobre suas atividades e planejamento;

XV – arrecadar e aplicar suas receitas;

XVI – realizar ou determinar a realização de auditorias , no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais realizado pelos agentes de tratamento , incluindo o Poder Público .

Parágrafo único. Ao impor condicionamentos administrativos ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, o órgão competente deve observar a exigência de mínima intervenção, assegurando fundamentos, princípios e direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei.

Art. 5 5 . Constituem receitas do órgão competente:
I – o produto da execução da sua dívida ativa;
II – as dotações consignadas no Orçamento – Geral da União, créditos especiais, créditos adicionais, transferências e repasses que lhe forem conferidos;

III – as doações, legados, subvenções e outros recursos que lhe forem destinados;

IV – os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;

V – os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo;

VI – produto da cobrança de emolumentos por serviços prestados;

VII – recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais e internacionais;

VIII – produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.

Art. 5 6 . O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes titulares, e seus respectivos suplentes, dos seguintes órgãos:

I – seis representantes do Poder Executivo Federal;

II – um representante indicado pelo Senado Federal;

III – um representante indicado pela Câmara dos Deputados;

IV – um representante indicado pelo Conselho Nacional de Justiça;

V – um representante indicado pelo Conselho Nacional do Ministério Público;

VI – um representante indicado pelo Comitê Gestor da Internet no Brasil;

VII – quatro representante s da sociedade civil com atuação comprovada em proteção de dados pessoais;

VII I – quatro representante s de instituição científica, tecnológica e de i novação; e

IX – quatro representantes de entidade representativa do setor empresarial afeito à área de tratamento de dados pessoais .
§ 1 º Os representantes serão designados por ato do Presidente da República , permitida a delegação , e terão mandato de dois anos, permitida uma recondução.

Até hoje, prevalecia a tese de que não era competência do poder Legislativo propor uma nova estrutura administrativa para fiscalizar o cumprimento da Lei Geral de Proteção de Dados. Ao Legislativo caberia apenas recomendar a criação do órgão, prerrogativa do Poder Executivo. Mas parece que o Orlando Silva encontrou alguma brecha para ir um pouco além da recomendação.

"Colocou-se o bode na sala", comentou uma pessoa familiarizada com a tramitação do PL.

Há até mesmo quem considere o artigo 53 inconstitucional.

Agora só os resta esperar pelo novo texto do Senador Ferraço, com votação prevista para a próxima seção do Plenário do Senado.

Desde o fim da noite de ontem, porém, a pauta do Senado está trancada por causa da chegada de várias medidas provisórias enviadas na última hora pela Câmara, que a casa tem a obrigação constitucional de analisar de acordo com o que determina o seu regimento.

A semana que vem é curta por causa do feriado de Corpus Christi (dia 31 de maio, 5ª feira).

Talvez a correria para aprovação dos PLs perca ritmo.

A ver.