Câmara aprova PL de proteção de dados pessoais antes do Senado

Em mais uma reviravolta na tramitação dos projetos de lei de proteção de dados pessoais em tramitação no Congresso, o Plenário da Câmara acaba de aprovar o substitutivo do deputado Orlando Silva (PCdoB-SP) ao PL 4060/2012, ao qual o PL-5276/2016 está apensado.

Até o início da noite, havia a possibilidade de o Plenário do Senado acabar votando antes da Câmara um novo substitutivo do senador Ricardo Ferraço (PSDB-ES) ao  PLS330/2013, cuja redação ainda não foi divulgada oficialmente, embora um rascunho já tenho circulado hoje em Brasília.

No entanto, a votação do projeto de lei (PLC 52/2018), que retira diversos setores da economia da lista dos que contam com desoneração da folha de pagamentos e  zera a cobrança de PIS/Cofins sobre o óleo diesel até o final do ano, atrasou a apreciação do substitutivo do senador Ferraço, reagendada para a sessão deliberativa das 1oh de amanhã, quarta-feira, 30/5.

Tão logo a sessão do Senado foi encerrada, saiu a informação de que a Câmara faria uma sessão deliberativa extraordinária para  analisar o substitutivo do deputado Orlando Silva, cuja redação já era conhecida desde a última sexta-feira, e é considerada por muitos especialistas em proteção de dados mais equilibrada e moderna que a do último texto oficial do senador Ferraço. Mais maduro em relação aos anseios dos diversos setores.

Orlando fez um trabalho interessante de ajuste do texto em reuniões com os diversos setores. Obteve consenso em torno de alguns pontos polêmicos até então, como consentimento e legítimo interesse. E procurou equilibrar os deveres e responsabilidades dos órgãos públicos na coleta, armazenamento e tratamento dos dados dos cidadãos. Do PL nº 5276/2016, enviado ao congresso pelo Poder Executivo ainda na gestão Dilma Rousseff, herdou e ampliou a previsão sobre uma autoridade administrativa que fiscalizaria/regularia o assunto (como a data privacy authority que existe na União Europeia).

"Estou seguro de que o processo amadureceu, e nós criamos as condições políticas para apresentar este texto nesta noite", disse o deputado.

O texto aprovado delimita conceitos (de "dado pessoal", de "dado sensível", "dado anônimo", etc), formas de obtenção de consentimento para uso de dados pessoais, cria uma autoridade reguladora, critérios para transferência de dados coletados no Brasil ao exterior, e define responsabilidade dos agentes que têm acesso aos dados, entre outros pontos.

Fixa os momentos em que o consentimento deve ser mais destacado, expresso claramente. Ele sempre tem que ser inequívoco e bem informado, para que a pessoa, ao consentir o tratamento de seus dados, o faça com consciência plena.Fixa o direito a informação e um rol de direitos do titular desses dados. Caracteriza em que momento um responsável pode tratar sem consentimento e tratar segundo o legítimo interesse para atingir a finalidade expressa no contrato entre o cidadão e o prestador de serviço.

Para muitos é fortemente inspirado no General Data Protection Regulation — GDPR, o regulamento da União Europeia. Mas o próprio deputado fez questão de pontuar que, ao menos no item relativo a criança e adolescente, há uma forte influência da regulação dos Estados Unidos. O projeto classifica como ilegal a coleta de dados pessoais de crianças, abaixo de 12 anos de idade, sem o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.

As penalidades ao desrespeito da lei determinam que a multa simples não poderá ultrapassar 4% do faturamento da empresa, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos, e deve ser limitada a R$ 50 milhões por infração. Bem menos que os valores estipulados pelo GDPR.

O texto segue agora para o Senado, onde deverá ser analisado junto com o PLS 330.  Uma das possibilidades ventiladas hoje em Brasília era a de que o senador Ferraço possa orientar o seu parecer em plenário direto para aprovação do texto já aprovado na Câmara.

Se virarem lei, as novas regras passarão a viger depois de um ano e meio de sua publicação para a adaptação de órgãos, empresas e entidades.

Como bem lembrou o deputado Orlando Silva, na última sexta-feira, a União Europeia implantou sua nova normativa, GDPR, após 2 anos de vacatio legis. "É importante que o Brasil avance na regulação, inclusive para ter uma legislação compatível com a da União Europeia, que considera que as parcerias econômicas com a OCDE acontecerão em função da existência de normas compatíveis nesses países", completou.