Publicações

Publications

« Voltar « Back
Alerta30.05.2018

Câmara dos Deputados aprova texto da Lei Geral de Proteção de Dados Pessoais

Por:

Raphael de Cunto; Larissa Maria Galimberti Afonso; André Zonaro Giacchetta; Ciro Torres Freitas; José Mauro Decoussau Machado

ImprimirVisualizar em PDF

O Plenário da Câmara dos Deputados aprovou, em 29 de maio, o Projeto de Lei nº 4.060/2012, que estabelece a Lei Geral de Proteção de Dados Pessoais.
 
A movimentação do Congresso Nacional ganhou força com o início da aplicação, em 25 de maio, do GDPR (General Data Protection Regulation), norma da União Europeia sobre proteção de dados pessoais. A aprovação do Projeto de Lei nº 4.060/2012 na Câmara representa um importante passo em direção à melhor definição do regramento jurídico aplicável ao uso de dados pessoais no Brasil, a partir da edição de uma lei geral sobre o tema, a exemplo do que já ocorre em mais de 100 países.
 
Merecem destaque os seguintes pontos do texto aprovado:
 

  • Âmbito de aplicação
    O texto prevê que a Lei será aplicável às operações de tratamento de dados pessoais realizadas por pessoas naturais e jurídicas, de direito público ou privado, independentemente do país de sua sede ou de onde estejam localizados os dados, desde que o tratamento (i) ocorra no território brasileiro; ou (ii) tenha por objetivo ofertar ou fornecer bens ou serviços no território brasileiro; ou, ainda, (iii) os dados pessoais tenham sido coletados de titulares localizados no Brasil no momento da coleta. No entanto, se os dados forem provenientes de um país que proporcione o mesmo grau de proteção previsto na Lei e não forem objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou transferência internacional com um terceiro país, a Lei não será aplicável. Também estão excluídas do âmbito de aplicação da Lei operações de tratamento realizadas para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais. Igualmente, o tratamento realizado por pessoas naturais para fins exclusivamente pessoais não está sujeito à Lei.
     
  • Direitos dos titulares
    O texto assegura aos titulares dos dados pessoais o direito de obter do responsável pelo tratamento, a qualquer momento e mediante requisição, (i) a confirmação da existência de tratamento; (ii) o acesso aos seus dados; (iii) a correção de dados incompletos, inexatos ou desatualizados; (iv) a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; (v) a portabilidade de seus dados a outro fornecedor de serviço ou produto; (vi) o recebimento de informações sobre os terceiros com os quais seus dados tenham sido compartilhados; (vii) a revogação do consentimento; bem como (viii) a revisão, por pessoa natural, de decisões que afetem seus interesses e tenham sido tomadas unicamente com base em tratamento automatizado de seus dados pessoais.
     
  • Requisitos para o tratamento
    De acordo com o texto, o tratamento de dados pessoais somente poderá ser realizado (i) mediante consentimento por escrito ou por outro meio que demonstre a manifestação de vontade do titular; (ii) para o cumprimento de obrigação legal ou regulatória pelo responsável; (iii) quando necessário para a execução de um contrato de que o titular seja parte, a seu pedido; (iv) para o regular exercício de direitos em processo judicial, administrativo ou arbitral; (v) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (vi) para a tutela da saúde, por profissionais da área de saúde ou entidades sanitárias; (vii) quando necessário para atender aos interesses legítimos do responsável ou de terceiro; (viii) para proteção do crédito; (ix) para a realização de estudos por órgãos de pesquisa; ou (x) pela administração pública, quando necessário à execução de políticas públicas.
     
  • Transferência internacional
    O texto estabelece que a transferência internacional de dados pessoais pode ocorrer, dentre outras hipóteses, (i) para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequados ao previsto na Lei; (ii) quando o responsável oferecer e comprovar garantias de cumprimento dos princípios, direitos do titular e regime de proteção previstos na Lei; (iii) quando necessária para a cooperação jurídica internacional entre órgãos públicos; (iv) quando o órgão competente autorizar a transferência; (v) mediante consentimento específico do titular, em destaque e com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
     
  • Responsabilidade civil e sanções
    O texto define a responsabilidade dos agentes de tratamento de dados (responsável e operador) pelos danos causados em razão do exercício dessa atividade, de forma semelhante à sistemática do Código de Defesa do Consumidor. Há, inclusive, hipóteses de exclusão da responsabilidade civil dos agentes, como, por exemplo, a configuração de culpa exclusiva do titular dos dados ou de terceiro pela ocorrência dos danos. Por outro lado, são definidas como sanções administrativas aplicáveis aos agentes, em caso de violação da Lei, (i) advertência; (ii) multa de até R$ 50 milhões por infração; (iii) publicização da infração; (iv) bloqueio de dados pessoais; (v) eliminação de dados pessoais; (vi) suspensão do funcionamento de banco de dados; (vii) suspensão do exercício de atividades de tratamento de dados pessoais; e (viii) proibição do exercício de atividades de tratamento de dados pessoais.
     
  • Órgão competente
    O texto cria a Autoridade Nacional de Proteção de Dados, órgão competente pela fiscalização e aplicação de sanções pelo descumprimento da Lei, previsto como uma entidade integrante da Administração Pública Federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça.
     
  • Dever de notificação
    O texto introduz no ordenamento jurídico brasileiro o dever de comunicação à autoridade competente e aos titulares de dados pessoais sobre a ocorrência de incidentes de segurança que possam lhe acarretar riscos ou danos relevantes. Essa comunicação deverá ser realizada pelo responsável pelo tratamento em prazo razoável, a ser definido pelo órgão competente, contendo (i) a descrição da natureza dos dados pessoais afetados; (ii) as informações sobre os titulares envolvidos; (iii) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) os riscos relacionados ao incidente; (v) os motivos da demora, caso a comunicação não tenha sido imediata; e (vi) as medidas que tiverem sido e que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

 
Embora o texto aprovado pelo Plenário da Câmara dos Deputados revele nítida influência do GDPR, há peculiaridades no Projeto de Lei brasileiro que o distanciam da norma europeia, o que pode dificultar o trânsito de dados pessoais entre os respectivos territórios. Como exemplo, o Projeto de Lei nº 4.060/2012 prevê a dispensa de consentimento para o tratamento de quaisquer dados pessoais tornados manifestamente públicos pelo titular, criando uma diferenciação que o regramento europeu não contempla nessa extensão.
 
Há, ainda, no texto aprovado pelo Plenário da Câmara dos Deputados, pontos que, se mantidos, deverão representar verdadeiro desafio para os agentes de tratamento de dados pessoais. Para ilustrar, o texto determina que o tratamento de dados pessoais de crianças somente poderá ser feito com o consentimento específico e em destaque dado por um dos pais ou pelo responsável legal, cabendo ao responsável pelo tratamento aplicar todos os esforços necessários para verificar o preenchimento dessa condição, levando em consideração as tecnologias disponíveis.
 
Outro aspecto relevante é o risco de conflito entre a futura Lei Geral de Proteção de Dados Pessoais e outros diplomas legais. Nesse sentido, o texto aprovado pelo Plenário da Câmara dos Deputados não cuidou de tratar satisfatoriamente das disposições do Marco Civil da Internet (Lei nº 12.965/2014) que estabelecem as condições para o tratamento de dados pessoais de usuários de serviços de Internet. Cria-se, com isso, dúvida sobre a possibilidade de tratamento de dados pessoais de usuários de serviços de Internet independentemente de seu consentimento, com base nas demais hipóteses previstas na futura Lei Geral de Proteção de Dados Pessoais, como, por exemplo, o atendimento de interesses legítimos do responsável e a proteção da vida ou da incolumidade física do titular ou de terceiro.
 
A matéria será, em breve, enviada ao Senado Federal, onde tramita o Projeto de Lei nº 330/2013, relativo ao mesmo tema. A tendência é que os Projetos sejam apensados e passem a tramitar em conjunto até a votação no Senado Federal, quando haverá a oportunidade de implementação dos ajustes necessários para que a futura Lei efetivamente sirva de instrumento para o aperfeiçoamento da tutela dos direitos dos titulares de dados pessoais, sem representar um indesejável obstáculo à atividade econômica dos agentes de tratamento e à inovação.

Compartilhar:
Faça parte do nosso mailing Join our mailing list Receba em primeira mão publicações
e comunicados do escritório
Keep current with our
latest news and events

São PauloRua Hungria, 1100. 
01455-906
Tel: +55 (11) 3247-8400
Fax: +55 (11) 3247-8600ver mapasee map

Rio de JaneiroRua Humaitá, 275 - 16º andar. 
22261-005
Tel: +55 (21) 2506-1600
Fax: +55 (21) 2506-1660ver mapasee map

BrasíliaSAFS, Qd. 2, Bloco B
Ed. Via Office 3º andar.
70070-600
Tel: +55 (61) 3312-9400
Fax: +55 (61) 3312-9444ver mapasee map

Palo Alto228 Hamilton Avenue, 3rd floor
CA 94301 USA
Tel: +1 650-798-5068ver mapasee map

Termos de Uso
Política de Privacidade