Sancionada Lei do Marco Legal de proteção de dados pessoais
O presidente Michel Temer sancionou, nesta terça-feira (14), a Lei de Proteção de Dados Pessoais. A lei nº 13.709, de 14 de agosto de 2018, cria um marco legal para a proteção de informações pessoais dos brasileiros, como nome, endereço, idade, estado civil, e-mail e situação patrimonial. A norma visa garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital. O objetivo final é dar ao cidadão maior controle sobre o uso das suas informações pessoais.
A lei só entra em vigor em 2020 para dar tempo às entidades públicas e privadas se adaptarem às regras de uso de dados pessoais. Pelo texto, órgãos públicos e empresas privadas só poderão coletar e utilizar dados com o consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e exclusão dos dados.
A nova legislação estabelece a responsabilidade civil dos responsáveis pelo tratamento de dados, que ficam obrigados a ressarcir danos patrimoniais, morais, individuais e coletivos. A norma prevê multa diária de até 2% do faturamento da empresa infratora, limitada, no total, a R$ 50 milhões por infração.
Saúde
O texto sancionado traz regras para a utilização de informações sobre saúde. Primeiro, o dado referente à saúde é listado no Art 5º, quando se caracteriza o que é dado pessoal sensível. No Art. 7º, que lista as hipóteses em que o tratamento de dados pessoais poderá ser realizado, o inciso VIII especifica: "para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias".
No Art. 11, inciso II, são descritas as hipóteses em que o tratamento de dados pessoais sensíveis poderá ocorrer sem fornecimento de consentimento do titular. A alínea "f" especifica a "tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias". No mesmo Art. 11, o § 4º veda "a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular".
Estudos em Saúde Pública
A lei sancionada também destaca o tratamento de dados em estudos de saúde pública. O Art. 13. estabelece o seguinte: "na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas".
Quatro parágrafos trazem mais detalhes sobre as regras: "§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais; § 2º O órgão de pesquisa será o responsável pela segurança da informação prevista nocaputdeste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro; § 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências; e § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro".
Medidas
As empresas que fazem o tratamento de dados pessoais deverão tomar uma série de medidas para garantir o cumprimento da nova legislação. Os dados pessoais somente poderão ser tratados com consentimento do titular e em situações específicas, como para cumprimento de obrigação legal ou regulatória, para execução de políticas públicas; quando necessário para execução de contratos e para a proteção do crédito, nos termos do Código de Defesa do Consumidor (Lei nº 8.078/90).
A legislação também obriga que empresas ou órgãos públicos excluam os dados após o fim da relação com cada cliente.
Entre os direitos dos titulares das informações pessoais estão o acesso aos seus dados pessoais guardados; a correção de dados incompletos, inexatos ou desatualizados; a “anonimização”, bloqueio ou eliminação de dados; a portabilidade das informações a outro fornecedor de produto ou serviço e a revogação do consentimento dado para o tratamento de dados pessoais.
Vetos
A lei foi sancionada com vetos. O principal diz respeito à criação de uma autarquia federal para fiscalizar a aplicação das regras de proteção, chamada no projeto de Autoridade Nacional de Proteção de Dados. Temer afirmou que a criação do órgão é prerrogativa do Poder Executivo, que deverá enviar um projeto de lei ao Congresso Nacional sobre o assunto.
Também houve veto de parte das sanções administrativas contra quem descumprir a lei. Com isso, ficaram de fora da norma a suspensão do funcionamento do banco de dados responsável pela infração e a proibição do exercício da atividade de tratamento de dados – tratamento de dados é a coleta, utilização, processamento, armazenamento e eliminação de informações pessoais.
Temer vetou ainda o dispositivo que estabelece que a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público serão objeto de publicidade. O argumento do governo é de que a publicidade irrestrita dos dados “pode tornar inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa”.
Origem
A nova lei é oriunda de um projeto (PL nº 4060/12) apresentado pelo deputado Milton Monti (PR-SP), que ouviu especialistas para elaborá-lo. A versão aprovada pela Câmara, em maio, e pelo Senado, em julho, foi preparada pelo relator do texto, o deputado Orlando Silva (PCdoB-SP).
Silva aproveitou, na elaboração do texto, o projeto (PL nº 5276/16) enviado pelo então governo Dilma Rousseff sobre o assunto, que foi elaborado pelo Ministério da Justiça a partir de contribuições da sociedade.
A proposta sancionada foi influenciada pela legislação da União Europeia, chamada Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), que entrou em vigor em maio. Entre os pontos de semelhança entre a norma brasileira e a europeia está a necessidade de consentimento do usuário para a coleta e tratamento de seus dados, inclusive facultando-lhe a possibilidade de visualização, correção e exclusão das informações armazenadas. Outro ponto em comum é a aplicação da lei mesmo para empresas com sede em território estrangeiro, caso a obtenção e tratamento de dados se dê no Brasil.