Transferência internacional e cláusulas-padrão contratuais - b/luz contribui à Consulta Pública da ANPD

07/12/2016 Leitura de 10’’

Privacidade na Internet

07/12/2016

Atualmente no Brasil, existem cinco projetos de lei que visam regulamentar a proteção de dados pessoais no país.

Em 2010 foi lançada a primeira versão de um Anteprojeto de Lei de Proteção de Dados Pessoais (“APLPDP”) que buscava proteger os direitos dos titulares de tais dados e impor deveres aos agentes envolvidos na prática do tratamento de dados no País. Assim como aconteceu com o Marco Civil da Internet (Lei n. 12.965/14), a redação desse APLPDP também foi disponibilizada para consulta pública por meio da plataforma online do Ministério da Justiça, recebendo inúmeras contribuições e alterações. Em 2016, o APLPDP foi transformado no Projeto de Lei n. 5.276/2016 (“PL 5276/16”) e começou a tramitar na Câmara dos Deputados.

A Câmara dos Deputados já havia recebido também outro projeto de lei em 2012, sem relação com o APLDPD, o Projeto de Lei n. 4.060/12 (“PL 4060/12”), que “dispõe sobre o tratamento de dados pessoais e dá outras providências”. Em novembro de 2016, ambos os projetos até aqui mencionados, o PL 4060/12 e o PL 5276/16 foram apensados, e hoje tramitam com prioridade na Câmara dos Deputados.

Por fim, outros três projetos de lei relativos à proteção de dados pessoais tramitam em conjunto no Senado Federal: Projetos de Lei n. 330/2013 (“PL 330/13”), n. 131/2014 e n. 181/2014. O PL 330/13 traz ideias bastante similares ao PL 5276/16, e, ao que tudo indica, será o texto escolhido pelas comissões especiais do Senado para submissão ao plenário.

A seguir, serão apresentadas as questões trazidas pelo PL 4060/12, PL 5276/16 e PL 330/2012 que mais poderão causar impactos no mercado de tecnologia e inovação.

Conceito de dados pessoais

Tanto o PL 330/13 quanto o PL 5276/16 trazem conceitos similares sobre o que seriam os “Dados Pessoais” protegidos. Nestes projetos, seriam definidos como Dados Pessoais quaisquer dados de uma pessoa física identificada ou identificável (a “Titular” dos Dados Pessoais), podendo ainda serem “Dados Pessoais Sensíveis” – aqueles que se relacionarem à saúde, orientação sexual, política ou religiosa, dados genéticos, entre outros. Por outro lado, haveria também os “Dados Anonimizados”, ou seja, relativos à Titular que não possa ser identificada.

O PL 4060/12, por outro lado, apresenta um conceito de “Dados Pessoais” restrito àqueles dados que tratam qualquer pessoa (sem determinar se física ou jurídica) cuja identificação seja exata e determinada (ou seja, “identificada” apenas, mas não “identificável”), e de “Dados Pessoais Sensíveis”, esta, similar à dos outros dois projetos. Não há, neste projeto específico, nenhuma definição de “Dados Anonimizados” ou similar.

Por fim, é importante também notar que o Decreto n. 8.771/2016 (“D 8771/16”), que regulamentou o Marco Civil da Internet, também traz um conceito de “Dados Pessoais” similar ao do PL 330/13 e do PL 5276/16, sem, no entanto, definir o que seriam “Dados Sensíveis” ou “Dados Anonimizados”.

Condições para o tratamento de dados

Os PLs analisados distinguem diversas práticas a serem consideradas genericamente como “tratamento de dados”:

  • em comum, todos ponderam a avaliação e a extração de dados;
  • tanto o PL 4060/12 e o PL 330/13 consideram as seguintes práticas: armazenamento; ordenamento; conservação; comparação; organização; seleção;
  • da mesma forma, tanto o PL 330/13 e o PL 5276/16 entendem como tratamento: coleta; utilização; modificação; eliminação; transferência e transmissão;
  • por fim, isoladamente, o PL 4060/12 inclui a prática de atualização, enquanto o PL 330/13 prevê a suspensão (temporária ou permanente) e a revelação a terceiros (determinados ou indeterminados); e o PL 5276/16 considera a produção, recepção, classificação, reprodução, acesso, distribuição, processamento, arquivamento, avaliação ou controle da informação e a comunicação dos dados pessoais, práticas de tratamento.

Todos os PLs determinam que seus respectivos conceitos de tratamento seriam aplicáveis em território nacional, ainda que os dados sejam armazenados no exterior. O PL 330/13 fala em tratamento de dados que objetivar a oferta de serviços ao público brasileiro, não eximindo de responsabilidade empresas estrangeiras. O PL 5276/16, por sua vez, além de adotar definição similar à do PL 330/13 fala sobre tratamento de dados de indivíduos localizados no país (brasileiros ou não).

Não se submetem a esses PLs o tratamento de dados com fins jornalísticos, históricos ou científicos ou em caso de segurança pública e defesa nacional. O PL 5276/16, ainda, exclui do rol também Dados Pessoais utilizados para finalidades estritamente pessoais.

São requisitos para o tratamento de dados:

  • o consentimento da Titular (ainda que, no PL 4060/12 o consentimento seja necessário apenas para Dados Sensíveis);
  • garantia da Titular de bloqueio do tratamento, caso solicite;
  • o tratamento deve ser compatível com as finalidades determinadas e com as expectativas legítimas da Titular, sendo realizado apenas durante o tempo necessário para tais cumprimentos, conforme regulado pelos PLs 330/13 e 5276/16. Tal detalhamento não é observado pelo PL 4060/12, que requisita apenas a lealdade e boa-fé do Responsável pelo tratamento;
  • findo o tratamento, os Dados Pessoais podem ser utilizados se anonimizados ou para os fins autorizados pelas leis, caso contrário, deverão ser eliminados.

Agentes envolvidos no tratamento de dados

Em relação aos agentes envolvidos no tratamento de dados, todos os PLs trazem a figura do “Responsável” como aquela pessoa, física ou jurídica, que é responsável por tomar decisões relacionadas ao tratamento de dados. Por sua vez, o PL 330/13 e o PL 5276/16 apresentam também o “Operador” como aquela pessoa, física ou jurídica, que é encarregada por efetivamente realizar o tratamento sob orientações do Responsável, enquanto o PL 4060/12 fala genericamente de subcontratados do Responsável.

O PL 5276/16 vai além em relação aos demais, ao introduzir um “Encarregado”, que seria aquela pessoa física responsável por representar o Responsável perante as Titulares.

Em relação às responsabilidades pela segurança dos dados atribuídas a estas figuras, o PL 4060/12 afirma que o Responsável deverá adotar medidas “proporcionais ao atual estado da tecnologia”, enquanto os outros projetos apresentam obrigações mais especificas, como, por exemplo, obrigações de sigilo para todos os envolvidos e obrigação de emitir relatórios sobre o tratamento quando solicitado.

Consentimento

O consentimento da Titular para utilização de Dados Pessoais já é um requisito do Marco Civil da Internet. No entanto, o Marco Civil incumbiu o dever de detalhamento sobre a forma deste consentimento à futura lei de dados pessoais.

O mais simples dos três PLs nesse sentido é o PL 4060/12, que apenas menciona uma “aprovação” expressa da Titular quando o Responsável visar o tratamento de Dados Sensíveis.

Por sua vez, o PL 330/13 e o PL 5276/16 objetivam uma proteção maior à Titular, estabelecendo diversos requisitos ao consentimento, que deverá ser livre, expresso e informado. Além disso, ambos os projetos preveem maior publicidade nas Políticas de Privacidade mediante as quais tal consentimento é obtido, que deverão especificar, por exemplo, os objetivos intencionados para uso dos Dados Pessoais, quem terá acesso a eles e informações de contato do Responsável. Ambos os projetos também preveem regras especiais no caso de Dados Sensíveis (cujo consentimento deverá ser separado dos demais Dados Pessoais).

Direitos da pessoa titular de dados pessoais

Todos os PLs reconhecem do direito da Titular de obter informações sobre a realização do tratamento. Mas os PLs 330/13 e 5276/16 preveem mais suporte à Titular, pois a pessoa deve estar ciente do tratamento realizado com seus dados, além de poder requerer informações específicas e detalhadas. Não suficiente, a Titular poderá solicitar a revisão e correção de seus dados sem qualquer ônus.

Já o PL 4060/12 prevê apenas o acesso a uma política de privacidade do Responsável que deverá apresentar informações acerca da utilização dos dados coletados. Além desta proteção, apresenta somente princípios genéricos de “lealdade” e “boa-fé” do Responsável para com a Titular.

Responsabilidade

Enquanto o PL 5276/16 e o PL 4060/12 determinam uma responsabilidade por danos causados às Titulares semelhante à responsabilidade subjetiva do código civil, o PL 330/13 é mais severo, ao determinar a responsabilidade objetiva dos Responsáveis pelo tratamento de dados (ou seja, aquela responsabilidade que independe de comprovação da culpa do Responsável).

Sanções

Em caso de violação às regulamentações previstas, sem prejuízo das sanções administrativas, cíveis e penais cabíveis, os PLs 330/13 e 5276/16 ainda estabelecem sanções tais como: advertência, multa, suspensão ou cancelamento dos dados pessoais ou do banco de dados.

Já o PL 4060/12 prevê apenas as sanções já previstas no Código de Defesa do Consumidor e no Código Civil.

Conclusão

Em geral, verificamos que tanto o PL 330/13 do Senado, quanto o PL 5276/16 da Câmara (submetido a consulta pública), intencionam proporcionar um rol protetivo mais extenso às pessoas titulares de dados, e ao mesmo tempo apresentam com maior clareza sobre as responsabilidades atribuídas aos Responsáveis pelo tratamento de dados. No entanto, estas responsabilidades também tendem a ser mais onerosas aos atores do mercado, no que o PL 4060/12, ainda que de forma mais genérica e, portanto, menos segura, busca ser mais liberal.

Nesse cenário, cabe notar alguns aspectos singulares que demonstram essa tendência mais liberal do PL 4060/12:

  • a desnecessidade de obtenção do consentimento do titular para transferência de Dados Pessoais entre bancos de dados (desde que protegidos, em um caráter abstrato, os interesses da Titular);
  • a possibilidade de compartilhamento de dados (Sensíveis ou não) entre empresas de um mesmo grupo econômico;
  • a expressa previsão de autorregulamentação pelo mercado;
  • bem como a determinação de responsabilidade da Titular pela veracidade das informações que fornecer aos Responsáveis.

Ao fim de 2016, ainda é incerta a conclusão que o cenário político brasileiro trará à futura lei de dados pessoais. Ao longo dos últimos anos verificamos constantemente a entrada e saída do tema “proteção de dados” do foco dos poderes legislativo e executivo – o PL 330/13, por exemplo, chegou a ser arquivado no ano de 2015; por sua vez, o PL 5.276/2016 foi aprovado às pressas nos últimos dias de mandato da presidente Dilma Roussef.

Independentemente das incertezas, uma coisa é garantida tanto pela atual legislação, quanto pela futura: as empresas do setor de tecnologia passarão por um período de adaptações e desafios para manter a continuidade do exercício de suas atividades de forma legal.

 

 

Quer saber mais?

Entre em contato com os autores ou visite a página da área de Privacidade & Proteção de Dados

Mais lidas:

Mais recentes:

Assine nossa newsletter

Inscreva-se para receber informações relevantes sobre o universo jurídico e tomar decisões informadas que vão impactar seus negócios.

Nós respeitamos a sua privacidade e protegemos seus dados pessoais de acordo com a nossa Política de Privacidade.

Baptista Luz