Foi aprovada na última terça-feira (13) a proposta da criação de um marco regulatório para a proteção, tratamento e uso de dados pessoais do brasileiro na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT).

A proposta foi aceita depois da realização de audiências públicas sobre o tema e da apresentação de 30 emendas pelos integrantes da comissão. Agora, o texto que é substitutivo do senador Aloysio Nunes Ferreira, do PSDB de São Paulo, ao Projeto de Lei do Senado segue para as Comissões de Meio Ambiente, Defesa do Consumidor e Fiscalização e Controle (CMA), de Assuntos Econômicos (CAE) e de Constituição, Justiça e Cidadania (CCJ).

Especialistas do setor consideram o texto um marco geral. Ele tem origem na relatoria de três projetos de lei: PLS 181/2014 do senador Vital do Rêgo (PMDB-PB); PLS 330/2014 de Antônio Carlos Valadares (PSB-SE); e da PLS 131/2014, da CPI da Espionagem.

A proposta

De acordo com a proposta, o cidadão conta com a garantia de que será notificado sobre o uso que é feito dos seus dados independentes da instituição, seja ela financeira ou redes sociais. Caso ela já estivesse em vigor, empresas seriam punidas por fazer o uso inadequado de dados pessoais. Ainda é prevista uma multa de até 5% do total do faturamento da companhia e a proibição para o uso do banco de dados.

As propostas estão alinhadas ao Marco Civil da Internet, do desenvolvimento do direito brasileiro de proteção à privacidade e ainda se opõe ao PL Espião, um projeto de lei que visa a reforma do Marco Civil, contrariando a sua intenção original. O objetivo do texto é garantir que os dados coletados dos cidadãos estejam protegidos, usando o fundamento do princípio da dignidade da pessoa humana, a proteção da privacidade, a garantia da liberdade e, por fim, a inviolabilidade da honra e da imagem dos usuários.

O projeto ainda estabelece que estes dados pessoais não podem ser utilizados contra o cidadão e nem o prejudicar. A coleta das informações, o seu armazenamento e tratamento devem ser feitos somente sob consentimento do cidadão, que também deve ter o direito de se opor, de não ter seus dados compartilhados a terceiros, de saber o motivo do tratamento automatizado e de requerer a exclusão definitiva depois do término de contratos.

O texto diferencia os dados pessoais, sensíveis e anônimos, e proíbe a coleta e uso dos dados privados a partir do cruzamento de informações. Além disso, o projeto também não permite que seja feito o tratamento de dados que revelem informações particulares como orientação religiosa, política ou sexual, e origem racial ou étnica, sem o consentimento do usuário. Em relação à crianças e incapazes, o tratamento de dados somente pode ser realizado caso haja autorização dos responsáveis legais.

Aplicação do texto

Ao ser aprovada, a lei será aplicada mesmo se a atividade partir de pessoa jurídica com sede no exterior, desde que os serviços sejam ofertados ao público brasileiro ou para ao menos um integrante do mesmo grupo econômico que esteja presente no Brasil.

Porém, a lei não se aplica aos bancos de dados que são mantidos pelo Estado com uso exclusivo para fins de defesa nacional e segurança pública, para o exercício de atividade jornalística e para a atividade de tratamento de dados realizada por pessoa natural para fins pessoais apenas.

O texto também não vale para a coleta e uso de dados anonimizados e dissociados, ou seja, para a Internet das Coisas, desde que as informações do titular não sejam possíveis de serem identificadas. A sugestão foi apresentada nas audiências públicas e garante que os dados anônimos, mesmo que permitam a identificação do usuário, estarão protegidos.

A reparação dos danos causados aos titulares fica por conta dos responsáveis pelo tratamento dessas informações. Proprietários e gestores de bancos de dados devem adotar medidas destinadas à proteção dos dados pessoais em caso de perda ou de destruição, seja acidental ou ilícita, alteração, difusão e acesso não autorizados.

Para colocar a medida em prática, as intituições precisam garantir que pessoas não autorizadas não tenham acesso aos equipamentos, tanto quanto às instalações e suportes de tratamento de dados, e que somente indivíduos permitidos tenham acesso ao dados transmitidos, além de garantir que seja feita a verificação periódica das alterações em arquivos de dados.

Descumprimento

Os titulares dos dados podem exigir indenização por dano material, moral, individual ou coletivo, caso as suas informações sejam afetadas. A União fará a fiscalização do cumprimento do projeto por meio de uma autoridade administrativa competente, aplicando somente penas administrativas aos infratores sem prejuízo de natureza civil e penal.

Ela ainda poderá advertir com indicação de prazo para medidas corretivas, fazer alteração, retificação ou cancelamento do bancos de dados, aplicar multas de até 5% do faturamento do grupo econômico no Brasil em seu último exercício, excluindo os tributos, suspender ou proibir parcial ou totalmente as atividades de tratamento de dados pessoais, ou intervir judicialmente. As penas aplicadas para proibir o tratamento de dados pessoais não devem ultrapassar cinco anos.

Fonte: IDG Now