O presidente Michel Temer sancionou dia 14 de agosto o projeto de lei relativa ao estabelecimento de regras para a coleta e o tratamento de dados pessoais no Brasil.
De forma insensata o legislador aplicou uma vacatio legis de 18 meses, tempo insuficiente para as adaptações que serão necessárias.
O Brasil buscou inspiração legislativa no Regulamento Geral sobre a Proteção de Dados (GDPR), em vigor na União Europeia.
A autoridade que seria criada para garantir a aplicação da lei, batizada de Agência Nacional de Proteção de Dados (ANPD), foi vetada por ser inconstitucional. Temer diz que houve “vício de iniciativa”, ou seja, a proposta não partiu do órgão competente. O presidente afirma, no entanto, que vai enviar ao Congresso um projeto sobre o mesmo tema, proposto pelo Executivo.
A lei não se aplica as pessoas naturais que utilizam dados para fins privados sem fins lucrativos e para fins jornalísticos, artísticos, acadêmicos, para a segurança pública, defesa nacional país, segurança do Estado e atividades de investigação e repressão de crimes.
A norma estabelece que organizações públicas e privadas, bem como pessoais físicas, só poderão coletar dados pessoais, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, se tiverem consentimento do titular. A solicitação deverá ser feita de maneira clara para que o usuário do serviço digital saiba exatamente o que vai ser coletado, qual o objetivo da coleta e se haverá compartilhamento das informações.
O tratamento de dados sensíveis previstos no artigo 11 que dizem respeito a crenças religiosas, posicionamentos políticos, características físicas, condições de saúde ou vida sexual, terão utilização mais restrita. Nenhuma organização poderá fazer uso deles para fins discriminatórios, fato obviamente vedado pelo artigo 5ª da Constituição Federal. As exceções à regra do consentimento são:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular.
Os vazamentos ou falhas de segurança da informação que comprometam dados pessoais dos usuários deverão ser relatados com celeridade às autoridades competentes, para que possa ser elaborada de forma rápida e eficiente uma estratégia de contenção de danos.
Tendo em vista que as penalidades foram objeto do veto presidencial, acreditamos que a iniciativa foi importante, porém incompleta.
