Open in app

Sign in

Write

Sign in

Lei Brasileira de Proteção de Dados Pessoais: Sanção Presidencial, Vetos e Próximos Passos

Coding Rights
Coding Rights
Published in
5 min readAug 17, 2018

Por Bruna Santos, Advocacy Strategist e Consultora do Radar Legislativo da Coding Rights

Aprovada pelo Congresso Nacional no dia 10 de julho de 2018, foi sancionada terça-feira a Lei nº 13.709, de 14 de agosto de 2018, que Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), após quase 10 anos de debates no âmbito dos poderes Executivo e Legislativo, inúmeras audiências públicas, duas consultas públicas e mais de 2000 contribuições de especialistas brasileiros e estrangeiros.

A Lei 13.709/2016, fruto de uma construção coletiva entre os vários setores da sociedade brasileira, delimita as regras para o tratamento de Dados Pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Com uma abordagem que coloca os cidadãos no centro da proteção de dados pessoais, o texto aplica às atividades de processamento e tratamento de dados pessoais princípios como finalidade e necessidade além de reforçar a importância do fornecimento de consentimento pelo titular dos dados e do instituto do legítimo interesse como alternativa ao primeiro.

Desde o início da tramitação dos Projetos de lei que resultaram na presente lei, o setor bancário tem sido o um dos maiores opositores a algumas das previsões do texto legal. Após os 18 meses de vacatio legis, a nova Lei passará, por exemplo, a reforçar a necessidade de obtenção do consentimento do usuário antes da inclusão dos seus dados em bancos de dados responsáveis por avaliar os níveis de adimplemento de dívidas de consumidores (medida já prevista pelo Código de Proteção e Defesa do Consumidor e Lei do Cadastro Positivo) uma medida que, de acordo com a Febraban, acabaria por reduzir a oferta de crédito no mercado.

O que a nova Lei faz é aumentar as garantias e direitos para os titulares dos dados ao prever que o tratamento de dados não pode ser realizado para praticar discriminações, além de estipular que as empresas que sejam controladoras ou operadoras de dados pessoais devem fazer uso de medidas de segurança que protejam os dados coletados por elas.

Além do exposto, ela reforça o entendimento de leis como o Código de Defesa do Consumidor, Cadastro Positivo e Marco Civil da Internet ao determinar a obrigação de exclusão dos dados uma vez atingida a finalidade que motivou a coleta e na ausência de obrigação legal para o armazenamento dos dados, além de prever aos titulares a possibilidade de revisão dos dados mantidos por empresas e a possibilidade de revogação do consentimento a qualquer momento. A própria lei do Cadastro positivo, por exemplo, já opera sob os princípios da finalidade e da necessidade, que determinam que o titular dos dados deve ser informado sobre o motivo do requerimento dos seus dados pessoais por uma empresa e também que a coleta de dados deve ser feita no limite mínimo necessário a fim de que se atinja o propósito que a motivou, respectivamente.

No entanto, o debate vai além do mercado de crédito uma vez que a comercialização dos dados pessoais de titulares inseridos em sistemas de análise de crédito e a sua consequente utilização em aplicações diferentes da finalidade inicial e não autorizadas pelo titular como o direcionamento de propaganda nas redes sociais são práticas comuns. Cumpre esclarecer que o texto legal, ao ditar regras para o tratamento de dados pessoais feito no Brasil em meios digitais ou fora dele e por empresas privadas ou órgãos públicos, exclui do seu rol de aplicação o uso de dados pessoais para fins jornalísticos, artísticos, acadêmicos ou de segurança pública e defesa nacional.

Como nem tudo são flores, vale mencionar que a sanção não foi integral e os artigos 23, inciso II; 26, parágrafo 1o, inciso II; 28; 52, incisos VII a IX; e 5 a 59 foram vetados. Com isso, pontos como (a) as vedações ao compartilhamento de dados pessoais referentes a requerentes da Lei de Acesso à Informação no âmbito do Poder Público e com entidades privadas; (b) a obrigação de previsão legal e em contratos, convênios ou instrumentos congêneres para o compartilhamento de dados pessoais entre o poder público e entidades privadas; © obrigação de publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais de entidades de Direito Público; (d) sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade de tratamento; bem como (e) os artigos referentes à Autoridade Nacional de Proteção de Dados Pessoais e o Conselho Nacional de Proteção de Dados Pessoais não possuem mais previsão legal.

De todos, o mais preocupante é o veto oferecido à Autoridade Nacional de Proteção de Dados Pessoais e ao Conselho Nacional de Proteção de Dados Pessoais. O órgão é responsável pela supervisão e implementação da Lei, além de fiscalizar a atuação dos controladores e processadores de dados pessoais e aplicar sanções relativas ao uso, processamento ou coleta indevida de dados por empresas e governos. A ANPD também poderá dispor sobre padrões técnicos mínimos de segurança de bases de dados, considerados a natureza das informações tratadas, bem como estabelecer normas sobre a adequação progressiva de bancos de dados previamente à entrada em vigor da Lei.

Sem a Autoridade, entende-se que a execução da lei fica prejudicada, uma vez que os mecanismos e salvaguardas previstos ficam comprometidos, bem como a existência do Conselho Nacional de Proteção de Dados Pessoais, órgão consultivo e assessório a ANPD, com composição multissetorial, que pode propor diretrizes e estratégias, realizar estudos e disseminar conhecimento sobre proteção de dados no País.

Ante a justificativa oferecida pelo Governo de vício de iniciativa, porque no projeto do Executivo sobre o tema, então PL 5276/16, não era explícita a criação do órgão, foi anunciado que Anteprojeto de Lei corrigindo o vício de iniciativa será encaminhado ao Congresso. Conforme anunciado pelo Presidente, as dúvidas em torno da autoridade são de natureza técnica e não há discordância a respeito da necessidade de sua criação e nem ao mérito. Além disso, restam dúvidas a respeito do modelo que constará do Anteprojeto de Lei ou Medida Provisória encaminhado ao Congresso Nacional — ao invés de uma autoridade com Independência administrativa, autonomia financeira e parte da Administração Pública Indireta, conforme ditava o texto encaminhado à sanção presidencial, preocupa a possibilidade do governo eventualmente optar por uma autoridade vinculada ao Ministério da Justiça, nos moldes da extinta Secretaria de Direito Econômico, ou até inovar na descrição das suas atribuições e seu modo de funcionamento.

Enquanto a aprovação de uma Lei geral de Proteção de Dados Pessoais é motivo de comemoração dada a importância do texto para dirimir abusos e discriminações decorrentes das atividades de tratamento de informações dos brasileiros, ao passo que institui um importante arcabouço legal para a garantia de direitos fundamentais como a privacidade, ressalta-se a importância da Autoridade Nacional de Proteção de Dados Pessoais para a aplicação do texto da lei e garantia dos interesses individuais.

Lei De Dados Pessoais
Coding Rights
Sanção
Privacidade
Dados Pessoais

--

--

Coding Rights
Coding Rights

Written by Coding Rights

920 Followers
Editor for

Tecnologia e Direitos Humanos

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams