Entenda a nova lei de tratamento de dados pessoais aprovada na Câmara

Neste ano, a privacidade e os dados pessoais ganharam mais importância do que nunca. Seja pelo escândalo do Facebook com a Cambridge Analytica, ou por conta das novas leis de dados que estão surgindo pelo mundo, como a Cloud Act nos EUA e a GDPR na Europa. Mas o Brasil também está entrando na dança.

A Câmara dos Deputados aprovou nesta terça-feira (29) o projeto de lei 4060/2012, do deputado Milton Monti (PR-SP), que regulamenta o tratamento de dados pessoais no Brasil. O PL agora vai ser debatido no Senado.

VEJA TAMBÉM:

• Entenda a GDPR, nova lei europeia de dados
• Está na hora de você se preocupar com seus dados

O que é isso?

Tratamento de dados pessoais é o cruzamento de dados e informações de uma pessoa ou de um grupo para diversos usos, mas que podem ser agregados em dois grandes grupos: 

• Ações comerciais, como marketing direcionado ou levantamento de perfis de consumidores --algo que Facebook, Google ou muitas empresas de comércio eletrônico já fazem há anos com nossos cadastros; 
• Políticas públicas ou atuação de órgão público --como, por exemplo, saber que tipos de leis e campanhas o governo poderia direcionar, e em quais determinadas cidades atuar primeiro com essas ações.

O que são os "dados" aqui?

Basicamente, todos os dados que podemos fornecer. O projeto de lei separa em três grupos:

• Dado pessoal: informação relacionada à pessoa identificada --nome, endereço, e-mail, idade, estado civil e situação patrimonial, por exemplo.
• Dados sensíveis: categoria de dados pessoais em um nível mais profundo, como origem racial ou étnica, religião, opiniões políticas, filiação a sindicatos ou organizações diversas, dados sobre sua saúde ou sua vida sexual, dados genéticos ou biométricos.
• Dados anonimizados: dados pessoais que não possam identificar diretamente seus respectivos donos, por meio de uso de meios "técnicos razoáveis e disponíveis". Por exemplo, algo que o Facebook afirma fazer, ao dizer que sabe separar seus usuários por perfis de uso, mas não sabe dizer exatamente os indivíduos que se enquadram nestes perfis, mantendo o caráter anônimo deles.

Por que é importante acompanharmos? 

Porque basicamente o destino de seus dados pessoais está em jogo aqui.

Por anos, as empresas de tecnologia e comércio eletrônico, ou mesmo os governos, obtiveram dados de milhões de pessoas e poderiam tratá-los como queriam, com poucas consequências em casos de abusos.

Se por exemplo seu e-mail está com todo mundo que faz spam (propaganda indesejada por e-mail) sem o seu consentimento, é porque alguma empresa supostamente confiável na qual você se cadastrou deixou escapar esse dado --isso se não o vendeu para alguém-- e o resultado foi esse.

O escândalo do Facebook deste ano também é um bom exemplo disso, já que há alguns anos a rede social foi liberal demais na relação com empresas e pessoas que usavam sua plataforma para levantar perfis de público, e com isso os dados de 87 milhões de usuários do Facebook viraram moeda de barganha e alimentaram campanhas políticas.

Mesmo que essas empresas seguissem no passado a lei vigente, esta lei, dependendo do país, estaria defasada em relação ao contexto global de tecnologia da informação que vivemos hoje.

Com os avanços técnicos, os abusos com o cruzamento de dados pessoais tendem a piorar, prejudicando você de formas diferentes. Imagine, por exemplo, um futuro onde você poderia ser impedido de entrar no prédio de sua casa porque alguém entrou na Justiça com um processo contra você.

É por tudo isso que os governos nacionais e continentais estão correndo atrás do prejuízo neste ano. A aprovação dessas leis deverá ser resultado de muita discussão para que todos saiam satisfeitos de alguma forma: poder público, empresas e pessoas.

Este projeto de lei valerá só para empresas de internet?

Não. O tratamento de dados pessoais deste PL vai contemplar qualquer tipo de suporte: papel, eletrônico, informático, som e imagem etc.

Outros dados disponíveis para tratamento são as imagens de pessoas captadas em sistemas de vigilância por câmeras, a gravação de chamadas telefônicas (quando informadas à pessoa, como no telemarketing), os endereços de IP, os dados de tráfego e dados de localização do computador e informações de localização obtidas por sistemas de geolocalização.

Empresas e pessoas de fora do Brasil serão afetadas?

O projeto de lei, se virar lei, será aplicável a empresas com sede no exterior, como Facebook e Google, desde que a operação de tratamento de dados tenha sido realizada no Brasil. Isso provavelmente vai render polêmica, já que normalmente as empresas fora do Brasil não facilitam para a Justiça brasileira obter dados privados de seus usuários.

Além disso, a atividade da coleta tem que ter o objetivo de ofertar, fornecer bens ou serviços ou tratar dados de pessoas localizadas no Brasil; ou que os dados pessoais tenham sido coletados no nosso país.

O texto do projeto considera como "dados coletados no território nacional" aqueles de pessoas que estejam no Brasil no momento da coleta --portanto, poderia se aplicar a estrangeiros em férias por aqui, por exemplo.

Em que pé está isso?

A matéria foi aprovada não no projeto original de Milton Monti, mas na forma do projeto substitutivo do deputado e relator da comissão especial sobre o tema. Orlando Silva (PCdoB-SP). A comissão ouviu representantes de entidades nacionais (UOL/Folha, InternetLab, USP e Ministério Público do DF) e estrangeiras (Facebook, Fundação Mozilla e Creative Commons).

Em abril, a deputada Bruna Furlan (PSDB-SP) pediu uma audiência pública com a comissão para debater o uso e da coleta ilegítimos de dados de brasileiros pela Cambridge Analytica, pedindo que fosse adiado em 20 sessões do Plenário da Câmara. Mas o relator Orlando Silva acabou por conseguir a votação em caráter de urgência, que ocorreu nesta terça.

Orlando Silva acrescentou vários pontos ao PL. Por exemplo, uma diferenciação sobre dados sensíveis e consentimentos especiais para obtê-los. Também acrescentou emendas de plenário dos deputados André Figueiredo (PDT-CE) e Júlio Delgado (PSB-MG), que citam respectivamente incisos sobre dados de saúde e para fins acadêmicos ou científicos.

Do texto original de Milton Monti com oito páginas, a proposta como está hoje já tem 94 páginas em seis anos de tramitação.

Quais são os requisitos para se realizar tratamento de dados?

1. O mais importante: com o consentimento do titular. Na maioria dos casos, é você que vai autorizar isso, como deveria ser sempre. Mas há também as exceções a seguir.
2. Para o cumprimento de obrigação legal ou regulatória pelo responsável pelo tratamento (o Facebook pressionado pela Justiça, por exemplo);
3. Pela administração pública, para execução de políticas públicas;
4. Para a realização de estudos por órgão de pesquisa, sem a individualização da pessoa;
5. Para a proteção da vida ou da incolumidade física da pessoa envolvida ou de terceiro;
6. Para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
7. Para a execução de um contrato ou de procedimentos preliminares relacionados a um contrato do qual é parte o titular quando a seu pedido;
8. Para pleitos (votações) em processos judicial, administrativo ou arbitral;
9. Para a proteção do crédito, nos termos do Código de Defesa do Consumidor (Lei 8.078/90).
10. Para atender aos “interesses legítimos” do responsável ou de terceiro. Nesse caso incluem-se, por exemplo, as finalidades comerciais e de marketing dirigido, seguindo conceito da GDPR

No caso específico de dados sensíveis, o tratamento deles somente poderá ocorrer sem o consentimento da pessoa nas situações 2, 3, 4, 5 e 6 acima, além de prevenir fraude e garantir a segurança da pessoa em processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Os dados sensíveis poderão ser tratados também para o item 8, sobre exercício de direitos em contrato, processo judicial, administrativo ou arbitral --embora não especifique quais tipos de direitos entrariam neste caso.

As regras de tratamento acima não se aplicam se for realizado por uma pessoa física para fins exclusivamente pessoais, como você pedir o número de telefone de um colega, por exemplo; ou se realizado para fins exclusivamente jornalísticos e artísticos ou acadêmicos.

Também não valerão para fins de segurança pública, defesa nacional, segurança do Estado ou de atividades de investigação e repressão de infrações penais.

As pessoas serão informadas?

Quando o tratamento de dados for necessário para cumprir obrigação legal ou regulatória ou por pedido do governo, você terá que ser informado disso e das hipóteses em que será realizado.

Se a empresa ou órgão responsável pelo tratamento precisar comunicar ou compartilhar dados pessoais com mais pessoas ou empresas, ele deverá obter consentimento específico da pessoa para esse fim --isso poderia ter impedido o caso do Facebook com a Cambridge, por exemplo.

Se houver mudanças da finalidade do tratamento feito com o consentimento necessário da pessoa --mudanças em políticas de privacidade de uma rede social, por exemplo-- este poderá revogá-lo se não concordar com essas mudanças.

Quando o tratamento de dados pessoais for uma condição para o fornecimento do produto ou de serviço --como um cadastro em uma rede social-- ou para o exercício de direito, você deverá ser informado com destaque sobre isso.

Ainda não terminou

É importante destacar que tudo que falamos aqui sobre este projeto de lei pode ainda sofrer mudanças parciais ou totais quando chegar às mãos do Senado. Ainda não há data para os senadores analisarem o tema. A etapa final será a sanção pelo presidente Michel Temer, para que se torne lei de fato.

Se virarem lei, as novas regras passarão a valer depois de um ano e meio de sua publicação para que órgãos, empresas e entidades se adaptem a elas nesse meio tempo.

Além disso, há ainda no Senado o projeto de lei 330/2013, de Antônio Carlos Valadares (PSB-SE), que defende basicamente que a coleta, tratamento e armazenamento de informações de usuários sejam feitas com a aprovação dos mesmos.