+55 11 2189-0061

Nova redação do Anteprojeto de Lei de Proteção de Dados Pessoais

Ocorreu ontem, no Ministério da Justiça, um evento para apresentar a nova redação do APL (acesse o texto clicando aqui). Nosso escritório esteve presente, na pessoa do advogado Renato Leite Monteiro, e reunimos alguns pontos importantes do novo texto que gostaríamos de compartilhar.

Apenas para contextualização, em 2010 foi lançado no Brasil a primeira versão de um anteprojeto de lei que visava regular de forma abrangente o sistema protetivo de dados pessoais no país. A primeira versão desse documento, que trazia em seu texto não só um conceito de dados pessoais, mas também diversos princípios gerais, direitos e garantias do titular dos dados, foi aberto para discussão pública online em idos de 2011. Nova versão foi lançada em janeiro de 2015 e também foi aberta para consulta pública, recebendo mais de 1500 comentários através de plataforma da Ministério da Justiça. A nova versão, incorporando diversas sugestões, foi disponibilizada em 20 de outubro de 2015.

 

Segue uma lista inicial da principais alterações:

Novo rol de fundamentos para a aplicação da lei, incluindo o direito a autodeterminação informativa, liberdades de expressão e de comunicação, livre iniciativa e livre concorrência, inovação e proteção aos direitos do consumidor;

Modificação do conceito de dados pessoais, limitando identificadores eletrônicos únicos para apenas quando estes se referirem a uma pessoa identificada, não incluindo pessoas identificáveis. Manutenção de dados relativos a pessoa identificada ou identificável;

O consentimento passa a ser apenas uma das nove formas para autorizar a coleta, uso e tratamento dos dados pessoais, incluindo a figura dos legítimos interesses, que devem seguir requisitos como legítimas expectativas do titular, adequação com a finalidade original, situações concretas e anonimizados sempre que possível;

O consentimento livre e inequívoco para a ser a regra geral, e o expresso apenas para situações específicas, como no caso de tratamento de dados pessoais sensíveis;

Dados anônimos não mais constam na lei, também não mais existindo referência à dados dissociados, sendo substituídos por Dados Anonimizados, em alusão direta à métodos de anonimização que podem tornar improvável a identificação do titular;

Dados anonimizados podem ser objetos da lei quando estes possam ser razoavelmente desanonimizados ou possam influenciar a vida de indivíduos através de procedimentos de análise de comportamento e/ou profiling (dados que podem, através de algoritmos, sujeitar o indivíduo a decisões automatizadas);

Dados públicos deixam de ser uma exceção ao consentimento e o seu tratamento deve estar adstrito aos princípios e regras propostas pelo APL, considerando a finalidade, boa-fé e o interesse público que justificou a disponibilização;

Dados pessoais somente podem ser usados para fins de pesquisa histórica, científica ou estatística se forem anonimizados, sempre que possível, sendo esta uma exceção ao consentimento;

Dados pessoais sensíveis somente podem ser usados para fins de pesquisa histórica, científica ou estatística se o tratamento não estiver vinculado a atividade comercial, da administração pública, investigação criminal ou inteligência;

Dados biométricos foram incluídos no conceito de dados sensíveis, ao lado de dados genéticos, diferentemente da versão anterior, que relegava a natureza dos dados à regulamentação posterior a ser elaborada pelo órgão competente;

Inclusão de capítulo específico sobre o tratamento de dados pessoais pelo poder público, incluindo o compartilhamento de dados entre entidades públicas, e entre entidades públicas e privadas, que somente pode se dar mediante informação, e em alguns casos autorização, do órgão competente;

O tratamento de dados pessoais para fins de segurança pública, segurança nacional e investigação criminal deve seguir os princípios gerais previstos no APL, apesar de estarem fora do escopo geral de aplicação da norma;

Inclusão do direito ao titular à portabilidade dos seus dados, que deve ser feito em formato interoperável, o que pode fomentar a proteção de dados pessoais como fator competitivo;

A adequação, através do reconhecimento do nível de proteção pela autoridade competente, é apenas umas das formas para a transferência de dados internacionais, que inclui, também, o consentimento especial, cláusulas padrão, normas corporativas globais e autorizações pontuais;

Criação do Órgão Competente, com competência para fiscalizar a aplicação da lei e punir entidades privadas, e do Conselho Nacional de Proteção de Dados e da Privacidade, que funcionará como entidade multissetorial com a função de auxiliar o órgão competente;

Obrigatoriedade da utilização de princípios gerais de proteção de dados pessoais desde a concepção até a utilização de serviços e produtos, implementando o conceito de privacy by design e data protection by design;

O Órgão Competente estabelecerá normas para o período de adequação progressiva dos bancos de dados às novas regras e princípios previstos na lei.

 


Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados

Publicado por: Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados

Escritório de advocacia especializado em Direito Digital e Eletrônico desde 1997.

Web Design BangladeshWeb Design BangladeshMymensingh