O PLC 53/2018 foi aprovado no Senado Federal, no dia 10 de julho, nos termos do conteúdo votado na Câmara dos Deputados e seguirá para sanção presidencial. Esse projeto de lei dispõe sobre tratamento de dados pessoa is em qualquer meio (inclusive nos meios digitais).

Esse projeto está em linha com as normas estabelecidas no General Data Protection Regulation – GDPR europeu, o que é uma boa notícia para os agentes de tratament o que precisarão se adaptar às novas regras para tratar (e.g. coletar, processar, armazenar, utilizar, etc.) dados pessoais no Brasil e também de cidadãos europeus.

A norma aplica-se praticamente a qualquer tratamento de dados pessoais realizado no Brasil, com algumas exceções. Porém, não é aplicável com relação a dados pessoais provenientes do exterior e que não sejam objeto de: (a) comunicação; (b) uso compartilhado de dados com agentes de tratamento brasileiros; ou (c) transferência internacional de dad os com outro país que não o de proveniência dos dados (desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei Geral de Proteção de Dados).

O PLC 53/2018 prevê obrigações que devem ser observadas pelo Responsável e pelo Operador de dados. Em linhas gerais, o Responsável é a pessoa física ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. O chamado Operador é quem efetivamente realiza o tratamento de dados pessoais em nome do Responsável.

Uma das principais obrigações a serem observadas para o tratamento de dados pessoais diz respeito à necessidade de obtenção de consentimento para o tratamento. Esse consentimento de deve ser escrito, de forma destacadas das demais cláusulas contratuais, ou por outro meio que demonstre a manifestação de vontade do titular dos dados, dentre outras exigências do PLC 53/2018. Além disso, o consentimento deve atender as seguintes exigências:

• Especificar a finalidade (são considerados nulas as autorizações genéricas).

• Sempre que houver modificação da finalidade do consentimento, é necessário informar de forma destacada o teor dessas alterações, permitindo ao titular dos dados revogar o consentimento caso discorde da alteração.

• Deve prever especificamente o compartilhamento com outros Responsáveis, se for o caso.

• Se o tratamento de dados pessoais for uma condição para o fornecimento de produto ou serviço ou, ainda, para o exercício de algum direito pelo titular dos dados, essa circunstância deve ser informada a titular dos dados, de forma destacada.

Além disso, a lei prevê a necessidade de permitir a revogação do consentimento pelo titular dos dados, de forma facilitada e gratuita.

Embora o consentimento seja a regra, o mesmo é dispensado em algumas circunstâncias específicas, como (a) para o cumprimento de obrigações legais, como o tratamento de dados para cumprimento de obrigações fiscais, previdenciárias, etc.; (b) quando necessário para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular dos dados faça parte; (c) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (d) quando o dado pessoal se tornar manifestamente público, sem prejuízo de serem resguardados o s direitos do titular dos dados, no entanto  para evitar questionamentos com relação ao uso, o ideal é obter o consentimento para a finalidade necessária; e (e) quando necessário para atender aos interesses legítimos do responsável ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular dos dados.

Uma obrigação importantíssima criada pelo PLC 53/2018diz respeito à obrigatoriedade de comunicação de incidentes de segurança, tanto à autoridade competente instituída por essa lei, quanto aos titulares dos dados pessoais prejudicados, além de outras formas de comunicação que podem ser estabelecidas pela autoridade. Essa obrigação não existia no País até o momento (era apenas uma recomendação da Comissão de Prote ção dos Dados Pessoais do Ministério Público do Distrito Federal).

Dentre outras normas, o PLC 53/2018 contém as seguintes disposições:

(a) cria a figura do encarregado de dados pessoais (semelhante ao Data Protection Officer – DPO estabelecida no GDPR);

(b) prevê regras específicas para o tratamento de dados sensíveis (e.g. relativos à origem racial ou étnica, opiniões políticas, vida sexual, etc.);

(c) estabelece regras específicas para o tratamento de dados de menores de idade; e

(d) prevê regras para a transferência internacional de dados.

O descumprimento das normas das normas estabelecidas no PLC 53/2018 sujeita os agentes de tratamento a sanções administrativas, como multa (que pode chegar ao teto de 50 milhões de reais), advertência, publicidade das infrações, suspensão ou até proibição do exercício da atividade de tratamento de dados.

Considerando que o PLC 53/2018 estabelece mudanças significativas, inclusive, com relação a boas práticas que devem ser adotadas pelas empresas, que podem implicar até mesmo a redução das sanções, é fundamental um trabalho imediato de revisão de procedimentos internos a partir da sanção presidencial. Assim, deve haver uma colaboração multidisciplinar entre o corpo jurídico, área de comunicação e de TI, em especial especializado em segurança da informação, além de outras áreas afins, para adequação das exigências legais.

TATIANA CAMPELLO – Sócia da área de Direito Digital e Proteção de Dados Demarest Advogados

Fonte: Jota