Leia na Fonte: Conjur
[20/02/15]  "Privacidade versus poder" no anteprojeto de proteção de dados pessoais - por Alberto Esteves Ferreira Filho e Andreia de Andrade Gomes

A abertura para consulta pública sobre o anteprojeto de lei que trata da proteção de dados pessoais repete o sucesso e pioneirismo da discussão sobre o Marco Civil da Internet, tornado lei em abril de 2014. Qualquer pessoa terá o direito de dar sua opinião quanto ao texto proposto por um período de 30 dias, que poderá ser prorrogado.

Apesar de haver garantia constitucional de proteção à privacidade, assim como leis esparsas sobre a forma de utilização de dados pessoais, até o presente momento não há, no Brasil, uma lei geral sobre o uso de dados pessoais.

A futura lei seria aplicável para qualquer pessoa, natural ou jurídica, de direito público ou privado, independentemente da sede ou localização de banco de dados, desde que haja tratamento de dados em território nacional, ou que eles tenham sido obtidos no Brasil. Por sua vez, são protegidos apenas os dados de pessoas físicas, não incluindo sob o espectro da potencial futura lei, dados de pessoas jurídicas que não sejam de conhecimento público.

Segundo o anteprojeto, todas as atividades que envolvam tratamento de dados pessoais deverão ser norteadas, dentre outros, pelos princípios da privacidade, conhecimento sobre o uso específico do dado, capacidade de acesso e manutenção pelo titular e segurança. Os princípios também são estabelecidos para que não haja qualquer forma de discriminação.

Para a pessoa física, um dos aspectos mais relevantes é notar que o uso de dados pessoais, como regra geral, sempre dependerá de seu consentimento expresso e não poderá ser uma condição para que haja prestação de um serviço ou bem, exceto se for indispensável. Para fornecer o consentimento, o titular deve ser informado de forma ostensiva sobre a finalidade e período de uso, como ele se dará e o âmbito de sua difusão. O titular poderá ainda revogar seu consentimento a qualquer tempo e sem qualquer cobrança.

Sempre que houver alteração dos termos de uso dos dados, novo consentimento expresso deverá ser dado. Quando houver repasse de dados, o cessionário ficará sujeito às mesmas obrigações do receptor originário e terá responsabilidade solidária por eventuais danos. Equivalentemente, o responsável pelo tratamento dos dados deverá informar terceiros para quem os dados tenham sido comunicados sempre que o titular os corrigir ou solicitar exclusão.

Também merece destaque a necessidade de haver um consentimento específico para uso de dados sensíveis, quais sejam aqueles dados pessoais que indiquem origem étnica, convicções e filiações a organizações de caráter religioso, filosófico ou político, filiação a sindicatos, dados de saúde, genéticos ou relacionados à vida sexual do titular.

Especificamente sobre transferência internacional de dados, somente poderia ocorrer para países proporcionando nível de proteção de dados pessoais equivalentes à legislação nacional. Por sua vez, a entrada de dados a partir de um país estrangeiro somente seria regular quando, no país de origem, tenham sido respeitados os trâmites de consentimento.

No entanto, o texto deixa em aberto dois aspectos importantes. O primeiro é a possibilidade de tratamento diferenciado de dados pessoais para fins exclusivos de segurança pública e defesa. O segundo diz respeito à possível criação de uma autoridade competente para proteção de dados. Não menos que 34 menções são feitas à figura de um “órgão competente”. Não há conhecimento se este órgão será uma competência atribuída a alguma entidade já existente ou se haverá criação de algum agente próprio.

Apesar da indefinição, diversas funções já são conferidas ao órgão, dentre as quais se destacam a competência para receber e analisar denúncias e para estabelecer parâmetros de segurança e prazos para tratamento e conservação de dados pessoais.

Nas hipóteses de infrações, caberia também ao órgão competente o estabelecimento de sanções administrativas de diversas naturezas, inclusive cumulativamente, como multas, publicidade sobre a infração e suspensão temporária da operação de tratamento e de banco de dados pessoais por até dois anos e, de dados sensíveis e de banco de dados por períodos de até 10 anos.

Em evento promovido pela Associação Brasileira da Propriedade Intelectual (ABPI) em 29 de janeiro, o primeiro após a abertura da consulta pública, Danilo Doneda, coordenador geral de estudos e monitoramento de mercado da Secretaria Nacional do Consumidor do Ministério da Justiça, destacou uma frase que reflete bem o espírito da possível nova lei: “transparência deve ser diretamente proporcional ao poder; privacidade deve ser inversamente proporcional”.

Ou seja: na transparência, quando maior o poder e acesso a dados pessoais, mais transparente o agente deve ser; já na privacidade, o mais fraco é quem deve ser mais protegido. Resta lembrar que todos os termos acima refletem o texto de um anteprojeto, que ainda não possui força legal. Por enquanto, nos resta analisar e aproveitar a oportunidade de contribuir com o processo legislativo.