SlideShare uma empresa Scribd logo
doc-2016-054contribuiesaopls3302013v21-161216155706 1/20
CONTRIBUIÇÕES AO PLS 330/2013
QUE ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS E OBRIGAÇÕES REFERENTES À
PROTEÇÃO, AO TRATAMENTO E AO USO DE DADOS PESSOAIS
Outubro de 2016
INTRO DUÇÃO
A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e
Comunicação, é uma entidade que congrega seleto grupo de empresas fornecedoras de software,
soluções e serviços de TIC e que tem como missão trabalhar em prol do desenvolvimento do
setor, disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar
social.
É inquestionável o importante papel que a Internet tem na sociedade atual, tanto como
viabilizadora de inclusão social quanto indutora de inovação e avanço tecnológico.
A Brasscom serve-se desta oportunidade para deitar luz sobre alguns aspectos críticos
que, entendemos, demandam atenta consideração por parte desta casa no tocante ao PLS
330/2016.
NO TAÇÃO DAS ALTERAÇÕ ES PRO PO STAS E RESPECTIVAS JUSTIFICATIVAS
Adotamos uma solicitação bastante pontual, reunindo um conjunto de modificações de
maior relevância ou de aperfeiçoamento do texto, sendo as respectivas justificativas sumarizadas
em cada tópico com os artigos relacionados.
No intuito de melhor fundamentar as proposições manifestadas neste documento, a
Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Adota-se a
seguinte notação:
Fragmento de texto taxado
Propõe-se a eliminação do fragmento de texto do Projeto de Lei;
Fragmento de texto sublinhado
Propõe-se que o fragmento de texto seja acrescentado ao Projeto de Lei.
[...]
Refere-se à manutenção do fragmento de texto original do Projeto de Lei.
doc-2016-054contribuiesaopls3302013v21-161216155706 2/20
Sumário
Âmbito De Aplicação Da Lei E Jurisdição.................................................................................2
Definição De Dado Pessoal, Dado Pessoal Sensível, Dado Anonimizado Ou Anônimo e
interconexão ........................................................................................................................4
Requisitos Para O Tratamento De Dados Pessoais ...................................................................5
Consentimento .....................................................................................................................6
Responsabilidade..................................................................................................................9
Transferência Internacional De Dados...................................................................................11
Sanções .............................................................................................................................18
Vigência .............................................................................................................................19
Âmbito De Aplicação Da Lei E Jurisdição
Art. 2º Esta Lei aplica-se ao uso e ao tratamento de dados pessoais realizados no todo ou
em parte no território nacional ou que nele produza ou possa produzir efeito, qualquer
que seja o mecanismo empregado.
§ 1º Esta Lei aplica-se:
I - mesmo que a atividade seja realizada por pessoa jurídica sediada no exterior, desde
que oferte serviço ao público brasileiro ou pelo menos um integrante do mesmo grupo
econômico possua estabelecimento no Brasil;
II - quando a coleta, armazenamento ou utilização dos dados pessoais ocorrer em local
onde seja aplicável a lei brasileira por força de tratado ou convenção.
§ 2º A empresa estrangeira será notificada e intimada de todos os atos processuais
previstos nesta Lei, independentemente de procuração ou de disposição contratual ou
estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial,
agência, sucursal, estabelecimento ou escritório instalado no Brasil.
Art. 2º Esta Lei aplica-se a qualquer operação de tratamento de dados pessoais realizada
por pessoa natural ou por pessoa jurídica de direito público ou privado,
independentemente do país de sua sede ou do país onde estejam localizados os dados,
desde que cumulativamente:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens ou
doc-2016-054contribuiesaopls3302013v21-161216155706 3/20
serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou e
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Parágrafo 1º. Consideram-se coletados no território nacional os dados pessoais cujo
titular nele se encontre no momento da coleta.
Parágrafo 2º. Esta Lei não se aplica:
I – aos bancos de dados mantidos pelo Estado exclusivamente para fins de defesa
nacional e segurança pública;
II – aos bancos de dados mantidos exclusivamente para o exercício regular da atividade
jornalística;
III – à atividade de tratamento de dados realizada por pessoa natural para fins
exclusivamente particulares e sem fim não econômicos;
IV – à atividade de tratamento de dados coleta e ao uso de dados anonimizados e ou
dissociados, desde que não seja possível identificar o titular;
V – aos dados que estão meramente em trânsito no território nacional.
§ 4º Os dados desanonimizados, assim compreendidos aqueles dados inicialmente
anônimos que, por qualquer técnica, mecanismo ou procedimento, permitam, a qualquer
momento, a identificação do titular, terão a mesma proteção dos dados pessoais,
aplicando-se aos responsáveis por sua coleta, armazenamento e tratamento o disposto
nesta Lei.
Justificativa
Sugere-se a utilização da redação do Artigo 3º do PL 5276/2016, em substituição ao caput
do Artigo 2º e aos Parágrafos 1º e 2º.
O âmbito de aplicação da lei no Substitutivo é excessivamente amplo, pois pretende
regular atividades de tratamento de dados pessoais de qualquer pessoa que esteja no Brasil,
afastando-se da legislação comparada a respeito do assunto.
Tal como redigidas, estas disposições implicam a aplicação da lei brasileira a atividades
de tratamento de dados que ocorrem no Brasil, mas que envolvem estrangeiros, e não apenas
cidadãos brasileiros. A aplicação da lei brasileira nesses casos poderia desestimular organizações
do setor privado a escolher o Brasil como centro de operações, por exemplo, uma empresa com
operações na América do Sul relutaria em estabelecer um Data Center no Brasil nesse ambiente
regulatório, pois se veria obrigada a cumprir com a legislação brasileira mesmo sem tratar dados
de cidadãos brasileiros.
Além disso, tendo em vista a vasta abrangência do conceito de tratamento previsto no
PLS 330/2013 e os possíveis impactos negativos que tal conceito abrangente pode trazer para o
simples trânsito de dados pelo território nacional, sugere-se que o texto deste Projeto de Lei
passe a trazer de maneira clara, a exclusão da aplicação do escopo da lei, os dados que circulem
de maneira meramente transitória pelo território nacional.
doc-2016-054contribuiesaopls3302013v21-161216155706 4/20
É salutar a inclusão do inciso IV, no sentido de deixar claro que não devem estar sujeitas
à aplicação da lei os dados pessoais que tenham sido anonimizados ou que de qualquer outra
forma não possam identificar de maneira inequívoca o titular. Porém, sugere-se exclusão do § 4º
pois a Lei deve reger fatos e não hipóteses e/ou possibilidades.
Definição De Dado Pessoal, Dado Pessoal Sensível, Dado Anonimizado Ou Anônimo e
interconexão
Art. 3º Para os efeitos desta Lei, considera-se:
I – dado pessoal: qualquer informação referente a pessoa natural identificável ou
identificada; qualquer dado que identifique de forma exata e precisa uma pessoa natural.
II – dado pessoal sensível: qualquer dado pessoal que revelem a orientação religiosa,
política ou sexual, a convicção filosófica, a procedência nacional, a origem racial ou étnica,
a participação em movimentos políticos ou sociais, informações de saúde, genéticas ou
biométricas do titular dos dados; dados pessoais sobre a origem racial ou étnica, as
convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de
caráter religioso, filosófico ou político, dados médicos, genéticos e referentes à orientação
afetiva e de gênero;
[...]
VIII – interconexão Transferência: transferência replicação ou envio de dados pessoais de
um banco de dados a outro, mantido ou não pelo mesmo proprietário;
[...]
XIII – dissociação ou anonimização: procedimento ou modificação destinado a impedir a
associação de um dado pessoal a um indivíduo identificado ou identificável ou capaz de
retirar dos dados coletados ou tratados as informações que possam levar à identificação
dos titulares;
XIV – dado anonimizado ou anônimo: dado relativo a um titular que não seja possa ser
identificado, considerando a utilização dos meios técnicos razoáveis e disponíveis na
ocasião de sua coleta ou tratamento.
Parágrafo único. Considera-se privativo o uso das informações armazenadas no âmbito
de organizações públicas ou privadas, respeitadas as finalidades para as quais foi criado
o banco de dados e observados os princípios e as garantias definidos nesta Lei.
Justificativa
Devem ficar sujeitos à lei somente os dados que inequivocamente possam ser utilizados
para identificar a pessoa natural, podendo assim afetar a sua privacidade.
Um conceito amplo de dado pessoal pode inibir o desenvolvimento da economia e a
inovação baseada em dados, na medida em que o tratamento engloba dados que são meramente
relacionados as pessoas naturais. Uma conceituação ampla tornaria praticamente todos os dados
doc-2016-054contribuiesaopls3302013v21-161216155706 5/20
produzidos pela atividade humana sujeitos à Lei, ainda que não possam ser utilizados para
identificar inequivocamente o titular. Portanto, recomenda-se a alteração na definição de dado
pessoal.
Para a definição de dados pessoais sensíveis sugere-se que seja adotada uma definição
taxativa, evitando-se definições abertas e genéricas que possam inibir novos modelos de
utilização de tais dados para fins sociais e/ou econômicos.
O termo Interconexão está tipicamente relacionado a rede de telecomunicações e cuja
receita enseja, em via de regra, o pagamento de ICMS, além de tributos específicos do setor de
telecomunicações, tais como: FUST e FUNTTEL. Desta forma, sugere-se a substituição desta
nomenclatura pelo termo Transferência.
Com relação a definição de dado anonimizado ou anônimo, entende-se que estes não
são considerados dados pessoais, exatamente pela ausência de identificação do seu titular, sendo
necessário, portanto, alterar sua definição como sugerido acima.
Requisitos Para O Tratamento De Dados Pessoais
Art. 4º Ao tratamento de dados pessoais aplicam-se os seguintes princípios:
[...]
V – consentimento livre, específico, inequívoco e informado, fornecido por qualquer meio
que o certifique, do titular de dados como requisito à coleta de dados pessoais, inclusive
quando o tratamento se der mediante o uso da Internet, e, ainda, prévio e expresso,
quando se tratar de dados sensíveis que não sejam voluntariamente disponibilizados por
seus titulares como manifestação de sua liberdade de expressão, consciência ou crença;
ou de interconexão internacional de dados realizada por banco de dados privado;
[...]
Art. 15. É proibido o tratamento de dados pessoais sensíveis que não sejam
voluntariamente disponibilizados por seus titulares como manifestação de sua liberdade
de expressão, consciência ou crença, salvo:
[...]
V - quando disponibilizados voluntariamente por seus titulares, como manifestação de
sua liberdade de expressão, consciência ou crença.
§ 1º O consentimento de que trata o inciso I será realizado por meio de manifestação
destacada apartada em relação ao tratamento dos demais dados pessoais, devendo o
titular ser informado prévia e ostensivamente extensivamente acerca da natureza sensível
dos dados.
doc-2016-054contribuiesaopls3302013v21-161216155706 6/20
Justificativa
Como indicado no comentário anterior, o PLS 330/2013 adota um conceito muito amplo,
exigindo em seus Artigos 4º e 15, como requisitos formais para o seu tratamento, em especial,
consentimento expresso e por meio de manifestação apartada.
Especificamente no que compete ao tratamento de dados sociais referentes à orientação
religiosa, política ou sexual, ou à convicção religiosa, à procedência nacional, à origem racial ou
étnica, ou ainda à participação em movimentos políticos e sociais, é preciso se ter muita cautela
para não inibir a sua livre manifestação, conforme assegurado pela Constituição Federal, nos
termos do Art. 5º, incisos VI, VIII e IX, dentre outros dispositivos, de forma que a lei de proteção
de dados deve reconhecer e respeitar a expressão de tais convicções quando forem espontânea
e livremente fornecidas pelos titulares como manifestação de sua liberdade de expressão,
consciência ou crença, que constituem a base do ativismo e exercício pleno da cidadania. Com
base em tais premissas, sugerimos a alteração da redação do inciso V do Art. 4º, assim como do
caput do Art. 15 e a inclusão de um inciso V.
Consentimento
Art. 6º São direitos básicos do titular:
[...]
IV – consentimento livre, específico, inequívoco e informado sobre coleta,
armazenamento e tratamento de dados pessoais, fornecido por qualquer meio que o
certifique, inclusive quando o tratamento se der mediante o uso da Internet, que deverá
sempre ocorrer de forma destacada;
[...]
V- o respeito aos dispositivos desta lei, mesmo quando os seus dados são tratados por
terceiros em nome do responsável;
VI – conhecimento da finalidade do tratamento automatizado dos seus dados;
VII – exclusão definitiva, a seu requerimento e ao término da relação entre as partes, dos
seus dados pessoais em quaisquer bancos de dados, ressalvadas outras hipóteses legais
que incidem sobre a guarda de dados;
[...]
Art. 12. O tratamento de dados pessoais somente pode ser realizado nas seguintes
hipóteses:
I – mediante consentimento livre, específico, inequívoco e informado concedido pelo
titular dos dados, fornecido por escrito ou por qualquer outro meio que o certifique,
inclusive quando o tratamento se der mediante o uso da Internet;
doc-2016-054contribuiesaopls3302013v21-161216155706 7/20
[...]
Art. 13. O consentimento do titular deve ser prestado de forma destacada apartada do
restante das declarações e dizer respeito a finalidade legítima, específica e delimitada.
§ 1º O titular deve ter acesso, antes de prestar o consentimento, a todas as informações
relevantes acerca/ do tratamento dos seus dados, como a finalidade, a duração, o
responsável, suas informações de contato e a possibilidade de transferência de seus
dados a os terceiros a quem os dados podem ser comunicados.
[...]
§ 3º O consentimento pode, a qualquer momento e sem ônus, ser revogado, sem
aplicação de multa específica.
[...]
Art. 36. Os direitos previstos nesta Lei não excluem outros decorrentes de tratados ou
convenções internacionais de que o Brasil seja signatário, da legislação interna ordinária
e de regulamentos expedidos pelas autoridades administrativas competentes.
Parágrafo único. Esta lei revoga disposições em contrário, especificamente, os incisos VII,
VIII e IX da Lei nº. 12.965/2014.
Justificativa
A regra geral do consentimento livre, inequívoco e informado trazida pelo PLS 330/2013
é um importante e necessário avanço, garantindo a um só tempo a plena manifestação do
consentimento e a não exigência de modos rígidos para a sua manifestação, o que seria
incompatível com o dinamismo da inovação baseada no uso da Internet.
Neste sentido, entende-se que o consentimento expresso deve ser prestado por meios
formais, com cláusulas destacadas e manifestação por escrito do titular dos dados. Já o
consentimento inequívoco, acertadamente erigido pelo Substitutivo como regra geral para a
manifestação do consentimento para o tratamento de dados pessoais, é entendido como uma
declaração ou comportamento afirmativo do titular e pode ser prestado de forma eficaz e
completamente hábil a proteger os direitos e interesses dos titulares de dados ao tempo em que
também se compatibiliza com o dinamismo do uso da Internet.
O consentimento inequívoco pode ser prestado não apenas por meio de declarações em
cláusula destacada e por escrito pelo titular, como também por meios eletrônicos e declarações
orais, incluindo marcar uma alternativa (“ticking a box”) ao visitar um website, optar por
determinadas configurações técnicas para o processamento de dados e informações pessoais, ou
qualquer outra forma de declaração ou conduta que claramente indique a aceitação do titular
quanto ao processamento dos seus dados pessoais. O consentimento inequívoco –
diferentemente do expresso – ajuda a evitar práticas altamente indesejáveis e prejudiciais à
experiência dos usuários da Internet, como a chamada “fadiga do consentimento” causada pelo
excesso de requisições formais de prestação de consentimento expresso, que acaba resultando
na prestação mal informada do consentimento, em grave prejuízo aos titulares e seus direitos.
doc-2016-054contribuiesaopls3302013v21-161216155706 8/20
Além disso uma eventual lei sobre proteção de dados seria amplamente aplicável no país,
atingindo o tratamento de dados pessoais feito seja por pessoa natural, seja por pessoa jurídica
de direito público ou privado, sejam os dados coletados por meios físicos, digitais ou por meio
do uso da Internet. Mas cabe-nos ressaltar que o Marco Civil da Internet pode ser interpretado
por alguns como lei específica no que diz respeito ao tratamento de dados mediante o uso da
Internet no Brasil e com base nisso, alguns poderiam argumentar que a regra do consentimento
expresso, presente no Art. 7º, VII e IX do Marco Civil, teria prevalência, dada a sua especificidade,
no caso do tratamento de dados realizados mediante o uso da Internet.
Tal interpretação poderia levar a uma situação incoerente em que o consentimento
necessário para o tratamento de dados feito mediante o meio mais dinâmico e propenso à
inovação como é a Internet, seria mais rígido (livre, informado e expresso, devendo
necessariamente ocorrer de forma destacada das demais cláusulas contratuais, conforme o Art.
7º, VII e IX do Marco Civil da Internet) que o exigível para o tratamento de dados por outros meios
(livre, informado e inequívoco, dispensado das formalidades escritas, conforme disposto no texto
do PLS 330/2013).
Com o intuito de evitar esse risco, sugere-se que os Artigos 4º, 6º e 12 do PLS 330/2013
sejam emendados para dispor de modo expresso que o consentimento livre, informado e
inequívoco pode ser “fornecido por qualquer outro meio que o certifique” e que se aplica inclusive
ao tratamento de dados feito mediante o uso da Internet, com expressa revogação dos
dispositivos em contrário dispostos no Marco Civil da Internet e em seu Decreto regulamentador.
Da mesma forma, em nome da segurança jurídica, sugerimos a inclusão de um “Parágrafo único”
ao texto do Art. 36, dispondo sobre a revogação dos incisos VII, VIII, IX do Marco Civil da Internet.
Por fim, sugere-se que a qualificação de “específico” seja excluída da definição de
consentimento presente no PLS 330/2013. Num primeiro plano, a exigência de que o
consentimento seja fornecido de forma específica é dispensável em vista dos princípios da
finalidade, adequação e boa-fé que devem guiar o tratamento dos dados pessoais, conforme
disposto no Art. 4º do próprio PLS 330/2013. Se o tratamento já deve ser adstrito a “finalidades
determinadas, vedada a utilização posterior incompatível com essas finalidades”, então a noção
de especificidade já se encontraria abarcada pela lei na forma de um princípio. Em uma leitura
mais profunda, incluir de forma expressa a qualificadora de “específico” ao conceito normativo de
consentimento pode servir como uma grave barreira ao processo definido por Schumpeter1
como
“destruição criativa”, segundo o qual a indústria incessantemente revoluciona a estrutura
econômica, num movimento de dentro para fora, com isso destruindo incessantemente modelos
antigos e criando novos. De acordo com esse processo, é impossível prever de forma objetiva e
completamente “específica” todos os usos possíveis e imagináveis dos dados pessoais pela
indústria – dado que ela está sempre evoluindo e destruindo modelos de produção antigos ao
tempo em que constrói novos. Nesse contexto, impor uma necessidade de consentimento
“específico” atingiria a possibilidade de toda economia baseada em dados de inovar mediante o
processo de “destruição criativa”, já que a indústria estaria adstrita a tratar dados conforme o
consentimento “específico” a modos de tratamento prévio e eventualmente superados pelo
processo de “destruição criativa”.
Em suma, o mais importante não é o fornecimento do consentimento “específico” para
cada uso determinado dos dados pessoais, mas sim a certeza de que o consentimento seja dado
de maneira livre, informada e inequívoca e prestado a cada mudança significativa na forma do
1
SCHUMPETER, Joseph Alois (1942). Capitalismo, socialismo e democracia. Rio de Janeiro: Zahar Editores, 1984.
doc-2016-054contribuiesaopls3302013v21-161216155706 9/20
tratamento dos dados pessoais. Deste modo, é possível alcançar o equilíbrio desejável entre a
proteção à privacidade e a garantia de que a sociedade poderá continuar inovando.
Responsabilidade
Art. 17. Aquele que realizar tratamento de dados pessoais em desconformidade com o
estabelecido nesta Lei, causando, por tratamento inadequado de dados pessoais, causar
dano a outrem, comete ato ilícito e obriga-se a ressarci-lo.
Parágrafo único. Os responsáveis pelo tratamento de dados pessoais respondem, no
âmbito de sua atuação, independentemente da existência de culpa, pela reparação dos
danos causados aos titulares ou a terceiros.
[...]
Art. 20. A comunicação ou a transferência interconexão de dados pessoais somente
podem ser realizadas:
I – quando o titular consentir de forma livre, inequívoca específica e própria;
II – nas hipóteses previstas nos incisos III a VI do art. 12 desta Lei.
§ 1º A comunicação e a transferência interconexão de dados pessoais sujeitam todos
aqueles que tiverem acesso aos dados às mesmas obrigações legais e regulamentares do
responsável.
§ 2º Em caso de dano decorrente ou associado à comunicação ou à interconexão,
respondem solidariamente todos cada qual aqueles que tiverem acesso aos dados.
§ 3º Os critérios adicionais para a comunicação e a transferência interconexão de dados
pessoais serão definidos em regulamento.
Art. 21. As autoridades administrativas competentes, no âmbito de suas atribuições,
fiscalizarão a comunicação e a transferência interconexão de dados pessoais, podendo
determinar, mediante processo administrativo, que sejam assegurados o contraditório e
a ampla defesa, o cancelamento dos dados, o fim da transferência interconexão ou outras
medidas que garantam os direitos dos titulares.
[...]
Art. 25. O responsável deverá observar os padrões de Os critérios mínimos de segurança
adequados, garantindo ainda que tais padrões sejam a serem seguidos pelo responsável,
pelo contratado e por todos aqueles que tiverem acesso aos dados pessoais por
comunicação, interconexão ou qualquer outra forma serão definidos em regulamento.
[...]
doc-2016-054contribuiesaopls3302013v21-161216155706 10/20
Art. 34. Serão solidariamente responsáveis as empresas ou entidades integrantes de
grupo econômico, de fato ou de direito, quando pelo menos uma delas praticar infração
a esta Lei.
Parágrafo único. Caso a empresa responsável seja sediada no exterior, o pagamento da
multa ou o cumprimento da obrigação de fazer ou não fazer pode ser exigido da filial,
agência, sucursal, estabelecimento ou escritório instalado no Brasil.
Art. 34. Na hipótese de descumprimento das condições previstas na presente lei durante
o tratamento de dados que cause danos ao titular, o agente responsável responderá
estritamente no âmbito de sua atuação na cadeia de tratamento.
Parágrafo único. A responsabilidade dos demais agentes da cadeia de tratamento de
dados em relação aos danos causados deverá ser apurada de acordo com os termos pelos
quais foram contratados pelo responsável pelo tratamento e em consonância com o
dever de guarda dos dados e respectivo resultado do tratamento.
Justificativa
A responsabilização das empresas que tratam dados e prestam serviço ao titular em
relação aos dados pessoais deve se dar no tocante (i) ao respeito aos direitos e liberdades
fundamentais do titular, (ii) ao tratamento dos dados no âmbito do consentimento, do legítimo
interesse, ou nas demais hipóteses previstas em lei, e (iii) ao dever de guarda dos dados tratados.
No caso de descumprimento de seus deveres, a empresa que tratou os dados responderá
pelos danos causados ao titular dos dados estritamente no âmbito de sua atuação dentro da
cadeia de tratamento, devendo ser apuradas as respectivas responsabilidades de cada uma das
demais empresas especializadas por ela contratadas.
Desta forma, caberá única e exclusivamente a esta empresa toda e qualquer
responsabilidade em relação à coleta e tratamento destes dados, independente da cadeia
produtiva que esteja por trás de sua atividade. Ou seja, trata-se de responsabilidade subjetiva e
direta desta empresa frente ao usuário em relação a qualquer dano sofrido por este pelo
tratamento indevido ou não-autorizado de seus dados.
De acordo com o disposto nos artigos 1862
e 9273
do Código Civil Brasileiro, a
responsabilidade subjetiva caracteriza-se quando o dano decorrer de uma conduta comissiva ou
omissiva, culposa ou dolosa, do próprio causador da lesão.
Logo, afasta-se qualquer possibilidade de evocação de responsabilidade objetiva ou
solidária de todos os demais atores desta cadeia produtiva frente ao usuário detentor dos dados
que teve seu direito lesado.
O modelo de responsabilização subjetiva e direta tem como principal objetivo garantir ao
usuário o correto encaminhamento de suas demandas e pleitos, assim como a fácil identificação
2
Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que
exclusivamente moral, comete ato ilícito.
3
Art. 927. Aquele que, por ato ilícito (Arts. 186 e 187), causar dano a outrem, fica obrigado a repará -lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.
doc-2016-054contribuiesaopls3302013v21-161216155706 11/20
do responsável na hipótese de descumprimento das regras da futura norma sobre proteção de
dados pessoais.
Por sua vez, a responsabilização das empresas subcontratadas na cadeia de tratamento
deve se dar no tocante (i) aos termos pelos quais foram contratadas e (ii) ao dever de guarda dos
dados a serem tratados e os respectivos resultados do tratamento, sem a necessidade de
regulação ex ante por parte de eventual Órgão Competente.
Veja-se que, por serem pessoas jurídicas diversas e independentes, as empresas não
poderão exercer controle sobre as atividades umas das outras e, portanto, não é razoável atribuir -
se responsabilidade solidária entre elas por atos sobre as quais não tem poder de supervisão que
lhes permita controlar e evitar os prejuízos que serão obrigadas a reparar. Convém citar o exemplo
do Cadastro Positivo, em que a responsabilidade objetiva e solidária entre fontes, consulentes e
bancos de dados, tem representado um importante entrave para a implementação exatamente
em razão do argumento acima exposto.
Ressalte-se que as empresas que compõem a cadeia de empresas subcontratadas pela
empresa que trata os dados e presta serviço para o titular, podem estar no Brasil ou em qualquer
outro lugar do mundo.
Sugere-se, portanto, que as empresas cedentes (empresas que coletam dados e prestam
serviço ao titular) e cessionárias (empresas subcontratadas na cadeia de tratamento) respondam
dentro dos limites de sua atuação pelos danos decorrentes na cadeia de tratamento de dados,
independentemente do local onde estes se localizem, devendo ser apuradas as respectivas
responsabilidades, cabendo (i) ao cedente, a responsabilidade pela integridade dos dados
pessoais transmitidos tais como coletados e pela comunicação de eventuais alterações nos dados
ou no consentimento ao cessionário; (ii) ao cessionário, a integridade dos dados pessoais tais
como transmitidos pelo cedente, pelo seu tratamento em conformidade com as hipóteses legais
e pela integridade dos dados de acordo com posteriores comunicações do cedente.
Transferência Internacional De Dados
Art. 26. A transferência internacional de dados pessoais somente pode ser realizada nas
seguintes hipóteses:
I – para países que proporcionemo mesmo grau de proteção de dados previsto nesta Lei;
II – quando o titular, após ser devidamente informado do caráter internacional do
tratamento e dos riscos existentes no tratamento de dados no país de destino, consentir
de forma específica e própria;
III – quando necessário para o cumprimento de obrigação prevista na legislação brasileira;
IV – quando necessário para tutela da saúde ou proteção da incolumidade física do titular
ou de terceiro;
V – na cooperação internacional entre Estados relativa às atividades de inteligência e
investigação, conforme previsto nos instrumentos de direito internacional dos quais o
Brasil seja signatário.
doc-2016-054contribuiesaopls3302013v21-161216155706 12/20
Parágrafo único. Autoridade competente gerenciará o regime de autorizações para
transferência de dados pessoais ao exterior.
Art. 27. O grau de proteção de dados dos países de destino será analisado por meio de
critérios definidos em regulamento.
Art. 28. A transferência de dados pessoais para países que não proporcionem o mesmo
grau de proteção de previsto nesta Lei será permitida quando o responsável oferecer e
comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime
jurídico de proteção de dados previsto nesta Lei, na forma de cláusulas contratuais
específicas para uma determinada transferência, de cláusulas contratuais padrão ou em
normas corporativas globais, nos termos do regulamento.
§ 1° Compete à autoridade administrativa competente prever requisitos, condições e
garantias mínimas que deverão constar obrigatoriamente de cláusulas contratuais, que
expressem os princípios gerais da proteção de dados, os direitos básicos do titular e o
regime jurídico de proteção de dados.
§ 2° A autoridade administrativa competente poderá aprovar normas corporativas globais
dos responsáveis pelo tratamento de dados que fizerem parte de um mesmo grupo
econômico, dispensando a autorização específica para determinado tratamento, desde
que observadas as garantias adequadas para a proteção dos direitos dos titulares dados
pessoais.
§ 3º Em caso de dano decorrente ou associado à transferência internacional de dados,
respondem solidariamente todos aqueles que tiverem acesso aos dados.
Art. 26. A transferência internacional de dados poderá ocorrer livremente observado os
princípios estabelecidos nesta lei.
Justificativa
Um dos temas centrais no debate sobre proteção de dados pessoais é a questão da
transferência internacional de dados, essa centrada em uma preocupação ainda anterior ao
mundo conectado, na qual o regulador europeu tinha uma preocupação, legítima, de garantir
que os dados dos seus cidadãos fossem protegidos, em qualquer lugar do mundo aonde fossem
tratados.
Nessa época, contudo, a transferência internacional de dados não era algo absolutamente
corriqueiro e cotidiano como vemos atualmente. A realidade atual é que o fluxo internacional de
informações é uma importante fonte de valor econômico e social, sendo que um dos grandes
benefícios da sociedade digital está justamente nas economias de escala advindas desse
ecossistema. Isto porque, fluxos internacionais de informação são extremamente necessários para
a manutenção dos mais diversos tipos de atividade econômica e são, na prática, um pressuposto
para o bom funcionamento da sociedade conectada.
A Internet e o livre fluxo internacional de dados propiciam, atualmente, o florescimento
de diversas empresas digitais, em diferentes lugares do mundo, que graças a inexistência de
barreiras no mundo digital conseguem atingir pessoas a qualquer hora e em qualquer lugar.
doc-2016-054contribuiesaopls3302013v21-161216155706 13/20
A invenção da Internet e o consequente livre fluxo de dados por ela proporcionado são
o maior avanço na facilitação do comércio. Isso porque, servem como um mercado ou um canal
de distribuição, que têm permitido o comércio transnacional, a concorrência e a inovação4
. Neste
sentido, os países poderão aumentar os benefícios internos de toda a sociedade conectada
expandindo a penetração da Internet e criando estruturas inteligentes, que permitam que os
dados possam trafegar de forma segura e livre em seus territórios. Do contrário, estudos
acadêmicos apontam que restrições ao livre fluxo internacional de dados e informações poderão
reduzir o crescimento do PIB entre 1-2 pontos percentuais5
.
Apesar de legítima a preocupação do legislador acerca da transferência e do fluxo das
informações pessoais dos cidadãos ao redor do mundo, propondo dispositivos no PLS 330/2013
que possam regular o tema de forma adequada e proteger os direitos dos cidadãos brasileiros,
não podemos afastar dessa equação a preocupação com a manutenção do livre trânsito de ideias,
informações, conteúdo e da livre iniciativa empresarial, que não podem ser tolhidos.
Outrossim, a adoção de regras similares àquelas adotadas pela União Europeia poderá
gerar insegurança jurídica e graves impactos econômicos para a florescente economia digital
brasileira como será demonstrado a seguir.
A. O fluxo internacional de dados e informações e sua importância para o desenvolvimento
econômico e social do Brasil
O acesso a mercados estrangeiros e às cadeias de suprimento globalizadas são uma
importante fonte de crescimento, emprego e novos investimentos – em especial para economias
em desenvolvimento. Impor barreiras ao fluxo internacional de dados afeta potencialmente todas
as empresas que de alguma forma utilizam a Internet em seus processos produtivos, assim como
aquelas que somente entregam e/ou recebem pagamentos pelos seus produtos e/ou serviços
através dela.
A adoção de medidas como as propostas no Capítulo IV do PLS 330/2013, que possam
restringir a operação no Brasil de empresas estrangeiras que dependam especificamente do fluxo
internacional de dados para realização de suas atividades, poderá acarretar um impacto estimado
no PIB do Brasil de cerca de (-0,2%). Em igual sentido, se considerarmos todos os demais setores
da economia brasileira que dependam, de alguma forma, do livre fluxo internacional de dados
em sua operação e as restrições que se pretende impor, teremos uma perda estimada no PIB
maior que (-0,8%)6
.
Outrossim, é notória a importância do livre fluxo internacional de dados para o
crescimento da economia brasileira e, principalmente, para a entrada de forma sustentável do
país na economia digital. Para tanto, o Brasil deve consolidar-se como incentivador do livre fluxo
de dados e informações, posição esta que atrairá grandes empresas do setor de tecnologia
interessadas em desenvolver não só Data Centers no país, como também em tornar o Brasil um
novo centro mundial de tecnologia.
4
The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data, Moving Commerce. A trade impact
assessement of the General Data Privacy Regulation (GDPR) by the European Centre for International Political Economy (ECIPE) for the U.S.
Chamber of Commerce. Março de 2013 - Pág. 5. Disponível em:
https://www.uschamber.com/sites/default/files/documents/files/020508_EconomicImportance_Final_Revised_lr.pdf
5
Matthias Bauer et al., The costs of data localization: Friendly fire on economic recovery, ECIPE occasional Paper No. 3/2014, May 2014.
6
Idem a Nota de Rodapé (2).
doc-2016-054contribuiesaopls3302013v21-161216155706 14/20
Entretanto, caso o Brasil decida-se pela adoção de modelo similar ao da União Europeia
para proteção de dados, deverá estar ciente dos riscos econômicos e sociais que poderão ser
suportados. Isto porque, estaremos inferindo que nossa legislação é adequada frente ao modelo
europeu quando, na verdade, será necessário passar ainda pelos processos de validação e
aprovação dos reguladores europeus, excluindo a garantia de adequação de forma automática.
B. Insegurança jurídica e impacto econômico negativo na economia digital brasileira com a
adoção de modelo similar ao da União Europeia para transferência internacional de dados
A União Europeia publicou em 1995 a Diretiva sobre Proteção de Dados Pessoais7
, com
regras específicas e restritas para tratamento e transferência internacional de dados entre seus
países membros e países terceiros, impondo a avaliação e validação pela Comissão Europeia da
aderência da legislação do país terceiro para o qual os dados serão transferidos.
A Diretiva sobre Proteção de Dados Pessoais da União Europeia passou a viger em
outubro de 1998 e, desde então, países que tenham interesse em tornar-se parceiros comerciais
da União Europeia buscam adequar sua legislação de proteção de dados pessoais – ou quando
esta legislação não existe, criam mecanismos que possam ser validados pela Comissão Europeia
– para habilitá-los a firmar acordos de transferência internacional de dados com o bloco
econômico europeu.
Muito embora a mecânica pareça atraente para o desenvolvimento de negócios, na
prática pouquíssimos países tiveram seu arcabouço jurídico sobre proteção de dados
reconhecidos como aderentes às medidas de proteção da União Europeia, nomeadamente,
Andorra, Argentina, Canadá (organizações comerciais), Nova Zelândia, Suíça e Uruguai8
.
Baseada nesta Diretiva sobre Proteção de Dados Pessoais, em 26 de julho de 2000, a
Comissão Europeia reconheceu9
o “Safe Harbour Privacy Principles” (“Safe Harbour”), emitido pelo
Departamento de Comércio dos Estados Unidos da América (“U.S. Department of Commerce10
”),
como uma proteção adequada para efeitos de transferência de dados pessoais da União Europeia
para os Estados Unidos.
Como resultado, o Safe Harbour permitiu a transferência de dados pessoais com
propósitos comerciais de empresas da União Europeia para empresas dos Estados Unidos que
aderiram a este acordo, a partir do momento que as empresas norte-americanas se
comprometessem a seguir as regras ali contidas e notificassem o U.S. Department of Commerce
acerca desta adequação e submissão.
O Safe Harbour proporcionou que mais de 4.400 empresas norte-americanas, de todos
os tamanhos e de diferentes setores, transferissem legalmente dados da União Europeia para os
Estados Unidos por mais de 15 anos. Durante este período, o relacionamento comercial
7
Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas naturais no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em: http://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=URISERV%3Al14012.
8
Disponível em:
https://iapp.org/news/a/on-the-adequacy-of-an-adequacy-decision-post
schrems/?mkt_tok=eyJpIjoiT0Raa05UWm1OVFl3TkdRMSIsInQiOiJzUE F0OEgx b0NHeV dpUWZFV WdQdjdtWGlmTk1Ybmg4QjNqbVc0TllETV
RhSlNwR1o0NlNSM3RLdVZVWXBUXC92dHBGbHJyWCtjV0Y2eWJSNVRyQXBnZDBaYmY5eFpMd1owYmZPOVZZOTBFdDA9In0%3D.
9
Decisão disponível em: http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELE X:32000D0520.
10
Informações disponíveis em: http://export.gov/safeharbor/eu/index.asp.
doc-2016-054contribuiesaopls3302013v21-161216155706 15/20
transatlântico foi próspero, criando novos empregos e oportunidades tanto para os países
membros da União Europeia quanto para os Estados Unidos.
Contudo, em 06 de outubro de 2015 o Tribunal de Justiça da União Europeia invalidou o
acordo de Safe Harbour sob o fundamento de que a Comissão Europeia não tinha avaliado
adequadamente se os Estados Unidos mantêm proteções “essencialmente equivalentes” para
dados de cidadãos da União Europeia.
A invalidação deste acordo colocou em risco o tráfego de dados que sustenta a maior
relação comercial do mundo, tendo causado ainda maior impacto nas pequenas empresas norte-
americanas que não possuem recursos financeiros para adotar outros métodos de transferência
de dados, mitigando possíveis reclamações de seus consumidores11
.
No dia 2 de fevereiro de 2016, a Comissão Europeia e o Departamento de Comércio dos
Estados Unidos da América anunciaram um acordo para substituir o Safe Harbour, qual seja, o
“EU-US Privacy Shield” (“Privacy Shield”), que teve seu texto12
publicado no dia 29 de fevereiro de
2016.
Verifica-se que ao mesmo tempo que a adoção do modelo da União Europeia para
proteção de dados pessoais demonstra-se como uma via economicamente benéfica para o Brasil
– pois estreitaríamos os laços comerciais com o bloco europeu passando a ser parceiros
comerciais na área de TIC, especialmente no tratamento de dados pessoais, possibilitando o
desenvolvimento de uma forte indústria de Data Centers no país –, esse alternativa traria enormes
custos de compliance para as empresas brasileiras sem que houvesse a garantia de que a União
Europeia irá, de fato, reconhecer as regras brasileiras como adequadas em relação ao nível de
proteção exigido.
Ademais, não se pode olvidar o impacto que será gerado para o desenvolvimento e
crescimento da Internet das Coisas (“IoT”) no Brasil ao exigir-se o consentimento como base para
o tratamento dos dados.
A IoT possibilita a comunicação entre todos os objetos, viabilizando a criação de
ambientes inteligentes que alteram significativamente o nosso cotidiano, a forma que realizamos
negócios e como nos divertimos, configurando-se como uma oportunidade para o Governo
brasileiro aumentar o bem-estar da sociedade nas áreas de educação, saúde pública,
infraestrutura urbana, entre outras.
Neste sentido, entendemos não ser cabível aplicar o instituto do consentimento prévio
ao universo da IoT e, tampouco, as barreiras que serão impostas na hipótese de manutenção das
regras dispostas no Capítulo V do PL 5276/2016 em relação a transferência internacional de
dados, em razão dos possíveis impactos negativos que poderão vir a ser suportados no
desenvolvimento e crescimento destas tecnologias em nosso país.
No mesmo sentido, enfatizamos que a modalidade de consentimento expresso seria
impraticável em uma série de aplicações da IoT. A título de exemplo, existem diversas aplicações
para o uso em automóveis, permitindo o gerenciamento de vagas de estacionamento em locais
públicos e/ou privados, garantindo o controle de acesso e tráfego mais eficiente.
As aplicações da Internet das Coisas ainda estão em seu estágio inicial, tanto de
desenvolvimento, quanto no que diz respeito a familiarização e acesso da sociedade a suas
11
Disponível em:
http://convergecom.com.br/teletime/06/10/2015/tribunal-da-uniao-europeia-invalida-acordo-sobre-transferencia-de-dados-com-os-
eua/.
12
Disponível em:
http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.
doc-2016-054contribuiesaopls3302013v21-161216155706 16/20
funcionalidades. No entanto, sabemos que a disseminação desse tipo de tecnologia é iminente e
já é de conhecimento de todos os que se debruçam sobre os assuntos relacionados a tecnologia
e a proteção de dados.
Muito se tem discutido sobre os princípios que podem ser adotados para regular este
tipo de atividade, tendo em conta que, devido à sua natureza, certos tipos de controle e barreiras
podem cercear sua funcionalidade e desenvolvimento. É fundamental, portanto, que o
desenvolvimento de produtos e serviços não estejam condicionados tão somente a questões
jurídicas de forma unilateral, cabendo à legislação preservar meios de manter e fomentar o
desenvolvimento e a inovação.
C. Proposta para a questão da Transferência Internacional de Dados por empresas sediadas
no Brasil
Acreditamos que se vestem de maior segurança jurídica as medidas adotadas em âmbito
privado que visem regular as práticas já adotadas comercialmente entre as empresas para a
transferência internacional de dados.
Nessa linha, a própria União Europeia abraça, em seu ordenamento jurídico, as
alternativas de regras empresariais vinculativas (“BCRs”), bem como a de modelos de cláusulas
contratuais (“MCCs”).
Desse modo, a Brasscom entende ser mais adequado para o pleno desenvolvimento do
ecossistema de dados, e a consequente inserção do Brasil na economia digital, um mecanismo
que conferisse à parte responsável pela coleta dos dados garantir que, na transferência para
terceiros, independente da jurisdição, estes tratem essas informações de maneira apropriada.
Em linhas gerais, um cenário ideal se desenha na possibilidade de as empresas
responsáveis pelos dados serem incumbidas de zelar pela integridade das ações de transferências
internacional destes e serem responsabilizadas caso ocorra a transferência para empresas que
não sigam/adotem política de proteção equivalente.
Com a adoção deste mecanismo a empresa que coleta os dados ficaria responsável pela
implementação de mecanismos que obrigassem a empresa terceira a tratar os dados pessoais em
conformidade com seus compromissos de privacidade, mediante a instauração de procedimentos
de auditoria para assegurar a adoção das medidas apropriadas.
Assim, evita-se a criação de obstáculos legais e administrativos desnecessários, na mesma
medida em que as empresas envidam esforços para garantir a integridade dos dados. Esse
mecanismo permite que, independentemente das regras de proteção dos países onde os dados
sejam mantidos e/ou tratados, se garanta ao titular dos dados o cumprimento de um conjunto
de regras de proteção de suas informações pessoais.
Com a adoção desta solução o local de armazenamento dos dados deixa de ser tão
relevante, pois o que se torna fundamental no presente caso é o compromisso assumido pela
empresa responsável pela coleta dos dados quando da transferência destes para terceiros.
Esta alternativa tem, dentre outros objetivos, atrair investimentos para o setor de TIC no
Brasil, transformando nosso país em um potencial hub de guarda e tratamento de dados através
de incentivos para a implementação de Data Centers; impulsionar o empreendedorismo digital,
que poderá alcançar empresas de diferentes portes, desde microempresas até as gigantes
mundiais de tecnologia; e evitar eventuais conflitos comerciais com países estrangeiros que não
tenham legislação específica sobre proteção de dados pessoais, e acabem prejudicando o fluxo
de negócios destes países com as empresas sediadas no Brasil.
doc-2016-054contribuiesaopls3302013v21-161216155706 17/20
Corroborando com esta ideia temos o exemplo dos Estados Unidos que entendem que a
transferência internacional de dados deve ser tratada pelas empresas no âmbito privado,
instrumentalizada através de contratos. Por tal razão, o país não regula a questão, dando
liberdade as empresas e aos empreendedores da economia digital e garantindo aos Estados
Unidos número significativo de empresas on-line se comparado a Europa, como pode ser visto
no quadro abaixo13
:
O Canadá, por sua vez, em sua Lei de Proteção de Informações Pessoais e Documentos
Eletrônicos – Personal Information Protection and Electronic Documents Act – PIPEDA14
–
estabelece que as empresas sejam responsáveis pela proteção dos dados pessoais quando da
transferência dos mesmos para terceiros.
De acordo com a PIPEDA, as empresas devem assegurar, seja através de um contrato ou
de algum outro modo, um nível de proteção equiparável aquele previsto na lei canadense durante
o processamento dos dados pessoais por terceiros. Sendo certo que, nesta hipótese, “nível de
proteção equiparável” deve ser entendido como a proteção oferecida pelo terceiro encarregado
de processar os dados pessoais ser comparável ao nível de proteção que os dados teriam caso
fossem tratados pela própria empresa.
Não se pretende que as medidas de proteção adotadas pelos terceiros sejam idênticas
àquelas adotadas pelas empresas, contudo, objetiva-se uma equiparação entre os meios de
proteção adotados no tratamento dos dados pessoais pelas partes.
Isto porque, quando as empresas decidem delegar o processamento de dados a terceiros,
devem adotar todas as medidas razoáveis necessárias para impedir o uso e a divulgação ilícita
destes dados pessoais enquanto se encontram nas mãos destes terceiros encarregados de tratá -
las. A premissa adotada é de que as empresas devem assegurar a proteção adequada dos dados
pessoais em todos os momentos, independente do fato de terem transferido os mesmos para
terceiros, dentro ou fora do País.
D. Sugestão para questão da Transferência Internacional de Dados disposta no PLS 330/2013
13
The Economist. Regulating technology companies – Taming the beasts. Disponível em
http://www.economist.com/news/business/21699465-european-governments-are-not-alone-wondering-how-deal-digital-giants-taming.
14
Disponível em http://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.html#docCont.
doc-2016-054contribuiesaopls3302013v21-161216155706 18/20
Inicialmente cumpre esclarecer que além da adequação da legislação pátria à eventuais
regulamentos estrangeiros, existem outros mecanismos distintos para se conseguir a
interoperabilidade com outros países ou blocos econômicos (por exemplo, a União Europeia), tais
como: tratados bilaterais; as já citadas BCRs; além das cláusulas contratuais padrão, sem que haja
necessidade de avaliação e validação pelo Órgão competente local.
Países que objetivem permitir o livre fluxo de informações, através do crescimento do
setor de TIC e da continuidade do desenvolvimento da economia digital, estarão melhor
posicionados na competitiva economia mundial se incentivarem as empresas responsáveis pela
coleta e tratamento de dados a criarem programas que protejam a privacidade das informações
coletadas, independentemente da localização geográfica ou jurisdição destas, estando prontos
para demonstrar e explicar aos reguladores locais como estas políticas de proteção são criadas e
colocadas em prática. Esta abordagem é uma das mais promissoras para garantir a
interoperabilidade (e respeito mútuo) entre países e blocos econômicos com diferentes regimes
de privacidade de dados, demonstrando-se como uma das principais características dos
emergentes e modernos regulamentos sobre privacidade.
Frente ao exposto, a Brasscom entende que a criação de dispositivos específicos no PLS
330/2013 que regulem a transferência de dados por empresas estabelecidas no Brasil para
empresas no exterior impactará negativamente a economia nacional, ao criar barreiras para o
fluxo de informações que são essenciais para o desenvolvimento da economia digital e do setor
de TIC no país.
Por fim, ratificamos o entendimento de que a empresa que coleta os dados deve ser a
responsável direta pelo tratamento e armazenamento destes, garantindo que todas as demais
empresas de sua cadeia produtiva envolvidas neste processo – sejam elas integrantes do mesmo
grupo econômico ou não – cumpram as obrigações por ela estabelecidas referentes ao
tratamento dos dados e garantam aos usuários segurança no uso e guarda dos mesmos.
Sanções
Art. 31. As infrações desta Lei ficam sujeitas, conforme o caso, às seguintes sanções
administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas
específicas:
I – advertência, com indicação de prazo para a adoção de medidas corretivas;
II – alteração ou, retificação ou cancelamento do banco de dados;, através da celebração
de Compromissos de Ajustamento de Conduta (CAC) com os responsáveis que incorram
em infração às normas desta lei, visando a adoção de medidas corretivas que considerem
necessárias para reverter os efeitos danosos que a conduta infratora tenha causado e para
evitar que esta se produza novamente no futuro;
[...]
IV – suspensão, parcial ou total, exclusivamente das atividades de tratamento de dados
pessoais que impliquem em danos ao titular;
doc-2016-054contribuiesaopls3302013v21-161216155706 19/20
V – proibição, parcial ou total, das atividades de tratamento de dados pessoais;
[...]
§ 3º A pena de proibição de tratamento de dados pessoais não será superior a cinco anos.
Justificativa
As sanções previstas na redação original do Art. 31 do PLS 330/2013 podem, na prática,
equivaler ao bloqueio no país das atividades de empresas baseadas majoritariamente no
tratamento de dados. Dentre os afetados por tais medidas desproporcionais, estão não apenas
plataformas que possibilitam a aproximação entre empresas e clientes efetivos e potenciais ou a
comunicação entre as pessoas, como também bancos de dados públicos e privados, plataformas
de compartilhamento de informações urbanas e de dados de transporte, plataforma de serviços
compartilhados como hospedagem, empresas financeiras ou de crédito, empresas baseadas na
agricultura de precisão, empresas de tecnologia médica, enfim, um amplo espectro da indústria
– sendo que os maiores prejudicados muitas vezes são os próprios cidadãos.
Ressalte-se que os atos de bloqueio parcial ou total da Internet violam diretamente o
direito fundamental das pessoas de receber e transmitir informações, impedindo que elas se
comuniquem com seus familiares e amigos em situações diárias ou de emergência, além de causar
um indesejável impacto negativo na economia dos países afetados pelo bloqueio. Em resumo, há
o risco de o Brasil enfrentar o encerramento de atividades empresariais, abrindo espaço para
possível violação dos direitos fundamentais dos titulares, como liberdade de expressão e
comunicação, representando um forte fator de insegurança jurídica e de desestímulo a
investimentos e à prestação de serviços no Brasil.
Vigência
Art. 37. Esta Lei entra em vigor após decorridos cento e vinte dias 36 (trinta e seis) meses
após a data de sua publicação oficial.
Parágrafo único: Os dados pessoais armazenados pelos responsáveis em conformidade
com a legislação vigente à época de sua coleta não estarão sujeitos à obtenção do
consentimento dos seus titulares, aplicando-se ao seu tratamento, contudo, as demais
disposições desta lei.
Justificativa
Tendo em vista as diversas providências necessárias para a devida adequação das
empresas à nova legislação, faz-se necessário o alargamento da vacatio legis.
Vale ressaltar que o prazo foi sugerido com base naquele estabelecido pela regulação
que substituirá a Diretiva 95/46/EC, de 1995 - General Data Protection Regulation (GDPR) -,
aprovada recentemente na Europa, que é de 2 anos. No entanto, como no Brasil não há legislação
específica nesse sentido, será necessário que a população entenda a relevância da proteção de
dados pessoais e as providências que deve adotar para assegurar o seu tratamento,
especialmente nos casos em que se requer consentimento, e que as empresas possam investir
em tecnologia e implementar procedimentos internos e externos que garantam o adequado
doc-2016-054contribuiesaopls3302013v21-161216155706 20/20
cumprimento da lei. Entendemos, assim, que o prazo de 36 meses é o mínimo para que os mais
diversos setores da economia possam buscar a sua adequação às novas normas de proteção de
dados pessoais para que esta seja de fato efetiva.
Outrossim, a Lei de Introdução às Normas do Direito Brasileiro ao Código Civil estabelece
que a nova lei, ao entrar em vigor, “terá efeito imediato e geral, respeitados o ato jurídico perfeito,
a coisa julgada e o direito adquirido”. Ainda, disciplina que o ato jurídico perfeito é aquele
“consumado segundo a lei vigente ao tempo em que se efetuou”.
Tal dispositivo é de extrema importância para garantir a segurança jurídica dos atos
praticados com base na legislação vigente à época da coleta dos dados pessoais e deve ser
aplicado a este projeto, sobretudo no que tange às empresas que exercem, de forma organizada,
a atividade de banco de dados. Se diferente for, tais empresas correm o risco de não ter seu
principal ativo – o banco de dados – ou sofrerem perda substancial que inviabilize a continuidade
de suas atividades após a entrada em vigor da lei.
Cumpre mencionar o exemplo trazido pela doutrinadora Maria Helena Diniz em questão
de semelhante relevância, ao dispor que “a alteração da maioridade para 18 anos alcançará os
jovens que já tiverem atingido essa idade, se se aumentar para 25 anos, respeitará a maioridade
dos que já tiverem completado 18 anos”.
Nesse sentido, é juridicamente possível entender que os novos requisitos a seremtrazidos
pela Lei de Proteção de Dados Pessoais não invalidam os dados já colhidos no âmbito da lei
anterior, uma vez que os atos já estavam consumados com base na legislação vigente à época da
sua coleta. Condiciona-se, porém, novos processamentos, bem como os direitos de acesso e
retificação, ao disposto nesta lei.
Caso ainda assim decida-se por desconsiderar o ato jurídico perfeito e determinar que a
lei retroaja para alcançar os dados já coletados, sugere-se amparar a previsão do prazo na
experiência internacional, prevendo-o já em lei, para conferir segurança jurídica a todos os
envolvidos.

Mais conteúdo relacionado

Mais procurados

LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
Rosalia Ometto
 
Lgpd abordagem
Lgpd abordagemLgpd abordagem
Lgpd
LgpdLgpd
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...
eurosigdoc acm
 
RGPD
RGPDRGPD
Cartilha de Acesso à Informacao
Cartilha de Acesso à InformacaoCartilha de Acesso à Informacao
Cartilha de Acesso à Informacao
Colaborativismo
 
Ofício da Frente empresarial em defesa da LGPD e segurança jurídica
Ofício da Frente empresarial em defesa da LGPD e segurança jurídicaOfício da Frente empresarial em defesa da LGPD e segurança jurídica
Ofício da Frente empresarial em defesa da LGPD e segurança jurídica
ANBCBureausdeCrdito
 
PONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
PONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPDPONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
PONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
MARCO AURÉLIO BICALHO DE ABREU CHAGAS
 
Registro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dadosRegistro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dados
IRIB
 
Registro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dadosRegistro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dados
IRIB
 
Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...
Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...
Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...
IRIB
 
Relatorio 2-anos-lai-web
Relatorio 2-anos-lai-webRelatorio 2-anos-lai-web
Relatorio 2-anos-lai-web
André Rodrigues
 
Apresentação lei de acesso e dasafios
Apresentação lei de acesso e dasafiosApresentação lei de acesso e dasafios
Apresentação lei de acesso e dasafios
Silvia Maria de Marins e Souza
 
Apresentação cbbd-2011
Apresentação cbbd-2011Apresentação cbbd-2011
Apresentação cbbd-2011
Edilenice Passos
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
Fabiano Ferreira
 
Verdades e Mitos sobre o Cadastro Positivo
Verdades e Mitos sobre o Cadastro PositivoVerdades e Mitos sobre o Cadastro Positivo
Verdades e Mitos sobre o Cadastro Positivo
ANBCBureausdeCrdito
 
Lei nº 12527 com destaques
Lei nº 12527 com destaquesLei nº 12527 com destaques
Lei nº 12527 com destaques
Roberto Rabat Chame
 
Lei nº 12.527 lei de acesso à informação esquematizada
Lei nº 12.527 lei de acesso à informação esquematizadaLei nº 12.527 lei de acesso à informação esquematizada
Lei nº 12.527 lei de acesso à informação esquematizada
Marcos Girão
 
Projeto de lei 4361
Projeto de lei 4361Projeto de lei 4361
Projeto de lei 4361
raiobrasil
 
Cartilha sobre a Lei de Acesso para jornalistas
Cartilha sobre a Lei de Acesso para jornalistasCartilha sobre a Lei de Acesso para jornalistas
Cartilha sobre a Lei de Acesso para jornalistas
acessopublico
 

Mais procurados (20)

LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/ParaíbaLGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
LGPD na Saúde | Comissão de Direito Médico e da Saúde OAB/Paraíba
 
Lgpd abordagem
Lgpd abordagemLgpd abordagem
Lgpd abordagem
 
Lgpd
LgpdLgpd
Lgpd
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...
 
RGPD
RGPDRGPD
RGPD
 
Cartilha de Acesso à Informacao
Cartilha de Acesso à InformacaoCartilha de Acesso à Informacao
Cartilha de Acesso à Informacao
 
Ofício da Frente empresarial em defesa da LGPD e segurança jurídica
Ofício da Frente empresarial em defesa da LGPD e segurança jurídicaOfício da Frente empresarial em defesa da LGPD e segurança jurídica
Ofício da Frente empresarial em defesa da LGPD e segurança jurídica
 
PONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
PONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPDPONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
PONTOS RELEVANTES DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS - LGPD
 
Registro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dadosRegistro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dados
 
Registro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dadosRegistro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dados
 
Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...
Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...
Do tratamento de dados pessoais pelo Poder Público: Lei nº 13.709, de 14 de a...
 
Relatorio 2-anos-lai-web
Relatorio 2-anos-lai-webRelatorio 2-anos-lai-web
Relatorio 2-anos-lai-web
 
Apresentação lei de acesso e dasafios
Apresentação lei de acesso e dasafiosApresentação lei de acesso e dasafios
Apresentação lei de acesso e dasafios
 
Apresentação cbbd-2011
Apresentação cbbd-2011Apresentação cbbd-2011
Apresentação cbbd-2011
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
 
Verdades e Mitos sobre o Cadastro Positivo
Verdades e Mitos sobre o Cadastro PositivoVerdades e Mitos sobre o Cadastro Positivo
Verdades e Mitos sobre o Cadastro Positivo
 
Lei nº 12527 com destaques
Lei nº 12527 com destaquesLei nº 12527 com destaques
Lei nº 12527 com destaques
 
Lei nº 12.527 lei de acesso à informação esquematizada
Lei nº 12.527 lei de acesso à informação esquematizadaLei nº 12.527 lei de acesso à informação esquematizada
Lei nº 12.527 lei de acesso à informação esquematizada
 
Projeto de lei 4361
Projeto de lei 4361Projeto de lei 4361
Projeto de lei 4361
 
Cartilha sobre a Lei de Acesso para jornalistas
Cartilha sobre a Lei de Acesso para jornalistasCartilha sobre a Lei de Acesso para jornalistas
Cartilha sobre a Lei de Acesso para jornalistas
 

Destaque

Direito de Greve dos Servidores Públicos
Direito de Greve dos Servidores PúblicosDireito de Greve dos Servidores Públicos
Direito de Greve dos Servidores Públicos
CNSP Confederação Nacional dos Servidores Públicos
 
Impact of Broadband on Development - By: Dr. Fereydoun Ghasemzadeh
Impact of Broadband on Development - By: Dr. Fereydoun GhasemzadehImpact of Broadband on Development - By: Dr. Fereydoun Ghasemzadeh
Impact of Broadband on Development - By: Dr. Fereydoun Ghasemzadeh
Afra PR
 
ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์
ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์
ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์
onaree
 
Evaluation 8. jun 2013
Evaluation 8. jun 2013Evaluation 8. jun 2013
Evaluation 8. jun 2013
Arsen Tomic
 
Carnaval quito
Carnaval quitoCarnaval quito
Carnaval quito
andreacherrez2701
 
California Presentations for Climate-Smart Dairy Webinar
California Presentations for Climate-Smart Dairy WebinarCalifornia Presentations for Climate-Smart Dairy Webinar
California Presentations for Climate-Smart Dairy Webinar
University of California, Davis
 
Pietre vii - slujirea
Pietre vii - slujireaPietre vii - slujirea
Pietre vii - slujirea
Biserica VIA
 
Human Resources
Human ResourcesHuman Resources
Human Resources
JAIDEEP CHATTERJEE
 
cv-Abhay-15
cv-Abhay-15cv-Abhay-15
cv-Abhay-15
CA Abhay Jain
 
AIMA_12.01.13
AIMA_12.01.13AIMA_12.01.13
AIMA_12.01.13
JAIDEEP CHATTERJEE
 
OTKINGS TEMPLATE
OTKINGS TEMPLATEOTKINGS TEMPLATE
OTKINGS TEMPLATE
Otabor Kingsley AGHO
 
hampa Resume
hampa Resumehampa Resume
hampa Resume
Hanumappa Pyati
 
Evaluation 23.march 2014
Evaluation 23.march 2014Evaluation 23.march 2014
Evaluation 23.march 2014
Arsen Tomic
 
Education
EducationEducation
Factor de seguridad contra deslizamiento de una Represa de Tierra
Factor de seguridad contra deslizamiento de una Represa de TierraFactor de seguridad contra deslizamiento de una Represa de Tierra
Factor de seguridad contra deslizamiento de una Represa de Tierra
JOHNNY JARA RAMOS
 
Retribucion nº 6
Retribucion nº 6Retribucion nº 6
Retribucion nº 6
Salomé Jara
 
Articulacion de la docencia, investigación y gestión
Articulacion de la docencia, investigación y gestiónArticulacion de la docencia, investigación y gestión
Articulacion de la docencia, investigación y gestión
Juanesduque
 
Cv ashish bhadania
Cv ashish bhadaniaCv ashish bhadania
Cv ashish bhadania
Ashishpatel1709
 
Hidrologia e Hidraulica
Hidrologia e HidraulicaHidrologia e Hidraulica
Hidrologia e Hidraulica
JOHNNY JARA RAMOS
 
เงื่อนไข การตัดสินใจ
เงื่อนไข การตัดสินใจเงื่อนไข การตัดสินใจ
เงื่อนไข การตัดสินใจ
Oraphan4
 

Destaque (20)

Direito de Greve dos Servidores Públicos
Direito de Greve dos Servidores PúblicosDireito de Greve dos Servidores Públicos
Direito de Greve dos Servidores Públicos
 
Impact of Broadband on Development - By: Dr. Fereydoun Ghasemzadeh
Impact of Broadband on Development - By: Dr. Fereydoun GhasemzadehImpact of Broadband on Development - By: Dr. Fereydoun Ghasemzadeh
Impact of Broadband on Development - By: Dr. Fereydoun Ghasemzadeh
 
ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์
ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์
ขั้นตอนการประกอบของเครื่องคอมพิวเตอร์
 
Evaluation 8. jun 2013
Evaluation 8. jun 2013Evaluation 8. jun 2013
Evaluation 8. jun 2013
 
Carnaval quito
Carnaval quitoCarnaval quito
Carnaval quito
 
California Presentations for Climate-Smart Dairy Webinar
California Presentations for Climate-Smart Dairy WebinarCalifornia Presentations for Climate-Smart Dairy Webinar
California Presentations for Climate-Smart Dairy Webinar
 
Pietre vii - slujirea
Pietre vii - slujireaPietre vii - slujirea
Pietre vii - slujirea
 
Human Resources
Human ResourcesHuman Resources
Human Resources
 
cv-Abhay-15
cv-Abhay-15cv-Abhay-15
cv-Abhay-15
 
AIMA_12.01.13
AIMA_12.01.13AIMA_12.01.13
AIMA_12.01.13
 
OTKINGS TEMPLATE
OTKINGS TEMPLATEOTKINGS TEMPLATE
OTKINGS TEMPLATE
 
hampa Resume
hampa Resumehampa Resume
hampa Resume
 
Evaluation 23.march 2014
Evaluation 23.march 2014Evaluation 23.march 2014
Evaluation 23.march 2014
 
Education
EducationEducation
Education
 
Factor de seguridad contra deslizamiento de una Represa de Tierra
Factor de seguridad contra deslizamiento de una Represa de TierraFactor de seguridad contra deslizamiento de una Represa de Tierra
Factor de seguridad contra deslizamiento de una Represa de Tierra
 
Retribucion nº 6
Retribucion nº 6Retribucion nº 6
Retribucion nº 6
 
Articulacion de la docencia, investigación y gestión
Articulacion de la docencia, investigación y gestiónArticulacion de la docencia, investigación y gestión
Articulacion de la docencia, investigación y gestión
 
Cv ashish bhadania
Cv ashish bhadaniaCv ashish bhadania
Cv ashish bhadania
 
Hidrologia e Hidraulica
Hidrologia e HidraulicaHidrologia e Hidraulica
Hidrologia e Hidraulica
 
เงื่อนไข การตัดสินใจ
เงื่อนไข การตัดสินใจเงื่อนไข การตัดสินใจ
เงื่อนไข การตัดสินใจ
 

Semelhante a CONTRIBUIÇÕES AO PLS 330/2013, QUE ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS E OBRIGAÇÕES REFERENTES À PROTEÇÃO, AO TRATAMENTO E AO USO DE DADOS PESSOAIS

Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...
Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...
Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...
Brasscom
 
LGPD
LGPDLGPD
FEB-LGPD.pdf
FEB-LGPD.pdfFEB-LGPD.pdf
FEB-LGPD.pdf
ssuser9da561
 
L13709-LGPD
L13709-LGPDL13709-LGPD
L13709-LGPD
Wanderson Silveira
 
Lei nº 13709 de 14
Lei nº 13709 de 14Lei nº 13709 de 14
Lei nº 13709 de 14
M&B FERRAMENTAS EM GERAL
 
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaWorkshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
CNseg
 
Festival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captaçãoFestival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captação
ABCR
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
 
1597170273bhsE-book_-_LGPD2.pdf
1597170273bhsE-book_-_LGPD2.pdf1597170273bhsE-book_-_LGPD2.pdf
1597170273bhsE-book_-_LGPD2.pdf
Carla Reis
 
Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...
Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...
Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...
Conferência Luso-Brasileira de Ciência Aberta
 
lgpd_curso_ufba.pdf
lgpd_curso_ufba.pdflgpd_curso_ufba.pdf
lgpd_curso_ufba.pdf
ZecaCarvalhoJnior
 

Semelhante a CONTRIBUIÇÕES AO PLS 330/2013, QUE ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS E OBRIGAÇÕES REFERENTES À PROTEÇÃO, AO TRATAMENTO E AO USO DE DADOS PESSOAIS (11)

Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...
Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...
Posicionamento Brasscom - Privacidade e Proteção de dados pessoais na economi...
 
LGPD
LGPDLGPD
LGPD
 
FEB-LGPD.pdf
FEB-LGPD.pdfFEB-LGPD.pdf
FEB-LGPD.pdf
 
L13709-LGPD
L13709-LGPDL13709-LGPD
L13709-LGPD
 
Lei nº 13709 de 14
Lei nº 13709 de 14Lei nº 13709 de 14
Lei nº 13709 de 14
 
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario ViolaWorkshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
Workshop Proteção de Dados Pessoais - Danilo Doneda e Mario Viola
 
Festival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captaçãoFestival 2019 - A LGPD e seu impacto na captação
Festival 2019 - A LGPD e seu impacto na captação
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
1597170273bhsE-book_-_LGPD2.pdf
1597170273bhsE-book_-_LGPD2.pdf1597170273bhsE-book_-_LGPD2.pdf
1597170273bhsE-book_-_LGPD2.pdf
 
Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...
Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...
Sigilo e acesso: entendimentos e procedimentos para a adequada disponibilizaç...
 
lgpd_curso_ufba.pdf
lgpd_curso_ufba.pdflgpd_curso_ufba.pdf
lgpd_curso_ufba.pdf
 

Mais de Brasscom

Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Brasscom
 
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
Brasscom
 
Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom
 
Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16
Brasscom
 
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom
 
Doc 2017-018 v12
Doc 2017-018 v12Doc 2017-018 v12
Doc 2017-018 v12
Brasscom
 
Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11
Brasscom
 
Manifestação setorial pela sanção pl4302 v13
Manifestação setorial pela sanção pl4302   v13Manifestação setorial pela sanção pl4302   v13
Manifestação setorial pela sanção pl4302 v13
Brasscom
 
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob DemandaConsulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Brasscom
 
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom
 
Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2
Brasscom
 
Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1
Brasscom
 
P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30
Brasscom
 
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom
 
Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom
 
Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015
Brasscom
 
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016  QUE REGULAMENTA A LEI 12...MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016  QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
Brasscom
 
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
Brasscom
 
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Brasscom
 
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e InovaçãoContribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Brasscom
 

Mais de Brasscom (20)

Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
Doc 2017-027 (manifesto veto 52-2016 iss) v16 logo v17
 
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
EM DEFESA DA APROVAÇÃO DA REFORMA TRABALHISTA PARA A INCLUSÃO DO TRABALHADOR ...
 
Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14Brasscom doc-2017-025 (consulta pública anatel) v14
Brasscom doc-2017-025 (consulta pública anatel) v14
 
Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16Manifestação ao Projeto de Lei nº 5.587/16
Manifestação ao Projeto de Lei nº 5.587/16
 
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
Brasscom doc-2017-017 (cp mpog contrtação em nuvem) v20
 
Doc 2017-018 v12
Doc 2017-018 v12Doc 2017-018 v12
Doc 2017-018 v12
 
Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11Brasscom doc-2017-018 v11
Brasscom doc-2017-018 v11
 
Manifestação setorial pela sanção pl4302 v13
Manifestação setorial pela sanção pl4302   v13Manifestação setorial pela sanção pl4302   v13
Manifestação setorial pela sanção pl4302 v13
 
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob DemandaConsulta Pública Ancine – Comunicação Audiovisual Sob Demanda
Consulta Pública Ancine – Comunicação Audiovisual Sob Demanda
 
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
Brasscom doc-2017-012 (pp&n p. pub. br. dig.) v16
 
Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2Termo de fomento 01 2016 - 2
Termo de fomento 01 2016 - 2
 
Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1Termo de fomento 01 2016 - 1
Termo de fomento 01 2016 - 1
 
P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30P 2017-02-08 - mack dissertação v30
P 2017-02-08 - mack dissertação v30
 
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
Brasscom doc-2017-005 (mp 766 - regularização tributária) v13
 
Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43Brasscom doc-2017-006 (consulta pública io t) v43
Brasscom doc-2017-006 (consulta pública io t) v43
 
Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015Manifestação ao Projeto de Lei da Câmara nº 30/2015
Manifestação ao Projeto de Lei da Câmara nº 30/2015
 
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016  QUE REGULAMENTA A LEI 12...MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016  QUE REGULAMENTA A LEI 12...
MANIFESTAÇÃO SOBRE REFORMA DO DECRETO Nº 8.771/2016 QUE REGULAMENTA A LEI 12...
 
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
MANIFESTAÇÃO AO SUBSTITUTIVO DO SENADO FEDERAL AO PROJETO DE LEI DA CÂMARA Nº...
 
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
Manifestação pelo Veto Parcial do Projeto de Lei de Reforma da Lei Complement...
 
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e InovaçãoContribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
Contribuições ao novo Marco Legal da Ciência, Tecnologia e Inovação
 

CONTRIBUIÇÕES AO PLS 330/2013, QUE ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS E OBRIGAÇÕES REFERENTES À PROTEÇÃO, AO TRATAMENTO E AO USO DE DADOS PESSOAIS

  • 1. doc-2016-054contribuiesaopls3302013v21-161216155706 1/20 CONTRIBUIÇÕES AO PLS 330/2013 QUE ESTABELECE PRINCÍPIOS, GARANTIAS, DIREITOS E OBRIGAÇÕES REFERENTES À PROTEÇÃO, AO TRATAMENTO E AO USO DE DADOS PESSOAIS Outubro de 2016 INTRO DUÇÃO A Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação, é uma entidade que congrega seleto grupo de empresas fornecedoras de software, soluções e serviços de TIC e que tem como missão trabalhar em prol do desenvolvimento do setor, disseminando seu alcance e potencializando seus efeitos sobre a economia e o bem-estar social. É inquestionável o importante papel que a Internet tem na sociedade atual, tanto como viabilizadora de inclusão social quanto indutora de inovação e avanço tecnológico. A Brasscom serve-se desta oportunidade para deitar luz sobre alguns aspectos críticos que, entendemos, demandam atenta consideração por parte desta casa no tocante ao PLS 330/2016. NO TAÇÃO DAS ALTERAÇÕ ES PRO PO STAS E RESPECTIVAS JUSTIFICATIVAS Adotamos uma solicitação bastante pontual, reunindo um conjunto de modificações de maior relevância ou de aperfeiçoamento do texto, sendo as respectivas justificativas sumarizadas em cada tópico com os artigos relacionados. No intuito de melhor fundamentar as proposições manifestadas neste documento, a Brasscom se coloca à disposição para esclarecimentos adicionais ou mais detalhados. Adota-se a seguinte notação: Fragmento de texto taxado Propõe-se a eliminação do fragmento de texto do Projeto de Lei; Fragmento de texto sublinhado Propõe-se que o fragmento de texto seja acrescentado ao Projeto de Lei. [...] Refere-se à manutenção do fragmento de texto original do Projeto de Lei.
  • 2. doc-2016-054contribuiesaopls3302013v21-161216155706 2/20 Sumário Âmbito De Aplicação Da Lei E Jurisdição.................................................................................2 Definição De Dado Pessoal, Dado Pessoal Sensível, Dado Anonimizado Ou Anônimo e interconexão ........................................................................................................................4 Requisitos Para O Tratamento De Dados Pessoais ...................................................................5 Consentimento .....................................................................................................................6 Responsabilidade..................................................................................................................9 Transferência Internacional De Dados...................................................................................11 Sanções .............................................................................................................................18 Vigência .............................................................................................................................19 Âmbito De Aplicação Da Lei E Jurisdição Art. 2º Esta Lei aplica-se ao uso e ao tratamento de dados pessoais realizados no todo ou em parte no território nacional ou que nele produza ou possa produzir efeito, qualquer que seja o mecanismo empregado. § 1º Esta Lei aplica-se: I - mesmo que a atividade seja realizada por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos um integrante do mesmo grupo econômico possua estabelecimento no Brasil; II - quando a coleta, armazenamento ou utilização dos dados pessoais ocorrer em local onde seja aplicável a lei brasileira por força de tratado ou convenção. § 2º A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil. Art. 2º Esta Lei aplica-se a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do país de sua sede ou do país onde estejam localizados os dados, desde que cumulativamente: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens ou
  • 3. doc-2016-054contribuiesaopls3302013v21-161216155706 3/20 serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou e III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Parágrafo 1º. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. Parágrafo 2º. Esta Lei não se aplica: I – aos bancos de dados mantidos pelo Estado exclusivamente para fins de defesa nacional e segurança pública; II – aos bancos de dados mantidos exclusivamente para o exercício regular da atividade jornalística; III – à atividade de tratamento de dados realizada por pessoa natural para fins exclusivamente particulares e sem fim não econômicos; IV – à atividade de tratamento de dados coleta e ao uso de dados anonimizados e ou dissociados, desde que não seja possível identificar o titular; V – aos dados que estão meramente em trânsito no território nacional. § 4º Os dados desanonimizados, assim compreendidos aqueles dados inicialmente anônimos que, por qualquer técnica, mecanismo ou procedimento, permitam, a qualquer momento, a identificação do titular, terão a mesma proteção dos dados pessoais, aplicando-se aos responsáveis por sua coleta, armazenamento e tratamento o disposto nesta Lei. Justificativa Sugere-se a utilização da redação do Artigo 3º do PL 5276/2016, em substituição ao caput do Artigo 2º e aos Parágrafos 1º e 2º. O âmbito de aplicação da lei no Substitutivo é excessivamente amplo, pois pretende regular atividades de tratamento de dados pessoais de qualquer pessoa que esteja no Brasil, afastando-se da legislação comparada a respeito do assunto. Tal como redigidas, estas disposições implicam a aplicação da lei brasileira a atividades de tratamento de dados que ocorrem no Brasil, mas que envolvem estrangeiros, e não apenas cidadãos brasileiros. A aplicação da lei brasileira nesses casos poderia desestimular organizações do setor privado a escolher o Brasil como centro de operações, por exemplo, uma empresa com operações na América do Sul relutaria em estabelecer um Data Center no Brasil nesse ambiente regulatório, pois se veria obrigada a cumprir com a legislação brasileira mesmo sem tratar dados de cidadãos brasileiros. Além disso, tendo em vista a vasta abrangência do conceito de tratamento previsto no PLS 330/2013 e os possíveis impactos negativos que tal conceito abrangente pode trazer para o simples trânsito de dados pelo território nacional, sugere-se que o texto deste Projeto de Lei passe a trazer de maneira clara, a exclusão da aplicação do escopo da lei, os dados que circulem de maneira meramente transitória pelo território nacional.
  • 4. doc-2016-054contribuiesaopls3302013v21-161216155706 4/20 É salutar a inclusão do inciso IV, no sentido de deixar claro que não devem estar sujeitas à aplicação da lei os dados pessoais que tenham sido anonimizados ou que de qualquer outra forma não possam identificar de maneira inequívoca o titular. Porém, sugere-se exclusão do § 4º pois a Lei deve reger fatos e não hipóteses e/ou possibilidades. Definição De Dado Pessoal, Dado Pessoal Sensível, Dado Anonimizado Ou Anônimo e interconexão Art. 3º Para os efeitos desta Lei, considera-se: I – dado pessoal: qualquer informação referente a pessoa natural identificável ou identificada; qualquer dado que identifique de forma exata e precisa uma pessoa natural. II – dado pessoal sensível: qualquer dado pessoal que revelem a orientação religiosa, política ou sexual, a convicção filosófica, a procedência nacional, a origem racial ou étnica, a participação em movimentos políticos ou sociais, informações de saúde, genéticas ou biométricas do titular dos dados; dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados médicos, genéticos e referentes à orientação afetiva e de gênero; [...] VIII – interconexão Transferência: transferência replicação ou envio de dados pessoais de um banco de dados a outro, mantido ou não pelo mesmo proprietário; [...] XIII – dissociação ou anonimização: procedimento ou modificação destinado a impedir a associação de um dado pessoal a um indivíduo identificado ou identificável ou capaz de retirar dos dados coletados ou tratados as informações que possam levar à identificação dos titulares; XIV – dado anonimizado ou anônimo: dado relativo a um titular que não seja possa ser identificado, considerando a utilização dos meios técnicos razoáveis e disponíveis na ocasião de sua coleta ou tratamento. Parágrafo único. Considera-se privativo o uso das informações armazenadas no âmbito de organizações públicas ou privadas, respeitadas as finalidades para as quais foi criado o banco de dados e observados os princípios e as garantias definidos nesta Lei. Justificativa Devem ficar sujeitos à lei somente os dados que inequivocamente possam ser utilizados para identificar a pessoa natural, podendo assim afetar a sua privacidade. Um conceito amplo de dado pessoal pode inibir o desenvolvimento da economia e a inovação baseada em dados, na medida em que o tratamento engloba dados que são meramente relacionados as pessoas naturais. Uma conceituação ampla tornaria praticamente todos os dados
  • 5. doc-2016-054contribuiesaopls3302013v21-161216155706 5/20 produzidos pela atividade humana sujeitos à Lei, ainda que não possam ser utilizados para identificar inequivocamente o titular. Portanto, recomenda-se a alteração na definição de dado pessoal. Para a definição de dados pessoais sensíveis sugere-se que seja adotada uma definição taxativa, evitando-se definições abertas e genéricas que possam inibir novos modelos de utilização de tais dados para fins sociais e/ou econômicos. O termo Interconexão está tipicamente relacionado a rede de telecomunicações e cuja receita enseja, em via de regra, o pagamento de ICMS, além de tributos específicos do setor de telecomunicações, tais como: FUST e FUNTTEL. Desta forma, sugere-se a substituição desta nomenclatura pelo termo Transferência. Com relação a definição de dado anonimizado ou anônimo, entende-se que estes não são considerados dados pessoais, exatamente pela ausência de identificação do seu titular, sendo necessário, portanto, alterar sua definição como sugerido acima. Requisitos Para O Tratamento De Dados Pessoais Art. 4º Ao tratamento de dados pessoais aplicam-se os seguintes princípios: [...] V – consentimento livre, específico, inequívoco e informado, fornecido por qualquer meio que o certifique, do titular de dados como requisito à coleta de dados pessoais, inclusive quando o tratamento se der mediante o uso da Internet, e, ainda, prévio e expresso, quando se tratar de dados sensíveis que não sejam voluntariamente disponibilizados por seus titulares como manifestação de sua liberdade de expressão, consciência ou crença; ou de interconexão internacional de dados realizada por banco de dados privado; [...] Art. 15. É proibido o tratamento de dados pessoais sensíveis que não sejam voluntariamente disponibilizados por seus titulares como manifestação de sua liberdade de expressão, consciência ou crença, salvo: [...] V - quando disponibilizados voluntariamente por seus titulares, como manifestação de sua liberdade de expressão, consciência ou crença. § 1º O consentimento de que trata o inciso I será realizado por meio de manifestação destacada apartada em relação ao tratamento dos demais dados pessoais, devendo o titular ser informado prévia e ostensivamente extensivamente acerca da natureza sensível dos dados.
  • 6. doc-2016-054contribuiesaopls3302013v21-161216155706 6/20 Justificativa Como indicado no comentário anterior, o PLS 330/2013 adota um conceito muito amplo, exigindo em seus Artigos 4º e 15, como requisitos formais para o seu tratamento, em especial, consentimento expresso e por meio de manifestação apartada. Especificamente no que compete ao tratamento de dados sociais referentes à orientação religiosa, política ou sexual, ou à convicção religiosa, à procedência nacional, à origem racial ou étnica, ou ainda à participação em movimentos políticos e sociais, é preciso se ter muita cautela para não inibir a sua livre manifestação, conforme assegurado pela Constituição Federal, nos termos do Art. 5º, incisos VI, VIII e IX, dentre outros dispositivos, de forma que a lei de proteção de dados deve reconhecer e respeitar a expressão de tais convicções quando forem espontânea e livremente fornecidas pelos titulares como manifestação de sua liberdade de expressão, consciência ou crença, que constituem a base do ativismo e exercício pleno da cidadania. Com base em tais premissas, sugerimos a alteração da redação do inciso V do Art. 4º, assim como do caput do Art. 15 e a inclusão de um inciso V. Consentimento Art. 6º São direitos básicos do titular: [...] IV – consentimento livre, específico, inequívoco e informado sobre coleta, armazenamento e tratamento de dados pessoais, fornecido por qualquer meio que o certifique, inclusive quando o tratamento se der mediante o uso da Internet, que deverá sempre ocorrer de forma destacada; [...] V- o respeito aos dispositivos desta lei, mesmo quando os seus dados são tratados por terceiros em nome do responsável; VI – conhecimento da finalidade do tratamento automatizado dos seus dados; VII – exclusão definitiva, a seu requerimento e ao término da relação entre as partes, dos seus dados pessoais em quaisquer bancos de dados, ressalvadas outras hipóteses legais que incidem sobre a guarda de dados; [...] Art. 12. O tratamento de dados pessoais somente pode ser realizado nas seguintes hipóteses: I – mediante consentimento livre, específico, inequívoco e informado concedido pelo titular dos dados, fornecido por escrito ou por qualquer outro meio que o certifique, inclusive quando o tratamento se der mediante o uso da Internet;
  • 7. doc-2016-054contribuiesaopls3302013v21-161216155706 7/20 [...] Art. 13. O consentimento do titular deve ser prestado de forma destacada apartada do restante das declarações e dizer respeito a finalidade legítima, específica e delimitada. § 1º O titular deve ter acesso, antes de prestar o consentimento, a todas as informações relevantes acerca/ do tratamento dos seus dados, como a finalidade, a duração, o responsável, suas informações de contato e a possibilidade de transferência de seus dados a os terceiros a quem os dados podem ser comunicados. [...] § 3º O consentimento pode, a qualquer momento e sem ônus, ser revogado, sem aplicação de multa específica. [...] Art. 36. Os direitos previstos nesta Lei não excluem outros decorrentes de tratados ou convenções internacionais de que o Brasil seja signatário, da legislação interna ordinária e de regulamentos expedidos pelas autoridades administrativas competentes. Parágrafo único. Esta lei revoga disposições em contrário, especificamente, os incisos VII, VIII e IX da Lei nº. 12.965/2014. Justificativa A regra geral do consentimento livre, inequívoco e informado trazida pelo PLS 330/2013 é um importante e necessário avanço, garantindo a um só tempo a plena manifestação do consentimento e a não exigência de modos rígidos para a sua manifestação, o que seria incompatível com o dinamismo da inovação baseada no uso da Internet. Neste sentido, entende-se que o consentimento expresso deve ser prestado por meios formais, com cláusulas destacadas e manifestação por escrito do titular dos dados. Já o consentimento inequívoco, acertadamente erigido pelo Substitutivo como regra geral para a manifestação do consentimento para o tratamento de dados pessoais, é entendido como uma declaração ou comportamento afirmativo do titular e pode ser prestado de forma eficaz e completamente hábil a proteger os direitos e interesses dos titulares de dados ao tempo em que também se compatibiliza com o dinamismo do uso da Internet. O consentimento inequívoco pode ser prestado não apenas por meio de declarações em cláusula destacada e por escrito pelo titular, como também por meios eletrônicos e declarações orais, incluindo marcar uma alternativa (“ticking a box”) ao visitar um website, optar por determinadas configurações técnicas para o processamento de dados e informações pessoais, ou qualquer outra forma de declaração ou conduta que claramente indique a aceitação do titular quanto ao processamento dos seus dados pessoais. O consentimento inequívoco – diferentemente do expresso – ajuda a evitar práticas altamente indesejáveis e prejudiciais à experiência dos usuários da Internet, como a chamada “fadiga do consentimento” causada pelo excesso de requisições formais de prestação de consentimento expresso, que acaba resultando na prestação mal informada do consentimento, em grave prejuízo aos titulares e seus direitos.
  • 8. doc-2016-054contribuiesaopls3302013v21-161216155706 8/20 Além disso uma eventual lei sobre proteção de dados seria amplamente aplicável no país, atingindo o tratamento de dados pessoais feito seja por pessoa natural, seja por pessoa jurídica de direito público ou privado, sejam os dados coletados por meios físicos, digitais ou por meio do uso da Internet. Mas cabe-nos ressaltar que o Marco Civil da Internet pode ser interpretado por alguns como lei específica no que diz respeito ao tratamento de dados mediante o uso da Internet no Brasil e com base nisso, alguns poderiam argumentar que a regra do consentimento expresso, presente no Art. 7º, VII e IX do Marco Civil, teria prevalência, dada a sua especificidade, no caso do tratamento de dados realizados mediante o uso da Internet. Tal interpretação poderia levar a uma situação incoerente em que o consentimento necessário para o tratamento de dados feito mediante o meio mais dinâmico e propenso à inovação como é a Internet, seria mais rígido (livre, informado e expresso, devendo necessariamente ocorrer de forma destacada das demais cláusulas contratuais, conforme o Art. 7º, VII e IX do Marco Civil da Internet) que o exigível para o tratamento de dados por outros meios (livre, informado e inequívoco, dispensado das formalidades escritas, conforme disposto no texto do PLS 330/2013). Com o intuito de evitar esse risco, sugere-se que os Artigos 4º, 6º e 12 do PLS 330/2013 sejam emendados para dispor de modo expresso que o consentimento livre, informado e inequívoco pode ser “fornecido por qualquer outro meio que o certifique” e que se aplica inclusive ao tratamento de dados feito mediante o uso da Internet, com expressa revogação dos dispositivos em contrário dispostos no Marco Civil da Internet e em seu Decreto regulamentador. Da mesma forma, em nome da segurança jurídica, sugerimos a inclusão de um “Parágrafo único” ao texto do Art. 36, dispondo sobre a revogação dos incisos VII, VIII, IX do Marco Civil da Internet. Por fim, sugere-se que a qualificação de “específico” seja excluída da definição de consentimento presente no PLS 330/2013. Num primeiro plano, a exigência de que o consentimento seja fornecido de forma específica é dispensável em vista dos princípios da finalidade, adequação e boa-fé que devem guiar o tratamento dos dados pessoais, conforme disposto no Art. 4º do próprio PLS 330/2013. Se o tratamento já deve ser adstrito a “finalidades determinadas, vedada a utilização posterior incompatível com essas finalidades”, então a noção de especificidade já se encontraria abarcada pela lei na forma de um princípio. Em uma leitura mais profunda, incluir de forma expressa a qualificadora de “específico” ao conceito normativo de consentimento pode servir como uma grave barreira ao processo definido por Schumpeter1 como “destruição criativa”, segundo o qual a indústria incessantemente revoluciona a estrutura econômica, num movimento de dentro para fora, com isso destruindo incessantemente modelos antigos e criando novos. De acordo com esse processo, é impossível prever de forma objetiva e completamente “específica” todos os usos possíveis e imagináveis dos dados pessoais pela indústria – dado que ela está sempre evoluindo e destruindo modelos de produção antigos ao tempo em que constrói novos. Nesse contexto, impor uma necessidade de consentimento “específico” atingiria a possibilidade de toda economia baseada em dados de inovar mediante o processo de “destruição criativa”, já que a indústria estaria adstrita a tratar dados conforme o consentimento “específico” a modos de tratamento prévio e eventualmente superados pelo processo de “destruição criativa”. Em suma, o mais importante não é o fornecimento do consentimento “específico” para cada uso determinado dos dados pessoais, mas sim a certeza de que o consentimento seja dado de maneira livre, informada e inequívoca e prestado a cada mudança significativa na forma do 1 SCHUMPETER, Joseph Alois (1942). Capitalismo, socialismo e democracia. Rio de Janeiro: Zahar Editores, 1984.
  • 9. doc-2016-054contribuiesaopls3302013v21-161216155706 9/20 tratamento dos dados pessoais. Deste modo, é possível alcançar o equilíbrio desejável entre a proteção à privacidade e a garantia de que a sociedade poderá continuar inovando. Responsabilidade Art. 17. Aquele que realizar tratamento de dados pessoais em desconformidade com o estabelecido nesta Lei, causando, por tratamento inadequado de dados pessoais, causar dano a outrem, comete ato ilícito e obriga-se a ressarci-lo. Parágrafo único. Os responsáveis pelo tratamento de dados pessoais respondem, no âmbito de sua atuação, independentemente da existência de culpa, pela reparação dos danos causados aos titulares ou a terceiros. [...] Art. 20. A comunicação ou a transferência interconexão de dados pessoais somente podem ser realizadas: I – quando o titular consentir de forma livre, inequívoca específica e própria; II – nas hipóteses previstas nos incisos III a VI do art. 12 desta Lei. § 1º A comunicação e a transferência interconexão de dados pessoais sujeitam todos aqueles que tiverem acesso aos dados às mesmas obrigações legais e regulamentares do responsável. § 2º Em caso de dano decorrente ou associado à comunicação ou à interconexão, respondem solidariamente todos cada qual aqueles que tiverem acesso aos dados. § 3º Os critérios adicionais para a comunicação e a transferência interconexão de dados pessoais serão definidos em regulamento. Art. 21. As autoridades administrativas competentes, no âmbito de suas atribuições, fiscalizarão a comunicação e a transferência interconexão de dados pessoais, podendo determinar, mediante processo administrativo, que sejam assegurados o contraditório e a ampla defesa, o cancelamento dos dados, o fim da transferência interconexão ou outras medidas que garantam os direitos dos titulares. [...] Art. 25. O responsável deverá observar os padrões de Os critérios mínimos de segurança adequados, garantindo ainda que tais padrões sejam a serem seguidos pelo responsável, pelo contratado e por todos aqueles que tiverem acesso aos dados pessoais por comunicação, interconexão ou qualquer outra forma serão definidos em regulamento. [...]
  • 10. doc-2016-054contribuiesaopls3302013v21-161216155706 10/20 Art. 34. Serão solidariamente responsáveis as empresas ou entidades integrantes de grupo econômico, de fato ou de direito, quando pelo menos uma delas praticar infração a esta Lei. Parágrafo único. Caso a empresa responsável seja sediada no exterior, o pagamento da multa ou o cumprimento da obrigação de fazer ou não fazer pode ser exigido da filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil. Art. 34. Na hipótese de descumprimento das condições previstas na presente lei durante o tratamento de dados que cause danos ao titular, o agente responsável responderá estritamente no âmbito de sua atuação na cadeia de tratamento. Parágrafo único. A responsabilidade dos demais agentes da cadeia de tratamento de dados em relação aos danos causados deverá ser apurada de acordo com os termos pelos quais foram contratados pelo responsável pelo tratamento e em consonância com o dever de guarda dos dados e respectivo resultado do tratamento. Justificativa A responsabilização das empresas que tratam dados e prestam serviço ao titular em relação aos dados pessoais deve se dar no tocante (i) ao respeito aos direitos e liberdades fundamentais do titular, (ii) ao tratamento dos dados no âmbito do consentimento, do legítimo interesse, ou nas demais hipóteses previstas em lei, e (iii) ao dever de guarda dos dados tratados. No caso de descumprimento de seus deveres, a empresa que tratou os dados responderá pelos danos causados ao titular dos dados estritamente no âmbito de sua atuação dentro da cadeia de tratamento, devendo ser apuradas as respectivas responsabilidades de cada uma das demais empresas especializadas por ela contratadas. Desta forma, caberá única e exclusivamente a esta empresa toda e qualquer responsabilidade em relação à coleta e tratamento destes dados, independente da cadeia produtiva que esteja por trás de sua atividade. Ou seja, trata-se de responsabilidade subjetiva e direta desta empresa frente ao usuário em relação a qualquer dano sofrido por este pelo tratamento indevido ou não-autorizado de seus dados. De acordo com o disposto nos artigos 1862 e 9273 do Código Civil Brasileiro, a responsabilidade subjetiva caracteriza-se quando o dano decorrer de uma conduta comissiva ou omissiva, culposa ou dolosa, do próprio causador da lesão. Logo, afasta-se qualquer possibilidade de evocação de responsabilidade objetiva ou solidária de todos os demais atores desta cadeia produtiva frente ao usuário detentor dos dados que teve seu direito lesado. O modelo de responsabilização subjetiva e direta tem como principal objetivo garantir ao usuário o correto encaminhamento de suas demandas e pleitos, assim como a fácil identificação 2 Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito. 3 Art. 927. Aquele que, por ato ilícito (Arts. 186 e 187), causar dano a outrem, fica obrigado a repará -lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem.
  • 11. doc-2016-054contribuiesaopls3302013v21-161216155706 11/20 do responsável na hipótese de descumprimento das regras da futura norma sobre proteção de dados pessoais. Por sua vez, a responsabilização das empresas subcontratadas na cadeia de tratamento deve se dar no tocante (i) aos termos pelos quais foram contratadas e (ii) ao dever de guarda dos dados a serem tratados e os respectivos resultados do tratamento, sem a necessidade de regulação ex ante por parte de eventual Órgão Competente. Veja-se que, por serem pessoas jurídicas diversas e independentes, as empresas não poderão exercer controle sobre as atividades umas das outras e, portanto, não é razoável atribuir - se responsabilidade solidária entre elas por atos sobre as quais não tem poder de supervisão que lhes permita controlar e evitar os prejuízos que serão obrigadas a reparar. Convém citar o exemplo do Cadastro Positivo, em que a responsabilidade objetiva e solidária entre fontes, consulentes e bancos de dados, tem representado um importante entrave para a implementação exatamente em razão do argumento acima exposto. Ressalte-se que as empresas que compõem a cadeia de empresas subcontratadas pela empresa que trata os dados e presta serviço para o titular, podem estar no Brasil ou em qualquer outro lugar do mundo. Sugere-se, portanto, que as empresas cedentes (empresas que coletam dados e prestam serviço ao titular) e cessionárias (empresas subcontratadas na cadeia de tratamento) respondam dentro dos limites de sua atuação pelos danos decorrentes na cadeia de tratamento de dados, independentemente do local onde estes se localizem, devendo ser apuradas as respectivas responsabilidades, cabendo (i) ao cedente, a responsabilidade pela integridade dos dados pessoais transmitidos tais como coletados e pela comunicação de eventuais alterações nos dados ou no consentimento ao cessionário; (ii) ao cessionário, a integridade dos dados pessoais tais como transmitidos pelo cedente, pelo seu tratamento em conformidade com as hipóteses legais e pela integridade dos dados de acordo com posteriores comunicações do cedente. Transferência Internacional De Dados Art. 26. A transferência internacional de dados pessoais somente pode ser realizada nas seguintes hipóteses: I – para países que proporcionemo mesmo grau de proteção de dados previsto nesta Lei; II – quando o titular, após ser devidamente informado do caráter internacional do tratamento e dos riscos existentes no tratamento de dados no país de destino, consentir de forma específica e própria; III – quando necessário para o cumprimento de obrigação prevista na legislação brasileira; IV – quando necessário para tutela da saúde ou proteção da incolumidade física do titular ou de terceiro; V – na cooperação internacional entre Estados relativa às atividades de inteligência e investigação, conforme previsto nos instrumentos de direito internacional dos quais o Brasil seja signatário.
  • 12. doc-2016-054contribuiesaopls3302013v21-161216155706 12/20 Parágrafo único. Autoridade competente gerenciará o regime de autorizações para transferência de dados pessoais ao exterior. Art. 27. O grau de proteção de dados dos países de destino será analisado por meio de critérios definidos em regulamento. Art. 28. A transferência de dados pessoais para países que não proporcionem o mesmo grau de proteção de previsto nesta Lei será permitida quando o responsável oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime jurídico de proteção de dados previsto nesta Lei, na forma de cláusulas contratuais específicas para uma determinada transferência, de cláusulas contratuais padrão ou em normas corporativas globais, nos termos do regulamento. § 1° Compete à autoridade administrativa competente prever requisitos, condições e garantias mínimas que deverão constar obrigatoriamente de cláusulas contratuais, que expressem os princípios gerais da proteção de dados, os direitos básicos do titular e o regime jurídico de proteção de dados. § 2° A autoridade administrativa competente poderá aprovar normas corporativas globais dos responsáveis pelo tratamento de dados que fizerem parte de um mesmo grupo econômico, dispensando a autorização específica para determinado tratamento, desde que observadas as garantias adequadas para a proteção dos direitos dos titulares dados pessoais. § 3º Em caso de dano decorrente ou associado à transferência internacional de dados, respondem solidariamente todos aqueles que tiverem acesso aos dados. Art. 26. A transferência internacional de dados poderá ocorrer livremente observado os princípios estabelecidos nesta lei. Justificativa Um dos temas centrais no debate sobre proteção de dados pessoais é a questão da transferência internacional de dados, essa centrada em uma preocupação ainda anterior ao mundo conectado, na qual o regulador europeu tinha uma preocupação, legítima, de garantir que os dados dos seus cidadãos fossem protegidos, em qualquer lugar do mundo aonde fossem tratados. Nessa época, contudo, a transferência internacional de dados não era algo absolutamente corriqueiro e cotidiano como vemos atualmente. A realidade atual é que o fluxo internacional de informações é uma importante fonte de valor econômico e social, sendo que um dos grandes benefícios da sociedade digital está justamente nas economias de escala advindas desse ecossistema. Isto porque, fluxos internacionais de informação são extremamente necessários para a manutenção dos mais diversos tipos de atividade econômica e são, na prática, um pressuposto para o bom funcionamento da sociedade conectada. A Internet e o livre fluxo internacional de dados propiciam, atualmente, o florescimento de diversas empresas digitais, em diferentes lugares do mundo, que graças a inexistência de barreiras no mundo digital conseguem atingir pessoas a qualquer hora e em qualquer lugar.
  • 13. doc-2016-054contribuiesaopls3302013v21-161216155706 13/20 A invenção da Internet e o consequente livre fluxo de dados por ela proporcionado são o maior avanço na facilitação do comércio. Isso porque, servem como um mercado ou um canal de distribuição, que têm permitido o comércio transnacional, a concorrência e a inovação4 . Neste sentido, os países poderão aumentar os benefícios internos de toda a sociedade conectada expandindo a penetração da Internet e criando estruturas inteligentes, que permitam que os dados possam trafegar de forma segura e livre em seus territórios. Do contrário, estudos acadêmicos apontam que restrições ao livre fluxo internacional de dados e informações poderão reduzir o crescimento do PIB entre 1-2 pontos percentuais5 . Apesar de legítima a preocupação do legislador acerca da transferência e do fluxo das informações pessoais dos cidadãos ao redor do mundo, propondo dispositivos no PLS 330/2013 que possam regular o tema de forma adequada e proteger os direitos dos cidadãos brasileiros, não podemos afastar dessa equação a preocupação com a manutenção do livre trânsito de ideias, informações, conteúdo e da livre iniciativa empresarial, que não podem ser tolhidos. Outrossim, a adoção de regras similares àquelas adotadas pela União Europeia poderá gerar insegurança jurídica e graves impactos econômicos para a florescente economia digital brasileira como será demonstrado a seguir. A. O fluxo internacional de dados e informações e sua importância para o desenvolvimento econômico e social do Brasil O acesso a mercados estrangeiros e às cadeias de suprimento globalizadas são uma importante fonte de crescimento, emprego e novos investimentos – em especial para economias em desenvolvimento. Impor barreiras ao fluxo internacional de dados afeta potencialmente todas as empresas que de alguma forma utilizam a Internet em seus processos produtivos, assim como aquelas que somente entregam e/ou recebem pagamentos pelos seus produtos e/ou serviços através dela. A adoção de medidas como as propostas no Capítulo IV do PLS 330/2013, que possam restringir a operação no Brasil de empresas estrangeiras que dependam especificamente do fluxo internacional de dados para realização de suas atividades, poderá acarretar um impacto estimado no PIB do Brasil de cerca de (-0,2%). Em igual sentido, se considerarmos todos os demais setores da economia brasileira que dependam, de alguma forma, do livre fluxo internacional de dados em sua operação e as restrições que se pretende impor, teremos uma perda estimada no PIB maior que (-0,8%)6 . Outrossim, é notória a importância do livre fluxo internacional de dados para o crescimento da economia brasileira e, principalmente, para a entrada de forma sustentável do país na economia digital. Para tanto, o Brasil deve consolidar-se como incentivador do livre fluxo de dados e informações, posição esta que atrairá grandes empresas do setor de tecnologia interessadas em desenvolver não só Data Centers no país, como também em tornar o Brasil um novo centro mundial de tecnologia. 4 The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data, Moving Commerce. A trade impact assessement of the General Data Privacy Regulation (GDPR) by the European Centre for International Political Economy (ECIPE) for the U.S. Chamber of Commerce. Março de 2013 - Pág. 5. Disponível em: https://www.uschamber.com/sites/default/files/documents/files/020508_EconomicImportance_Final_Revised_lr.pdf 5 Matthias Bauer et al., The costs of data localization: Friendly fire on economic recovery, ECIPE occasional Paper No. 3/2014, May 2014. 6 Idem a Nota de Rodapé (2).
  • 14. doc-2016-054contribuiesaopls3302013v21-161216155706 14/20 Entretanto, caso o Brasil decida-se pela adoção de modelo similar ao da União Europeia para proteção de dados, deverá estar ciente dos riscos econômicos e sociais que poderão ser suportados. Isto porque, estaremos inferindo que nossa legislação é adequada frente ao modelo europeu quando, na verdade, será necessário passar ainda pelos processos de validação e aprovação dos reguladores europeus, excluindo a garantia de adequação de forma automática. B. Insegurança jurídica e impacto econômico negativo na economia digital brasileira com a adoção de modelo similar ao da União Europeia para transferência internacional de dados A União Europeia publicou em 1995 a Diretiva sobre Proteção de Dados Pessoais7 , com regras específicas e restritas para tratamento e transferência internacional de dados entre seus países membros e países terceiros, impondo a avaliação e validação pela Comissão Europeia da aderência da legislação do país terceiro para o qual os dados serão transferidos. A Diretiva sobre Proteção de Dados Pessoais da União Europeia passou a viger em outubro de 1998 e, desde então, países que tenham interesse em tornar-se parceiros comerciais da União Europeia buscam adequar sua legislação de proteção de dados pessoais – ou quando esta legislação não existe, criam mecanismos que possam ser validados pela Comissão Europeia – para habilitá-los a firmar acordos de transferência internacional de dados com o bloco econômico europeu. Muito embora a mecânica pareça atraente para o desenvolvimento de negócios, na prática pouquíssimos países tiveram seu arcabouço jurídico sobre proteção de dados reconhecidos como aderentes às medidas de proteção da União Europeia, nomeadamente, Andorra, Argentina, Canadá (organizações comerciais), Nova Zelândia, Suíça e Uruguai8 . Baseada nesta Diretiva sobre Proteção de Dados Pessoais, em 26 de julho de 2000, a Comissão Europeia reconheceu9 o “Safe Harbour Privacy Principles” (“Safe Harbour”), emitido pelo Departamento de Comércio dos Estados Unidos da América (“U.S. Department of Commerce10 ”), como uma proteção adequada para efeitos de transferência de dados pessoais da União Europeia para os Estados Unidos. Como resultado, o Safe Harbour permitiu a transferência de dados pessoais com propósitos comerciais de empresas da União Europeia para empresas dos Estados Unidos que aderiram a este acordo, a partir do momento que as empresas norte-americanas se comprometessem a seguir as regras ali contidas e notificassem o U.S. Department of Commerce acerca desta adequação e submissão. O Safe Harbour proporcionou que mais de 4.400 empresas norte-americanas, de todos os tamanhos e de diferentes setores, transferissem legalmente dados da União Europeia para os Estados Unidos por mais de 15 anos. Durante este período, o relacionamento comercial 7 Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas naturais no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em: http://eur-lex.europa.eu/legal- content/PT/TXT/?uri=URISERV%3Al14012. 8 Disponível em: https://iapp.org/news/a/on-the-adequacy-of-an-adequacy-decision-post schrems/?mkt_tok=eyJpIjoiT0Raa05UWm1OVFl3TkdRMSIsInQiOiJzUE F0OEgx b0NHeV dpUWZFV WdQdjdtWGlmTk1Ybmg4QjNqbVc0TllETV RhSlNwR1o0NlNSM3RLdVZVWXBUXC92dHBGbHJyWCtjV0Y2eWJSNVRyQXBnZDBaYmY5eFpMd1owYmZPOVZZOTBFdDA9In0%3D. 9 Decisão disponível em: http://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELE X:32000D0520. 10 Informações disponíveis em: http://export.gov/safeharbor/eu/index.asp.
  • 15. doc-2016-054contribuiesaopls3302013v21-161216155706 15/20 transatlântico foi próspero, criando novos empregos e oportunidades tanto para os países membros da União Europeia quanto para os Estados Unidos. Contudo, em 06 de outubro de 2015 o Tribunal de Justiça da União Europeia invalidou o acordo de Safe Harbour sob o fundamento de que a Comissão Europeia não tinha avaliado adequadamente se os Estados Unidos mantêm proteções “essencialmente equivalentes” para dados de cidadãos da União Europeia. A invalidação deste acordo colocou em risco o tráfego de dados que sustenta a maior relação comercial do mundo, tendo causado ainda maior impacto nas pequenas empresas norte- americanas que não possuem recursos financeiros para adotar outros métodos de transferência de dados, mitigando possíveis reclamações de seus consumidores11 . No dia 2 de fevereiro de 2016, a Comissão Europeia e o Departamento de Comércio dos Estados Unidos da América anunciaram um acordo para substituir o Safe Harbour, qual seja, o “EU-US Privacy Shield” (“Privacy Shield”), que teve seu texto12 publicado no dia 29 de fevereiro de 2016. Verifica-se que ao mesmo tempo que a adoção do modelo da União Europeia para proteção de dados pessoais demonstra-se como uma via economicamente benéfica para o Brasil – pois estreitaríamos os laços comerciais com o bloco europeu passando a ser parceiros comerciais na área de TIC, especialmente no tratamento de dados pessoais, possibilitando o desenvolvimento de uma forte indústria de Data Centers no país –, esse alternativa traria enormes custos de compliance para as empresas brasileiras sem que houvesse a garantia de que a União Europeia irá, de fato, reconhecer as regras brasileiras como adequadas em relação ao nível de proteção exigido. Ademais, não se pode olvidar o impacto que será gerado para o desenvolvimento e crescimento da Internet das Coisas (“IoT”) no Brasil ao exigir-se o consentimento como base para o tratamento dos dados. A IoT possibilita a comunicação entre todos os objetos, viabilizando a criação de ambientes inteligentes que alteram significativamente o nosso cotidiano, a forma que realizamos negócios e como nos divertimos, configurando-se como uma oportunidade para o Governo brasileiro aumentar o bem-estar da sociedade nas áreas de educação, saúde pública, infraestrutura urbana, entre outras. Neste sentido, entendemos não ser cabível aplicar o instituto do consentimento prévio ao universo da IoT e, tampouco, as barreiras que serão impostas na hipótese de manutenção das regras dispostas no Capítulo V do PL 5276/2016 em relação a transferência internacional de dados, em razão dos possíveis impactos negativos que poderão vir a ser suportados no desenvolvimento e crescimento destas tecnologias em nosso país. No mesmo sentido, enfatizamos que a modalidade de consentimento expresso seria impraticável em uma série de aplicações da IoT. A título de exemplo, existem diversas aplicações para o uso em automóveis, permitindo o gerenciamento de vagas de estacionamento em locais públicos e/ou privados, garantindo o controle de acesso e tráfego mais eficiente. As aplicações da Internet das Coisas ainda estão em seu estágio inicial, tanto de desenvolvimento, quanto no que diz respeito a familiarização e acesso da sociedade a suas 11 Disponível em: http://convergecom.com.br/teletime/06/10/2015/tribunal-da-uniao-europeia-invalida-acordo-sobre-transferencia-de-dados-com-os- eua/. 12 Disponível em: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.
  • 16. doc-2016-054contribuiesaopls3302013v21-161216155706 16/20 funcionalidades. No entanto, sabemos que a disseminação desse tipo de tecnologia é iminente e já é de conhecimento de todos os que se debruçam sobre os assuntos relacionados a tecnologia e a proteção de dados. Muito se tem discutido sobre os princípios que podem ser adotados para regular este tipo de atividade, tendo em conta que, devido à sua natureza, certos tipos de controle e barreiras podem cercear sua funcionalidade e desenvolvimento. É fundamental, portanto, que o desenvolvimento de produtos e serviços não estejam condicionados tão somente a questões jurídicas de forma unilateral, cabendo à legislação preservar meios de manter e fomentar o desenvolvimento e a inovação. C. Proposta para a questão da Transferência Internacional de Dados por empresas sediadas no Brasil Acreditamos que se vestem de maior segurança jurídica as medidas adotadas em âmbito privado que visem regular as práticas já adotadas comercialmente entre as empresas para a transferência internacional de dados. Nessa linha, a própria União Europeia abraça, em seu ordenamento jurídico, as alternativas de regras empresariais vinculativas (“BCRs”), bem como a de modelos de cláusulas contratuais (“MCCs”). Desse modo, a Brasscom entende ser mais adequado para o pleno desenvolvimento do ecossistema de dados, e a consequente inserção do Brasil na economia digital, um mecanismo que conferisse à parte responsável pela coleta dos dados garantir que, na transferência para terceiros, independente da jurisdição, estes tratem essas informações de maneira apropriada. Em linhas gerais, um cenário ideal se desenha na possibilidade de as empresas responsáveis pelos dados serem incumbidas de zelar pela integridade das ações de transferências internacional destes e serem responsabilizadas caso ocorra a transferência para empresas que não sigam/adotem política de proteção equivalente. Com a adoção deste mecanismo a empresa que coleta os dados ficaria responsável pela implementação de mecanismos que obrigassem a empresa terceira a tratar os dados pessoais em conformidade com seus compromissos de privacidade, mediante a instauração de procedimentos de auditoria para assegurar a adoção das medidas apropriadas. Assim, evita-se a criação de obstáculos legais e administrativos desnecessários, na mesma medida em que as empresas envidam esforços para garantir a integridade dos dados. Esse mecanismo permite que, independentemente das regras de proteção dos países onde os dados sejam mantidos e/ou tratados, se garanta ao titular dos dados o cumprimento de um conjunto de regras de proteção de suas informações pessoais. Com a adoção desta solução o local de armazenamento dos dados deixa de ser tão relevante, pois o que se torna fundamental no presente caso é o compromisso assumido pela empresa responsável pela coleta dos dados quando da transferência destes para terceiros. Esta alternativa tem, dentre outros objetivos, atrair investimentos para o setor de TIC no Brasil, transformando nosso país em um potencial hub de guarda e tratamento de dados através de incentivos para a implementação de Data Centers; impulsionar o empreendedorismo digital, que poderá alcançar empresas de diferentes portes, desde microempresas até as gigantes mundiais de tecnologia; e evitar eventuais conflitos comerciais com países estrangeiros que não tenham legislação específica sobre proteção de dados pessoais, e acabem prejudicando o fluxo de negócios destes países com as empresas sediadas no Brasil.
  • 17. doc-2016-054contribuiesaopls3302013v21-161216155706 17/20 Corroborando com esta ideia temos o exemplo dos Estados Unidos que entendem que a transferência internacional de dados deve ser tratada pelas empresas no âmbito privado, instrumentalizada através de contratos. Por tal razão, o país não regula a questão, dando liberdade as empresas e aos empreendedores da economia digital e garantindo aos Estados Unidos número significativo de empresas on-line se comparado a Europa, como pode ser visto no quadro abaixo13 : O Canadá, por sua vez, em sua Lei de Proteção de Informações Pessoais e Documentos Eletrônicos – Personal Information Protection and Electronic Documents Act – PIPEDA14 – estabelece que as empresas sejam responsáveis pela proteção dos dados pessoais quando da transferência dos mesmos para terceiros. De acordo com a PIPEDA, as empresas devem assegurar, seja através de um contrato ou de algum outro modo, um nível de proteção equiparável aquele previsto na lei canadense durante o processamento dos dados pessoais por terceiros. Sendo certo que, nesta hipótese, “nível de proteção equiparável” deve ser entendido como a proteção oferecida pelo terceiro encarregado de processar os dados pessoais ser comparável ao nível de proteção que os dados teriam caso fossem tratados pela própria empresa. Não se pretende que as medidas de proteção adotadas pelos terceiros sejam idênticas àquelas adotadas pelas empresas, contudo, objetiva-se uma equiparação entre os meios de proteção adotados no tratamento dos dados pessoais pelas partes. Isto porque, quando as empresas decidem delegar o processamento de dados a terceiros, devem adotar todas as medidas razoáveis necessárias para impedir o uso e a divulgação ilícita destes dados pessoais enquanto se encontram nas mãos destes terceiros encarregados de tratá - las. A premissa adotada é de que as empresas devem assegurar a proteção adequada dos dados pessoais em todos os momentos, independente do fato de terem transferido os mesmos para terceiros, dentro ou fora do País. D. Sugestão para questão da Transferência Internacional de Dados disposta no PLS 330/2013 13 The Economist. Regulating technology companies – Taming the beasts. Disponível em http://www.economist.com/news/business/21699465-european-governments-are-not-alone-wondering-how-deal-digital-giants-taming. 14 Disponível em http://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.html#docCont.
  • 18. doc-2016-054contribuiesaopls3302013v21-161216155706 18/20 Inicialmente cumpre esclarecer que além da adequação da legislação pátria à eventuais regulamentos estrangeiros, existem outros mecanismos distintos para se conseguir a interoperabilidade com outros países ou blocos econômicos (por exemplo, a União Europeia), tais como: tratados bilaterais; as já citadas BCRs; além das cláusulas contratuais padrão, sem que haja necessidade de avaliação e validação pelo Órgão competente local. Países que objetivem permitir o livre fluxo de informações, através do crescimento do setor de TIC e da continuidade do desenvolvimento da economia digital, estarão melhor posicionados na competitiva economia mundial se incentivarem as empresas responsáveis pela coleta e tratamento de dados a criarem programas que protejam a privacidade das informações coletadas, independentemente da localização geográfica ou jurisdição destas, estando prontos para demonstrar e explicar aos reguladores locais como estas políticas de proteção são criadas e colocadas em prática. Esta abordagem é uma das mais promissoras para garantir a interoperabilidade (e respeito mútuo) entre países e blocos econômicos com diferentes regimes de privacidade de dados, demonstrando-se como uma das principais características dos emergentes e modernos regulamentos sobre privacidade. Frente ao exposto, a Brasscom entende que a criação de dispositivos específicos no PLS 330/2013 que regulem a transferência de dados por empresas estabelecidas no Brasil para empresas no exterior impactará negativamente a economia nacional, ao criar barreiras para o fluxo de informações que são essenciais para o desenvolvimento da economia digital e do setor de TIC no país. Por fim, ratificamos o entendimento de que a empresa que coleta os dados deve ser a responsável direta pelo tratamento e armazenamento destes, garantindo que todas as demais empresas de sua cadeia produtiva envolvidas neste processo – sejam elas integrantes do mesmo grupo econômico ou não – cumpram as obrigações por ela estabelecidas referentes ao tratamento dos dados e garantam aos usuários segurança no uso e guarda dos mesmos. Sanções Art. 31. As infrações desta Lei ficam sujeitas, conforme o caso, às seguintes sanções administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas específicas: I – advertência, com indicação de prazo para a adoção de medidas corretivas; II – alteração ou, retificação ou cancelamento do banco de dados;, através da celebração de Compromissos de Ajustamento de Conduta (CAC) com os responsáveis que incorram em infração às normas desta lei, visando a adoção de medidas corretivas que considerem necessárias para reverter os efeitos danosos que a conduta infratora tenha causado e para evitar que esta se produza novamente no futuro; [...] IV – suspensão, parcial ou total, exclusivamente das atividades de tratamento de dados pessoais que impliquem em danos ao titular;
  • 19. doc-2016-054contribuiesaopls3302013v21-161216155706 19/20 V – proibição, parcial ou total, das atividades de tratamento de dados pessoais; [...] § 3º A pena de proibição de tratamento de dados pessoais não será superior a cinco anos. Justificativa As sanções previstas na redação original do Art. 31 do PLS 330/2013 podem, na prática, equivaler ao bloqueio no país das atividades de empresas baseadas majoritariamente no tratamento de dados. Dentre os afetados por tais medidas desproporcionais, estão não apenas plataformas que possibilitam a aproximação entre empresas e clientes efetivos e potenciais ou a comunicação entre as pessoas, como também bancos de dados públicos e privados, plataformas de compartilhamento de informações urbanas e de dados de transporte, plataforma de serviços compartilhados como hospedagem, empresas financeiras ou de crédito, empresas baseadas na agricultura de precisão, empresas de tecnologia médica, enfim, um amplo espectro da indústria – sendo que os maiores prejudicados muitas vezes são os próprios cidadãos. Ressalte-se que os atos de bloqueio parcial ou total da Internet violam diretamente o direito fundamental das pessoas de receber e transmitir informações, impedindo que elas se comuniquem com seus familiares e amigos em situações diárias ou de emergência, além de causar um indesejável impacto negativo na economia dos países afetados pelo bloqueio. Em resumo, há o risco de o Brasil enfrentar o encerramento de atividades empresariais, abrindo espaço para possível violação dos direitos fundamentais dos titulares, como liberdade de expressão e comunicação, representando um forte fator de insegurança jurídica e de desestímulo a investimentos e à prestação de serviços no Brasil. Vigência Art. 37. Esta Lei entra em vigor após decorridos cento e vinte dias 36 (trinta e seis) meses após a data de sua publicação oficial. Parágrafo único: Os dados pessoais armazenados pelos responsáveis em conformidade com a legislação vigente à época de sua coleta não estarão sujeitos à obtenção do consentimento dos seus titulares, aplicando-se ao seu tratamento, contudo, as demais disposições desta lei. Justificativa Tendo em vista as diversas providências necessárias para a devida adequação das empresas à nova legislação, faz-se necessário o alargamento da vacatio legis. Vale ressaltar que o prazo foi sugerido com base naquele estabelecido pela regulação que substituirá a Diretiva 95/46/EC, de 1995 - General Data Protection Regulation (GDPR) -, aprovada recentemente na Europa, que é de 2 anos. No entanto, como no Brasil não há legislação específica nesse sentido, será necessário que a população entenda a relevância da proteção de dados pessoais e as providências que deve adotar para assegurar o seu tratamento, especialmente nos casos em que se requer consentimento, e que as empresas possam investir em tecnologia e implementar procedimentos internos e externos que garantam o adequado
  • 20. doc-2016-054contribuiesaopls3302013v21-161216155706 20/20 cumprimento da lei. Entendemos, assim, que o prazo de 36 meses é o mínimo para que os mais diversos setores da economia possam buscar a sua adequação às novas normas de proteção de dados pessoais para que esta seja de fato efetiva. Outrossim, a Lei de Introdução às Normas do Direito Brasileiro ao Código Civil estabelece que a nova lei, ao entrar em vigor, “terá efeito imediato e geral, respeitados o ato jurídico perfeito, a coisa julgada e o direito adquirido”. Ainda, disciplina que o ato jurídico perfeito é aquele “consumado segundo a lei vigente ao tempo em que se efetuou”. Tal dispositivo é de extrema importância para garantir a segurança jurídica dos atos praticados com base na legislação vigente à época da coleta dos dados pessoais e deve ser aplicado a este projeto, sobretudo no que tange às empresas que exercem, de forma organizada, a atividade de banco de dados. Se diferente for, tais empresas correm o risco de não ter seu principal ativo – o banco de dados – ou sofrerem perda substancial que inviabilize a continuidade de suas atividades após a entrada em vigor da lei. Cumpre mencionar o exemplo trazido pela doutrinadora Maria Helena Diniz em questão de semelhante relevância, ao dispor que “a alteração da maioridade para 18 anos alcançará os jovens que já tiverem atingido essa idade, se se aumentar para 25 anos, respeitará a maioridade dos que já tiverem completado 18 anos”. Nesse sentido, é juridicamente possível entender que os novos requisitos a seremtrazidos pela Lei de Proteção de Dados Pessoais não invalidam os dados já colhidos no âmbito da lei anterior, uma vez que os atos já estavam consumados com base na legislação vigente à época da sua coleta. Condiciona-se, porém, novos processamentos, bem como os direitos de acesso e retificação, ao disposto nesta lei. Caso ainda assim decida-se por desconsiderar o ato jurídico perfeito e determinar que a lei retroaja para alcançar os dados já coletados, sugere-se amparar a previsão do prazo na experiência internacional, prevendo-o já em lei, para conferir segurança jurídica a todos os envolvidos.