Tratamento de dados pessoais: aspectos legais sobre o GDPR e o PL nº 4.060/12

A discussão em torno da privacidade dos dados pessoais tem se tornado cada vez mais relevante. O escândalo envolvendo o Facebook e a empresa inglesa Cambridge Analytica, que forneceu dados de 50 milhões de usuários ao candidato e atual presidente dos EUA, Donald Trump, fez o assunto tomar proporções globais.

Em paralelo, uma sigla tem chamado atenção de juristas e empresários do mundo todo. O tal GDPR – General Data Protection Regulation (ou, Regulamento Geral Sobre Proteção de Dados, traduzido ao português), que dispõe sobre o tratamento de dados de pessoas naturais, residentes ou de passagem pela União Europeia, teve seu texto publicado em 04 de maio de 2016.

Apesar disso, devido ao vacatio legis de dois anos, suas previsões e sanções passaram a ser aplicadas somente em 25 de maio de 2018. Anteriormente os dados pessoais eram regidos pela Diretiva 95/46/CE, bem menos protecionista e punitiva que o GDPR.

Embora assinado por países da União Europeia, a aplicabilidade desta norma não se restringe àquele território, destinando-se a regular qualquer tratamento de dados pessoais que envolva pessoa em solo europeu (seja natural ou não). Isso resta claro já no segundo “considerando” do regulamento:

Os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais deverão respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito à proteção dos dados pessoais. […]

Portanto, esta norma possui caráter extraterritorial e suas sanções podem ser aplicadas a empresas que não fazem parte da União Europeia, devido principalmente a característica transfronteiriça das interações no mundo digital.

Portanto, é importante que as sociedades empresárias se atentem aos deveres impostos e, principalmente, as sanções (estas que podem chegar a 20 milhões de euros ou 4% do lucro global da empresa), prevenindo a ocorrência de situações indesejadas ou, na pior das hipóteses, o encerramento das atividades, como no caso Cambridge Analytica.

Para facilitar a compreensão acerca das penalidades impostas, indica-se a leitura:

https://www.gdpr.band/resumo-sancoes-gdpr-2018-europa/

Por outro lado, preocupados com o dinamismo do assunto, países que não compõe a União Europeia têm demonstrado interesse em firmar um regulamento próprio. O Brasil, por exemplo, que atualmente não possui legislação específica sobre o tratamento de dados, mas apenas dispositivos esparsos (a exemplo dos arts. 3º, III e 7º, VII, VIII e X do Marco Civil da Internet), resgatou a discussão sobre o PL nº 4.060/12, que atualmente aguarda aprovação em regime de urgência no Senado Federal.

O PL, apesar de ser considerado menos rígido que o GDPR, confere proteção considerável aos dados pessoais. Abaixo, listo algumas de suas principais características:

  1. Se aprovado sem modificações possuirá caráter extraterritorial, desde que o tratamento ou coleta tenha sido realizado em território nacional ou em relação a dados de indivíduos localizados em território nacional (não necessariamente brasileiros). Não se aplicam a esta regra os dados coletados/tratados por pessoas físicas ou aqueles destinados a fins jornalísticos, artísticos ou acadêmicos. Da mesma forma, não se aplica ao tratamento fundamentado em procedimentos de segurança pública, defesa nacional, segurança do Estado e afins.
  2. Se o tratamento de dados não se destinar a questões de interesse público, deverá haver o consentimento do titular e, caso o dado seja fornecido à terceiro, o consentimento deverá ser específico para este fim. Ainda, deve-se dar ao titular a oportunidade de revogar o consentimento a qualquer tempo.
  3. Nos contratos de adesão, havendo cláusula de coleta e tratamento de dados pessoais esta deve ser destacada, possibilitando a plena compreensão e consentimento do titular (dever de informação insculpido pelos arts. 4º, IV e 54, § 3º, CDC).
  4. O tratamento de dados pessoais de caráter sensível (a exemplo da etnia, religião, filiação a organizações sindicais, opiniões políticas, entre outros), só pode ser feito sem consentimento do titular em determinadas situações, como: cumprimento de uma obrigação legal, uso em políticas públicas ou estudos por órgão de pesquisa. De qualquer modo, para que haja dispensa do consentimento, deve-se dar pleno conhecimento ao titular acerca do objeto do tratamento e sua destinação.

Por fim, caso o PL nº 4.060/12 seja aprovado pelo Senado Federal, passará a surtir efeitos provavelmente após um ano da data de sua publicação, visando a adaptação de órgãos, empresas e entidades.

Enquanto isso não acontece, entendo ser importante o acompanhamento das questões relativas ao GDPR e seus efeitos no mundo prático, servindo como termômetro balizador para a discussão em território nacional.

Abaixo, deixo o link para acesso ao GDPR e PL nº 4.060/12:

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG

http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1001750&filename=PL+4060/2012

Autor: Lucas Pereira Raimundo Winter

REFERÊNCIAS:

“Câmara aprova projeto que disciplina tratamento de dados pessoais”. Reportagem: Eduardo Piovesan. Edição: Pierre Triboli. Publicação: 29/05/2018. Acesso: 19/06/2018 às 11h41min. http://www2.camara.leg.br/camaranoticias/noticias/POLITICA/558252-CAMARA-APROVA-PROJETO-QUE-DISCIPLINA-TRATAMENTO-DE-DADOS-PESSOAIS.html

“10 coisas que sua empresa deve saber sobre o GDPR da União Europeia”. Maria Fernanda Hosken Perongini. Publicação: 15/01/2018. Acesso: 19/06/2016 às 11h00min. https://www.jota.info/opiniao-e-analise/artigos/10-coisas-que-sua-empresa-deve-saber-sobre-o-gdpr-da-uniao-europeia-15012018

“Resumo do RGPD explicado em 20 pontos essenciais”. Site: Proteção de Dados. Ausente a data de publicação. Acesso: 19/06/2018, às 10h45min. https://protecao-dados.pt/resumo-do-rgpd-explicado-em-20-pontos-essenciais/

“Cambridge Analytica anuncia fim de suas operações”. Portal G1. Publicação: 02/05/2018. Acesso: 19/06/2018 às 12h30min. https://g1.globo.com/economia/noticia/cambridge-analytica-anuncia-fim-de-suas-operacoes.ghtml

By | 2018-06-23T02:25:17+03:00 junho 22nd, 2018|Artigos|

About the Author:

Leave A Comment