2018-7-04

OPINIÃO

Efeito RGPD: o projeto para uma Lei Geral de Proteção de Dados no Brasil

O Brasil não tem nem uma lei que regule a proteção de dados pessoais nem uma autoridade que coordene e fiscalize o tema

Em razão da instabilidade política dos últimos anos o assunto não foi tratado como prioridade na pauta legislativa. No entanto, na sequência da entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) na União Europeia (UE), o projeto brasileiro foi aprovado pela Câmara dos Deputados no fim de maio deste ano, de onde ainda deverá seguir para sanção pelo Senado Federal.

O projeto deverá sofrer alterações e enfrentar dificuldades decorrentes do processo legislativo, mas já é possível perceber que traz como pano de fundo muito do RGPD. Ao mesmo tempo guarda importantes especificidades, provavelmente decorrentes da pouca prática e sensibilidade ao tema em todas as vertentes: das empresas, que ainda não incluíram a proteção dos dados pessoais nos seus procedimentos, dos cidadãos, que ainda não estão sensíveis à importância de protegerem as suas informações e do legislador, que enfrenta pela primeira vez o desafio de regular a matéria de forma consolidada.

Da infinidade de questões que poderíamos apontar ao comparar o RGPD com o projeto de lei do Brasil, destacaremos três: as definições, a transferência internacional de dados e o sistema de responsabilidades.

 

Definições

A definição de dados pessoais do projeto de lei do Brasil é bastante sucinta, limitada à “informação relacionada à pessoa natural identificada ou identificável”. No texto do RGPD temos em pormenor os elementos que tornam uma pessoa “identificada ou identificável” com exemplos como o “nome”, “número de identificação”, “dados de localização” e “identificadores por via eletrónica” – estes dois últimos uma novidade do RGPD em relação ao antigo quadro normativo da UE. Faltam ainda definições específicas para os “dados genéticos”, “dados biométricos”, “dados de saúde”, abrangidos todos na definição de “dados sensíveis”. O projeto traz a definição de “anonimização”, mas aborda também a “pseudoanonimização” e a “violação de dados” (data breach) em pontos esparsos, sem definir com maior precisão estes conceitos. O consentimento é definido pelo projeto como a uma manifestação “livre”, “informada” e “inequívoca”, pela qual o titular concorda com o tratamento dos seus dados para uma finalidade determinada. Até aqui o texto está em harmonia com o RGPD se não faltasse uma menção importante: a de que o consentimento deve ser específico. O consentimento específico só é exigido ao longo do texto do projeto em duas situações: para tratamento de dados sensíveis e para transferência internacional de dados.

 

Transferência internacional de dados

A regulação do tema no Brasil ganha relevância para a perspetiva das empresas da UE, na medida em que serão estabelecidos limites para transferência dos dados pessoais de cidadãos brasileiros para fora do país. O envio desses dados dependerá, à semelhança do que diz o RGPD, apenas para países ou organizações internacionais que proporcionem grau de proteção de dados equivalente - o que para Portugal não deverá ser um problema, em razão da aplicação do RGPD. As transferências também estarão sujeitas à comprovação do responsável pelo tratamento dos dados da existência de algumas condições como “cláusulas contratuais específicas/padrão”, “normas corporativas globais”, “selos, certificados e códigos de conduta regularmente emitidos”. A definição destas normas ficará a cargo do “órgão competente”, a Autoridade Nacional de Proteção de Dados, a ser criada também com a nova lei. A ausência de maior definição sobre as cláusulas contratuais aplicáveis à transferência internacional poderá ser um ponto de incerteza para empresas da UE que pretendam receber dados do Brasil.

 

Responsabilidade e coimas

Sobre o sistema de responsabilidades o projeto prevê, assim como o RGPD, a responsabilidade civil solidária entre responsável e o subcontratante (o “operador”, no texto brasileiro). Em termos de sanções administrativas, coimas de até 4% do faturamento do grupo no Brasil, limitada a 50 milhões de Reais (aproximadamente 12 milhões de Euros). Temos, portanto, coimas mais reduzidas do que as previstas no RGPD, que prevê percentuais também de até 4%, mas sobre o faturamento global e como penalidade máxima o valor de 20 milhões de Euros. As entidades públicas não estarão sujeitas à aplicação das coimas. Para além das coimas, estão previstas outras sanções (ponto que o RGPD deixou à discricionariedade dos Estados Membros): a “advertência”, “publicitação da infração”, “bloqueio e eliminação dos dados pessoais”, “suspensão do tratamento dos dados por até seis meses” e “proibição parcial ou total das atividades de tratamento dos dados”. Há condições para a aplicação das sanções, mas seria salutar prever, para maior segurança jurídica e à semelhança do que está em discussão na proposta de lei para Portugal, quais as sanções e os limites de coimas aplicáveis às pequenas, médias e grandes empresas. Poderíamos apontar ainda mais semelhanças e diferenças: os direitos dos titulares dos dados parecem estar em harmonia com o RGPD, há igualmente a previsão do Encarregado de Proteção de Dados (à partida apenas para as entidades públicas). Por outro lado, chama a atenção um capítulo específico destinado ao tratamento dos dados pelo Poder Público, aparentemente com mais concessões do que limites. O processo legislativo até a aprovação final do projeto certamente trará muitas discussões. Se aprovado, está previsto o prazo de 18 (dezoito meses) para entrada em vigor. Para já, uma conclusão é certa: finalmente teremos um cenário consistente para a discussão da proteção de dados no Brasil.

 

Juliana Marcondes, Associada PLMJ – TMT

Advogada em Portugal e no Brasil

Recomendado pelos leitores

Operacionalizando o Digital Workplace
OPINIÃO

Operacionalizando o Digital Workplace

LER MAIS

IT CHANNEL Nº 50 Setembro 2018

IT CHANNEL Nº 50 Setembro 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.