22 de abril de 2015 Tópicos: Notícias

Ministério da Justiça prorroga debate sobre Proteção de Dados Pessoais

A prorrogação do debate ocorre devido ao aumento da complexidade das discussões impulsionadas na plataforma e da alta demanda de diferentes setores da sociedade

O debate sobre o anteprojeto de lei para a proteção de dados pessoais, previsto inicialmente para ser encerrado na próxima quinta-feira, 30 de abril, foi prorrogado até dia 5 de julho. A prorrogação do debate se fez necessária devido ao aumento da complexidade das discussões impulsionadas na plataforma, assim como da alta demanda de diferentes setores da sociedade que participam do debate.

A secretária Nacional do Consumidor, Juliana Pereira, destaca que o assunto merece uma atenção direcionada dos diferentes setores que dele participam. “É fundamental assegurar uma discussão ampla e democrática sobre uma lei de proteção de dados pessoais no Brasil. O debate permite não só a aproximação democrática entre sociedade e políticas públicas, mas permite a criação de proposições regulatórias inovadoras e mais coordenadas entre os distintos interesses a serem equacionados.”

Desde que o debate foi aberto, foram mais de 15 mil visitas ao site e mais de 600 comentários. Participe você também!

PDP_05dejulho

4 comentários em “Ministério da Justiça prorroga debate sobre Proteção de Dados Pessoais”

  1. Dear Sir / Madam: 02 de junho de 2015

    Em nome da Software & Information Industry Association (SIIA), eu estou submetendo os seguintes comentários sobre o projecto de lei brasileira de privacidade de dados. SIIA aprecia muito a oportunidade de participar nesta consulta. Estamos disponíveis para responder perguntas e teria o prazer de fornecer informações adicionais mediante solicitação.

    A Software & Information Industry Association é a principal associação comercial para a indústria de software e conteúdo digital. SIIA oferece serviços globais em relações governamentais, desenvolvimento de negócios, educação corporativa e proteção de propriedade intelectual para as empresas líderes que estão a marcar o ritmo para a era digital.

    MISSÃO PRINCIPAL:

    • Promover a Indústria: SIIA promove os interesses comuns da indústria de software e conteúdos digitais como um todo, bem como suas partes componentes.
    • Proteja a Indústria: SIIA protege a propriedade intelectual das empresas associadas, e defende um ambiente legal e regulatório que beneficia toda a indústria.
    • Informar a Indústria: SIIA informa a indústria eo público mais amplo, servindo como um recurso sobre as tendências, tecnologias, políticas e assuntos relacionados que afetam firmas-membro e demonstrar a contribuição da indústria para a economia mais ampla.

    Atenciosamente,
    Carl Schonander
    Diretor Sênior, Política Pública Internacional
    Software & Information Industry Association
    1090 Vermont Avenue, NW
    Washington, D.C. 20005
    Estados Unidos
    cschonander@siia.net
    Tel: 202 -789 -4.456
    http://www.siia.net

    Âmbito e aplicação: Artigos 1º-4º

    Comentário geral da SIIA sobre a proposta de lei: A Software & Information Industry Association (SIIA) agradece pela oportunidade de comentar a proposta de lei. A Software & Information Industry Association (SIIA) é a principal associação comercial das indústrias de software e informação digital, muitas das quais estão ativas no Brasil. As mais de 700 empresas de software, empresas de dados e analítica, empresas de serviços de informação e editoras digitais que estão associadas a nós atendem a quase todos os segmentos da sociedade, inclusive negócios, educação, governo, saúde e consumidores. Como líderes no mercado mundial de produtos e serviços de software e informação, elas são agentes de inovação e força econômica no mundo todo. Segundo nossa experiência, os países são capazes de promover a inovação e a privacidade, embora possam escolher maneiras diferentes de fazer isso. É viável a abordagem adotada pelo Brasil com uma proposta de lei que trata de todos os setores da economia. Nossa premissa é que o Brasil busca incentivar os benefícios da inovação para as empresas e os consumidores, bem como proteger a privacidade. Nossos comentários sobre a proposta de lei procuram possibilitar esse objetivo duplo. Isso significa que a inovação baseada em dados precisa ser construída sobre uma base de boa administração de dados com os governos incentivando os participantes do mercado a utilizarem os dados de forma responsável. Para saber mais sobre algumas das vantagens e considerações políticas associadas à inovação baseada em dados, leia este artigo da SIIA. O Brasil tem a sétima maior indústria de software do mundo, com o valor estimado de cerca de US$ 22 bilhões. Para poder continuar crescendo, ela deve ser incentivada a inovar.

    Comentário da SIIA sobre o Artigo 2º: A SIIA recomenda deixar explícito, neste parágrafo, que as obrigações da lei se aplicam aos controladores de dados, não aos processadores de dados. Deve ser evitada a responsabilidade solidária para controladores e processadores de dados. Em vez disso, os controladores e processadores de dados devem estar livres para determinar as responsabilidades separadas por meio dos contratos. Isso facilita o estabelecimento de responsabilidades que fluem de maneira lógica a partir das diferentes funções de um controlador de dados e de um processador de dados. A inovação é promovida quando as responsabilidades do controlador de dados e do processador de dados fluem a partir das funções assumidas.

    Comentário da SIIA sobre o Artigo 2º II: O efeito disso é a aplicação da legislação brasileira às atividades de websites e editoras da web em todos os países do mundo – a internet inteira – porque são acessíveis no Brasil. A cláusula deve ser limitada a websites externos direcionados a cidadãos brasileiros ou que adotam medidas afirmativas para se submeter à jurisdição brasileira. Isso significa que um website não deve ser submetido à jurisdição brasileira simplesmente porque pode ser acessado por cidadãos brasileiros. A SIIA sugere a seguinte adição ao Artigo 2º II: “e os dados coletados por uma entidade que procure explicitamente fazer negócios com cidadãos brasileiros”.
    Comentário da SIIA sobre o Artigo 2º Parágrafo 2 II: A SIIA concorda com a exceção em função da importância crítica do jornalismo no sentido de transformar a liberdade de expressão em realidade.
    Comentário da SIIA sobre o Artigo 2º Parágrafo 3º: Comentário da SIIA: Não temos certeza de como interpretar esta cláusula. Há muitos casos em que pode ser benéfico, do ponto de vista social, que entidades privadas tenham acesso a dados, inclusive dados pessoais, detidos pelas autoridades públicas. Pode ser benéfico, por exemplo, que uma empresa privada tenha acesso a dados de saúde para a previsão de tendências de doenças. Isso também serve para o bem público. A SIIA também percebe que a versão atual da cláusula parece ser contrária ao espírito da Parceria para Governo Aberto internacional (da qual o Brasil é membro), que envolve, entre outros, acesso aos dados do governo. A Lei de Acesso à Informação (Artigo 31º) do Brasil também é de interesse nesse contexto, pois inclui uma cláusula de interesse público geral. A lei diz o seguinte.
    “Artigo 31º. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
    (3) O consentimento referido no inciso II do parágrafo 1º não será exigido quando as informações forem necessárias:
    (V) – à proteção do interesse público e geral preponderante”.
    Uma reformulação sugerida segue. “As autoridades e órgãos públicos ficam autorizados a transferir dados pessoais contidos nos bancos de dados que gerenciam se exigirem que os destinatários de tais dados protejam-nos adequadamente mediante o cumprimento das cláusulas desta lei”.
    Dados pessoais, dados anônimos e dados pessoais confidenciais: Artigos 5º, 12º e 13º
    Comentário da SIIA sobre o Artigo 5º 1º: A SIIA oferece a seguinte revisão sugerida para a definição de dados pessoais com a finalidade de proporcionar mais clareza a respeito do que é pessoal na era digital.
    “I – dados pessoais: dados referentes a um indivíduo que identifiquem exclusivamente uma pessoa física, incluindo um endereço de e-mail ou um identificador eletrônico exclusivo, nos casos em que esses dados ou o identificador estejam associados a outros dados individualmente identificáveis, tais como os exemplos a seguir:
    • um nome e sobrenome ou primeira inicial e sobrenome;
    • um endereço residencial ou outro endereço físico;
    • um número de identificação emitido pelo governo usado para verificar a identidade;
    • um identificador biométrico, como uma impressão digital ou uma impressão de voz.

    Exceções.–

    Informações de registro público — Os dados pessoais não incluem informações ou dados obtidos a respeito de um indivíduo que tenham sido legalmente disponibilizados ao público por uma entidade governamental federal, estadual ou municipal ou distribuídos pela mídia.

    Dados não identificados e anônimos — Os dados pessoais não incluem dados que se tornaram não identificados ou anônimos por meio de um método ou tecnologia que remove os elementos que identificam pessoalmente um indivíduo ou que os inutilizam”.
    Comentário da SIIA sobre o Artigo 13º: A SIIA busca informações sobre a composição, a autoridade e os procedimentos que a “autoridade competente” precisa seguir. A SIIA favorece a criação de um organismo e considera que sua função e suas operações devem ser definidas claramente nesta lei. É evidente que o projeto de lei prevê a atribuição de uma grande quantidade de autoridade regulamentar para a “autoridade competente”. A SIIA pede que a lei inclua cláusulas segundo as quais a “autoridade competente” deve disponibilizar os regulamentos propostos para comentários antes da promulgação. A autoridade deve analisar os regulamentos propostos com a finalidade de proteger a privacidade e promover a inovação. A SIIA nota que uma “autoridade competente” é mencionada várias vezes no texto. Nossos comentários sobre a questão da “autoridade competente” são relevantes quando tal autoridade é mencionada em outras partes do texto.
    Princípios: Artigo 6º
    Comentário da SIIA sobre o Artigo 6º I: Um dos enormes benefícios da inovação baseada em dados é que, às vezes, o processamento de dados leva a uma inovação imprevista e em ritmo acelerado. Portanto, talvez não seja sempre viável, especialmente dado o ritmo em que os benefícios tecnológicos evoluem, informar ao titular dos dados exatamente qual pode ser o fim do processamento dos seus dados. Além disso, o processamento de dados não deve exigir consentimento caso o titular dos dados espere o processamento com base no contexto em que os dados foram coletados.
    Comentário da SIIA sobre o Artigo 6º III: Dada a possibilidade de uma inovação imprevista resultante do processamento de dados, é útil, da perspectiva da sociedade, reconhecer que os “fins desejados” incluem a inovação imprevista. Para saber mais sobre os benefícios e os desafios políticos referentes à Inovação Baseada em Dados, leia o guia da SIIA intitulado “Data-Driven Innovation, A Guide for Policymakers: Understanding and Enabling the Economic and Social Value of Data” [Inovação baseada em dados, um guia para formuladores de políticas: Entendendo e possibilitando o valor econômico e social dos dados]. As demandas da minimização de dados podem entrar em conflito com a necessidade de coletar dados suficientes para que novos métodos de análise de grandes volumes de dados sejam eficazes. Por exemplo, além de encontrar respostas para consultas específicas, a análise de grandes volumes de dados permite insights que, antes de sua realização, não poderiam ser antecipados empírica ou teoricamente. A análise de dados deixa de ser, simplesmente, um teste de hipóteses. Em vez disso, os dados “falam” e dizem aos cientistas de dados algo que eles não sabiam antes. Isso contrasta com as práticas históricas de chegar aos dados com conclusões predefinidas, pois a analítica avançada muitas vezes permite que os dados revelem insights anteriormente desconhecidos.

    A minimização de dados não deve se tornar uma construção rígida. Deve continuar sendo um elemento fundamental da boa administração de dados, o que equilibra o risco. Não existe, por exemplo, uma necessidade de negócios de armazenar os códigos de segurança dos cartões de crédito depois que uma transação é processada; além disso, salvar tal informação cria riscos de fraude substanciais. A reinterpretação do princípio de minimização de dados continuaria permitindo a coleta e a retenção de dados para análise adicional na ausência de um risco de dano comprovado.
    Comentário da SIIA sobre o Artigo 6º IV: Não é claro o que isso significa precisamente, mas as empresas não devem ser obrigadas a divulgar segredos comerciais ou informações confidenciais de negócios. Por exemplo, o compartilhamento dos algoritmos usados no processamento de dados não deve ser obrigatório, pois eles são um dos blocos de construção fundamentais para competir no espaço de inovação baseado em dados. De mais a mais, o ritmo acelerado da mudança para os algoritmos de hoje transforma o conceito de transparência em algo muito desafiador. Qualquer divulgação única de fórmulas, código-fonte e recursos relacionados do funcionamento de um algoritmo apenas forneceria um instantâneo que representa o que o processo analítico faz em um momento específico. Na realidade, as soluções analíticas geralmente passam por atualizações frequentes; às vezes, são atualizadas em tempo real.
    Comentário da SIIA sobre o Artigo 6º VII: A SIIA apoia essa abordagem de segurança de dados porque ela reflete o fato de que o ambiente de dados é dinâmico e as empresas precisam de flexibilidade para lidar com a alteração das circunstâncias.
    Comentário da SIIA sobre o Artigo 6º VIII: Isso parece pressupor que o processamento de dados pessoais é inerentemente prejudicial, o que não é o caso. Sem mais detalhes a respeito do que constitui um dano, esse princípio generalizado de evitar dano aos titulares dos dados oferece o risco de expor os usuários dos dados a uma responsabilidade ilimitada, desencorajando, assim, a inovação. A SIIA recomenda que seja adicionada a seguinte cláusula: “(…) medidas para evitar danos decorrentes do processamento de dados pessoais devem estar vinculadas a atividades que são ilegais no Brasil”.
    Comentário da SIIA sobre o Artigo 6º IX: A SIIA concorda que o processamento de dados não deve ser utilizado para violar as leis brasileiras que proíbem a discriminação das classes protegidas. Porém, a cláusula é tão ampla que poderia ir muito além disso e expor os usuários de dados a uma responsabilidade por uma série indefinida de danos “discriminatórios” indefinidos. A cláusula deve fazer referência àquilo que é discriminatório de acordo com a legislação brasileira. Isso acontece porque, entre outros motivos, o processamento de dados pode levar, às vezes, a resultados que favorecem grupos desfavorecidos, tais como serviços destinados à população de baixa renda. Sugerimos que essa cláusula termine com “de acordo com a legislação brasileira”. Em geral, a SIIA pede que os legisladores brasileiros não imponham novas regras de responsabilidade como uma maneira de aplicar exigências de privacidade. A aplicação deve ocorrer por meio de apelação à autoridade competente.
    Consentimento: Artigos 7º-11º
    Comentário da SIIA sobre os Artigos 7º e 11º: A exigência de obter consentimento antes de cada utilização de dados pessoais nem sempre é viável ou desejável, especialmente em uma época em que os usos socialmente benéficos imprevistos dos dados são descobertos de forma constante. Também existem motivos práticos para ser cauteloso ao exigir o consentimento em muitas circunstâncias: consumidores do mundo todo já sofrem com o “excesso de notificações”. Um número cada vez maior de informações é coletado por dispositivos móveis, o que complica ainda mais na hora de determinar se uma exigência de consentimento é útil. Exigências de autorização prévia e específica devem ser obrigatórias somente quando existe um risco identificável significativo associado ao processamento ou quando Dados Pessoais Confidenciais são processados de uma forma inesperada pelo proprietário (indivíduo). Pode fazer mais sentido, por exemplo, incentivar as empresas a facilitar o cancelamento da assinatura de determinados serviços de marketing pelos consumidores em vez de exigir consentimento esperado. A SIIA incentiva o Brasil a considerar novos modelos para aumentar a transparência e a boa administração de dados. Um exemplo é o Código de Conduta de Aplicativos Móveis, que a SIIA apoiou em 2013. A SIIA sugere uma adição ao Artigo 11º: “VII”: consentimento não é necessário quando o uso dos dados é esperado em função do contexto em que foram fornecidos.
    Comentário da SIIA sobre o Artigo 7º Parágrafo 1º: Esta cláusula impediria os consumidores de aceitar a coleta e o uso de informações em troca de receber um serviço valioso, como e-mail ou acesso ao site de uma editora da web.
    Comentário Adicional da SIIA sobre o Artigo 11º: A SIIA concorda com uma exceção no consentimento de dados de acesso público irrestrito.
    Termos de tratamento: Artigos 14º e 15º
    Comentário da SIIA sobre o Artigo 14º I: A SIIA observa novamente que, na época dos grandes volumes de dados, a finalidade do processamento de dados pode mudar e que isso é um bloco de construção essencial no clima de inovação atual. O foco deve ser garantir que os controladores e processadores de dados sejam responsáveis por impedir que os titulares dos dados sofram danos, conforme definido na legislação brasileira. A SIIA sugere a adição de “V”, que diria o seguinte: “o processamento de dados pessoais poderá continuar, desde que o processador e o controlador assumam a responsabilidade pelos danos definidos na legislação brasileira e decorrentes do uso do processamento dos dados”.
    Comentário da SIIA sobre o Artigo 15º: Comentário da SIIA: Novamente, existe uma tensão entre proteger os dados pessoais dessa forma e os novos recursos apresentados pela inovação baseada em dados, que depende de enormes volumes de dados e da descoberta de conexões novas e imprevistas dentro deles.
    Por exemplo, os hospitais que trabalham com empresas de análise de dados conseguiram examinar milhões de pontos de dados de recém-nascidos para descobrir o padrão de leituras de dispositivos médicos estáveis até 24 horas antes do início de febres potencialmente mortais. Esse padrão é baseado em mecanismos causais reais, mas mal compreendidos, e permitiu que médicos e enfermeiras interviessem antes que a crise se tornasse aparente. O padrão não poderia ter sido detectado somente por observação humana, uma vez que envolvia muitos pontos de dados e não poderia ter sido previsto antecipadamente. Em vez disso, é um novo insight que deve ser integrado no conhecimento médico existente inclusive enquanto é usado para salvar vidas.
    Os controladores de dados também não podem ser responsabilizados por dados pessoais publicados na Internet por terceiros. Sugerimos adicionar o IV ao Artigo 15º, que diria o seguinte: “os titulares dos dados poderão solicitar que os controladores de dados excluam suas próprias cópias de dados pessoais desde que os dados tenham sido publicados ou postados pelo titular dos dados e desde que o controlador dos dados tenha acesso razoável à fonte original ou suas próprias cópias de tais dados pessoais”.
    Direitos do Proprietário: Artigos 16º-21º
    Comentário da SIIA sobre o Artigo 17º IV: Esta cláusula está desequilibrada. Nos casos em que o processamento de dados confere benefícios em potencial para a sociedade, os consumidores e/ou empresas, os processadores devem ser autorizados a continuar com o processamento, sujeito a medidas de proteção para proteger a privacidade do consumidor. O titular dos dados não deve ser capaz de exigir que os controladores de dados excluam dados com base na mera afirmação de que os dados são desnecessários ou excessivos ou foram processados sem cumprir as cláusulas desta lei. Em vez disso, deve haver um processo de reclamação gerenciado pelo organismo competente, tal como sugerido no Artigo 10º.
    Comentário da SIIA sobre o Artigo 18º Parágrafo 1º: Muitos bancos de dados não são construídos para permitir o acesso a registros individuais. Muitas vezes, não é econômico reorganizá-los de uma maneira que proporcione o acesso. Essa exigência significaria que tais bancos de dados precisariam ser abandonados. Uma alternativa interessante seria permitir um período de transição, sempre que possível, para um sistema que proporcionasse acesso em nível individual. Com frequência, também haverá situações em que as empresas que recebem “Solicitações de Acesso de Titular” precisarão encaminhar os indivíduos à fonte original dos dados. Além disso, muitas vezes será mais conveniente para o proprietário dos dados receber informações por e-mail em vez de buscar os dados por conta própria por meio de acesso ao banco de dados.
    Comentário da SIIA sobre o Artigo 19º: O processamento de dados não deve resultar em discriminação sujeita às cláusulas relevantes da legislação brasileira. Entretanto, não é adequado que algoritmos, que são ferramentas de negócios competitivas cruciais, sejam compartilhados com consumidores e/ou autoridades regulamentares. Ademais, os formuladores de políticas devem reconhecer que, muitas vezes, é eficiente e benéfico que os consumidores tomem decisões com base em critérios pré-selecionados e que os softwares de computador apliquem tais critérios a casos específicos. A preparação rápida de avaliações de crédito, desde que os critérios usados para determinar as avaliações não sejam discriminatórios, é um bom exemplo. Se cada decisão de avaliação de crédito fosse submetida à revisão manual sob demanda, o sistema não poderia funcionar.
    COMUNICAÇÃO, INTERCONEXÃO E COMPARTILHAMENTO DE DADOS: ARTIGOS 22º A 23º
    Comentário da SIIA sobre o Artigo 23º: Isso parece exigir consentimento expresso em uma base de caso a caso pelo titular dos dados antes da transferência de informações entre um controlador de dados e qualquer terceiro. Tal exigência indefinidamente ampla poria em risco as transferências de dados em toda a economia, porque os custos e a natureza demorada da obtenção de tal consentimento prévio seriam proibitivos.
    Transferências de dados internacionais: Artigos 28º a 33º
    Comentário da SIIA sobre o Artigo 28º: A SIIA não concorda que uma norma de equivalência é necessária para transferências internacionais. A equivalência foi considerada e rejeitada na União Europeia em sua instrução de proteção de dados, que pede que outros países tenham um nível de proteção de privacidade “adequado” como base para transferências internacionais.
    Comentário da SIIA sobre o Artigo 29º II: Um simples aviso de que foi constatado que o país de destino não tem um nível de proteção equivalente deve bastar. O detalhe envolvido na descrição das vulnerabilidades do país de destino não seria útil para o titular dos dados.
    Comentário da SIIA sobre o Artigo 30º: A SIIA concorda com o princípio de aprovar transferências internacionais não com base nas leis do país de destino, mas na conduta acordada da entidade responsável pela transferência. Concordamos que cláusulas contratuais específicas, cláusulas contratuais padrão aprovadas pelo organismo competente e normas corporativas globais são evidências válidas desse tipo de acordo. Poderíamos acrescentar que a adesão a um código público de conduta aprovado pelo organismo competente também deve ser uma base para transferências internacionais. A Seção V apresenta boas práticas como esta; um incentivo para adotá-las é que a adesão às boas práticas possibilitará transferências de dados internacionais. O conceito de “interesse legítimo” também deve ser considerado como uma fundamentação jurídica para a transferência de dados.
    Comentário da SIIA sobre o Artigo 32º: A SIIA está à procura de informações sobre como essa cláusula funcionaria. Como as autoridades brasileiras determinam as normas de conformidade de consentimento em outros países? Seria uma função adequada para as autoridades brasileiras?
    Responsabilidade do agente: Artigos 34º a 41º
    Comentário da SIIA sobre o Artigo 35º: Isso cria uma causa da ação para uma parte lesada instaurar uma ação contra um usuário de dados alegando dano material ou moral. Essa área indefinidamente grande de responsabilidade criaria riscos inaceitáveis para os usuários dos dados, que encontrariam formas de limitar sua exposição restringindo o uso inovador e benéfico dos dados. Um apelo ao organismo competente deve ser suficiente para assegurar a aplicação da lei.
    Comentário da SIIA sobre o Artigo 35º Parágrafo 1º: Não existe nenhuma base para inverter a obrigação de provar padrão para indenização no caso de danos de privacidade.
    Segurança e confidencialidade dos dados: Artigos 42º a 47º
    Comentário da SIIA sobre o Artigo 44º: A mera possibilidade de que um incidente de segurança possa prejudicar os titulares dos dados não deve gerar uma exigência de relatório. Em vez disso, uma exigência poderia ser justificada em casos específicos definidos por um risco significativo de dano real, como roubo de identidade ou fraude.
    Boas práticas: Artigos 48º a 49º
    Comentário da SIIA sobre a Seção: O desenvolvimento de boas práticas nessa área altamente dinâmica e extremamente benéfica é uma ótima ideia. Para perceber todos os benefícios da inovação baseada em dados, a indústria precisa ter flexibilidade e, ao mesmo tempo, respeitar a privacidade entre diferentes entidades com diferentes modelos de negócios, clientes e expectativas dos usuários. A conformidade com as boas práticas deve ser uma base para transferências internacionais.

  2. francisca gomes de lima rodrigues disse:

    com a evolução do mundo na informatica ,trouxe melhores em termo de informação a vida das pessoas mais ,aumento o índice de criminalidade através das redes sociais ,as leis brasileiras são falhas ,o judiciário e precário na aplicação da lei ,a falta da estrutura para atender as necessidade do estado.

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *