Comentários e Sugestões Acerca do Anteprojeto sobre Proteção de Dados Pessoais
(Publicado originalmente em culturadigital.br/sugestoescnf)
A Confederação Nacional das Instituições Financeiras considera louvável a iniciativa de debate acerca da proteção dos dados pessoais, questão cada vez mais relevante no contexto atual. A alta mobilidade da informação, possibilitada pela evolução dos meios de comunicação, impõe desafios de segurança que merecem enfoque detalhado e preciso.
Assim, a CNF vem, através deste blog, oferecer comentários e sugestões acerca do anteprojeto de proteção de dados pessoais, visando a tornar a sua redação mais precisa e técnica, evitando assim conflitos e lacunas que reduziriam a eficiência e a eficácia da nova legislação.
O modelo que se adotou é o da legislação atual, artigo por artigo, em itálicos, seguida pelos comentários.
Título I
Capítulo I
…
Art. 6º O tratamento de dados pessoais é atividade de risco e todo aquele que, por meio do tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, é obrigado a ressarci-lo, nos termos da lei.
Combinado com:
Art. 8º………………..
…………………………
IX – Princípio da responsabilidade: a reparação, nos termos da lei, dos danos causados aos titulares dos dados pessoais, sejam estes patrimoniais ou morais, individuais ou coletivos.
Comentários:
O anteprojeto não esclarece se adotou o instituto da responsabilidade objetiva ou da responsabilidade subjetiva. Não se trata de fato grave, pois a doutrina estabelece que os realizadores de atividades de risco, em regra, respondem objetivamente por danos causados. No entanto, por bem da clareza, deve-se alterar a redação da seguinte forma:
“Art. 6º O tratamento de dados pessoais é atividade de risco e o responsável responderá objetivamente por danos causados ao titular, e será obrigado a ressarci-lo, nos termos da lei.”
Art. 7º A defesa dos interesses e direitos dos titulares de dados poderá ser exercida em juízo individualmente ou a título coletivo, na forma do disposto nos artigos 81 e 82 da Lei 8.078, de 11 de setembro de 1990, na Lei 7.347 de 24 de julho de 1985 e nos demais instrumentos de tutela coletiva estabelecidos em Lei.
Comentários:
A ação individual não terá mais utilidade nas hipóteses em que as decisões adotadas nas ações coletivas resolvam matéria de direito. A redação do parágrafo único proposta abaixo visa a atender ao princípio da economia processual, impedindo que matéria já pacificada na esfera coletiva seja suscitada novamente em ação individual. Garante-se, da mesma forma, a isonomia do tratamento de indivíduos em igualdade de condição.
Sugestão de acréscimo:
“Parágrafo único. Não serão admitidas novas demandas individuais relacionadas com interesses ou direitos individuais homogêneos, quando em ação coletiva houver julgamento de improcedência em matéria de direito, sendo extintos os processos individuais anteriormente ajuizados.”
Capítulo II
Art. 8º Os responsáveis pelo tratamento de dados pessoais deverão atender, dentre outros, aos seguintes princípios gerais de proteção de dados pessoais:
….
III – Princípio do livre acesso: a possibilidade de consulta gratuita, pelo titular, de seus dados pessoais, bem como de suas modalidades de tratamento;
…
V – Princípio da qualidade dos dados: a exatidão dos dados pessoais objeto de tratamento, com atualização realizada segundo a periodicidade necessária para o cumprimento da finalidade de seu tratamento;
…
VII – Princípio da segurança física e lógica: o uso, pelo responsável pelo tratamento de dados, de medidas técnicas e administrativas proporcionais ao atual estado da tecnologia, à natureza dos dados e às características específicas do tratamento, constantemente atualizadas e aptas a proteger os dados pessoais sob sua responsabilidade da destruição, perda, alteração e difusão, acidentais ou ilícitas, ou do acesso não autorizado;
Comentários:
Permite a responsabilização do “responsável” pelo tratamento dos dados, mas ainda assim não existem termos legais para atuar quando ocorrer crimes eletrônicos.
É recomendável alterar a redação do inciso V de forma a utilizar terminologia mais precisa, como: “Princípio da Exatidão dos Dados”.
Capítulo III
Art. 9º O tratamento de dados pessoais somente pode ocorrer após o consentimento livre, expresso e informado do titular, que poderá ser dado por escrito ou por outro meio que o certifique, após a notificação prévia ao titular das informações constantes no art. 11.
§ 1º Nos serviços de execução continuada, o consentimento deverá ser renovado periodicamente, nos termos do regulamento.
§ 2º O tratamento de dados pessoais de crianças somente será possível com o consentimento dos responsáveis legais e no seu melhor interesse, sendo vedada a utilização destes dados para finalidades comerciais.
Comentários:
A substituição do termo “notificação” por “comunicação” visa a facilitar o encaminhamento da informação ao titular, pois o ato da notificação é próprio dos cartórios, e dotado de formalidade. Assim, considerando-se que o intuito é meramente informativo, é mais apropriado o termo “comunicação”, a ser realizada por carta convencional.
Redação sugerida do art. 9º:
“Art. 9º O tratamento de dados pessoais somente pode ocorrer após o consentimento livre, expresso e informado do titular, que poderá ser dado por escrito ou por outro meio que o certifique, após a comunicação prévia ao titular das informações constantes no art. 11, por meio de carta enviada ao seu domicílio.”
Sugere-se a substituição do termo CRIANÇAS por MENORES.
Ou supressão da expressão “sendo vedada a utilização destes dados para finalidades comerciais”.
Art. 11. No momento da coleta de dados pessoais, o titular será informado de forma clara e explícita sobre:
VII – disser respeito a dados sobre o inadimplemento de obrigações por parte do titular, caso em que o titular deverá ser notificado previamente por escrito, nos termos do art. 43 da Lei 8.078/90 – Código de Defesa do Consumidor.
Comentários:
A inclusão do termo “adimplemento” tem como objetivo adaptar o texto à MP n.º 518, que criou a formação do banco de dados com informações de adimplemento de pessoas naturais ou jurídicas.
A supressão da referência ao CDC se faz necessária, pois a norma a ser criada já trata da notificação.
Altera-se o termo “notificação” por “comunicação” pelas mesmas razões expostas nas observações ao art. 9º, caput.
Sugestão de redação do inciso VII: “VII – disser respeito a dados sobre o adimplemento ou inadimplemento de obrigações por parte do titular, caso em que o titular deverá sercomunicado previamente por escrito, por meio de carta enviada ao seu domicílio.”
Art. 14. Os dados pessoais que forem objeto de tratamento deverão ser:
V – conservados de forma a permitir a identificação de seu titular por um período de tempo não superior ao necessário para as finalidades que justificaram sua coleta ou tratamento posterior;
§ 1º É vedado o tratamento de dados pessoais obtidos por meio de erro, dolo, coação e lesão.
Comentários:
É recomendável que o §1º determine também que é vedado o tratamento de dados obtidos sem autorização do titular ou de dados obtidos para fim diverso do utilizado. Essa alteração é necessária, pois é possível obter-se dados sem erro, dolo, coação ou lesão, mas que, mesmo assim, não tiveram seu uso autorizado.
Capítulo IV
Art. 15. O titular dos dados poderá obter do responsável pelo tratamento a confirmação da existência de dados pessoais que lhe digam respeito, bem como o acesso aos dados em si, tanto diretamente, como por meio da ação de habeas data, nos termos da lei.
§ 1º As informações requeridas serão fornecidas, imediatamente, de forma simplificada ou, no prazo de 5 (cinco) dias, por meio de um extrato claro e completo, abrangendo a informação sobre a sua origem, bem como sobre a lógica, os critérios utilizados e a finalidade do respectivo tratamento.
§ 4º A informação deve ser ampla e versar sobre a totalidade do registro existente, mesmo quando o requerimento compreender somente um aspecto dos dados pessoais do titular.
Comentários:
É desnecessária a prestação de informação ampla se o titular requerer apenas informações sobre um aspecto. Se houver obrigatoriedade de informações amplas, o titular demorará mais tempo para recebê-las, visto que o prazo dado ao responsável para prestação é de até 5 dias.
Art. 16. Mediante solicitação do titular dos dados, o responsável deverá, sem ônus, no prazo de 5 (cinco) dias:
I – corrigir os dados pessoais que forem incompletos, inexatos ou desatualizados;
II – cancelar, dissociar ou bloquear os dados pessoais que forem desnecessários, excessivos ou tratados em desconformidade com a presente lei.
Parágrafo único. O responsável obriga-se, no prazo de 5 (cinco) dias, a comunicar aos destinatários das informações a realização de correção, cancelamento, dissociação e bloqueio dos dados.
Comentários:
Redação sugerida do art. 16:
“Art. 16. Mediante solicitação do titular dos dados, acompanhada dos documentos necessários, o responsável deverá, sem ônus, no prazo de 5 (cinco) dias úteis:”
Art. 17. O titular dos dados poderá opor-se, total ou parcialmente, ao tratamento de
seus dados pessoais:
I – sempre que tiver motivos legítimos, salvo nos casos em que o tratamento seja necessário para o cumprimento de uma obrigação imposta pela lei à pessoa responsável;
Comentários:
A redação do inciso I é vaga e deve ser reformulada, pois a consideração do que viria a ser um motivo legítimo é subjetiva.
…
Capítulo VI
Art. 23. O tratamento de dados pessoais será feito de modo a reduzir ao mínimo, mediante a adoção de medidas idôneas de segurança preventiva, o risco de sua destruição ou perda, deacesso não autorizado ou de tratamento não permitido pelo titular ou diverso da finalidade da sua coleta, independentemente do motivo.
Combinado com:
Art. 24. Um conjunto de medidas mínimas de segurança preventiva será publicado pela Autoridade de Garantia dentro de, no máximo, um ano após a entrada em vigor da presente lei, e atualizado periodicamente, com base na evolução da tecnologia e na experiência adquirida.
Comentários:
A melhor aplicação do dispositivo ocorrerá mediante a existência de uma legislação sobre crimes eletrônicos.
Art. 25. O subcontratado deve ter experiência, capacidade e idoneidade para garantir o respeito às disposições vigentes em matéria de tratamento de dados pessoais, e responderá solidariamente com o responsável pelos prejuízos causados pela sua atividade aos titulares dos dados.
Parágrafo único. O subcontratado deverá realizar o tratamento segundo as instruções fornecidas por escrito pelo responsável, que, mediante inspeções periódicas, verificará a observância das próprias instruções e das normas sobre a matéria.
Comentários:
Responsabilizará aquele que não realiza o tratamento dos dados pessoais. O parágrafo único procura justificar a responsabilidade solidária do responsável, obrigando-o a inspecionar se as regras fornecidas estão sendo cumpridas.
Art. 27. O responsável pelo tratamento deverá comunicar à Autoridade de Garantia e aos titulares dos dados, imediatamente, sobre o acesso indevido, perda ou difusão acidental, seja total ou parcial, de dados pessoais, sempre que este acesso, perda ou difusão acarretem riscos à privacidade dos seus titulares.
Parágrafo único. Nos casos mencionados no caput, a Autoridade de Garantia poderá tomar as providências que julgar necessárias, no âmbito de suas competências, inclusive determinando ao responsável a ampla divulgação do fato em meios de comunicação.
Comentários:
Deve-se substituir a expressão grifada por “subcontratado”, para evitar a confusão com o “responsável”.
Quanto ao parágrafo único: A determinação para que o responsável divulgue o acesso indevido, perda ou difusão acidental dos dados se mostra excessiva, e pode gerar desconfiança em relação ao banco de dados.
Além do mais, onera o administrador do banco de dados com custos elevados advindos da publicação em mídia.
…
Capítulo VII
Art. 28. A comunicação ou a interconexão dos dados pessoais somente será permitida com o consentimento livre e expresso do titular e para o cumprimento de fins diretamente relacionados com as funções legítimas do cedente e do cessionário.
§ 1º O consentimento para a comunicação ou interconexão é revogável a qualquer tempo.
Comentários:
Caso esteja em vias de interconexão e o titular solicitar a revogação, haverá responsabilização da subcontratada, sendo importante a retirada da expressão “a qualquer tempo”.
Art. 29. O cessionário ficará sujeito às mesmas obrigações legais e regulamentares do cedente, inclusive quanto à responsabilidade solidária pelos danos eventualmente causados e ao dever de receber e processar impugnação e realizar correções.
Comentários:
A responsabilidade solidária do cessionário é desproporcional, na medida em que responsabiliza aquele que não mais realiza o tratamento dos dados pessoais.
Título II
Capítulo I
Art. 39. Compete ao Conselho Nacional de Proteção de Dados Pessoais:
VI – aplicar, de ofício ou a pedido de parte, conforme o caso, sanções, medidas corretivas e medidas preventivas que considere necessárias, na forma desta lei;
Comentários:
A melhor aplicação do dispositivo seria viabilizada com a regulamentação dos crimes eletrônicos.
Capítulo II
Art. 43. Sem prejuízo das sanções cabíveis, a Autoridade de Garantia, atuando de ofício ou a pedido de parte, deverá impor, aos responsáveis que incorram em infração às normas desta lei, as medidas corretivas que considere necessárias para reverter os efeitos danosos que a conduta infratora tenha causado ou para evitar que esta se produza novamente no futuro, fixando o valor da multa diária pelo seu descumprimento.
Comentários:
É infundado, em um país onde não há contencioso administrativo, que uma decisão administrativa possa constituir título executivo. Isso demonstraria desrespeito ao direito da ampla defesa e do contraditório (CF art. 5º LV). Além do mais demonstra imparcialidade ao tornar título executivo apenas aqueles em favor do titular.
A medida só se justificaria com a criação do Conselho Nacional de Garantias, sugerido no item abaixo, e inclusão de texto no sentido de adequar o título aos procedimentos necessários ao lançamento na dívida ativa da União.
SUGESTÃO DE NOVO ARTIGO:
“Art. __. Fica criado o Conselho Nacional de Garantias, órgão administrativo de julgamento vinculado à Autoridade de Garantia, que tem por finalidade julgar os recursos interpostos contra as sanções e as medidas corretivas aplicadas.”
“Parágrafo único. O órgão será paritário e composto por representantes do Governo, indicados pelo Ministro da Justiça, e da sociedade civil, indicados pelas confederações representativas de categorias econômicas de nível nacional, com registro no Cadastro Nacional de Entidades Sindicais, do Ministério do Trabalho e Emprego.”
Comentários:
A imposição de sanções aos administrados é medida que merece análise de um órgão paritário e independente, a exemplo de outros órgãos já existentes no âmbito da administração pública, tal como o CARF.
A Lei nº 9.784/99, que regula o processo administrativo no âmbito da Administração Pública Federal, assegura, dentre outros, o direito à ampla defesa e ao contraditório:
“Art. 2o A Administração Pública obedecerá, dentre outros, aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência.”
De maneira que a solução dos conflitos por um órgão com prerrogativas direcionadas ao processo administrativo se mostra como um caminho a ser seguido.
Comentário Geral:
Uma alteração que deveria ser feita em todo o texto do projeto é trocar o termo “responsável pelo tratamento do banco” ou “responsável pelo tratamento” por SUBCONTRATADO para não confundir suas competências com o RESPONSÁVEL.
