ORDEM DOS ADVOGADOS DO BRASIL, SEÇÃO SÃO PAULO COMISSÃO DE CIÊNCIA E TECNOLOGIA
São Paulo, 30 de março de 2011
Proc. Pool 4047/11
Ref.: Consulta Pública – Dias 22 e 23 de março – CGI.br - Projeto de Lei que dispõe sobre a proteção de dados pessoais e a privacidade.
Autoria Ministério da Justiça (MJ)
Centro de Tecnologia e Sociedade da Informação da Fundação Getúlio Vargas
Prezados Senhores Doutores,
A Ordem dos Advogados do Brasil, Seção de São Paulo, por sua
Comissão de Ciência e Tecnologia, considerando salutar os debates sobre o
anteprojeto de lei em comento que prevê, dentre outros assuntos, o uso e
regulamentação de bancos de dados públicos e privados, de dados
sensíveis, dados anônimos, princípios gerais de proteção, requisitos de
tratamento, dos direitos dos titulares de dados, do tratamento de dados
sensíveis, da segurança dos dados, do tratamento dos dados no setor
público e privado e, inclusive, a criação de uma Autoridade de Garantia a
nível nacional onde tramitarão processos administrativos com multas que
variam entre R$ 2.000,00 a R$ 6.000.000,00; considerando que tais
questões são de alta prioridade no atual contexto da sociedade da
informação em que o Brasil se encontra inserido, fato somente possível em
razão da evolução dos meios de comunicação, e; finalmente, considerando
o procedimento interno POOL 4047/11, vem apresentar seus comentários
e sugestões sobre o Anteprojeto de Proteção de Dados Pessoais e
privacidade, a saber:
CAPÍTULO III
REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Art. 9º O tratamento de dados pessoais somente pode ocorrer após o consentimento livre, expresso e informado do titular, que poderá ser dado por escrito ou por outro meio que o certifique, após a notificação prévia ao titular das informações constantes no art. 11.
...omissis...
§ 2º O tratamento de dados pessoais de crianças somente será possível com o consentimento dos responsáveis legais e no seu melhor interesse, sendo vedada a utilização destes dados para finalidades comerciais.
Comentários:
O artigo 9 dispõe que o consentimento do titular dos dados deve ser livre, expresso e informado. Todavia é corriqueiro que a coleta de dados pessoais para a formação de base de dados não é clara, principalmente na internet ou telemarketing, sendo efetuada, na maioria das vezes, de forma obscura, confusa ou silenciosamente confundindo o titular dos dados. Esse, na maioria das vezes, não sabe que os está fornecendo cujos dados, futuramente, pertencerão a um banco de dados e serão objeto de markenting por e-mails, vendas, consultas públicas, e particulares, bancos, sistema financeiro, etc. Não bastasse tanto, o anteprojeto fala de tratamento de dados pessoais de crianças excluindo, naturalmente, os adolescentes - o que não é viável em face da legislação vigente.
Sugestão:
Art. 9º O tratamento de dados pessoais somente pode ocorrer após o consentimento livre, expresso e informado do titular, que poderá ser dado por escrito ou por outro meio que o certifique, após a notificação prévia ao titular das informações constantes no art. 11. autorização expressa do titular dos dados, através de documento ou outro meio qualquer, afixado ou informado em local claro, de forma destacada e nítida dos demais contextos, indicando o fim em que será utilizado.
...omissis...
§ 2º O tratamento de dados pessoais de crianças e adolescentes somente será possível com o consentimento dos responsáveis legais e no seu melhor interesse, obedecida a disposição contida no caput deste artigo, sendo vedada a utilização destes dados para finalidades comerciais.
CAPÍTULO VIII
DO TÉRMINO DO TRATAMENTO DOS DADOS PESSOAIS
Art. 30. Os dados pessoais serão cancelados quando deixarem de ser necessários ou pertinentes para a finalidade que justificou sua coleta e tratamento.
Parágrafo único. Lei ou regulamento poderá dispor sobre períodos máximos para o tratamento de dados pessoais em setores e situações específicas.
Comentários:
O artigo 30 tem em mira uma finalidade específica na qual se justifica a coleta e tratamento de dados pessoais. Sendo assim não há que se falar em cancelamento dos dados quando deixarem de ser necessários e sim na sua imediata destruição desde que atingido o fim a que se destinam os dados coletados e tratados, não podendo mais mais ser utilizados para outro fim. Demais disso, a técnica legislativa deixa a desejar quando repassa para lei ordinária ou regulamento tratar dos períodos máximos para o tratamento máximo de dados pessoais.
Sugestão:
Art. 30. Os dados pessoais serão cancelados destruídos quando deixarem de ser necessários ou pertinentes para a finalidade que justificou sua coleta e tratamento.
Parágrafo único. O período máximo para o tratamento de dados pessoais em setores e situações específicas é de cinco anos.
TÍTULO II
TUTELA ADMINISTRATIVA
CAPÍTULO I
AUTORIDADE DE GARANTIA
Art. 38. É criado o Conselho Nacional de Proteção de Dados Pessoais, com autonomia administrativa, orçamentária e financeira, com a atribuição de atuar como Autoridade de Garantia quanto à proteção de dados pessoais, cuja estrutura e atribuições serão estabelecidas em legislação específica.
...omissis...
Art. 40. Os Estados, o Distrito Federal e os Municípios poderão criar suas próprias autoridades de proteção de dados pessoais, com competência concorrente e nas suas respectivas áreas de atuação administrativa.
Comentários: Novamente a técnica legislativa deixa a desejar na medida em que repassa para a legislação específica a estrutura e atribuição da Autoridade de Garantia. A fim de evitar-se futura política em torno do assunto de forma a retardar o cumprimento das finalidades do anteprojeto, conveniente se torna explicitar, desde já, a estrutura daquela autoridade de garantia uma vez que as suas atribuições já vem inseridas, explícita e implicitamente, no projeto de lei. Não obstante a tanto,o artigo 40 deverá ser eliminado para se evitar conflitos vez que a Autoridade de Garantia poderá dispor, através de Resoluções ou Portarias, sobre as demais autoridades no âmbito Estadual e Municipal.
Sugestão:
Art. 38. É criado o Conselho Nacional de Proteção de Dados Pessoais, composta e estruturada por integrantes da sociedade civil (OAB, entidades de defesa do consumidor, FIESP, etc) e integrantes do Poder Judiciário, em condições paritárias e de igualdade, com autonomia administrativa, orçamentária e financeira,
com a atribuição de atuar como Autoridade de Garantia quanto à proteção de dados pessoais, cujas estrutura e atribuições serão estabelecidas em legislação específica.
Art. 40. Os Estados, o Distrito Federal e os Municípios poderão criar suas próprias autoridades de proteção de dados pessoais, com competência concorrente e nas suas respectivas áreas de atuação administrativa.
CAPÍTULO II
SANÇÕES ADMINISTRATIVAS
Comentários: O anteprojeto de lei preocupou-se com a aplicação de sanções administrativas omitido-se quanto à criminalização pelo uso indevido, abusivo e temerário dos dados pessoais. No workshop ocorrido no Comitê Gestor da Internet no Brasil (CGI.br) em março de 2011 a Comissão de Ciência e Tecnologia da OABSP levantou esta questão sendo informada pela mesa que na elaboração do anteprojeto cogitou-se quanto à criminalização da conduta – mas que tal ponto foi afastado podendo, se for o caso, ser rediscutido. A Comissão de Ciência e Tecnologia entende pela necessidade da criminalização da conduta vez que a utilização abusiva, temerária, indevida poderá revelar dados sensíveis e se constitui crime na medida em que poderá discriminar, globalmente, o titular de dados (como o soropositivo, o doente, etc).
Sugestão:
CAPÍTULO II
SANÇÕES ADMINISTRATIVAS E PENAIS
Incluir artigo neste capítulo criminalizando a conduta abusiva, temerária e indevida na coleta e tratamento indevido dos dados pessoais no setor privado.
CAPÍTULO II
SANÇÕES ADMINISTRATIVAS E PENAIS
Comentários: o anteprojeto prevê que a Autoridade de Garantia (Conselho Nacional de Proteção de Dados Pessoais) promova sua atuação através de “processos administrativos”. A tendência mundial é a utilização de mediação e arbitragem. Não obstante a tanto, para legitimar a perfeita atuação da Autoridade de Garantia como órgão imparcial impõe-se a obrigatoriedade de utilização de advogados nos processos administrativos dando vazão à plena defesa técnica, ao devido processo legal e ao contraditório – mormente em se considerando os valores das multas que permearão entre R$ 2.000,00 a R$ 6.000.000,00.
Sugestão: A proposta da Ordem dos Advogados do Brasil, Seção de São Paulo, através de sua Comissão de Ciência e Tecnologia, é que o anteprojeto inclua, expressamente, um artigo dispondo sobre a indispensabilidade e obrigatoriedade da defesa técnica nos processos administrativos ser efetuada por advogados e que as partes, em desejando, possam se utilizar do instituto da mediação e da arbitragem (como vem ocorrendo em outros países)
Conclusão:
Os comentários e sugestões efetuados pela Ordem dos Advogados do
Brasil, Seção de São Paulo, por sua Comissão de Ciência e Tecnologia,
longe de se revestirem como propostas ou críticas servem, isso sim, como
incentivo e subsídios para a conclusão da elaboração do anteprojeto de lei;
estes subsídios, de seu turno, não se esgotam e nem se encerram aqui
mas, antes, servem de base para um diálogo maior na sociedade e em
sede própria no Poder Legislativo.
Atenciosamente
COMISSÃO DE CIÊNCIA E TECNOLOGIA DA OABSP VITOR HUGO DAS DORES FREITAS
Presidente
ILMOS. SRS. DRS. REPRESENTANTES DO MINISTÉRIO DA JUSTIÇA e
OBSERVATÓRIO BRASILEIRO DE POLÍTICAS DIGITAIS DO CENTRO DE TECNOLOGIA E SOCIEDADE DA FUNDAÇÃO GETÚLIO VARGAS
