O projeto tem o objetivo de garantir a privacidade, e não vale apenas para a internet. Ele abrange qualquer empresa (mesmo com sede no exterior) ou órgão de governo que tenha processado dados no Brasil, ou de pessoas que estejam no país. Antes da votação em plenário, os parlamentares detalharam as regras para o processamento de dados relacionados à saúde. Uma das mudanças foi a proibição do uso dessas informações com fins econômicos, exceto em casos de consentimento explícito da pessoa. O texto também estabelece que órgãos de pesquisa podem acessar bases de dados pessoais para realizar estudos sobre saúde pública, mas devem tratá-los em ambiente controlado e seguro. Quando possível, os pesquisadores devem anonimizar essas informações para dificultar a associação a uma determinada pessoa. As regras não são válidas para tratamento de dados realizado por pessoa física com objetivos pessoais, jornalísticos, artísticos ou acadêmicos. Elas também não se aplicam para fins de segurança pública ou do Estado, de defesa nacional ou de atividades de investigação e repressão de infrações.
O que o projeto estabelece
Em diversos pontos, o projeto de lei segue as regras do GDPR. Uma delas é a exigência de que os dados sejam processados somente quando o titular der seu consentimento. Essa autorização poderá ser revogada a qualquer momento. Antes de dar o consentimento, a pessoa deverá ficar sabendo da opção de não autorizar o tratamento dos dados, e também das consequências dessa decisão. Se eles precisarem ser compartilhados com terceiros, o responsável pelo tratamento terá de pedir uma nova autorização ao titular. Empresas e órgãos de governo também precisarão oferecer meios para as pessoas acessarem os dados, corrigirem o que estiver incorreto e deletarem suas informações. Além disso, deverá existir uma opção de portabilidade para essas informações. Em caso de vazamento de dados, os responsáveis pelo tratamento deverão comunicar os titulares de forma imediata. Eles responderão pelo incidente mesmo que ele tenha ocorrida com uma empresa parceira. Os responsáveis que não cumprirem as regras poderão receber multa de até 4% do faturamento, limitada a R$ 50 milhões. Também poderá ser definida a suspensão do banco de dados por seis meses. O período pode ser prorrogado até que a empresa ou o órgão do governo regularize sua atividade.
Conselho e órgão regulador
O projeto prevê a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será responsável por elaborar propostas, relatórios e estudos sobre tratamentos de dados e disseminar o assunto entre a população. O grupo deve contar com 23 representantes:
seis do Poder Executivo federal;um do Senado;um da Câmara dos Deputados;um do Conselho Nacional de Justiça;um do Conselho Nacional do Ministério Público;um do Comitê Gestor da Internet no Brasil;quatro da sociedade civil com atuação em proteção de dados pessoais;quatro de instituições científicas, tecnológicas e de inovação;quatro de entidades do setor empresarial que atuam com tratamento de dados pessoais.
Também será criada a Autoridade Nacional de Proteção de Dados, um órgão vinculado ao Ministério da Justiça que teria um Conselho Diretor com três integrantes e mandato de quatro anos. O grupo também poderia propor diretrizes e promover o assunto entre a população, mas acumularia a função de fiscalizador. Com a aprovação, o texto segue para o Senado, que já discute seu próprio projeto de tratamento de dados pessoais. Caso seja novamente aprovado, o texto da Câmara irá para sanção presidencial. As regras entram em vigor um ano e meio após a lei ser aprovada. Dessa forma, órgãos, empresas e entidades terão tempo para se adaptar. O próprio GDPR foi aprovado em 2016 e só começou a valer agora. Com informações: Câmara dos Deputados (2), G1.