comentÁrios formulados pelas seÇÕes de direito ... · association aos projetos de lei para...
TRANSCRIPT
1
SP - 18791086v1
COMENTÁRIOS FORMULADOS PELAS SEÇÕES DE DIREITO
CONCORRENCIAL E DIREITO INTERNACIONAL DA AMERICAN BAR
ASSOCIATION AOS PROJETOS DE LEI PARA PROTEÇÃO DE DADOS
PESSOAIS DA REPÚBLICA FEDERATIVA DO BRASIL
As opiniões expressas nestes Comentários são apresentadas em nome da Seção de Direito
Concorrencial e da Seção de Direito Internacional. Elas não foram aprovadas pela House of
Delegates ou pela Board of Governors da American Bar Association e, portanto, não devem
ser interpretadas como representativas da política da American Bar Association.
2 de dezembro de 2016
I. Introdução
As Seções de Direito Concorrencial e Direito Internacional (as “Seções”) da American Bar
Association submetem, respeitosamente, estes comentários ao Projeto de Lei nº 330 (“Projeto de
Lei 330”) e ao Projeto de Lei nº 5276/2016 (“Projeto de Lei 5276”) (coletivamente os “Projetos
de Lei”), os quais se destinam a estruturar, de forma abrangente, o tema da proteção e segurança
de dados para a República Federativa do Brasil.
Ao divulgar os projetos de lei e solicitar abertamente comentários públicos, o Brasil tem
incentivado um diálogo sólido e informado que ajuda na contribuição à redação final dos Projetos
de Lei. Estes comentários destinam-se a complementar este diálogo e refletem a experiência das
Seções em questões de segurança e proteção de dados internacionais. O amplo envolvimento das
Seções nestas questões é baseado na partição de advogados, economistas e outros stakeholders do
mercado, dos setores público e privado, refletindo os interesses de todos aqueles que estão
envolvidos, se beneficiam e aplicam direitos relacionados tanto ao comércio digital, quanto ao
tradicional, nos quais os dados pessoais desempenham um papel importante. As Seções não
advogam em nome de qualquer interesse particular, país ou parte; pelo contrário, nós oferecemos
nossos comentários como contribuições construtivas semelhantes àquelas solicitadas pelo governo
do Brasil.
As Seções elogiam o governo pelo processo aberto que caracteriza as alterações de lei no
Brasil em geral e o processo que envolve os Projetos de Lei em particular. Nós agradecemos as
alterações feitas aos Projetos de Lei com base nos comentários enviados em abril de 2015 pelas
Seções, bem como por muitos outros comentaristas. As Seções também elogiam o governo pela
consistência geral com a legislação internacional de proteção de dados demonstrada pelos
Projetos de Lei. Nestes Comentários, as Seções fazem diversas sugestões que nós acreditamos
possa tanto aprofundar os objetivos de modernização e harmonização quanto atingir o desejado
equilíbrio entre privacidade individual e desenvolvimento de mercados e serviços de informação
que beneficiam os cidadãos brasileiros e o desenvolvimento de um mercado global.
II. Sumário Executivo
Os Comentários das Seções fazem as seguintes sugestões:
Definição de “Informações Pessoais” e “Informações Pessoais Sensíveis.”
Sugerimos que os Projetos de Lei esclareçam as definições de informações que serão
2
SP - 18791086v1
consideradas pessoalmente identificáveis e sensíveis para que sejam consistentes com
as normas internacionais.
Perfil Comportamental e Uso de Informações Não Públicas. Sugerimos poucas
alterações às disposições referentes a criação de perfis para esclarecer que o
processamento de dados agregados ou anonimizados não deverie ser regulado, pois
não representa um risco aos indivíduos identificáveis. Também sugerimos que o
processamento de informações não públicas incluam exceções para casos de boá fé
(além das exceções gerais relativas à liberdade de expressão e à pesquisa legítima).
Consentimento Escrito. Sugerimos que o processamento de dados com base em
motivos legítimos seja enfatizado e colocado em pé de igualdade com outros motivos
tal como o consentimento expresso por escrito, e que o consentimento implícito seja
reconhecido como adequado em contextos apropriados.
Segurança de Dados. Apreciamos as melhorias feitas nestes Projetos de Lei, mas, com
base em muitos anos de experiência nas leis de segurança de dados e notificações de
incidentes nos Estados Unidos, continuamos recomendando maior flexibilidade nas
disposições sobre segurança de dados.
Os Direitos dos Titulares. Fizemos poucas sugestões para melhorar o tratamento dos
Projetos de Lei no que diz respeito ao direito ao esquecimento e o direito a
portabilidade de dados.
Big Data. Sugerimos que diversas disposições dos Projetos de Lei sejam
reconsideradas de modo a facilitar a análise e uso de big data, o que pode trazer
benefícios sociais importantes.
Aplicação e Implementação. Sugerimos breves mudanças no plano de aplicação e de
responsabilidade idealizado pelos Projetos de Lei.
Agradecemos a oportunidade de apresentar comentários ao governo e ficaríamos felizes
em continuar nossa participação ou responder a quaisquer comentários ou perguntas que possam
ser úteis durante esse processo.
III. Sugestões Específicas
1. Definições de Dados Pessoais e Dados Sensíveis
Dados Pessoais. As leis de privacidade em diferentes jurisdições adotam diferentes
definições de dados pessoais, o que por sua vez pode afetar o alcance de suas leis de privacidade.
Ao delinear o que é informação (e, por exceção, o que não é) de acordo com os requisitos e
proibições, as práticas de coleta e processamento de dados podem ser consideradas dentro ou fora
do alcance da lei.
3
SP - 18791086v1
As leis de privacidade em diferentes jurisdições utilizam abordagens um pouco diferentes
para definir “informações pessoais”. Na União Europeia (“UE”), dados pessoais significam
quaisquer dados relacionados a uma pessoa física identificada ou identificável. Nos EUA, “dados
pessoais” são dados que podem ser razoavelmente ligados a um indivíduo específico. Em
Singapura, dados pessoais referem-se aos dados, verdadeiros ou não, sobre um indivíduo que pode
ser identificado a partir destes dados. As definições contidas tanto na Diretiva de Proteção de
Dados quanto no Regulamento Geral de Proteção de Dados (“GDPR”) sugerem que qualquer dado
capaz de ser associado a uma pessoa identificável deve ser considerado dentro do regime de dados
pessoais, regulado pela lei de privacidade.
Na era do big data, muitos países adotaram a abordagem do GDPR, dado que um indivíduo
pode ser identificado mais facilmente agora que os dados podem ser combinados com outras
informações ou tecnologias que revelam a identidade. A definição de dados pessoais nos Projetos
de Lei é consistente com a do GDPR1, que também estabelece uma definição pormenorizada do
que seria “uma pessoa natural identificável” seguida da definição de dado pessoal2. Nos Projetos
de Lei do Brasil, não há descrição do que constitui um indivíduo identificado ou identificável.
Assim, nós recomendamos que a definição de indivíduo identificado ou identificável seja incluída
nos Projetos de Lei.
Dados sensíveis. Os dados sensíveis abrangem uma vasta gama de informações,
geralmente seguindo a lei da UE para incluir a origem racial ou étnica, crença religiosa, orientação
sexual, opiniões políticas, filiação sindical e saúde. Em uma minoria de países fora da UE,
informações sobre infrações penais ou, mais raramente, infrações civis são adicionadas à lista.
Outros países, como os Estados Unidos, adicionam informações sobre crianças e dados específicos
de geolocalização a esta lista. Os dados sensíveis envolvem direitos básicos dos cidadãos e,
portanto, são geralmente protegidos por regras mais restritivas do que os dados pessoais. Por
exemplo, o processamento de dados sensíveis só pode ser autorizado se o processador obtiver
consentimento explícito do titular antes do processamento desses dados.
A definição de dados sensíveis no Artigo 5, item III, do Projeto de Lei 5276, é de modo
geral consistente com normas da UE. No entanto, as Seções observam que a palavra “REVELAM”
(que afeta o escopo de dados sensíveis) foi substituída pela palavra “REFERENTE”, o que
potencialmente expande o escopo das regras de proteção mais estritas aplicáveis aos dados
sensíveis.
2. Perfil Comportamental
O perfil comportamental é geralmente usado para prever ou medir preferências
comportamentais individuais. Ele pode ser usado em muitos cenários, como no recrutamento de
empregados, ofertas de marketing e publicidade. Esse tipo de perfil prevê a personalidade e o
comportamento futuro de um indivíduo com base em dados específicos. Os dados utilizados para
1 Projeto de Lei nº 5276/2016: “dado pessoal: dado relacionado à pessoa natural identificada ou identificável,
inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem
relacionados a uma pessoa.” 2 Uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por
referência a um identificador, tal como um nome, um número de identificação, dados locacionais, um identificador
online, ou a um ou mais fatores específicos da identidade física, psicológica, genética, mental, econômica, cultural ou
social daquela pessoa natural.
4
SP - 18791086v1
construir um perfil comportamental, conforme previsto no Artigo 13,§1º, do Projeto de Lei 5276,
também podem ser considerados dados pessoais, mesmo que o titular não possa ser identificado.
A utilização de tais dados é suscetível de afetar negativamente o indivíduo se os dados já
incorporarem algum preconceito ou discriminação. No entanto, as Seções respeitosamente
entendem que o Artigo 13, §1º, do Projeto de Lei 5276 não se faz necessário porque o risco de
dano a um indivíduo associado ao perfil comportamental não pode surgir se os dados não puderem
ser associados a um indivíduo identificável. Tais dados, portanto, não precisam ser protegidos pela
lei de privacidade. Consequentemente, recomendados que se elimine o Artigo 13, §1º, do Projeto
de Lei 5276.
3. Processamento de Informações Publicamente Disponíveis
Quando informações tiverem sido publicadas ou transmitidas ao público, estiverem
disponíveis mediante pedido ao público, estiverem acessíveis on-line ou através de outros
métodos, ou estiverem disponíveis ao público por assinatura ou compra, etc., essas informações
são tratadas como publicamente disponíveis. No entanto, esses dados devem ser tratados como
informações publicamente disponíveis para fins de leis de privacidade somente se os dados ou
informações se tornarem acessíveis ao público legalmente e por meios legítimos. O fato de uma
vasta gama de pessoas poder acessar as informações não significa necessariamente que essas
informações tenham sido disponibilizadas legalmente ou por meios legítimos. Por exemplo, uma
grande quantidade de dados pessoais que uma empresa ou uma organização possui pode ser
divulgada ao público em um ataque de hackers. O processamento ou reutilização de tais dados não
deve estar sujeito à exceção de acesso aos dados públicos (ao menos que sejam aplicadas outras
exceções, como as relativas à liberdade de expressão ou de investigação)3. Na prática, portanto, é
necessário determinar se existe uma fonte legítima de dados pessoais publicamente disponíveis.
Pode ser inviável transferir aos usuários ou destinatários o ônus de verificar se os dados
foram tornados publicamente acessíveis por meio de uma fonte legítima, pois eles podem não ter
a mesma visibilidade da fonte original de dados como os processadores originais. Uma maneira
prática de lidar com esse problema é assegurar que os usuários possam processar os dados
disponíveis publicamente, desde que acessem e utilizem os dados de boa fé. Isto significa que os
dados disponíveis publicamente podem ser livremente processados, exceto se de uma forma
intencionalmente negativa ou se os usuários saibam ou deviam ter conhecimento de que os dados
não foram legalmente divulgados ao público. As Seções, portanto, respeitosamente sugerem que
o Artigo 7,§4, do Projeto de Lei 5276, seja revisado para estabelecer que dados pessoais
disponíveis publicamente só possam ser utilizados quando acessados e utilizados de boa-fé.
Sugerimos que a finalidade para a qual os dados foram fornecidos, ou razões de interesse público
não devam determinar se os dados podem ser utilizados, e tais disposições deveriam ser removidas.
4. Anonimização de Dados
3 Veja Regulamento 2016/679, do Parlamento Europeu e do Conselho de 27 de Abril de 2016 sobre Proteção de
Pessoas Naturais no que diz respeito ao Processamento de Dados Pessoais e a Livre Circulação destes Dados, e
Afastamento da Diretiva 95/46/CE (Regulamento Geral de Proteção de Dados), 2016 O.J. (L 119), Considerando 153.
5
SP - 18791086v1
Dados anônimos ficam adequadamente de fora do âmbito da lei de privacidade. O Projeto
de Lei 5276 define dados anonimizados como “dados relativos a um titular que não possa ser
identificado”. No entanto, o Projeto de Lei 5276 se vale de uma redação diferente quando trata da
definição de anonimização. Anonimização pressupõe qualquer procedimento por meio do qual um
dado perde a possibilidade de associação, direta ou indireta, a “um indivíduo”. As Seções,
entretanto, respeitosamente sugerem que a anonimização deve exigir a remoção de qualquer
associação com "um indivíduo identificado ou identificável", não simplesmente "um indivíduo".
As informações que se relacionam direta ou indiretamente com um indivíduo podem não estar
necessariamente associadas a um indivíduo identificado. Este esclarecimento também tornaria a
disposição coerente com a definição de dados pessoais.
Ambos os Projetos de Lei preveem que dados anônimos ainda devam ser tratados como
dados pessoais se a identidade do indivíduo possa ser revelada por meio de esforços razoáveis.
Hoje, os dados podem ser identificados por meio de certas tecnologias, mecanismos ou
procedimentos, mesmo que tenham sido anonimizados inicialmente. Isso representa um desafio
significativo para a proteção dos dados pessoais e é razoável incluir tais dados no âmbito da
proteção legislativa.
No entanto, o dilema na prática é como definir o padrão de "esforços razoáveis" usados
para revelar um indivíduo identificável. Se o esforço razoável incluir o uso de técnicas ou
tecnologias que exijam um investimento significativo de capital, o âmbito de dados
regulamentados sob o Projeto de Lei 5276 poderia ser muito amplo, levando a restrições indevidas
de livre circulação de dados. Por outro lado, o âmbito de dados protegidos pode ficar muito
limitado se o padrão de “esforços razoáveis” for restritivo demais. As restrições contratuais ou
outras sobre a re-identificação de dados anônimos podem também ser consideradas como um
complemento aos direitos de privacidade no âmbito da legislação. O GDPR sugere que “importa
considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação,
tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica”
(GDPR, Considerando 26), o que pode ser um modelo eficaz. Nos EUA, a Política de Privacidade
da Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 (HIPAA) fornece dois
métodos para impedir a re-identificação de dados pessoais (o Método de Determinação do
Especialista e o Método Safe Harbor)4.
Diferentemente da legislação sobre privacidade em outras jurisdições, o Artigo 13, §2º, do
Projeto de Lei 5276, não dá ao órgão competente responsável por regulamentar os padrões e
técnicas de anonimização quaisquer referências diretas aos padrões e técnicas a serem empregados
nos processos de anonimização. As Seções recomendam que o Projeto de Lei 5276 seja mais claro
neste sentido, tendo a abordagem do GDPR e da HIPPA como um possível modelo.
5. O Requisito do Consentimento por Escrito dos Projetos de Lei
A exigência de obtenção do consentimento informado dos titulares constituíam a base para
a coleta, processamento e divulgação de dados pessoas nos termos da lei de privacidade da UE.
No entanto, as as exigências modernas de processamento de dados evoluíram para um padrão de
4 Veja 45 C.F.R. §§ 164.514 (b)(1) e 164.514(b)(2).
6
SP - 18791086v1
“interesse legítimo”. Na UE, o GDPR enfatiza cada vez mais o interesse legítimo em contraposição
ao consentimento como base para o processamento. O consentimento implícito ou opt-out também
é comumente utilizado em serviços online e em aplicativos móveis.
De acordo com estas normas, os Projetos de Lei reconhecem o papel do “interesse
legítimo” para o processamento de dados. Alterar e manter o inglês. O Projeto de Lei 330, Artigo
12, prevê que o “tratamento de dados pessoais somente pode ser realizado... quando necessário
para atender aos interesses legítimos do responsável pelo tratamento ou do terceiro a quem os
dados sejam comunicados”. O Projeto de Lei 5276, Artigo 7, também prevê que o tratamento de
dados pessoais somente pode ser realizado “quando necessário para atender aos interesses
legítimos do responsável ou de terceiro, exceto no caso de prevalecerem interesses ou direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o
titular for menor de idade”. Os Projetos de Lei, contudo, parecem depender amplamente do
consentimento formal e por escrito antes do processamento de informações. O Artigo 12, inciso I,
do Projeto de Lei 330, exige o “consentimento livre, específico, inequívoco e informado do titular
dos dados” e o Artigo 7, inciso I, do Projeto de Lei 5276, semelhantemente exige que o titular
forneça o consentimento “livre, informado e inequívoco”. Ainda, o Artigo 12 do Projeto de Lei
330 prevê apenas algumas exceções ao requisito de obtenção do consentimento explícito por
escrito5.
Embora o consentimento seja importante (e o procedimento especificado nos Projetos de
Lei possa ser um mecanismo útil para estabelecer uma base legal para o processamento), não deve
ser o consentimento o único método utilizado para estabelecer uma base legal para processar
dados. Exigir consentimento explícito por escrito para todo o processamento pode realmente minar
o objetivo de obter o consentimento informado, uma vez que os consumidores ficam suscetíveis a
sofrer a “fadiga do consentimento” e podem simplesmente “aceitar” para finalizar uma transação
ou cadastro, sem revisar as opções de forma significativa antes de fornecerem o consentimento.
Nos Estados Unidos, a Comissão Federal do Comércio (“FTC”) reconheceu que o
consentimento pode ser razoavelmente deduzido do contexto em que o titular interage com o
responsável pelo tratamento dos dados, e que o consentimento expresso afirmativo só poderia ser
exigido quando o uso específico dos dados fosse inesperado pelo consumidor. Como observado
pela FTC, “as empresas não precisam fornecer opções antes de coletar e usar dados de
consumidores para práticas consistentes com o contexto da transação ou com a relação da empresa
com o consumidor ou são exigidas ou especificamente autorizadas por lei.”6 Este conceito reflete
a necessidade de obter o consentimento quando um consumidor não espera o tratamento específico
em questão, mas reconhece que a vida digital moderna inclui circunstâncias em que a necessidade
de obter consentimento por escrito a todo momento é um ônus tanto para os consumidores quanto
para as empresas.
5 Em comparação, veja Diretiva 95/46/CE, Seção II, Artigo 7 (estabelecendo a base jurídica através de mecanismos
que incluem: (a) consentimento; (b) cumprimento de uma obrigação legal; (c) proteção dos interesses vitais do titular;
(d) interesse público ou capacidade oficial; e (e) interesses legítimos do responsável (equilibrado com risco de
privacidade para os indivíduos submetidos a processamento)). 6 COMISSÃO FEDERAL DO COMÉRCIO DOS EUA, PROTEGENDO A PRIVACIDADE DE CONSUMIDORES NA ERA DE
RÁPIDAS MUDANÇAS: RECOMENDAÇÕES PARA NEGÓCIOS E LEGISLADORES 48 (MAR. 2012).
7
SP - 18791086v1
As Seções sugerem que eliminar oo consentimento implícito ou opt out pode impactar
negativamente os mercados online e de dispositivos móveis de formas cruciais. A maior parte das
redes online de publicidade, tanto no Brasil quanto globalmente, recorrem a manifestações de
consentimento implícito ou opt out como fundamento para processar os dados pessoais destes
usuários. Além disso, operadores online que fornecem bens e serviços utilizam o consentimento
opt out para processar dados pessoais uma vez que o evento de consentimento opt in tenha
ocorrido. Em determinadas situações, o consentimento opt out preserva a continuidade da
experiência online do usuário ao evitar um mecanismo intrusivo de consentimento cada vez que
uma publicidade é oferecida ou outra interação ocorre. Por exemplo, aplicativos de mapas
necessitam de acesso contínuo aos dados de geolocalização do usuário. O usuário espera isso e
normalmente não quer ter seu consentimento solicitado cada vez que o aplicativo coletar tais
dados. Assim, o consentimento continuado é implícito, a não ser que o usuário indique o contrário.
Adicionalmente, o consentimento implícito ou opt out não requer que o usuário realize uma ação
afirmativa para indicar consentimento, mas reconhece que o usuário consentiu à prática. Exigir
que um usuário indique de forma afirmativa seu consentimento cada vez que uma interação ocorra
pode diminuir a qualidade de experiência do usuário, consequência que é reconhecida como um
obstáculo ao desenvolvimento do ecossistema digital.
As Seções sugerem que um padrão “contextual” que defina a obrigação de consentimento
com base no contexto e nas expectativas de privacidade da transação seja preferível à uma
confiança uniforme no consentimento explícito por escrito. Assim, o consentimento opt out pode
ser apropriado quando a coleta e uso de dados pessoais estiverem alinhados as expectativas de
privacidade e interações online do usuário, enquanto o consentimento afirmativo seria necessário
apenas quando a coleta e uso dos dados de um usuário sejam inconsistentes com o contexto da
interação. Para concretizar essa abordagem, as Seções sugerem que os Projetos de Lei incluam o
conceito de consentimento implícito.
6. Segurança de Dados
a. Atualização “Constante” de Medidas de Segurança
Ambos os Projetos de Lei abordam os requisitos de segurança de dados a serem cumpridos
pelos detentores de dados/pessoas responsáveis pelos dados; no entanto, os dois também impõem
que empresas adotem medidas “constantemente atualizadas” em seus programas de privacidade e
de coleta. As Seções propõem novamente que o Projeto de Lei 5276 adote as recomendações
anteriormente enviadas e de forma similar recomendam que o Projeto de Lei 330 adote um padrão
de periodicidade. O padrão “constante” e “contínuo” pode impor obrigações excessivamente
rigorosas e custosas para o cumprimento da lei, sem fornecer proteções adicionais significativas.
O Projeto de Lei 5276 mudou parte da redação de seu Artigo 42/45, mas não adotou as
recomendações das Seções. O Artigo 6 do Projeto de Lei 5276 estipula que as atividades de
processamento de dados devem observar o princípio de segurança7 “pelo qual devem ser utilizadas
7 O Artigo 42 do Projeto de Lei 5276 exigia que:
O operador deve adotar medidas de segurança técnicas e administrativas constantemente atualizadas, proporcionais à
natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação, difusão, ou qualquer forma de tratamento
inadequado ou ilícito. A nova versão do Artigo 42, agora Artigo 45, remove “constantemente”, mas não adota de outra
forma nossa recomendação de providenciar por atualizações “periódicas” “conforme necessário”.
8
SP - 18791086v1
medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das
informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” As Seções
recomendam ao invés disso, que as medidas de segurança sejam avaliadas periodicamente e
atualizadas conforme necessário.
O Projeto de Lei 330, Artigo 29, itens I e h, estabelece que a pessoa responsável pelos
dados deve implementar um programa de governança em privacidade que, dentre outras coisas,
“seja atualizado constantemente com base em informações obtidas a partir de monitoramento
contínuo e avaliações periódicas” (ênfase adicionada). As Seções sugerem que seria suficiente
adotar um programa que avalie de forma “periódica” com atualizações “conforme o necessário”8
Com os ajustes recomendados, os operadores ou responsáveis pelos dados ainda devem melhorar
as medidas de segurança em resposta a novas ameaças e também se atualizar com frequência
suficiente para proteger os dados dos titulares.
b. Notificação Imediata em Caso de Violação de Dados
Os dois Projetos de Lei abordam as obrigações de notificação de um responsável ao órgão
competente no caso de um incidente de dados. Na medida em que os incidentes de dados
continuam a crescer em magnitude e complexidade, as Seções reconhecem que informações
atualizadas e precisas sobre uma violação são uma parte essencial da proteção dos titulares de
dados contra danos, permitindo que as partes tomem medidas rápidas para protegerem informações
sensíveis e também prevenirem a ocorrência de mais danos. Como os legisladores reconhecem, é
importante que o órgão competente esteja prontamente consciente de ameaças novas e emergentes.
O artigo 47 do Projeto de Lei 5276 estabelece que um responsável deve notificar o órgão
competente dentro de um “prazo razoável” sobre a “ocorrência de qualquer incidente de segurança
que possa acarretar risco ou prejuízo relevante aos titulares”. O Artigo 24 do Projeto de lei 330,
no entanto, estabelece que o responsável “imediatamente” comunique o órgão competente de
“qualquer incidente de segurança que possa acarretar prejuízo aos titulares”.
O comentário anterior das Seções recomendou que o Projeto de Lei 5276 adotasse um
padrão no qual os responsáveis seriam obrigados a relatar incidentes de segurança “sem atraso
justificado”. “Sem atraso justificado” ou dentro de um “prazo razoável” é um padrão mais flexível
que pode ajudar a lidar com algumas das consequências negativas de um regime de notificação
imediata. Na prática, obrigações de notificação “imediata” podem resultar em notificações
prematuras, antes que o escopo e extensão de uma violação possam ser inteiramente conhecidos,
o que pode não beneficiar os consumidores ou reguladores.
Sob esse padrão, um responsável pode dedicar tempo e atenção à adequada coleta de
informação ao invés de fazer uma análise às pressas (sendo mais útil em determinar a verdadeira
natureza da violação, obtendo um retrato mais completo de causa e escopo, e fornecendo
informações mais precisas para que o órgão competente determine as próximas ações). A
O operador deve adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma
de tratamento inadequado ou ilícito.O Artigo 6 mantém a linguagem antiga. 8 O Artigo 22 requer que o responsável adote “medidas técnicas atualizadas e compatíveis com os padrões
internacionais, conforme estabelecido em regulamento, com a natureza dos dados tratados e com a finalidade do
tratamento”.
9
SP - 18791086v1
notificação prematura não leva em consideração os desafios suportados por um responsável e cria
desincentivos para investigações minuciosas. Adicionalmente, a notificação prematura pode
resultar em notificações excessivas tanto para as autoridades competentes quanto para os titulares
de dados. Os recursos das autoridades seriam sobrecarregados gerenciando eventos nos quais
dados não foram realmente comprometidos e os titulares de dados poderiam sofrer da fatiga de
notificação, tornando-os incapazes de diferenciar ameaças de auto e baixo nível.9
Para lidar com o risco de que um responsável atrase a notificação, as Seções recomendam
a adoção da obrigação prevista no Projeto de Lei 5276, na qual se estabelece que notificações
devem incluir as razões do atraso nos casos em que não sejam feitas imediatamente.
c. Materialidade da Violação de Dados
Reiteramos os pontos levantados no comentário anterior das Seções. O Artigo 24 do
Projeto de Lei 330 exige a notificação imediata de “qualquer incidente de segurança que possa
acarretar prejuízo aos titulares”. Entendemos ser útil que a redação especifique que deve haver um
risco de dano aos titulares de dados. Para melhor esclarecimento, as Seções recomendam a inclusão
de que o risco de dano deve ser “material”. Como no regime de notificação imediata, a falta de
materialidade pode levar a notificações excessivas aos órgãos competentes, adicionando mais
obrigações desnecessárias e gasto para todas as partes.
O Artigo 48 do Projeto de Lei 5276 e o Artigo 24 do Projeto de Lei 330 exigem que os
responsáveis notifiquem os titulares de dados do incidente quando houver a possibilidade de pôr
em perigo a segurança pessoal dos titulares de dados ou de causar danos a eles, independentemente
das decisões feitas a partir da avaliação do incidente pelo órgão competente.
Nenhum dos Projetos de Lei exige materialidade. As Seções propõem que ambos Projetos
de Lei deveriam exigir prontas notificações onde há a possibilidade de risco ou dano “material”.
Essa exigência mais uma vez reduziria o potencial de notificações desnecessárias ou excessivas.
7. Transferências Internacionais de Dados
No âmbito da atual conjuntura tecnológica, dados são transferidos diariamente. Processos
automatizados em empresas globais se tornaram componentes críticos para o desenvolvimento
eficaz e eficiente de operações internacionais. Negócios globais que automatizam seus processos
provavelmente transferem diariamente dados através de fronteiras. Dada a facilidade com a qual
dados podem ser transferidos de uma jurisdição para outra, a importância de estabelecer
disposições claras sobre as transferências internacionais de dados não pode ser excessiva. Qualquer
lei de privacidade abrangente deve abordar sua aplicabilidade a dados portáteis e seus autores
devem trabalhar com a comunidade internacional para manter consistência nessa área.
As Seções reiteram que a abordagem dos Projetos de Lei às transferências internacionais é
estruturalmente consistente e parabenizam os legisladores Brasileiros por dar maior clareza com a
introdução da seção “Responsável e Operador”. Fornecer uma clara distinção entre responsável e
operador é um componente crítico de cumprimento com normas de transferência de dados. Cada
parte deve saber suas respectivas obrigações ao discutir os mecanismos de transferência
necessários e na distribuição de suas respectivas obrigações.
9 Veja A Consequência de um Mega Vazamento de Dados: Sentimento do Consumidor. PONEMON INST. LLC
(Abril 2014), disponível em , sugerindo que os consumidores estão sofrendo de fadiga de vazamento de dados.
10
SP - 18791086v1
Requisito de Equivalência. Tanto o Projeto de Lei 330 quanto o Projeto de Lei 5276
continham cláusulas permitindo a transferência de dados pessoais a países que mantém o mesmo
grau de proteção de dados. O Artigo 26 do Projeto de Lei 330 estabelece esse requisito ao permitir
transferências “para países que proporcionem o mesmo grau de proteção de dados previsto nesta
Lei”. Essa linguagem foi ligeiramente ajustada no Artigo 33 do Projeto de Lei 5276, que autoriza
transferências “para países que proporcionem nível de proteção de dados pessoais ao menos
equiparável ao desta Lei”. A intenção dessas disposições está inalterada e o órgão competente
avaliará o nível de proteção de dados de um país estrangeiro com base: (i) nas normas gerais e
setoriais da legislação em vigor no país de destino; (ii) na natureza dos dados; (iii) na observância
dos princípios gerais de proteção de dados pessoais estabelecidos na lei brasileira; (iv) na adoção
de medidas de segurança estabelecidas em regulamento; e (v) outras circunstâncias específicas
relativas à transferência.
Exceções. O Projeto de Lei 5276 prevê exceções que permitem a transferência de dados
para um país que não tenha um nível equivalente de proteção, na visão do órgão competente. As
exceções são: (i) cooperação jurídica internacional; (ii) proteção da vida ou segurança física do
titular dos dados ou de terceiros; (iii) autorização da transferência pelo órgão competente; (iv)
quando a transferência resultar em compromisso assumido em acordo de cooperação
internacional; (v) quando a transferência for necessária para execução de política pública ou
atribuição legal do serviço público; ou (vi) com o consentimento do titular, quando este for avisado
sobre os riscos envolvidos e sobre o caráter internacional da operação. Essa última exceção vem
do Projeto de Lei 330. Já havia uma exceção para o consentimento, mas a redação foi ligeiramente
alterada de “informados adequadamente” para “quando o titular tiver fornecido o seu
consentimento para a transferência, com informação prévia e específica sobre a operação, com
alerta quanto aos riscos envolvidos”. As Seções parabenizam os legisladores Brasileiros por dar
clareza a esses requisitos. Essas exceções, no entanto, provavelmente incorrerão nas mesmas
controvérsias que a UE tem experimentado. A maior preocupação ocorre quando há dependência
do “órgão competente”, pois há o potencial de resultar em graves atrasos administrativos. As
Seções sugerem que seria útil a existência de um processo claramente definido e otimizado que
imponha menos obrigações ao órgão competente.
Privacy Shield e outros Mecanismos de Transferências. O Artigo 34 do Projeto de Lei
5276 estabelece autorizações específicas caso o “responsável pelo tratamento apresent[e] garantias
suficientes de observância dos princípios gerais de proteção e dos direitos do titular”. Isso pode
ser feito por meio (i) de conteúdo contratual aprovado pelo órgão competente; (ii) de conteúdo
contratual padrão; ou (iii) de regras corporativas globais, na forma do regulamento. Esses são
importantes mecanismos que ajudam a otimizar o processo de transferência de dados, mas,
novamente, trazem o risco do processo ser ineficiente e atrasar (pois precisam esperar pela análise
e aprovação do órgão competente).
As Seções sugerem que a Transferência Internacional de Dados devea incorporar uma
exceção operacional que ajude a acelerar o cumprimento e remover parte das grandes obrigações
que o Projeto de Lei 5276 coloca sobre o órgão competente. Uma exceção operacional chamada
Privacy Shield é disponibilizada na atual estrutura de proteção entre UE-EUA.10 Ao utilizar esses
mecanismos, empresas podem auto certificar seu cumprimento com obrigações mais rigorosas de
proteção de dados. Essa solução oferece maior flexibilidade para os processadores de dados e
10 Para uma descrição desse enquadramento, veja Privacy Shield, https://www.privacyshield.gov/welcome.
11
SP - 18791086v1
obrigações legais que protegem a privacidade do titular de dados. O novo Privacy Shield requer
garantias mais claras das autoridades dos EUA e dispõe de um ombudsman voltado ao
acompanhamento de reclamações ou outros questionamentos dos titulares de dados.11 As Seções
mais uma vez enfatizam a importância de se ter um procedimento auto regulatório para alcançar o
cumprimento das leis aplicáveis de privacidade e proteção de dados, aumentando a eficiência
operacional, especialmente considerando o crescimento da computação em nuvem.12
8. Questões de Big Data
O “Big Data” se refere especificamente ao uso de algoritmos de prognóstico para analisar
grandes conjuntos de dados (volume) em tempo real (velocidade), de diferentes tipos e fontes
(variedade; coletivamente chamados de “Três V’s”). Dois outros “V’s” também assumem um
papel na análise de big data: variabilidade/valor (i.e. a mudança em outras características) e
veracidade (i.e. integridade e confiabilidade dos dados). Algoritmos de prognóstico procuram
conexões probabilísticas entre os elementos de dados.
Existem muitos benefícios para a sociedade na análise de big data, especialmente na saúde
e educação (i.e., identificar e fornecer intervenção antecipada para estudantes “em risco”). A
análise de big data pode ser crucial para otimizar o transporte e gestão urbana, e também para criar
estratégias de preparo emergencial para resposta a desastres e gestão de cidades. Ao mesmo tempo,
preocupações foram levantadas sobre como a análise de dados pode ser usada para categorizar os
consumidores de forma não transparente, de modo que os prejudiquem. A coleta e análise
descuidada de dados pode gerar conclusões sobre as pessoas que inadvertidamente expressam ou
reforçam preconceitos inapropriados.
a. Definindo “Tomadas de Decisão” Automatizadas para Permitir Usos de Dados
de forma Legal, Benéfica e Inovadora
Como observado cima, a análise de dados pode ser útil em várias instâncias como saúde,
educação, segurança, e planejamento urbano, com provavelmente muitos outros usos benéficos
ainda não descobertos. A lei não deveria impedir tomadas de decisão automatizadas que sejam
legais e benéficas. Quaisquer restrições deveriam ser focadas no mau uso da análise de dados.
Existem questões importantes relacionadas a (i) o que são decisões automatizadas, e (ii)
quem as está tomando. Por exemplo, se uma pessoa é identificada como um alvo em potencial para
publicidade, isso é uma “decisão”? E se o algoritmo para identificar que aquele individuo é
desenvolvido pela entidade A, vendido para a entidade B, e usado pela entidade C, quem tomou
aquela decisão?
Deveria existir um limite material na restrição de tomada de decisão automatizada. O
Artigo 20 do Projeto de Lei 5276 é amplamente aplicável a “decisões tomadas unicamente com
base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as
decisões destinadas a definir o seu perfil ou avaliar aspectos de sua personalidade”. (ênfase
adicionada). O Artigo 10 do Projeto de Lei 330 baniria a tomada de decisão automatizada se um
indivíduo for “excluído, prejudicado ou de qualquer forma afetado em sua esfera jurídica por
decisões fundamentadas exclusivamente no tratamento automatizado de dados voltado a avaliar o
11 Veja Fact Sheet, http://europa.eu/rapid/press-release_MEMO-16-434_en.htm. 12 As Seções reconhecem que o Escudo de Privacidade é uma questão de debate dentro da UE, mas acreditam
que esse novo mecanismo superará os défices que resultaram na anulação da estrutura do Safe Harbor.
12
SP - 18791086v1
seu perfil” (ênfase adicionada). As Seções notam que a UE no GDPR recentemente promulgado,
define o universo de tomada de decisão automatizada sujeito à sua regra no Artigo 22(1) como
“decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de
perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma
similar” (ênfase adicionada). Sugerimos uma limitação de materialidade alinhada com a
abordagem do GDPR.13
b. Permitindo a Tomada de Decisão Automatizada com Base no Interesse
Legítimo, Sujeitando a Tomada de Decisão Automatizada ao Direito de
Impugnação com Base na Violação dos Direitos Fundamentais dos Titulares
dos Dados, e Pontos Relacionados
As Seções concordam que o uso da tomada de decisão automatizada deveria ser
permitida em primeira instância, sem o consentimento expresso, enquanto existir “interesse
legítimo”. Os dois Projetos de Lei reconhecem o “interesse legítimo” como uma exceção à
exigência do consentimento expresso. Interesse legítimo é definido nos dois Projetos de Lei como
“interesses legítimos do responsável ou de terceiros”, no Projeto de Lei 5276, artigo 7, item IX,
“exceto no caso de prevalecerem interesses ou direitos e liberdades fundamentais do titular que
exijam a proteção dos dados pessoais, em especial se o titular for menor de idade”, e no Projeto de
Lei 330, artigo 12, item VIII, “desde que não prevaleçam sobre os interesses ou os direitos e
liberdades fundamentais do titular dos dados” (ênfase adicionada). O Projeto de Lei 330, artigo
10, §1º, estabelece que “as decisões a que se refere o caput serão admitidas no âmbito da celebração
ou da execução de um contrato acordado pela pessoa natural” sujeito ao direito de impugnar
discutido abaixo. Essa redação sugere que a tomada de decisão automatizada só será permitida
mediante a celebração de um contrato. Conforme mencionado acima, as Seções recomendam,
respeitosamente, que a tomada de decisão automatizada possa ser feita mesmo sem contrato,
quando justificada pelo interesse legítimo.
As Seções recomendam que o direito de impugnar a tomada de decisão automatizada e
obter a intervenção manual deverá ser baseada em uma alegação específica de descumprimento
a “interesses ou direitos e liberdades fundamentais” dos titulares dos dados: Apenas o Projeto
de Lei 330, artigo 10, aborda esse direito de impugnar, estipulando que “as decisões ... serão
admitidas no âmbito da celebração ou da execução de um contrato acordado pela pessoa natural,
desde que sejam garantidas medidas capazes de assegurar a possibilidade de impugnação, a
intervenção humana imediata e outros interesses legítimos da pessoa natural” e que “as decisões
... serão sempre passíveis de impugnação pelo titular, sendo assegurando o direito à obtenção de
decisão humana fundamentada após a impugnação.” (ênfase adicionada). Como ponto de
comparação, o direito de impugnar o perfil sob o GDPR tem que ser baseado “por motivos
relacionados a sua situação particular” (ênfase adicionada). O direito de impugnar previsto nos
13 Além disso, as Seções acreditam que as exceções de saúde e da proteção da vida e da segurança física são muito
restritas. Os dois Projetos de Lei especificamente excluem da definição de processamento “proteger a vida ou
segurança física do titular de dados ou de terceiros” e “para procedimentos de saúde conduzidos por profissionais de
saúde ou autoridades de saúde pública”, sendo o Projeto de Lei 5276 mais explícito. Essa articulação pode ser muito
estreita, pois existem outros usos benéficos. A título de comparação, o GDPR define “caracterização de perfis”
especificamente nos termos de áreas de preocupação, limitado ao “uso de dados pessoais para avaliar certos aspectos
pessoais em relação a uma pessoa natural, em particular para analisar ou prever aspectos que tratem da performance
daquela pessoa natural no trabalho, situação econômica, saúde, preferências pessoais, interesses, confiabilidade,
comportamento, localização ou movimentação” (ênfase adicionada).
13
SP - 18791086v1
Projetos de Lei é desqualificado e pode levar ao mal-uso. As Seções recomendam,
respeitosamente, que o direito de impugnar deva ser compatível com o motivo que permita tais
contestações – proteger direitos fundamentais do titular dos dados. Além disso, recomendamos
que o escopo da intervenção manual (“decisão humana fundamentada”) seja, por sua vez,
dependente do fundamento legítimo para impugnar a decisão automatizada.
As Seções advertem que a divulgação da "lógica" subjacente aos algoritmos deva estar
sujeita à proteção dos direitos de propriedade intelectual: A proteção dos direitos de propriedade
intelectual necessários para a inovação está prevista no Projeto de Lei 5276, artigo 20, que
estabelece que “o responsável deverá fornecer, sempre que solicitadas, informações claras e
adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada,
respeitado o segredo comercial e industrial.” As Seções recomendam que essa proteção seja
incluída no texto final.
As Seções propõem que o uso de dados disponíveis publicamente não seja restringido:
Projeto de Lei 5276, artigo 7, item IX, §4º, estabelece que “o tratamento de dados pessoais cujo
acesso é público deve ser realizado de acordo com esta Lei, considerados a finalidade, a boa-fé e
o interesse público que justificou a sua disponibilização”. As Seções acreditam que esses termos
são muito restritivos. O valor do big data está em certa medida em identificações imprevistas, mas
válidas, de correlações entre elementos de dados. As Seções concordam que, na medida em que os
dados já estejam legitimamente em domínio público, o seu uso deve ser permitido.
9. Direitos dos Titulares dos Dados nos Projetos de Lei
a. Direito ao Esquecimento
O Projeto de Lei 330, artigo 6, itens VII e IX, define direitos básicos do titular dos dados
para incluir proteções que possam estabelecer um “direito ao esquecimento”. O artigo 6, item VII,
estabelece que um dos direitos básicos do titular dos dados é a “exclusão definitiva, a seu
requerimento e ao término da relação entre as partes, dos seus dados pessoais em quaisquer bancos
de dados, ressalvadas outras hipóteses legais que incidem sobre a guarda de dados”. Artigo 6, item
IX, estabelece que outro direito básico do titular dos dados é a “autodeterminação quanto ao
tratamento dos seus dados, incluindo a confirmação da existência do tratamento de dados pessoais,
o acesso aos dados, a correção gratuita de dados pessoais inverídicos, inexatos, incompletos ou
desatualizados e o cancelamento de dados desnecessários, excessivos ou tratados em
desconformidade com o disposto nesta Lei”. O Projeto de Lei 5276, artigo 18, item III, define os
direitos do titular dos dados para incluir “correção de dados incompletos, inexatos ou
desatualizados”.
As Seções reconhecem o desejo de manter o controle do titular dos dados sobre o uso
continuado de suas informações. No entanto, os responsáveis pelos dados deverão ter razões
legítimas e convincentes para reter os dados pessoais, uma necessidade que sugerimos seja
equilibrada com o direito ao esquecimento dos indivíduos. Descrever o direito ao esquecimento
em termos absolutos poderá trazer consequências indesejadas, incluindo: (1) impossibilidade do
indivíduo de fazer valer seus direitos; (2) facilitação de atividades ilegais; (3) prejuízo à saúde e à
segurança; e (4) impedimento do avanço de defesas administrativas ou judiciais. As Seções
defendem que o “direito ao esquecimento” deveria ser implementado em conjunto com os
princípios que reconhecem a capacidade do titular dos dados de deletar suas informações pessoais
da memória digital em situações apropriadas, em contraposição a um direito pessoal que pode
14
SP - 18791086v1
conflitar com a necessidade de alguns responsáveis pelos dados em manter esses dados. Assim, as
Seções defendem que o "direito ao esquecimento" deve ser implementado como um conjunto de
princípios que reconhecem a capacidade dos titulares dos dados de promover a exclusão de suas
informações pessoais da memória digital, em situações apropriadas, e não como um direito pessoal
superior que possa conflitar com a necessidade dos responsáveis em manter os dados em
determinadas circunstâncias.14
b. Direito a Portabilidade de Dados
O artigo 18 do Projeto de Lei 5276 estabelece os direitos dos titulares dos dados para incluir
a "portabilidade, mediante requisição de seus dados pessoais a outro fornecedor de serviço ou
produto". As Seções reconhecem o desejo de manter o controle do titular dos dados sobre o uso
posterior de suas informações. No entanto, diferentemente da legislação de privacidade em outras
jurisdições, como o artigo 20 do GDPR15, não há menção aos parâmetros no qual os dados devem
ser transferíveis, para dar orientação e limites apropriados. As Seções recomendam que sejam
feitos esclarecimentos adicionais sobre os parâmetros no qual os dados devem ser transferíveis.
10. Aplicação e Implementação
a. Obrigações Legais conflitantes
As Seções recomendam que os Projetos de Lei reconheçam expressamente que
obrigações legais conflitantes podem, em alguns casos, justificar exceções às exigências dos
Projetos de Lei, na medida que o cumprimento destas obrigações seja necessário pelos
responsáveis do tratamento de dados. O Projeto de Lei 330, artigo 35, estabelece que os direitos
previstos nesta lei não excluem os decorrentes de tratados ou convenções internacionais de que o
Brasil seja signatário, de legislação interna e de regulamentos expedidos pelas autoridades
administrativas competentes. Embora esta redação indique que os direitos contidos no Projeto de
Lei 330 não excluem os direitos contidos em outras leis do país, as Seções recomendam que os
Projetos de Lei tragam orientações sobre os casos em que os direitos e obrigações contidos nos
Projetos de Lei podem conflitar com outras leis e regulamentos no Brasil.
Por exemplo, o GDPR contém três disposições que restringem especificamente o seu
alcance de forma a não entrar em conflito com outras leis europeias e nacionais16. Mais importante,
o GDPR declara expressamente no seu artigo 96 que os acordos internacionais que envolvem a
transferência de dados pessoais para outros países ou organizações internacionais, que tenham sido
concluídos pelos Estados-Membros antes de 24 de maio de 2016 e que cumpram com a legislação
da União então aplicável, permaneçam em vigor até que sejam alterados, substituídos ou
14 O GDPR identifica as seguintes finalidades legais para uma retenção: "pelo exercício do direito à liberdade de
expressão e de informação, pelo cumprimento de uma obrigação legal, pela execução de uma tarefa de interesse
público ou no exercício da autoridade pública investida no responsável pelo processamento, por motivos de interesse
público no âmbito da saúde pública, para os fins de arquivamento para fins de interesse público, de pesquisa científica
ou histórica ou para fins estatísticos, ou para o estabelecimento, exercício ou defesa de ações administrativas ou
judiciais ". Regulamento 2016 / 679, 2016 OJ (L 119), “Considerando” 65. 15 Artigo 20 do GDPR concede ao titular dos dados: (1) o direito de receber os dados pessoais por eles
fornecidos, num formato estruturado, comumente usado e legível por máquinas, se os dados forem fornecidos com
base no consentimento ou por contrato; e (2) o direito de os dados pessoais serem transmitidos diretamente por um
responsável para o outro, quando viável tecnicamente. 16 Regulamento 2016/679, 2016 O.J. (L 119) 1, 32, 86, 87.
15
SP - 18791086v1
revogados17. As Seções recomendam que os Projetos de Lei, de forma similar, também incluam
disposições expressas sobre qual lei deve prevalecer, quando houver o conflito entre uma
disposição dos Projetos de Lei e outras leis e regulamentações no Brasil.
b. Responsabilidade Solidária
Os Projetos de Lei estabelecem um regime de responsabilidade solidária entre os cedentes
e cessionários de dados em várias de suas disposições. O Projeto de Lei 330, artigo 20, §2º e o
artigo 28, §3º, responsabilizam solidariamente "todos aqueles que tiverem acesso aos dados",
independentemente de sua culpa. O artigo 34, do Projeto de Lei 330 também prevê a
responsabilidade solidária entre as empresas ou entidades integrantes de um grupo econômico,
quando pelo menos uma delas praticar infração a lei. Disposições similares no Projeto de Lei 5276,
no artigo 34, §1º, e artigo 35, responsabilizam solidariamente o cedente e o cessionário,
independentemente de sua culpa e sua localização. O Projeto de Lei 5276, artigo 44, prevê
especificamente a solidariedade entre os cessionários e os cedentes por qualquer dano causado.18
As Seções estão preocupadas com o fato de tais disposições sobre responsabilidade
solidária serem inapropriadas, pois conflitam com os conceitos fundamentais de responsabilidade
civil e, consequentemente, resultariam em tratamento injusto aos cedentes e cessionários
inocentes. Na responsabilidade civil, a responsabilidade solidária propriamente dita se aplica nas
situações em que dois ou mais atores descumpram um dever de cuidado com um terceiro e, ou não
possa ser determinado qual deles causou o dano esse terceiro, ou ambos causaram o dano.
Consistente com as regras de responsabilidade civil, o GDPR incluiu aplicação restrita da
responsabilidade solidária aos cedentes e cessionários, limitada aos casos em que ambos causaram
danos ao titular dos dados. 19
As Seções recomendam que os Projetos de Lei excluam a responsabilidade solidária ou,
pelo menos, limitem a sua aplicação estritamente aos casos em que duas ou mais partes causem
danos ao titular dos dados. As disposições de responsabilidade solidária dos Projetos de Lei entram
em conflito com os conceitos de responsabilidade civil em vários aspectos. Primeiro, quando uma
única parte sozinha - seja o cedente ou o cessionário de dados - viola o seu dever perante o titular
dos dados, não há justificativa para responsabilizar outra parte que não violou qualquer dever
perante aquele titular dos dados. Segundo, no caso altamente improvável em que, tanto o cedente
quanto o cessionário de dados violem o seu dever perante o titular dos direitos, é ainda menos
provável que o titular dos direitos não consiga determinar qual das partes causou o dano ou que
ambas as infrações foram causas inseparáveis dos danos. As disposições dos Projetos de Lei, da
forma como estão escritas, poderão sujeitar partes inocentes a uma responsabilidade integral pela
violação de uma outra parte.
c. Penalidades
Além de exigir que as pessoas que tratam dados inadequadamente indenizem aqueles que
foram prejudicados pelos seus atos, os Projetos de Lei impõem penalidades excessivas por tais
danos. O Projeto de Lei 330, artigo 31, sujeita pessoas que trataram dados de forma inapropriada
a uma multa de até 5% sobre a receita líquida do grupo econômico no Brasil no último exercício
17 Id. em 87. 18 No Projeto de Lei 5276, o Artigo 44, §1º, também traz uma exceção específica, isentando da responsabilidade
solidária, no caso de tratamento de dados realizado no exercício dos deveres de que trata a Lei nº 12.527, de 2011. 19 Regulamento 2016/679, 2016 O.J. (L 119) em 81.
16
SP - 18791086v1
fiscal. O Projeto de Lei 5276, em seu artigo 52, §2º, também estabelece um sistema punitivo em
que a empresa pode estar sujeita a várias sanções por uma única infração.
As penalidades dos Projetos de Lei devem ser efetivas, proporcionais e ter um efeito
educacional20. Cinco por cento da receita líquida gerada no Brasil no último exercício fiscal
poderia ser desproporcional e excessivamente punitivo. Tal penalidade poderá desestimular as
empresas à reportarem potenciais violações ou cooperarem com os reguladores para resolver
problemas, particularmente na área de segurança de dados. Mesmo o GDPR, que estabelece multas
significativas, tem ponderado cuidadosamente os critérios para determinar quando serão
apropriadas multas mais elevadas21.
As Seções recomendam que os Projetos de Lei calculem a pena de forma gradual segundo
o modelo GDPR, com considerações apropriadas sobre quando a penalidade máxima é apropriada
para uma potencial violação específica.
d. Período de Transição
As Seções sugerem que a vacatio legis ou os períodos de transição de cada Projeto de Lei
sejam mais longos do que o período originalmente sugerido. O Projeto de Lei 330, artigo 37,
estabelece que a lei entrará em vigor 120 dias após sua publicação oficial. O Projeto de Lei 5276,
artigo 56, estabelece que a lei entrará em vigor 180 dias após a data de sua publicação. Estes dois
períodos de transição contrastam bastante com o GDPR, no qual o período de transição é de dois
anos completos a partir da data de publicação22. As Seções recomendam que os Projetos de Lei
utilizem um período similar. Se por um lado os responsáveis poderiam ter dificuldade em entrar
em conformidade com a lei em apenas quatro ou seis meses a partir da data da publicação dos
Projetos de Lei, um período mais longo permitiria aos responsáveis entender melhor e cumprir de
forma completa com o novo regime de proteção de dados. Um período de transição de pelo menos
um ano proporcionaria um tempo maior ao Governo Federal para estruturar um órgão competente
para supervisionar a regulamentação de proteção de dados, e para que esse órgão estabelecesse
estruturas de administração e operação para fazer cumprir a nova regulamentação. 23
As Seções recomendam também a implementação de uma regra de transição sobre a
renovação do consentimento, semelhante ao GDPR sob o qual:
Os tratamentos de dados que se encontrem já em curso à data de aplicação do presente
regulamento deverão passar a cumprir as suas disposições no prazo de dois anos após a data de
entrada em vigor. Se o tratamento dos dados se basear no consentimento dado nos termos do
disposto na Diretiva 95/46/CE, não será necessário obter uma vez mais o consentimento do
titular dos dados, se a forma pela qual o consentimento foi dado cumprir as condições previstas
no presente regulamento, para que o responsável pelo tratamento prossiga essa atividade após a
data de aplicação do presente regulamento. As decisões da Comissão que tenham sido adotadas e
20 Id. em 83-84. 21 Id. em 83. 22 Id em 87.
23 Projeto de Lei 5276, artigo 56, prevê que o órgão competente deverá estabelecer os requisitos de adequação
progressiva para o tratamento de uma base de dados pré-existente. As Seções solicitam esclarecimentos nesse ponto,
em razão de seu caráter vago e indefinido.
17
SP - 18791086v1
as autorizações que tenham emitidas pelas autoridades de controlo com base na Diretiva
95/46/CE, permanecem em vigor até ao momento em que sejam alteradas, substituídas ou
revogadas.
IV. Conclusão
As Seções agradecem a oportunidade de comentar os Projetos de Lei e parabenizam o
governo brasileiro pelo seu processo aberto e transparente. Caso as Seções possam esclarecer
quaisquer assuntos aqui discutidos ou possam responder quaisquer dúvidas, ficaríamos felizes em
poder fazê-lo.