Com a aprovação do PL 53/2018 no Senado Federal, as novas regras para uso e tratamento de dados pessoais e não pessoais estão prestes a virar lei. Neste momento, o projeto está na Presidência da República que poderá publicá-lo com ou sem vetos, a qualquer momento. Uma vez publicada, a lei tem 18 meses para entrar em vigor.
Mas o que a nova lei muda no dia a dia do provedor regional? Quem responde a pergunta é a advogada Cristiane Sanches, diretora jurídica do provedor Netserv de Itu e também associada da Abrint.
“Os provedores devem ficar atentos porque o projeto define o que são dados pessoais e dados não pessoais. O endereço IP e o endereço eletrônico são considerados dados pessoais. Diante disso, os provedores que, de alguma forma, fazem uso do endereço IP ou dos sites de seus clientes para tratamento de dados ou oferta de novos produtos ou serviços, por ele mesmo ou por terceiros, têm que saber de que forma esses dados poderão ser utilizados”, afirma ela.
A nova lei define que tratamento de dados pessoais e não pessoais é qualquer tipo de cruzamento de informações que tenha o objetivo de apresentar algum produto ou serviço ao titular do dado ou de propor política pública, no caso do governo.
O tratamento de dados pessoais só pode ser realizado se fundamentado em uma das dez hipóteses previstas em lei, que inclui: com consentimento expresso do titular; para o cumprimento de obrigação legal; para a proteção da vida ou da integridade física; para a execução de contratos; ou para atender aos interesses legítimos do responsável pelo tratamento das informações ou de terceiro.
“Por exemplo, se o provedor resolver vender uma lista de endereços IPs de clientes para um data broker específico, de modo a configurar uma discriminação ou uma conduta abusiva, isso é um ato ilícito sancionado pela lei de proteção de dados”, afirma Cristiane Sanches que foi diretora jurídica da ABRINT no ano passado e participou das discussões sobre o assunto.
Outro ponto que pode afetar os provedores é quando provedor regional também atua com comércio eletrônico. Neste caso, quando houver qualquer tipo de transferência internacional de dados, essa relação estará submetida a uma regulamentação específica. Aliás, a extraterritorialidade é uma outra característica da lei de proteção de dados pessoais: a lei se aplica a qualquer empresa que trate dados no Brasil, mesmo que ela não tenha sede ou filial aqui constituída.
Autoridade Nacional
O projeto estabelece a criação de uma agência governamental denominada autoridade nacional de proteção de dados pessoais, que teria a responsabilidade de regulamentar a nova lei. Esse ponto, contudo, ainda é polêmico. A Secretária de Políticas Digitais do MCTIC, por exemplo, vai recomendar ao presidente Temer que vete essa parte porque entende que há vício de origem, ou seja, apenas o Executivo pode criar despesas para o governo.
(Com assessoria de imprensa)
No Comment