A proteção estadual de dados pessoais e o PL 598/2018

É necessário construir um ambiente de cooperação suplementar e mútua

No último mês de setembro de 2018, foi publicado, no Diário da Assembleia Legislativa do Estado de São Paulo, o Projeto de Lei Estadual nº 598/2018 de autoria do deputado Rogério Nogueira (DEM), com o objetivo de suplementar a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) no que se refere à proteção de dados pessoais em âmbito estadual.

A proposta legislativa dispõe sobre o tratamento de dados pessoais no Estado de São Paulo, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Por ocasião da apresentação do referido projeto, o autor justificou a elaboração do marco regulatório estadual como forma de acompanhar as constantes evoluções tecnológicas pelas quais vem passando a sociedade, além de seguir e complementar a tendência legislativa nacional e internacional no campo da proteção de dados.

Dessa forma, objetiva o texto suplementar a legislação federal, regulamentando a atividade de tratamento de dados pessoais no âmbito do Estado de São Paulo e favorecendo, na medida do possível, a autorregulamentação sobre a matéria. A ideia veiculada é a de resguardar a privacidade e demais liberdades fundamentais dos cidadãos tutelados, porém sem perder de vista o incentivo à livre iniciativa e a promoção do desenvolvimento.

As disposições do projeto serão aplicáveis, a princípio, nas seguintes hipóteses de tratamento de dados pessoais: (i) operações de tratamento realizadas no Estado de São Paulo; (ii) operações de tratamento voltadas ao fornecimento ou oferta de bens ou serviços ou ao tratamento de dados de indivíduos localizados no Estado de São Paulo; e (iii) operações de tratamento de dados pessoais coletados no Estado de São Paulo. Para tanto, o texto considera, sob a mesma lógica empregada pela LGPD, que o local da coleta dos dados é aquele no qual o respectivo titular se encontra por ocasião da operação.

Por outro turno, as disposições não se aplicarão aos seguintes casos excepcionais: (i) operações de tratamento realizadas por pessoa natural para fins exclusivamente particulares e não econômicos; (ii) operações de tratamento realizadas para fins exclusivamente artísticos ou acadêmicos; (iii) operações de tratamento realizadas para fins exclusivos de segurança pública, segurança do Estado ou atividades de investigação e repressão de infrações penais; e (iv) operações de tratamento de dados pessoais provenientes de fora do Estado de São Paulo e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento nacional e estadual ou objeto de transferência de dados com outro estado, desde que proporcionado grau de proteção de dados pessoais adequado ao previsto na regulamentação estadual e federal.

Outrossim, a LGPD previa, em seu projeto original, a concepção de órgão federal para controle e fiscalização específica da matéria, qual seja a Autoridade Nacional de Proteção de Dados (ANPD). Entretanto, por ocasião da sanção presidencial, restaram vetados tais dispositivos, por alegado vício de iniciativa. Nesse tocante, o presidente Michel Temer assegurou a criação da entidade autárquica por via apartada, através do instrumento legislativo competente, o que ainda não ocorreu.

Desse modo, o projeto de lei paulista busca, ao que parece, contornar essa lacuna com a criação de órgão similar a nível estadual. A chamada “autoridade estadual”, segundo o texto apresentado, possuirá funções e competências bastante semelhantes àquelas delineadas para a ANPD quando do projeto da lei federal. De acordo com a definição legal, esta seria um órgão da administração pública direta e/ou indireta responsável por zelar, implementar e fiscalizar o cumprimento da regulamentação sob exame.

Dentre outras funções, a autoridade estadual, conforme idealizada, poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais, emitir opiniões técnicas e recomendações, solicitar relatórios de impacto aos agentes responsáveis, além de dispor sobre padrões a serem utilizados na atividade e sugerir regras de boas práticas e governança de privacidade. Além disso, na ocorrência de incidente de segurança, será de atribuição da autoridade estadual, no que lhe couber, a análise da gravidade do caso e respectiva adoção de providências. Ainda, em caso de violação ao disposto na norma, o órgão possuirá competências fiscalizatórias e sancionatórias, podendo recomendar medidas reparadoras e, até mesmo, impor penalidades administrativas.

Nessa linha, o PL n.º 598/2018 permite a aplicação das seguintes penalidades, a critério da autoridade estadual: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Estado de São Paulo no seu último exercício, excluídos os tributos, limitada, no total, a R$ 25.000.000,00 (vinte e cinco milhões de reais) por infração; (iii) multa diária, observado o limite total acima referido; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a regularização; e (vi) eliminação dos dados pessoais a que se refere a infração. Nota-se que, em comparação com a LGPD, o projeto de lei estadual prevê limite inferior para a sanção de multa: enquanto o teto a nível nacional é de R$ 50.000.000,00 (cinquenta milhões de reais), a norma estadual limitará este ao valor de R$ 25.000.000,00 (vinte e cinco milhões de reais).

Com isso, observa-se que, embora inovador e alinhado ao movimento legislativo global sobre a regulação de novas tecnologias e proteção de dados, o Projeto de Lei Estadual nº 598/2018 reproduz em muito a recente Lei Federal nº 13.709/2018, de modo que a alteração, de fato, substancial em seu texto é a criação da autoridade estadual em São Paulo. Há que se recordar, contudo, de que existe a expectativa da constituição da Autoridade Nacional de Proteção de Dados em data próxima, tendo ambos os órgãos competências bastante semelhantes, guardada a devida distinção federativa.

Assim, dada a provável concepção da autoridade nacional com atribuições similares àquelas idealizadas em nível estadual, é de se considerar a possibilidade de eventuais conflitos de competência entre tais esferas e refletir, desde já, sobre formas de conciliar ambas as atuações, harmonizando o trabalho entre os entes federativos e garantindo a construção de um ambiente de cooperação suplementar e mútua.

Por Mariana Louback

Fonte: https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/a-protecao-estadual-de-dados-pessoais-e-o-pl-598-2018-22102018

Comentários

Comentários