Privacidade

PL quer normas para proteção e tratamento dos dados pessoais

Autor

  • Omar Kaminski

    é advogado e consultor gestor do Observatório do Marco Civil da Internet membro especialista da Câmara de Segurança e Direitos do Comitê Gestor da Internet no Brasil (CGI.br) e diretor de Internet da Comissão de Assuntos Culturais e Propriedade Intelectual da OAB-PR.

16 de julho de 2002, 16h31

O deputado Orlando Fantazzini (PT/SP) apresentou projeto de lei na Câmara, em 12/6/02, visando estabelecer normas para a proteção e tratamento dos dados pessoais.

Na justificativa, o deputado escreveu que, cada vez mais, informação é sinônimo de poder. “Nas sociedades informatizadas e desenvolvidas há um incremento de softwares e programas de informática destinados a organizar bancos de dados de pessoas físicas”. Fantazzini considera que, de certa forma, os destinatários desses serviços “aplaudem o incremento da informatização e generalização de bancos de dados pessoais” porque “há propaganda de que se possa oferecer um serviço mais eficiente e rápido”.

Mas o deputado pondera que o que se vê são cadastros desorganizados e desatualizados, com desrespeito aos dados pessoais e à privacidade das pessoas, o que implica em graves lesões aos direitos individuais.

“No Brasil, cresce o número de bancos de dados com informações sobre dados de pessoas físicas. Seguindo a orientação de outros países, a tendência é, cada vez mais, existirem sistemas de informações em vários ramos das atividades sociais. Este fato coloca, portanto, uma questão: como preservar o direito universal e constitucional à privacidade?”, finaliza.

O projeto de lei, tramitando em regime de prioridade, foi apensado ao PL nº 3.494/2000, de autoria do deputado Lúcio Alcântara (PSDB/CE), que dispõe sobre a estruturação e o uso de bancos de dados sobre a pessoa e disciplina o rito processual do habeas data, e encontra-se na Coordenação de Comissões Permanentes (CPP) aguardando encaminhamento.

Veja a íntegra

PROJETO DE LEI N° 6.981, de 2002.

(Do Sr. Orlando Fantazzini)

Estabelece normas para a proteção e tratamento dos dados pessoais e dá outras providências.

O Congresso Nacional decreta:

Art. 1º – O tratamento dos dados pessoais será processado de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais da pessoa humana.

Art. 2º – Para os fins desta lei, entende-se por:

I – Dados pessoais: qualquer informação, incluindo som e imagem, de pessoa física;

II – Tratamento de dados pessoais: qualquer operação ou conjunto de operações sobre dados pessoais, efetuados com ou sem meios automatizados, tais como a coleta, registro, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição dos dados, bem como o bloqueio ou destruição;

III – Sistema de informação: conjunto de dados pessoais e informações sobre pessoas físicas sujeito a armazenamento, processamento ou transmissão, organizados em qualquer meio de comunicação, informatizado ou não;

IV – Responsável pelo tratamento: pessoa física ou jurídica, privada ou pública que, individualmente ou em conjunto com outra, seja responsável pelo tratamento de dados pessoais;

V – Terceiro: pessoa física ou jurídica, privada ou pública, bem como o serviço ou qualquer outro organismo que, não sendo o titular dos dados, esteja habilitado e autorizado a tratar os dados;

VI – Destinatário: pessoa física ou jurídica, privada ou pública, bem como o serviço ou qualquer outro organismo a quem sejam comunicados os dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridades a que sejam comunicadas as informações;

VII – Consentimento do titular dos dados: expressa e específica manifestação de vontade, sem a incidência de qualquer vício, nos termos da qual o titular aceita que os dados pessoais sejam objeto de tratamento;

VIII – Interconexão de dados: forma de tratamento que consiste na possibilidade de relacionamentos dos dados de um sistema com dados armazenados ou conservados com os dados de um outro sistema, mantido por outro ou outros responsáveis, contendo semelhantes ou diferentes finalidades.

Art. 2º – O tratamento dos dados pessoais deverá atender às seguintes características:

I – Recolhidos para finalidade determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;

II – Adequados, pertinentes e não excedentes às finalidades para as quais foram recolhidos;

III – Exatos, devendo o responsável, assim que tiver conhecimento da inexatidão ou erro, tomar providências imediatas para a retificação ou destruição da informação ou dado pessoal;

IV – Atualizados periodicamente, devendo o responsável proceder à completa revisão dos dados, independentemente de provocação do titular;

V – Conservados de forma a permitir a identificação dos seus titulares apenas durante o período necessário para o cumprimento de sua finalidade;

VI – Consentidos expressamente pelo titular, excetuados em casos de cumprimento de obrigação legal ou proteção de interesses vitais do titular dos dados.

Parágrafo único: Cabe ao responsável pelo tratamento assegurar a observância das características referentes aos dados pessoais, respondendo penal, civil e administrativamente quando for desrespeitado um ou mais dos incisos constantes neste artigo.

Art. 3º – É proibido o tratamento de dados pessoais referentes a convicções filosóficas ou políticas, filiação partidária ou sindical, fé religiosa, vida privada e origem racial ou étnica, bem como o tratamento de dados relativos à saúde, à intimidade e à vida sexual, incluindo os dados genéticos.

Parágrafo único – O tratamento dos dados referentes à saúde e à vida sexual, incluindo os dados genéticos, somente será permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o tratamento desses dados seja efetuado por um profissional de saúde obrigado a sigilo ou por outra pessoa igualmente sujeita a segredo profissional.

Art. 4º – O tratamento de dados pessoais para fins de investigação criminal ou instrução processual penal somente poderá ser processado por instituição pública limitando-se às seguintes condições:

I – Prevenção de um perigo concreto ou repressão de uma infração determinada;

II – Exercício de competência prevista em lei específica;

III – Atendimento dos termos do acordo, tratado ou convenção internacional de que o Brasil seja parte.

Art. 5º – O responsável, quando recolher dados pessoais diretamente do seu titular, deverá prestar-lhe as seguintes informações:

I – Identidade do responsável pelo tratamento;

II – Destinatário dos dados;

III – Finalidade do tratamento;

IV – Caráter obrigatório ou facultativo da resposta;

V – Condições para o titular acessar e retificar os dados pessoais a fim de garantir a lealdade das informações.

§1º – Não será admitida a interconexão de dados pessoais, salvo se expressamente autorizada e asseguradas as adequadas medidas de segurança, bem como não implicar discriminação ou diminuição dos direitos, liberdades e garantias dos titulares dos dados.

§2º – Ao titular dos dados será admitido o direito de se opor ao preenchimento do tratamento dos mesmos, em qualquer fase de coleta ou tratamento dos dados, sem a incidência de ônus, obrigações ou despesa pecuniária.

Art. 6º – Todo o sistema de informação será acessível aos titulares dos dados pessoais ou a seus representantes legais, que poderão solicitar:

I – A confirmação de possuírem dados próprios no sistema, assim como finalidade e destinatário dos dados;

II – A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;

III – O conhecimento da lógica subjacente ao tratamento automatizado que lhe diga respeito;

IV – A retificação, a destruição ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente lei;

V – A notificação, aos terceiros a quem os dados tenham sido comunicados, de qualquer retificação.

Art. 7º – O responsável pelo tratamento deverá adotar todas as medidas necessárias à proteção dos dados pessoais contra a perda ou destruição acidental ou ilícita, a alteração, a difusão ou o acesso não autorizados e especialmente:

I – Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados;

II – Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados por pessoa não autorizada;

III – Impedir a introdução, a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos;

IV – Garantir que as pessoas autorizadas só possam ter acesso aos dados abrangidos pelo consentimento do titular;

V – Garantir que somente os destinatários tomem conhecimento dos dados e não outras pessoas que tenham acesso à transmissão;

VI – Garantir que se possa verificar, a posteriori, em prazo adequado à natureza do tratamento, quais os dados pessoais introduzidos no sistema e por quem.

Parágrafo único – Conforme a modalidade de transmissão e natureza das informações poderão ser adotadas medidas de segurança especiais a fim de impedir riscos aos direitos dos titulares, bem como violações aos dados pessoais.

Art. 8º – Os responsáveis pelo tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados pessoais armazenados, ficam obrigados a sigilo profissional, mesmo após o término das suas funções.

Art. 9 – Somente será admitida a transferência de dados para um Estado estrangeiro se existirem as seguintes condições:

I – Expressa solicitação ou ordem judicial pela autoridade competente estrangeira;

II – Fundamentação a respeito da necessidade para investigação policial, instrução ou persecução penal;

III – Segurança assumida pelo Estado destinatário de um nível adequado de proteção dos dados e informações.

Art. 10 – O responsável pelo tratamento de dados pessoais que desrespeitar as normas e princípios contidos nesta lei fica sujeito a sanções penais, civis e administrativas.

Art. 11 – Os órgãos e entidades do Poder Executivo promoverão o treinamento, capacitação, reciclagem e aperfeiçoamento dos seus servidores que desempenhem atividades inerentes ou relacionadas ao tratamento de dados pessoais, salvaguarda de documentos ou sistemas de informações, a fim de atualizá-los em relação às normas da presente lei.

Art. 12 – Todos os sistemas de informação referentes a tratamentos de dados pessoais, sigilosos ou não, terão um prazo de 180 dias para se adeqüarem aos dispositivos contidos nesta lei.

Art. 13 – Os dados e sistemas de informações referentes a fatos históricos, políticos, estatísticos ou científicos organizados ou de posse dos órgãos policiais e de informações ligados ao Poder Executivo, independente da finalidade a que foram tratados, deverão ser conservados em um único órgão e disponibilizados ao público em geral.

Art. 14 – Fica o Poder Executivo autorizado a criar órgão técnico permanente com competência para fiscalizar e acompanhar o funcionamento dos bancos de dados, bem como orientar e dar pareceres sobre a organização de novos sistemas de informação.

Art. 15 – Esta lei entra em vigor na data da sua publicação, revogando-se as disposições em contrário.

Veja também: Divulgar ou comercializar endereços sem autorização pode virar crime (16/3/02)

Autores

  • Brave

    é advogado, diretor de Internet do Instituto Brasileiro de Política e Direito da Informática (IBDI) e membro suplente do Comitê Gestor da Internet no Brasil (CGI.br).

Tags:

Encontrou um erro? Avise nossa equipe!