Foi publicada no Diário Oficial da União do último dia 15 a Lei 13.709/2018. O texto fora sancionado com vetos, no dia anterior, pelo presidente Michel Temer. O teor da referida lei “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme preceitua o seu artigo 1º.
Segundo o conceito normativo, dado pessoal é gênero que comporta duas espécies: dado pessoal sensível e dado anonimizado.
Dado pessoal é a informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado anonimizado é dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Apresentados os conceitos, impõe-se a necessidade de tecer alguns comentários acerca do seu Capítulo IV, Seção I, que lista as regras de tratamento de dados pessoais pelo poder público. Far-se-á breve consideração sobre os artigos 23 a 30 da supracitada seção.
Preliminarmente, cabe transcrever a justificativa aduzida pelo relator, deputado federal Milton Monti, para a propositura do então Projeto de Lei 4.060/2012, convertido no Projeto de Lei da Câmara 53/18. Eis a redação:
O presente Projeto de lei tem por objetivo dar ordenamento jurídico e institucional ao tratamento de dados pessoais, bem como a proteção dos direitos individuais das pessoas, de acordo com a Constituição da República Federativa do Brasil.
O tratamento de dados é hoje uma realidade cada vez mais presente em nosso cotidiano, especialmente quando experimentamos o avanço da tecnologia da informação, em especial a internet e suas aplicações nas mais diversas áreas de nossa vida em sociedade. Até pouco tempo era inimaginável pensar nas aplicações e a interação que a internet teria em nosso dia-a-dia, ao mesmo tempo em que podemos imaginar que isso continuará em ritmo acelerado e de incremento, tendo em vista a velocidade em que novas tecnologias são desenvolvidas para a comunicação com as pessoas.
Dentro dessa realidade se faz necessário estabelecer normas legais para disciplinar tais relações, especialmente para dar proteção à individualidade e a privacidade das pessoas, sem impedir a livre iniciativa comercial e de comunicação.
[…]
Não há dúvida nenhuma que o Estado deve cuidar das questões gerais, mas é também evidente que a sociedade é refratária ao excesso de tutela por parte do Estado e que deseja exercer na plenitude seus direitos constitucionais inclusive o de receber se quiser comunicações pelos meios disponíveis no momento (grifo nosso).
Percebe-se a preocupação legítima com a proteção conferida ao fluxo crescente de dados dos usuários, porquanto os tempos atuais trouxeram novos dilemas quanto ao seu uso, incluída a utilização pelo Estado.
Tal questão não pode ser ignorada, sobretudo após notícias diárias de vazamentos de dados — principalmente no ambiente virtual — que ensejaram a tramitação, em regime de urgência, do projeto de lei no Plenário do Senado.
O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
- sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sites; e
- seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do artigo 39 da lei em comento.
A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.
Os serviços notariais e de registro exercidos em caráter privado, por delegação do poder público, terão o mesmo tratamento dispensado às pessoas jurídicas de direito público.
Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares.
As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do poder público.
Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
O uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais da lei em estudo.
É vedado ao poder público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
- em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei de Acesso à Informação; e
- nos casos em que os dados forem acessíveis publicamente, observadas as disposições da lei ora analisada.
Os contratos e convênios relativos à transferência de dados pessoais a entidades privadas deverão ser comunicados à autoridade nacional.
A autoridade nacional poderá solicitar, a qualquer momento, às entidades do poder público, a realização de operações de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e demais detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento das normas da lei em estudo.
A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.
Conclui-se, portanto, que a Seção I do Capítulo IV da Lei de Proteção de Dados Pessoais traz normas de conduta para os entes da administração pública no tocante ao uso e manuseio de dados de caráter pessoal, cuja observância visa não somente permitir maior segurança dos indivíduos e suas respectivas informações em um Estado Democrático de Direito — cuja existência, dentre outros objetivos e missões, vem a proteger o cidadão, hipossuficiente, de eventual autoritarismo estatal —, bem como também garantir o cumprimento dos princípios norteadores da administração pública expressos no artigo 37, caput, da Constituição Federal.
A existência dessa lei — conquanto bastante recente e sujeita a futuros entendimentos doutrinários e jurisprudenciais — enseja a modernização do ordenamento jurídico pátrio em face das hodiernas circunstâncias que a evolução social, em âmbito mundial, traz consigo.