LGPD

Leis de dados pessoais estaduais e municipais: insegurança jurídica à vista?

Pular para conteúdo
Whatsapp
comentários

Capítulo 1

Em São Paulo, proposta prevê mais uma autoridade de dados

Para advogadas, sobreposição de autoridades nacionais e estaduais pode gerar insegurança

O projeto de de lei (PL 598/2018), que cria uma legislação estadual de proteção de dados e uma autoridade estadual para fiscalizar o tratamento de dados pessoais, geraria insegurança jurídica para empresas que desejam se instalar em São Paulo. Para advogadas, se aprovada, a proposta pode trazer atritos com a lei federal nº 13.709/2018, que criou a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto.

Além de possíveis sobreposições e incongruências com o texto aprovado pelo Congresso, o receio é de que uma lei paulista influencie outras assembleias legislativas pelo país a aprovar propostas semelhantes.

Em levantamento, o JOTA identificou outros 10 projetos de lei com a mesma temática tramitando por Assembleias Legislativas e Câmaras Municipais do país. Um deles já foi aprovado pelo município de Vinhedo em julho deste ano.

O projeto estadual paulista, de autoria do deputado Rogério Nogueira (DEM), permite que uma autoridade estadual de dados aplique sanções administrativas a empresas que desrespeitarem procedimentos de coleta e tratamento de dados pessoais. Atualmente, está em fase de apreciação de comissões da Assembleia Legislativa do Estado de São Paulo (ALESP). 

Entre as obrigações da lei, estão o consentimento do titular das informações para que empresas utilizem seus dados; a boa-fé e interesse público para o uso de dados pessoais cujo acesso é público; a disponibilização, ao titular dos dados, sobre a finalidade, forma e duração em que suas informações serão usadas; e a anonimização ou o bloqueio de dados desnecessários.

As empresas que não respeitarem essas regras podem sofrer sanções administrativas de até R$ 25 milhões, valor inferior ao estipulado na LGPD, que pode chegar a R$ 50 milhões.

De acordo com a Marcela Mattiuzzo, sócia do escritório VMCA e especialista em tecnologia e proteção de dados, o projeto de lei apresenta um “duplicidade de aplicação de sanções” com a LGPD.

“Podemos ter duas esferas, federal e estadual, aplicando sanções iguais a fatos idênticos. A lei estadual tem a mesma redação da LGPD, sendo que nenhuma das duas fornecem pistas sobre quando a aplicação de multa será feita pela autoridade federal ou estadual”, avalia a advogada.

A advogada explica ser inevitável que dados de cidadãos paulistas sejam coletados, devido ao tamanho do estado e ao número de dados pessoais presentes no território. Entretanto, para ela, existiriam outras maneiras mais eficientes de acompanhar o tratamento de dados em São Paulo.

“A Alesp poderia criar uma comissão especial para acompanhar a implementação da lei federal no país e analisar o seu efeito e consequências no estado de São Paulo. O aumento de órgãos fiscalizadores gera mais insegurança jurídica, pois aumenta a complexidade de todo o processo de aplicação da legislação”, diz Marcela.

Para Andréa Machado, advogada do Dias Carneiro Advogados, uma autoridade estadual que tenha o mesmo poder de sanção de uma autoridade federal pode gerar uma insegurança a empresas que desejam se instalar em São Paulo. O receio é uma possível dupla sanção caso aconteçam problemas no tratamento de dados de clientes.

“Não há um limite de multas. Uma empresa teria a multa determinada na esfera federal e existiria adicionalmente outro valor da lei estadual”, explica a advogada, que diz ser preciso melhorar a definição no texto da lei sobre o funcionamento de eventuais multas estaduais. 

Segundo a advogada Caroline Klamas, do escritório CMT Advogados, é positiva a preocupação do poder público de São Paulo, um dos maiores controladores de dados pessoais do país, com o tema. Mas não seria necessário um projeto de lei para fiscalizar o uso de dados em um estado.

“A LGPD se aplica a todo o processamento de dados realizado em território nacional”, explica.

Para ela, um cenário com duas leis semelhantes de proteção de dados ainda é incerto. “Pode acontecer de termos vários órgãos dando orientações sobre os procedimentos adequados. Mas, se não houver uma coordenação de atuação desses órgãos, uma empresa pode se preocupar com um excesso de regras e punições. Isso é inviável”, afirma Caroline.

Além disso, a advogada destaca o prazo curto de adaptação às normas previstas no projeto de lei estadual. Enquanto a LGPD deu prazo de 18 meses para que todas as empresas realizem as mudanças necessárias para o tratamento de dados, o PL 598/18 teria prazo de 90 dias, considerado curto para a adaptação.

Capítulo 2

Complemento ou duplicidade?

Deputado que propôs PL defende "complementariedade" da lei estadual

Autor do PL 598/18, o deputado estadual Rogério Nogueira (DEM), defende que o projeto de lei estadual não causa conflitos com a LGPD, pois funciona apenas como um “complemento” à lei Federal.

“O PL 598/18 se limita ao âmbito do Estado de São Paulo e, em hipótese alguma, invade a seara da legislação Federal geral. O projeto dará ordenamento jurídico ao tratamento de dados pessoais no Estado de São Paulo, mas em consonância com a legislação federal já existente”, diz o deputado.

Ele explica que o PL foi criado para garantir que as informações pessoais dos cidadãos paulistas não sejam comercializadas ou cedidas sem consentimento.

“O cidadão terá o direito de recusar seus dados quando forem sugeridos em algum comércio, terá o direito de não permitir que seus dados fiquem eternamente depositados em um banco de dados se em alguma ocasião teve o nome negativado. No geral, terá maior proteção ao direito de controlar as próprias informações pessoais”, afirma Nogueira.

Sobre as críticas de uma possível insegurança jurídica que a lei geraria e um excesso de punição que o PL poderia ocasionar juntamente com a LGPD, o deputado explica que o projeto não vislumbra “conflitos jurisdicionais”.

“Não há que se falar em dupla punição. As sanções previstas na LGPD relacionam-se às situações que violem esse diploma (fatos de âmbito federal/internacional), enquanto que as sanções previstas no PL relacionam-se ao descumprimento em âmbito estadual-municipal, tudo nos exatos limites e termos previstos”, diz o parlamentar.

O PL 598/18 não é a primeira tentativa de criação de um projeto para impor normas de uso de dados pessoais no estado de São Paulo. Em 2015, o deputado estadual André Soares (PSDC) criou o PL 981/2015, que buscava proibir a publicidade de informações pessoais, em todos os meios de comunicação e publicação, sem a autorização prévia do titular dos dados. A proposta foi aprovada pela Alesp em maio deste ano. 

Em junho, o governador de São Paulo, Márcio França, vetou totalmente o PL 981/2015, alegando ser competência da União legislar sobre o tema. Além disso, França citou que há diversos bancos de dados com informações públicas que podem conter dados pessoais, cujo acesso não deve ser restringido.

“As atividades de interesse público devem continuar a ser realizadas, sem a necessidade de consentimento, sob pena de inviabilizar, na prática, a existência de tais cadastros”. A conclusão do governador foi baseada em uma propositura realizada pela Federação Brasileira de Bancos (Febraban).

Visão Empresarial

Para as empresas detentoras de grandes bancos de dados, como a Orange, do setor de telecomunicações e que possui mais de 3.000 clientes cadastrados, a criação de leis estaduais sobre o tratamento de dados, além da LGPD, representa uma preocupação para o negócio.

De acordo com Antonio Carlos Pereira, vice-presidente de serviços ao cliente e operações para a América Latina da Orange Business Services, o poder público deve esclarecer como funcionariam as penalizações por tratamento de dados de forma incorreta.

Ele pontua que a Orange já está em um processo de 24 meses de adaptação às normas da LGPD. Esse fato, somado às semelhanças dos projetos estaduais e Federal, não deve exigir uma mudança radical no setor de dados da empresa. Mas teme a incerteza decorrente do espraiamento de projetos do tipo pelo país.

“Nossa empresa está presente em outros estados do Brasil, que tendem a seguir o mesmo caminho de São Paulo. Esses órgãos estaduais serão mesmo independentes? Como delimitar a abrangência da entidade estadual com a entidade Federal?”, questionou Pereira.

Capítulo 3

Multiplicação de leis de dados pessoais

Levantamento do JOTA mostra uma dezena de propostas semelhantes em estados e municípios

Uma lei estadual no estado de São Paulo pode acelerar um movimento de criação de novas legislações e autoridades nacionais de proteção de dados em outros estados do país.

Segundo Vanessa Lerner, advogada especialista em proteção de dados no escritório Dias Carneiro, as empresas de âmbito nacional ainda estão receosas devido ao grande número de mudanças impostas pela LGPD.

A criação de leis em estados e municípios poderia ampliar a insegurança de realizar novos negócios. “O cenário ideal seria que as autoridades estaduais somente trouxessem demandas de seus estados para a autoridade nacional. Seria uma atuação em conjunto”, explica Vanessa.

Um movimento nas assembleias estaduais para a criação de novas leis de dados já surge pelo país. É o caso do estado do Rio Grande do Sul, com o PL 293/17, de autoria da então deputada estadual e candidata à vice-presidente da República em 2018, Manuela d’Ávila.

O projeto, que aguarda parecer da assembleia desde dezembro de 2017, institui um Conselho Estadual de Proteção de Dados Pessoais, que funcionaria como um órgão para a realização de ouvidorias, implementação de relatórios de impacto à privacidade, com a intenção de auxiliar empresas na transparência com o tratamento de dados. A proposta se refere a dados que estão no âmbito da Administração Pública direta e indireta.

A Assembleia Legislativa do Estado do Rio de Janeiro (ALERJ) também conduziu um projeto de lei (375/2015), de autoria do deputado André Ceciliano (PT), para “proteger os direitos fundamentais de liberdade, intimidade e privacidade”.

O PL permite a divulgação de dados pessoais somente após o consentimento titular. No texto de justificativa para a lei, o deputado explica que se tornaram frequentes sites para a consulta de número de CPF, apenas informando o nome da pessoa. Para ele, os sites “têm causado transtorno à população, o que demonstra que outros sítios podem ter a mesma causa de criação e existência”. 

O projeto, que ainda não foi votado no plenário, define que será válido logo após a sua publicação, sem tempo de adaptação para empresas controladoras de dados. O mesmo deputado também criou o PL 2626/2017, que proíbe aos provedores de internet o armazenamento e a comercialização de dados de acesso a aplicações dos usuários. 

O deputado justifica que o PL 2626/2017, que encontra-se em análise de comissões, deve ser criado contra modelos de negócios na Internet “abusivos”.

“Conglomerados empresariais como Google, Facebook, dentre outros valem-se destes modelos de negócios que se baseiam no armazenamento maciço de dados pessoais, muitos de caráter sensível, gerando riscos de que sua utilização ocorra apenas para fins de oferecer o produto mais relevante ao consumidor certo”, justificou o deputado em seu projeto de lei.

Municípios

Não apenas estados tiveram propostas. Em junho deste ano, a Câmara de Vereadores do município de Vinhedo, no estado de São Paulo, aprovou o projeto de lei complementar nº 12/2017, de autoria do vereador Rodrigo Paixão (REDE). A proposta criou um órgão municipal para controle de dados pessoais. Dentro do órgão há a presença da Ouvidoria de Proteção de Dados e o Conselho Municipal de Proteção de Dados Pessoais e da Privacidade.

Sancionada pelo prefeito da cidade, Jaime Cruz (PSDB), a agora Lei Complementar nº161 entrará em vigor em janeiro do próximo ano.

Outros municípios também avançaram em projetos de lei sobre o tema. É o caso de São Paulo, Campinas, Recife, Fortaleza e João Pessoa. Todos estão com seus projetos em tramitação no Legislativo. A maioria dos projetos foi criado em 2018, durante o mesmo período de debate sobre a LGPD.

O projeto paulistano, de autoria de seis deputados, do PT, PSOL, PSDB e PSD, cria regras para o tratamento de dados dentro da administração pública. Em seu  artigo 6º, por exemplo, pontua que “dados de titulares dever ser utilizados no mínimo de situações necessárias”.

Os outros municípios que propuseram leis sobre o tema seguiram a mesma tendência de proteger os dados da administração pública. Em Fortaleza, o projeto exige que os titulares dos dados sejam informados pela administração sobre as razões do tratamento de seus dados.

Em Campinas, Recife e João Pessoa, os projetos permitem o compartilhamento de dados  somente em situações como cumprimento de obrigações legais, realização de pesquisas históricas, exercício regular de direitos em processo judicial ou administrativo, procedimentos realizados na área da saúde ou para a proteção da vida do titular dos dados.