Destaques

Projeto de Lei pretende criar uma autoridade estadual de dados pessoais em SP

Um projeto de lei da Assembleia Legislativa do Estado de São Paulo pretende criar uma entidade que sirva como uma autoridade estadual de dados pessoais. O PL nº 598/2018, de autoria do deputado estadual Rogério Nogueira (DEM-SP), é suplementar à Lei Federal nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em agosto, e pretende criar um “órgão da administração pública direta e/ou indireta responsável por zelar, implementar e fiscalizar” o cumprimento da Lei.

A proposta surge enquanto não se tem sinal de movimentação do Governo Federal em relação à prometida autoridade nacional de dados pessoais. O PL 598 pode acabar dando margem ao surgimento de projetos isolados de cada unidade federativa, já que o tema pode ser regulado pelos estados, uma vez que não há restrição para isso, contrário ao que acontece com as telecomunicações.

De acordo com o texto do deputado Rogério Nogueira, a autoridade estadual emitirá “opiniões técnicas ou recomendações referentes às exceções previstas (…) e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais”. Essas exceções são em fins de segurança pública e segurança do Estado, além de “atividades de investigação e repressão de infrações penais”. A autoridade terá poderes de sanções administrativas por meio de regulamento próprio, que o PL afirma que deverá ser colocado em consulta pública e que orientará o cálculo do valor-base das multas.

Pretende ser aplicada a qualquer operação de tratamento de dados (independente onde estejam localizados os dados) no Estado de São Paulo; cujo objetivo seja a oferta ou fornecimento de bens, serviços ou tratamento de dados de indivíduos localizados no território estadual; ou que os dados tenham sido coletados no território paulista. A autoridade estadual ainda poderá operar em conjunto com a nacional em processos de anonimização e realizar verificações sobre a segurança dos dados anonimizados.

A autoridade também poderá solicitar ao controlador (definido como pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados pessoais) “relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. A entidade terá direito a dispor sobre padrões de interoperabilidade para fins de portabilidade, “livre acesso aos dados” e segurança, bem como o tempo de guarda dos registros. Ela poderá verificar a gravidade do incidente e determinar ao controlador a adoções de providências, como divulgação em meios de comunicação e medidas para reverter ou mitigar efeitos do incidente.

Vale destacar também que o projeto de lei dá ao poder público estadual o mesmo tratamento dado a pessoas jurídicas nos termos da LGPD. Mesma prática será dada a empresas públicas, conforme está previsto no art. 24, parágrafo único: “As empresas públicas, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público”. Nos artigos 28 e 29, entretanto, fala que a autoridade estadual poderá solicitar a realização de “operação de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e demais detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei”. Além disso, poderá estabelecer “normas complementares” para atividades de “comunicação e de uso compartilhado” dos dados. O projeto foi apresentado no começo de setembro e ainda não teve movimentações relevantes. Em sua última tramitação, no dia 18, o PL entrou na pauta da 2ª sessão. Caso aprovada, a lei deverá ser regulamentada em 90 dias após a publicação.

Fonte: Teletime

Próximos Eventos