Principais inovações da nova versão do Anteprojeto de Lei de Proteção de Dados Pessoais/APLPDP

Em 2010, foi lançado no Brasil a primeira versão de um anteprojeto de lei que visava regular de forma abrangente o sistema protetivo de dados pessoais no país. A primeira versão desse documento, que trazia em seu texto não só um conceito de dados pessoais, mas também diversos princípios gerais, direitos e garantias do titular dos dados, foi aberto para discussão pública online em idos de 2011. Nova versão foi lançada em janeiro de 2015 e também foi aberta para consulta pública, recebendo mais de 1500 comentários através de plataforma da Ministério da Justiça. A nova versão, incorporando diversas sugestões, foi disponibilizada em 20 de outubro de 2015.

A pretensão desse pequeno ensaio é, apenas, apontar os principais avanços dessa última versão, deixando-se de lado, em um primeiro momento, considerações críticas. As inovações estão sistematizadas na seguinte lista inicial que consiste em uma breve exposição dos pontos inovadores, seguida de uma tabela comparativa entre as versões pré e pós consulta pública:

  • Alusão de que a lei tem como um dos seus objetivos assegurar o livre desenvolvimento da personalidade, além da liberdade, intimidade e privacidade. Demonstra-se, assim, que a proteção de dados pessoais angaria autonomia ao direito à privacidade, cuja lente de interpretação deve se orientar pelos direitos da personalidade;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade, intimidade e privacidade da pessoa natural. Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
  • Novo rol de fundamentos para a aplicação da lei, incluindo o direito à autodeterminação informativa, liberdades de expressão e de comunicação, livre iniciativa e livre concorrência, inovação e proteção aos direitos do consumidor. Trata-se de um verdadeiro arsenal guia para a interpretação de todos os seus dispositivos;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Artigo inexistente de fundamentos da proteção dos dados pessoais.) Art. 2º A disciplina da proteção de dados pessoais no Brasil tem como fundamento o respeito à privacidade, bem como:
I – a autodeterminação informativa;
II – a liberdade de expressão, comunicação e opinião;
III – a inviolabilidade da intimidade, vida privada, honra e imagem; IV – o desenvolvimento econômico e tecnológico; e
V – a livre iniciativa, a livre concorrência e a defesa do consumidor.
  • Modificação do conceito de dados pessoais: por um lado restringiu-se os identificadores eletrônicos únicos quando estes se referirem a uma pessoa identificada, não incluindo pessoas identificáveis, o que pode ser interpretado como uma mera identificação de equipamentos. Por outro lado, todos os demais tipos de dados serão considerados dados pessoais se forem relativos a uma pessoa identificada ou identificável, prevalecendo, portanto, a lógica expansionista do conceito de dados pessoais; ;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos;
Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa;
  • O consentimento passa a ser apenas uma das nove formas para autorizar a coleta, uso e tratamento dos dados pessoais, incluindo-se a figura dos legítimos interesses, que devem seguir requisitos como:
    1. legítimas expectativas do titular;
    2. transparência e a disponibilização de mecanismos eficazes para que o titular opõe-se ao seu tratamento;
    3. adequação com a finalidade original, situações concretas;
    4. anonimizados sempre que possível;
    5. faculdade do órgão competente para solicitar relatórios de impacto à privacidade.

    Estabelece-se, assim, um teste de ponderação para tal hipótese de tratamento, inovando-se, significativamente, com relação aos itens “a”, “b”, “e”, se comparadas com outras iniciativas legislativas, como a da modernização da diretiva da União Europeia. Esses novos requisitos conciliam, a um só tempo, mecanismos eficazes para que os titulares mantenham uma esfera de controle sobre seus dados pessoais, bem como trazem maior clareza para o operador que pretende se valer do tratamento de dados pessoais contemplado por interesses legítimos;

Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Não havia a previsão de tratamento de dados pessoais contemplado por interesses legítimos.)
CAPÍTULO II
REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Seção I
Requisitos para o tratamento
Art 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
IX – quando necessário para atender aos interesses legítimos do responsável, respeitados os interesses ou os direitos e liberdades fundamentais do titular.

Art. 10. O legítimo interesse do responsável somente poderá fundamentar um tratamento de dados pessoais, respeitados os direitos e liberdades fundamentais do titular, devendo ser necessário e baseado em uma situação concreta.
§ 1º O legítimo interesse deverá contemplar as legítimas expectativas do titular quanto ao tratamento de seus dados, de acordo com o disposto no art. 6º, II.
§ 2º O responsável deverá adotar medidas para garantir a transparência do tratamento de dados baseado no seu legítimo interesse, devendo fornecer aos titulares mecanismos eficazes para que possam manifestar sua oposição ao tratamento de dados pessoais.
§ 3º Quando o tratamento for baseado no legítimo interesse do responsável, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados, devendo ser anonimizados sempre que compatível com a finalidade do tratamento.
§ 4º O órgão competente poderá solicitar ao responsável relatório de impacto à privacidade quando o tratamento tiver como fundamento o seu interesse legítimo.

  • O consentimento livre e inequívoco passa a ser a regra geral, e o expresso apenas para situações específicas, como no caso de tratamento de dados pessoais sensíveis, aliviando-se, portanto, a outrora adjetivação extensa empregada ao consentimento;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
CAPÍTULO II
REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Seção I
Consentimento

Art. 7º O tratamento de dados pessoais somente é permitido após o consentimento livre, expresso, específico e informado do titular, salvo o disposto no art. 11.
CAPÍTULO II
REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Seção I
Requisitos para o tratamento

Art 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento pelo titular de consentimento livre e inequívoco;
  • Mesmo sendo o tratamento de dados pessoais condição para o fornecimento de um produto ou serviço, deve-se assegurar meios para que o seu titular exerça uma esfera de controle. Tal ressalva, associada à faculdade do órgão competente de dispor sobre os meios como tal controle seria exercido, acaba por abrir espaço para o denominado consentimento granular. Há, assim, a possibilidade de que o titular dos dados pessoais possa emitir autorizações, de forma fragmentada, no tocante ao fluxo de seus dados pessoais, escapando-se da lógica do “tudo” ou “nada” das políticas de privacidade;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Art. 7º § 1º O consentimento para o tratamento de dados pessoais não pode ser condição para o fornecimento de produto ou serviço ou para o exercício de direito, salvo em hipóteses em que os dados forem indispensáveis para a sua realização.
Requisitos para o tratamento

Art 8º, § 4º Quando o consentimento para o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço ou para o exercício de direito, o titular será informado com destaque sobre tal fato e sobre os meios pelos quais poderá exercer controle sobre o tratamento de seus dados.
§ 5º O órgão competente poderá dispor sobre os meios referidos no parágrafo anterior.
  • Dados anônimos não mais constam na lei, também não mais existindo referência à dados dissociados, sendo substituídos por dados anonimizados, em alusão direta aos métodos de anonimização que podem tornar improvável a identificação do titular;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Art. 5º Para os fins desta Lei, considera-se:
IV – dados anônimos: dados relativos a um titular que não possa ser identificado, nem pelo responsável pelo tratamento nem por qualquer outra pessoa, tendo em conta o conjunto de meios suscetíveis de serem razoavelmente utilizados para identificar o referido titular;
XIV – dissociação: ato de modificar o dado pessoal de modo a que ele não possa ser associado;
Art. 5º Para os fins desta Lei, considera-se:
IV – dados anonimizados: dados relativos a um titular que não possa ser identificado;
XII – anonimização: qualquer procedimento por meio do qual um dado deixa de poder ser associado, direta ou indiretamente, a um indivíduo;
  • Dados anonimizados podem ser objetos da lei quando estes possam ser razoavelmente desanonimizados ou possam influenciar a vida de indivíduos através de procedimentos de análise de comportamento e/ou profiling (dados que podem, através de algoritmos, sujeitar o indivíduo a decisões automatizadas). Um exemplo seria a metodologia da price discrimination que, ao sujeitar um usuário a decisão automatizada de flutuação de preços, seria abarcada pela lei e, sobretudo, vedada por ocasionar discriminação entre os consumidores;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Não havia tais dispositivos sobre o regramento em si sobre dados anonimizados.) Art. 13. Os dados anonimizados serão considerados dados pessoais para os fins desta Lei quando o processo de anonimização ao qual foram submetidos for revertido ou quando, com esforços razoáveis, puder ser revertido.
§ 1º Poderão ser igualmente considerados como dados pessoais para os fins desta Lei os dados utilizados para a formação do perfil comportamental de uma determinada pessoa natural, ainda que não identificada.
  • A razoabilidade do processo de anonimização poderá ser determinada a posteriori pelo órgão competente, já que ele poderá dispor sobre padrões e técnicas do processo de anonimização. Além disso, foca-se em medidas de transparência do uso e o compartilhamento dos dados anonimizados, absorvendo-se, assim, a ideia de que o risco de reversão do processo de anonimização está atrelado ao que se denomina de entropia de informação, tal como uma eventual (provável) agregação com outras bases de dados, seja quanto ao uso ou seu compartilhamento. A completar esse quadro regulatório, o órgão competente poderá solicitar relatórios de impacto à privacidade.
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Não havia tais dispositivos sobre o regramento em si sobre dados anonimizados.) Art. 13., § 2º O órgão competente poderá dispor sobre padrões e técnicas utilizadas em processos de anonimização e realizar verificações acerca de sua segurança.
§ 3º O compartilhamento e o uso que se faz de dados anonimizados deve ser objeto de publicidade e de transparência, sem prejuízo do órgão competente poder solicitar ao responsável relatório de impacto à privacidade referente aos riscos de reversão do processo de anonimização e demais aspectos de seu tratamento.
  • Dados públicos (“acesso público irrestrito”) deixam de ser uma exceção ao consentimento e o seu tratamento deve estar adstrito aos princípios e regras propostas pelo APL, considerando-se a finalidade, boa-fé e o interesse público que justificou a disponibilização. Clareia-se, assim, que a dinâmica de proteção de dados pessoais não segue a lógica da dicotomia entre o público e privado, própria do direito à privacidade;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Art. 11. O consentimento será dispensado quando os dados forem de acesso público irrestrito ou quando o tratamento for indispensável para: Art. 7º, § 3º O tratamento de dados pessoais cujo acesso é público deve ser realizado de acordo com esta lei, considerando a finalidade, a boa-fé e o interesse público que justificou a sua disponibilização.
  • Dados biométricos foram incluídos no conceito de dados sensíveis, ao lado de dados genéticos, diferentemente da versão anterior, que relegava a natureza dos dados à regulamentação posterior pelo órgão competente.
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Art. 5º, III – dados sensíveis: dados pessoais que revelem a origem racial ou étnica, as convicções religiosas, filosóficas ou morais, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados genéticos;

Art. 13., § 2º O tratamento de dados pessoais biométricos será disciplinado por órgão competente, que disporá sobre hipóteses em que dados biométricos serão considerados dados pessoais sensíveis.

Art. 5º, III – dados sensíveis: dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados genéticos ou biométricos;
  • Dados pessoais sensíveis somente podem ser usados para fins de pesquisa histórica, científica ou estatística se o tratamento não estiver vinculado a atividade comercial, da administração pública, investigação criminal ou inteligência. São os chamados casos de pesquisa “pura”;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Não havia tal dispositivo.) Art. 7º, § 3º O disposto no item ‘c’ do inciso II somente se aplicará caso as atividades descritas não estejam vinculadas a atividade comercial, de administração pública, investigação criminal ou inteligência, garantindo-se, sempre que possível, a anonimização dos dados pessoais.
  • Inclusão de capítulo específico sobre o tratamento de dados pessoais pelo poder público, incluindo-se a exigência de informe ao Órgão Competente para o compartilhamento de dados entre entidades públicas, e entre entidades públicas e privadas, exigindo-se, em alguns casos, a sua autorização. Avança-se, ainda que timidamente, em uma fiscalização do tratamento dos dados pessoais pelo Estado;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Não havia tal capítulo, ainda que alguns dispositivos já estivessem sido previstos de maneira dispersa.)
CAPITULO VI
Do Tratamento de Dados Pessoais pelo Poder Público

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referenciadas no parágrafo único do art. 1º da Lei 12.527, de 18 de novembro de 2011, deverá ser realizado para o atendimento de sua finalidade pública, na persecução de um interesse público, tendo por objetivo a execução de competências legais ou o cumprimento de atribuição legal pelo serviço público.

Art. 24. Os órgãos do Poder Público darão publicidade às suas atividades de tratamento de dados pessoais por meio de informações claras, precisas e atualizadas em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, respeitando o princípio da transparência disposto no art 5º, VI desta Lei.
§ 1º Os órgãos do Poder Público que realizem operações de tratamento de dados pessoais deverão indicar um encarregado, nos termos do art. 40.
§ 2º O órgão competente poderá dispor sobre as formas pelas quais se dará a publicidade das operações de tratamento.

Art. 25. As empresas públicas e sociedades de economia mista que atuem em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único. As empresas públicas e sociedades de economia mista, quando estiverem operacionalizando políticas públicas e não estiverem atuando em regime de concorrência, terão o mesmo tratamento dispensado aos órgãos e entidades do Poder Público, nos termos desse Capítulo.

Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e entidades públicas, respeitando os princípios da proteção de dados pessoais elencados no art. 6º desta Lei.
Parágrafo único. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto em casos de execução descentralizada de atividade pública que o exija e exclusivamente para este fim específico e determinado, observado, ainda, o disposto na Lei nº 12.527, de 18 de novembro de 2011.

Art. 27. A comunicação e transferência de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informada ao órgão competente e dependerá de consentimento do titular, salvo:
I – nas hipóteses de dispensa do consentimento previstas nesta Lei; ou:
II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do art. 24.

Art. 28. A comunicação de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade, nos termos art. 24.

Art. 29. O órgão competente poderá solicitar, a qualquer momento, às entidades do Poder Público que realizem operações de tratamento de dados pessoais, informe específico sobre o âmbito, natureza dos dados e demais detalhes do tratamento realizado, podendo emitir parecer técnico complementar para garantir o cumprimento desta Lei.

Art. 30. O órgão competente poderá estabelecer normas complementares para as atividades de comunicação de dados pessoais.

  • Inclusão do direito ao titular à portabilidade dos seus dados pessoais, que deve ser feito em formato interoperável, o que pode fomentar a proteção de dados pessoais como fator competitivo.
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
(Não havia tal dispositivo.) Art. 18. O titular dos dados pessoais tem direito a obter, em relação aos seus dados:
V – portabilidade, mediante requisição, de seus dados pessoais a outro fornecedor de serviço ou produto;
(…)
§ 2º Os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que adotará imediata providência para seu atendimento.
  • A adequação, através do reconhecimento do nível de proteção pela autoridade competente, é apenas umas das formas para a transferência de dados internacionais, que inclui, também:
    1. o consentimento especial;
    2. cláusulas padrão;
    3. normas corporativas globais e;
    4. autorizações pontuais.

    As transferências internacionais dos itens “b” e “c” devem ir além de uma espécie de “contratualização” das obrigações legais, devendo estar acompanhado de uma accountability imbuída na própria tecnologia – privacy by design. Mais uma vez, a privacidade pode ser um elemento de competição em razão desse benefício representado pelo livre fluxo informacional transfronteiriço;

Versão Pré-Consulta Pública Versão Pós-Consulta Pública
TRANSFERÊNCIA INTERNACIONAL DE DADOS

Art. 28. A transferência internacional de dados pessoais somente é permitida para países que proporcionem nível de proteção de dados pessoais equiparável ao desta Lei, ressalvadas as seguintes exceções:
I – quando a transferência for necessária para a cooperação judicial internacional entre órgãos
públicos de inteligência e de investigação, de acordo com os instrumentos de direito internacional;
II – quando a transferência for necessária para a proteção da vida ou da incolumidade física do
titular ou de terceiro;
III – quando órgão competente autorizar a transferência, nos termos de regulamento;
IV – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
V – quando a transferência for necessária para execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do §1o do art. 6o.
Parágrafo único. O nível de proteção de dados do país será avaliado por órgão competente, que
levará em conta:
I – normas gerais e setoriais da legislação em vigor no país de destino;
II – natureza dos dados;
III – observância dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
IV – adoção de medidas de segurança previstas em regulamento; e
V – outras circunstâncias específicas relativas à transferência.

Art. 29. Nos casos de países que não proporcionem nível de proteção equiparável ao desta Lei, o consentimento de que trata o art. 7o será especial, fornecido:
I – mediante manifestação própria, distinta da manifestação de consentimento relativa a outras
operações de tratamento; e
II – com informação prévia e específica sobre o caráter internacional da operação, com alerta quanto aos riscos envolvidos, de acordo com as circunstâncias de vulnerabilidade do país de destino.

CAPÍTULO V
TRANSFERÊNCIA INTERNACIONAL DE DADOS

Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I – para países que proporcionem nível de proteção de dados pessoais ao menos equiparável ao desta Lei;
II – quando a transferência for necessária para a cooperação judicial internacional entre órgãos públicos de inteligência e de investigação, de acordo com os instrumentos de direito internacional;
III – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
IV – quando o órgão competente autorizar a transferência;
V – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VI – quando a transferência for necessária para execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do art. 24.
VII – quando o titular tiver fornecido o seu consentimento para a transferência, com informação prévia e específica sobre o caráter internacional da operação, com alerta quanto aos riscos envolvidos.
Parágrafo único. O nível de proteção de dados do país será avaliado pelo órgão competente, que levará em conta:
I – normas gerais e setoriais da legislação em vigor no país de destino;
II – natureza dos dados;
III – observância dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
IV – adoção de medidas de segurança previstas em regulamento; e
V – outras circunstâncias específicas relativas à transferência.

Art. 34. A autorização referida no inciso IV do caput do art. 33 será concedida quando o responsável pelo tratamento apresentar garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular, apresentadas em cláusulas contratuais aprovadas pelo órgão competente para uma transferência específica, em cláusulas contratuais padrão ou em normas corporativas globais, nos termos do regulamento.
§ 1º O órgão competente poderá elaborar cláusulas contratuais padrão ou homologar dispositivos constantes em documentos que fundamentem a transferência internacional de dados, que deverão observar os princípios gerais de proteção de dados e os direitos do titular, garantida a responsabilidade solidária do cedente e do cessionário, independentemente de culpa.
§ 2º Os responsáveis pelo tratamento que fizerem parte de um mesmo grupo econômico ou conglomerado multinacional poderão submeter normas corporativas globais à aprovação do órgão competente, obrigatórias para todas as empresas integrantes do grupo ou conglomerado, a fim de obter permissão para transferências internacionais de dados dentro do grupo ou conglomerado sem necessidade de autorizações específicas, observados os princípios gerais de proteção e os direitos do titular.
§ 3º Na análise de cláusulas contratuais, documentos ou de normas corporativas globais submetidas à aprovação do órgão competente, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento.
§ 4º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput serão, também, analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §1° e §2° do artigo 45.

  • Criação do Órgão Competente, com competência para fiscalizar a aplicação da lei e punir entidades privadas, e do Conselho Nacional de Proteção de Dados e da Privacidade, que funcionará como entidade multissetorial com a função de auxiliar o órgão competente. Merece destaque dentre algumas das suas atribuições, a promoção de debates e estudos de proteção de dados pessoais, bem como a disseminação de conhecimento sobre a matéria junto à população geral;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
CAPÍTULO VIII
SANÇÕES ADMINISTRATIVAS

Art. 50. As infrações realizadas por pessoas jurídicas de direito privado às normas previstas nesta Lei ficam sujeitas às seguintes sanções administrativas aplicáveis por órgão competente:
I – multa simples ou diária;
II – publicização da infração;
III – dissociação dos dados pessoais;
IV – bloqueio dos dados pessoais;
V – suspensão de operação de tratamento de dados pessoais, por prazo não superior a dois anos;
VI – cancelamento dos dados pessoais;
VII – proibição do tratamento de dados sensíveis, por prazo não superior a dez anos; e
VIII – proibição de funcionamento de banco de dados, por prazo não superior a dez anos.
§ 1º As sanções poderão ser aplicadas cumulativamente.
§ 2º Os procedimentos e critérios para a aplicação das sanções serão adequados em relação à gravidade e à extensão da infração, à natureza dos direitos pessoais afetados, à existência de reincidência, à situação econômica do infrator e aos prejuízos causados, nos termos do regulamento.
§ 3º Os prazos de proibição previstos nos incisos VII e VIII do caput poderão ser prorrogados pelo órgão competente, desde que verificada a omissão no cumprimento de suas determinações, a reincidência no cometimento de infrações ou a ausência de reparação integral de danos causados pela infração.
§ 4º O disposto neste artigo não prejudica a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.
§ 5º O disposto nos incisos III a VII poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei no 8.112, de 11 de dezembro de 1990 e na Lei no 8.429, de 2 de junho de 1992.

CAPÍTULO VIII
FISCALIZAÇÃO
Seção I
Sanções Administrativas

Art. 52. As infrações realizadas por pessoas jurídicas de direito privado às normas previstas nesta Lei ficam sujeitas às seguintes sanções administrativas aplicáveis pelo órgão competente:
I – multa simples ou diária;
II – publicização da infração;
III – anonimização dos dados pessoais;
IV – bloqueio dos dados pessoais;
V – suspensão de operação de tratamento de dados pessoais;
VI – cancelamento dos dados pessoais;
VII – suspensão de funcionamento de banco de dados.
§ 1º As sanções serão aplicadas fundamentadamente, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e com a gravidade e natureza das infrações, à natureza dos direitos pessoais afetados, à existência de reincidência, à situação econômica do infrator e aos prejuízos causados.
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.
§ 3º O disposto nos incisos III a VII poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, e na Lei nº 8.429, de 2 de junho de 1992.

Seção II
Órgão Competente e Conselho Nacional de Proteção de Dados e da Privacidade

Art. 53. O órgão competente designado para zelar pela implementação e fiscalização da presente Lei terá as seguintes atribuições:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – elaborar diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade;
III – promover entre a população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais, bem como das medidas de segurança;
IV – promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
V – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
VI – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transacional;
VII – elaborar relatórios anuais acerca de suas atividades;
VIII – editar normas sobre proteção de dados pessoais e privacidade; e
IX – realizar demais ações dentro de sua esfera de competência, inclusive as previstas nesta Lei e em legislação
.

Art. 54. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade contará com quinze representantes titulares e quinze suplentes designados pelo Ministro de Estado da Justiça, com mandato de dois anos, podendo ser renovado uma única vez por igual período, sendo:
I – sete representantes do Poder Executivo Federal, indicados por ato do Poder Executivo;
II – um representante indicado pela Câmara dos Deputados;
III – um representante indicado pelo Senado Federal;
IV – um representante indicado pelo Conselho Nacional de Justiça;
V – um representante indicado pelo Conselho Nacional do Ministério Público;
VI – um representante indicado pelo Comitê Gestor da Internet no Brasil;
VII – um representante da sociedade civil;
VIII- um representante da academia; e
IX – dois representantes do setor privado.
§ 1º A participação no Conselho Nacional será considerada atividade de relevante interesse público, não remunerada.
§ 2º Os representantes referidos no inciso II ao VI do caput e seus respectivos suplentes serão indicados pelos titulares dos respectivos órgãos e entidades.
§ 3º Os representantes referidos nos incisos VII a IX do caput e seus respectivos suplentes serão indicados, nos termos do regimento interno a ser aprovado posteriormente
.

Art. 55. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I – fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III – sugerir ações a serem realizadas pelo órgão competente;
IV – realizar estudos e debates sobre a proteção de dados pessoais e da privacidade; e
V – disseminar o conhecimento sobre proteção de dados pessoais e privacidade à população em geral. § 2º Os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que adotará imediata providência para seu atendimento
.

  • Possível limitação da figura do encarregado (privacy officer) para empresas de pequeno porte, o que demonstra o caráter de fomento à inovação e a competição;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Seção III
Encarregado pelo Tratamento de Dados Pessoais

Art. 41, § 3º Órgão competente estabelecerá normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de definição, conforme critérios de natureza ou porte da entidade, e volume de operações de tratamento de dados.
Seção III
Encarregado pelo Tratamento de Dados Pessoais

Art 41, § 3º O órgão competente poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e porte da entidade ou volume de operações de tratamento de dados.
  • Obrigatoriedade da utilização de princípios gerais de proteção de dados pessoais desde a concepção até a utilização de serviços e produtos, implementando-se o conceito de privacy by design e data protection by design;
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
Seção IV
Segurança e Sigilo dos Dados

Art. 42. O operador deve adotar medidas de segurança técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, difusão, ou qualquer forma de tratamento inadequado ou ilícito.
Parágrafo único. As medidas de segurança devem ser compatíveis com o atual estado da tecnologia, com a natureza dos dados e com as características específicas do tratamento, em particular no caso de dados sensíveis.
CAPÍTULO VII – SEGURANÇA E BOAS PRÁTICAS
Seção I – Segurança e Sigilo de Dados

Art. 45. O operador deve adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º O órgão competente poderá dispor sobre padrões técnicos e organizacionais para tornar aplicável o disposto no caput, levando-se em consideração a natureza das informações tratadas, características específicas do tratamento e o estado atual da tecnologia, em particular no caso de dados sensíveis.
§ 2º As medidas de segurança deverão ser observadas desde a fase de concepção do produto ou serviço até a sua execução.
  • Aumenta-se o prazo da vacatio legis em 60 (sessenta) dias, completando 180 (cento e oitenta dias), mantendo-se a possibilidade do Órgão Competente estabelecer normas para o período de adequação progressiva dos bancos de dados às novas regras e princípios previstos na lei.
Versão Pré-Consulta Pública Versão Pós-Consulta Pública
CAPÍTULO IX
DISPOSIÇÕES TRANSITÓRIAS E FINAIS

Art. 51. Órgão competente estabelecerá normas sobre adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, considerada a complexidade das operações de tratamento, a natureza dos dados e o porte do responsável.

Art. 52. Esta Lei entrará em vigor no prazo de 120 (cento e vinte) dias contados da data da sua publicação.

CAPÍTULO IX
DISPOSIÇÕES TRANSITÓRIAS E FINAIS

Art. 56. Esta Lei entrará em vigor no prazo de 180 dias contados da data da sua publicação.
Parágrafo único: O órgão competente estabelecerá normas sobre adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, considerada a complexidade das operações de tratamento e a natureza dos dados.

Por fim, não se poderia deixar de consignar que a consulta pública do APPDP foi frutífera, e sobretudo, útil diante da considerável lista de inovações que são produto do engajamento da sociedade brasileira nesse debate. Ao Ministério da justiça, que permitiu essa porosidade, e a toda sociedade brasileira que abraçou tal oportunidade, fica a sensação de dever cumprido.