Vazamento de dados e fornecimento de informações pessoais tem colocado cada vez mais em evidência a falta de regulamentação e de proteção de dados no Brasil. Atualmente, para lidar com o caso, já são três projetos de lei tramitando, dois deles na Câmara de Deputados, e o outro no Senado Federal.

O primeiro deles, proposto em 2012 pelo deputado Milton Monti (PR-SP), é o PL nº 4.060, sobre o tratamento de dados pessoais. O projeto hoje aguarda parecer do relator na Comissão Especial destinada ao tema. Outra proposta, de 2013, é do senador Antônio Carlos Valadares (PSB-SE). O PL nº 330 está hoje nas mãos de Ricardo Ferraço (PSDB-ED), que relata a matéria na Comissão de Assuntos Econômicos, no Senado.

Tramitando na Câmara ainda há o PL nº 5.276, de 2016, considerado o mais exigente. Discutido desde 2010, foi enviado ainda na gestão de Dilma Rousseff. Uma comissão especial foi montada para examinar a matéria. A previsão do relator, deputado Orlando Silva (PC do B-SP), é apresentar uma nova redação ainda em maio.

O advogado especialista em Direito Tributário Kristian Rodrigo Pscheidt explica que o histórico da proteção de dados se inicia a partir da Constituição Federal de 1988, que garantiu que privacidade e intimidade são invioláveis. O Código de Defesa do Consumidor também trouxe a questão do banco de dados e seu sigilo. Mesmo assim, as normativas não foram suficientes, já que surgiram em momentos em que a internet não era tão disseminada. Atualmente, a única legislação relacionada ao âmbito virtual é o Marco Civil da Internet, de 2014. Mesmo assim, a normativa não é específica para dados, o que mantém a carência nesse setor.

As três propostas hoje tramitam apensadas, já que abordam a mesma temática. Entre os pontos principais estão os tipos de dados considerados pessoais, como será realizada a coleta, os parâmetros e limites do tratamento, quem será submetido às exigências, os direitos e obrigações, quais as sanções decorrentes de violações de normas, e, principalmente, quem fica responsável pela fiscalização e aplicação de punições.

Embora os três projetos estejam encaminhados juntos, o PL nº 330/2013, do Senado, e o PL nº 5.276/2016, da Câmara, estão em maior destaque pela atualização. Os dois dispõem sobre a regulação da coleta e do tratamento de dados.

O projeto da Câmara define como objetivo "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa individual". Já o do Senado destaca como fundamentos a "autodeterminação informativa, a liberdade de expressão, a inviolabilidade da intimidade e da honra, o desenvolvimento econômico e tecnológico, a livre concorrência, a livre iniciativa e a defesa do consumidor".

Consentimento é um elemento chave das regras para uso de dados. É por meio desse conceito que a lei vai obrigar empresas a pedir a autorização do usuário na coleta e uso dos dados. O PL nº 5.276 define consentimento como uma "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade específica". De acordo com o texto, a empresa só poderá usar os dados para a finalidade informada ao titular no momento da coleta.

Já o PL nº 330 firma o consentimento como requisito do tratamento de dados devendo ser "inequívoco". Não entram como obrigações a necessidade de que o usuário seja informado expressamente para a obtenção da permissão.

O texto de Valadares lista como princípio a transparência no tratamento dos dados, por meio da comunicação de "informações necessárias" a este procedimento, como finalidade, forma de coleta e período de conservação. Quanto à finalidade, o tratamento dos dados deve ser "necessário, adequado e proporcional à finalidade desejada ou que tenha fundamentado sua coleta", restrito ao mínimo necessário e indispensável aos objetivos do processamento das informações.

As possíveis punições a quem comete abusos no tratamento de dados também estão entre as preocupações dos projetos. O PL nº 330 prevê algumas hipóteses de sanções. Quem realizar tratamento inadequado e causar dano será obrigado a ressarcir o prejudicado. Os gestores de bancos de dados também devem garantir a segurança, comunicando ao órgão competente eventuais incidentes, podendo ser responsabilizados por vazamentos ou acessos ilícitos às informações.

As autoridades administrativas devem, a partir do texto, fiscalizar a comunicação e a interconexão de dados, podendo determinar o cancelamento, bem como outras medidas que garantam os direitos dos titulares. As sanções previstas são advertência, alteração, retificação ou cancelamento do banco de dados, ainda pode haver multa de 2% sobre faturamento da empresa ou do grupo econômico em caso de reincidência. Até mesmo à suspensão ou proibição parciais ou totais da atividade. Na definição da pena, devem ser consideradas a gravidade, a situação econômica do infrator, a vantagem obtida e a reincidência.

Ainda não existe um órgão regulador, mas ambos os projetos preveem uma comissão para fiscalização com membros do Ministério Público e do Conselho Nacional de Justiça. "Será basicamente um setor dirigido por um órgão do governo, é a partir dele que se criarão decretos de efetivação da lei, detalhando e especificando em setores, como aplicativos, por exemplo", explica Pscheidt.

Para Helena Galarza Rosa, advogada especialista em Direito Civil e Empresarial, o Brasil possui uma lacuna nesse sentido, e vê a necessidade de aprovação dos projetos. "A alternativa hoje é judicializar, o que leva tempo, acarreta em gastos e afoga o judiciário", avalia. Por essas razões, somado ao ano eleitoral, a advogada identifica urgência na normativa. Pscheidt ressalta ainda que essa proteção é identificada como um direito fundamental do cidadão pelas Nações Unidas. "Onde há falta de regulamentação, há desproteção e insegurança", avalia.