TRATAMENTO DE DADOS PESSOAIS: ASPECTOS LEGAIS SOBRE O GDPR E O PL Nº 4.

060/12

Autor: Lucas Pereira Raimundo Winter

A discussão em torno da privacidade dos dados pessoais tem se tornado cada vez mais
relevante. O escândalo envolvendo o Facebook e a empresa inglesa Cambridge Analytica, que
forneceu dados de 50 milhões de usuários ao candidato e atual presidente dos EUA, Donald
Trump, fez o assunto tomar proporções globais.

Em paralelo, uma sigla tem chamado atenção de juristas e empresários do mundo todo. O tal
GDPR - General Data Protection Regulation (ou, Regulamento Geral Sobre Proteção de Dados,
traduzido ao português), que dispõe sobre o tratamento de dados de pessoas naturais,
residentes ou de passagem pela União Europeia, teve seu texto publicado em 04 de maio de
2016.

Apesar disso, devido ao vacatio legis de dois anos, suas previsões e sanções passaram a ser
aplicadas somente em 25 de maio de 2018. Anteriormente os dados pessoais eram regidos pela
Diretiva 95/46/CE, bem menos protecionista e punitiva que o GDPR.

Embora assinado por países da União Europeia, a aplicabilidade desta norma não se restringe
àquele território, destinando-se a regular qualquer tratamento de dados pessoais que envolva
pessoa em solo europeu (seja natural ou não). Isso resta claro já no segundo “considerando” do
regulamento:

Os princípios e as regras em matéria de proteção das pessoas singulares

relativamente ao tratamento dos seus dados pessoais deverão respeitar,
independentemente da nacionalidade ou do local de residência dessas
pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito
à proteção dos dados pessoais. [...]

Portanto, esta norma possui caráter extraterritorial e suas sanções podem ser aplicadas a
empresas que não fazem parte da União Europeia, devido principalmente a característica
transfronteiriça das interações no mundo digital.

Portanto, é importante que as sociedades empresárias se atentem aos deveres impostos e,

principalmente, as sanções (estas que podem chegar a 20 milhões de euros ou 4% do lucro global
da empresa), prevenindo a ocorrência de situações indesejadas ou, na pior das hipóteses, o
encerramento das atividades, como no caso Cambridge Analytica.

Para facilitar a compreensão acerca das penalidades impostas, indica-se a leitura:

https://www.gdpr.band/resumo-sancoes-gdpr-2018-europa/

Por outro lado, preocupados com o dinamismo do assunto, países que não compõe a União
Europeia têm demonstrado interesse em firmar um regulamento próprio. O Brasil, por exemplo,
que atualmente não possui legislação específica sobre o tratamento de dados, mas apenas
dispositivos esparsos (a exemplo dos arts. 3º, III e 7º, VII, VIII e X do Marco Civil da Internet),
resgatou a discussão sobre o PL nº 4.060/12, que atualmente aguarda aprovação em regime de
urgência no Senado Federal.
O PL, apesar de ser considerado menos rígido que o GDPR, confere proteção considerável aos
dados pessoais. Abaixo, listo algumas de suas principais características:

1. Se aprovado sem modificações possuirá caráter extraterritorial, desde que o tratamento

ou coleta tenha sido realizado em território nacional ou em relação a dados de
indivíduos localizados em território nacional (não necessariamente brasileiros). Não se
aplicam a esta regra os dados coletados/tratados por pessoas físicas ou aqueles
destinados a fins jornalísticos, artísticos ou acadêmicos. Da mesma forma, não se aplica
ao tratamento fundamentado em procedimentos de segurança pública, defesa
nacional, segurança do Estado e afins.
2. Se o tratamento de dados não se destinar a questões de interesse público, deverá haver
o consentimento do titular e, caso o dado seja fornecido à terceiro, o consentimento
deverá ser específico para este fim. Ainda, deve-se dar ao titular a oportunidade de
revogar o consentimento a qualquer tempo.
3. Nos contratos de adesão, havendo cláusula de coleta e tratamento de dados pessoais
esta deve ser destacada, possibilitando a plena compreensão e consentimento do titular
(dever de informação insculpido pelos arts. 4º, IV e 54, § 3º, CDC).
4. O tratamento de dados pessoais de caráter sensível (a exemplo da etnia, religião, filiação
a organizações sindicais, opiniões políticas, entre outros), só pode ser feito sem
consentimento do titular em determinadas situações, como: cumprimento de uma
obrigação legal, uso em políticas públicas ou estudos por órgão de pesquisa. De
qualquer modo, para que haja dispensa do consentimento, deve-se dar pleno
conhecimento ao titular acerca do objeto do tratamento e sua destinação.

Por fim, caso o PL nº 4.060/12 seja aprovado pelo Senado Federal, passará a surtir efeitos
provavelmente após um ano da data de sua publicação, visando a adaptação de órgãos,
empresas e entidades.

Enquanto isso não acontece, entendo ser importante o acompanhamento das questões relativas
ao GDPR e seus efeitos no mundo prático, servindo como termômetro balizador para a discussão
em território nacional.

Abaixo, deixo o link para acesso ao GDPR e PL nº 4.060/12:

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG

http://www.camara.gov.br/proposicoesWeb/prop_mostrarintegra?codteor=1001750&filenam
e=PL+4060/2012

REFERÊNCIAS:

“Câmara aprova projeto que disciplina tratamento de dados pessoais”. Reportagem: Eduardo
Piovesan. Edição: Pierre Triboli. Publicação: 29/05/2018. Acesso: 19/06/2018 às 11h41min.
http://www2.camara.leg.br/camaranoticias/noticias/POLITICA/558252-CAMARA-APROVA-
PROJETO-QUE-DISCIPLINA-TRATAMENTO-DE-DADOS-PESSOAIS.html

“10 coisas que sua empresa deve saber sobre o GDPR da União Europeia”. Maria Fernanda
Hosken Perongini. Publicação: 15/01/2018. Acesso: 19/06/2016 às 11h00min.
https://www.jota.info/opiniao-e-analise/artigos/10-coisas-que-sua-empresa-deve-saber-
sobre-o-gdpr-da-uniao-europeia-15012018
“Resumo do RGPD explicado em 20 pontos essenciais”. Site: Proteção de Dados. Ausente a data
de publicação. Acesso: 19/06/2018, às 10h45min. https://protecao-dados.pt/resumo-do-rgpd-
explicado-em-20-pontos-essenciais/

“Cambridge Analytica anuncia fim de suas operações”. Portal G1. Publicação: 02/05/2018.
Acesso: 19/06/2018 às 12h30min. https://g1.globo.com/economia/noticia/cambridge-
analytica-anuncia-fim-de-suas-operacoes.ghtml