DEPUTADO PROPÕE CRIAÇÃO DE UMA AUTORIDADE ESTADUAL DE DADOS PESSOAIS EM SÃO PAULO

O Projeto de Lei nº 598/2018, de autoria do Deputado Estadual Rogério Nogueira (DEM-SP) foi protocolado na Assembleia Legislativa de São Paulo no dia 06/09, de forma suplementar à Lei Federal nº 13.709/18 – Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em 14 de agosto de 2018. A proposta pretende criar um “órgão da administração pública direta e/ou indireta responsável por zelar, implementar e fiscalizar” o cumprimento da Lei.

Obviamente, o Projeto de Lei 598, de 2018 poderá acabar dando margem ao surgimento de projetos isolados de cada unidade federativa, já que o tema pode ser regulado pelos estados, uma vez que não há restrição para isso, contrário ao que acontece com as telecomunicações.

De acordo com o texto do deputado Rogério Nogueira, a autoridade estadual emitirá “opiniões técnicas ou recomendações referentes às exceções previstas (…) e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais”. Essas exceções são em fins de segurança pública e segurança do Estado, além de “atividades de investigação e repressão de infrações penais”.

A autoridade terá poderes de sanções administrativas por meio de regulamento próprio, que o PL afirma que deverá ser colocado em consulta pública e que orientará o cálculo do valor-base das multas.

Pretende ser aplicada a qualquer operação de tratamento de dados (independente onde estejam localizados os dados) no Estado de São Paulo; cujo objetivo seja a oferta ou fornecimento de bens, serviços ou tratamento de dados de indivíduos localizados no território estadual; ou que os dados tenham sido coletados no território paulista. A autoridade estadual ainda poderá operar em conjunto com a nacional em processos de anonimização e realizar verificações sobre a segurança dos dados anonimizados.

A autoridade também poderá solicitar ao controlador (definido como pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados pessoais) “relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”.

A entidade terá direito a dispor sobre padrões de interoperabilidade para fins de portabilidade, “livre acesso aos dados” e segurança, bem como o tempo de guarda dos registros. Ela poderá verificar a gravidade do incidente e determinar ao controlador a adoções de providências, como divulgação em meios de comunicação e medidas para reverter ou mitigar efeitos do incidente.

Vale destacar também que o projeto de lei dá ao poder público estadual o mesmo tratamento dado a pessoas jurídicas nos termos da LGPD. Mesma prática será dada a empresas públicas, conforme está previsto no art. 24, parágrafo único: “As empresas públicas, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público”.

Nos artigos 28 e 29, entretanto, fala que a autoridade estadual poderá solicitar a realização de “operação de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e demais detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei”. Ademais, poderá estabelecer “normas complementares” para atividades de “comunicação e de uso compartilhado” dos dados. O projeto foi apresentado no começo de setembro e ainda não teve movimentações relevantes. Em sua última tramitação, no dia 18, o PL entrou na pauta da 2ª sessão. Caso aprovada, a lei deverá ser regulamentada em 90 dias após a publicação.

A advogada e sócia da AGF Advice, Ana Paula Gaiesky Oliva, destaca que a Lei Federal nº 13.709/2018 entrará em vigor apenas em fevereiro de 2020 e que os dispositivos que criavam a Autoridade Nacional de Proteção de Nacional, a qual seria uma entidade para fiscalizar e punir, foram vetados pelo Presidente Temer sob o argumento de “vício constitucional” porque o Legislativo não pode criar órgãos que gerem despesas para o Executivo.

Assim, alega que dificilmente uma lei estadual poderia criar esta autoridade, neste momento, uma vez que ela nem mesmo existe no território nacional, há uma indefinição quanto a sua criação. “A Lei é válida, mas diante do período de vacância, ou vacatio legis, o lapso de dias entre a publicação da lei, quando ela se torna válida, e o início da produção de seus efeitos, não produz efeitos em casos concretos”, diz. A advogada alerta ainda que, caso aprovada, a referida lei estadual entraria em vigor no prazo de 90 dias, ou seja, antes mesmo da norma federal, que está respeitando a vacatio legis no período de 18 (dezoito) meses da publicação oficial, nos termos do Art. 65 da Lei nº 13.709/2018, causando extrema insegurança jurídica. Ainda, tal precedente daria margem para a criação de agências em todos o país e diversas regulamentações gerando um caos jurídico.

Clique aqui e acesse a íntegra do Projeto de Lei nº 598/2018.

Permanecemos à disposição para demais esclarecimentos através do e-mail agfadvice@agfadvice.com.br