LGPD-SP – A proteção estadual de dados pessoais e o PL 598/2018 . No último mês de setembro de 2018, foi publicado, no Diário da Assembleia Legislativa do Estado de São Paulo, o Projeto de Lei Estadual nº 598/2018 de autoria do deputado Rogério Nogueira (DEM), com o objetivo de suplementar a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) no que se refere à proteção de dados pessoais em âmbito estadual.
A proposta legislativa dispõe sobre o tratamento de dados pessoais no Estado de São Paulo, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Por ocasião da apresentação do referido projeto, o autor justificou a elaboração do marco regulatório estadual como forma de acompanhar as constantes evoluções tecnológicas pelas quais vem passando a sociedade, além de seguir e complementar a tendência legislativa nacional e internacional no campo da proteção de dados.
Dessa forma, objetiva o texto suplementar a legislação federal, regulamentando a atividade de tratamento de dados pessoais no âmbito do Estado de São Paulo e favorecendo, na medida do possível, a autorregulamentação sobre a matéria. A ideia veiculada é a de resguardar a privacidade e demais liberdades fundamentais dos cidadãos tutelados, porém sem perder de vista o incentivo à livre iniciativa e a promoção do desenvolvimento.
As disposições do projeto serão aplicáveis, a princípio, nas seguintes hipóteses de tratamento de dados pessoais: (i) operações de tratamento realizadas no Estado de São Paulo; (ii) operações de tratamento voltadas ao fornecimento ou oferta de bens ou serviços ou ao tratamento de dados de indivíduos localizados no Estado de São Paulo; e (iii) operações de tratamento de dados pessoais coletados no Estado de São Paulo. Para tanto, o texto considera, sob a mesma lógica empregada pela LGPD, que o local da coleta dos dados é aquele no qual o respectivo titular se encontra por ocasião da operação.
Por outro turno, as disposições não se aplicarão aos seguintes casos excepcionais: (i) operações de tratamento realizadas por pessoa natural para fins exclusivamente particulares e não econômicos; (ii) operações de tratamento realizadas para fins exclusivamente artísticos ou acadêmicos; (iii) operações de tratamento realizadas para fins exclusivos de segurança pública, segurança do Estado ou atividades de investigação e repressão de infrações penais; e (iv) operações de tratamento de dados pessoais provenientes de fora do Estado de São Paulo e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento nacional e estadual ou objeto de transferência de dados com outro estado, desde que proporcionado grau de proteção de dados pessoais adequado ao previsto na regulamentação estadual e federal.
Outrossim, a LGPD previa, em seu projeto original, a concepção de órgão federal para controle e fiscalização específica da matéria, qual seja a Autoridade Nacional de Proteção de Dados (ANPD). Entretanto, por ocasião da sanção presidencial, restaram vetados tais dispositivos, por alegado vício de iniciativa. Nesse tocante, o presidente Michel Temer assegurou a criação da entidade autárquica por via apartada, através do instrumento legislativo competente, o que ainda não ocorreu.
Desse modo, o projeto de lei paulista busca, ao que parece, contornar essa lacuna com a criação de órgão similar a nível estadual. A chamada “autoridade estadual”, segundo o texto apresentado, possuirá funções e competências bastante semelhantes àquelas delineadas para a ANPD quando do projeto da lei federal. De acordo com a definição legal, esta seria um órgão da administração pública direta e/ou indireta responsável por zelar, implementar e fiscalizar o cumprimento da regulamentação sob exame.
Dentre outras funções, a autoridade estadual, conforme idealizada, poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais, emitir opiniões técnicas e recomendações, solicitar relatórios de impacto aos agentes responsáveis, além de dispor sobre padrões a serem utilizados na atividade e sugerir regras de boas práticas e governança de privacidade. Além disso, na ocorrência de incidente de segurança, será de atribuição da autoridade estadual, no que lhe couber, a análise da gravidade do caso e respectiva adoção de providências. Ainda, em caso de violação ao disposto na norma, o órgão possuirá competências fiscalizatórias e sancionatórias, podendo recomendar medidas reparadoras e, até mesmo, impor penalidades administrativas.
Nessa linha, o PL n.º 598/2018 permite a aplicação das seguintes penalidades, a critério da autoridade estadual: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Estado de São Paulo no seu último exercício, excluídos os tributos, limitada, no total, a R$ 25.000.000,00 (vinte e cinco milhões de reais) por infração; (iii) multa diária, observado o limite total acima referido; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a regularização; e (vi) eliminação dos dados pessoais a que se refere a infração. Nota-se que, em comparação com a LGPD, o projeto de lei estadual prevê limite inferior para a sanção de multa: enquanto o teto a nível nacional é de R$ 50.000.000,00 (cinquenta milhões de reais), a norma estadual limitará este ao valor de R$ 25.000.000,00 (vinte e cinco milhões de reais).
Com isso, observa-se que, embora inovador e alinhado ao movimento legislativo global sobre a regulação de novas tecnologias e proteção de dados, o Projeto de Lei Estadual nº 598/2018 reproduz em muito a recente Lei Federal nº 13.709/2018, de modo que a alteração, de fato, substancial em seu texto é a criação da autoridade estadual em São Paulo. Há que se recordar, contudo, de que existe a expectativa da constituição da Autoridade Nacional de Proteção de Dados em data próxima, tendo ambos os órgãos competências bastante semelhantes, guardada a devida distinção federativa.
Assim, dada a provável concepção da autoridade nacional com atribuições similares àquelas idealizadas em nível estadual, é de se considerar a possibilidade de eventuais conflitos de competência entre tais esferas e refletir, desde já, sobre formas de conciliar ambas as atuações, harmonizando o trabalho entre os entes federativos e garantindo a construção de um ambiente de cooperação suplementar e mútua.
O comentário deste que vos reproduz o artigo, publicado pela Mariana Louback no site JOTA, talvez seja o mesmo de outros tantos profissionais de Segurança da Informação, “leigos juridicamente”: “Porque a necessidade de uma lei estadual se já existe uma lei federal para todo o país? “
Então “Considerando a não existência de fronteiras tecnológicas nos sistemas em uso atualmente, será difícil controlar onde e como estão sendo protegidos/armazenados/utilizados os dados pessoais, assim me parece que teremos uma legislação que gerará muitos conflitos de entendimento e jurisdição, daí esta nova LGPD-SP parece muito mais um embrolho jurídico para se ganhar dinheiro em cima do cidadão ou das empresas através de dispendiosos processos, ou até mesmo abrir uma brecha para a impunidade e não cumprimento da legislação, assim como acontece com tantas outras legislações devido a existência da “prescrição penal de 5 anos”. Ou seja, mais uma vez o legislativo parece procurar artifícios jurídicos para ninguém (com dinheiro para obter os recursos da lei) ser penalizado por não cumprir as leis neste país!“
Por : JOTA - MARIANA LOUBACK – Pós-graduada pela Escola da Magistratura do Estado do Rio de Janeiro (EMERJ). Graduada pela Faculdade de Direito da Universidade do Estado do Rio de Janeiro (UERJ). Advogada do Lima ≡ Feigelson Advogados em atuação na área de "Novas Tecnologias, Propriedade Intelectual e Entretenimento"
Deixe sua opinião!