Pimenta: PL 1515/22 aumenta riscos de vazamento de dados
Em junho deste ano o deputado Cel. Armando (PL/SC) apresentou o Projeto de Lei (PL) n. 1515/2022 , que versa sobre a aplicação da Lei Geral de Proteção de Dados (LGPD), para fins exclusivos de segurança do Estado, de defesa nacional, de segurança pública, e de investigação e repressão de infrações penais.
A proposição é consequência da própria LGPD, que determinou, em seu artigo 4º, a criação de um regime especial para algumas operações específicas que envolvem o tratamento de dados pessoais:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: […]
III – realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
A lacuna na LGPD aponta para a necessidade de elaboração de nova lei, o que significa que é inevitável que se enfrente tal questão mais cedo ou mais tarde.
Apesar dos receios que rondam o referido PL, o momento é favorável, tendo em vista a inclusão na Constituição Federal, como cláusula pétrea, do direito à proteção de dados pessoais, pela Emenda Constitucional Nº 115.
O objetivo do PL 1515 é harmonizar os deveres do Estado e a observância das garantias, orientando a aplicação da LGPD para os fins exclusivos descritos no inciso III do artigo 4º da LGPD.
Nesse sentido, naturalmente, o PL confere maior segurança jurídica ao cenário do tratamento de dados relacionados aos fins indicados, uma vez que versa sobre tema que ainda não foi regulado.
O PL apresenta, ainda, disposições que se alinham, no geral, com os princípios da LGPD, como princípios e fundamentos, bem como contém artigos que se prestam a manter a proporcionalidade das medidas e a observância do devido processo legal, como é o caso da proibição de decisões automatizadas (art. 20 do PL) e a previsão da responsabilização dos agentes públicos (art. 52, §1º, do PL).
Por outro lado, o PL possibilita de forma demasiadamente ampla o adiamento, limitação ou recusa da prestação de informações e concessão de acesso aos dados (art. 26 do PL). Ou seja, a pessoa titular dos dados, que deveria ter conhecimento sobre as operações de tratamento, bem como sobre a totalidade de seus dados pessoais, não será mais coberta pela garantia concedida pela Lei para que tenha acesso a tais informações.
Tal disposição afronta o fundamento da autodeterminação informativa e o princípio do livre acesso aos dados, estabelecidos pela LGPD e que deveriam ser respeitados na elaboração do referido PL, sob as ressalvas cabíveis apenas aos processos investigativos.
Neste sentido, a “transparência” acerca das operações de tratamento e dos dados tratados deixa de ser um princípio, como na LGPD, dando lugar à “auditabilidade” (art. 4º, X, do PL). O que significa que não seria possível, no âmbito da proposição, acompanhar o tratamento dos dados, mas apenas criar um ambiente para sua checagem.
Além disso, o PL reduz as garantias relativas ao compartilhamento de dados entre entidades da administração pública para os fins específicos do PL. Ocorre que o compartilhamento facilitado expõe os dados a riscos agravados, uma vez que a movimentação dos dados entre os bancos de dados demanda proteção específica, criando ainda mais ocasiões para vazamentos e roubos de informações e, portanto, não deve ser encarado com maior flexibilidade, mas sim mantida a rigidez no que diz respeito ao compartilhamento.
Assim, a redução de garantias e o aumento de exposição citados gera insegurança, que é potencializada pela criação de ações que reduzem as sanções em caso de infrações, relativizando, nos casos do PL, a severidade que a LGPD estabeleceu para garantir o seu estrito cumprimento.
O PL ainda depende de discussão e aprovação pelas Comissões temáticas indicadas, sendo que, até o momento, não foi analisado por nenhuma delas. Uma vez aprovado na Câmara, ele ainda deve passar pelo Senado e pelo presidente da República.
*Gabriel Tonelli Pimenta, advogado, é especialista em Contratos e LGPD no GVM Advogados