Em São Paulo, proposta prevê mais uma autoridade de dados

Para advogadas, sobreposição de autoridades nacionais e estaduais pode gerar insegurança.

O projeto de de lei (PL 598/2018), que cria uma legislação estadual de proteção de dados e uma autoridade estadual para fiscalizar o tratamento de dados pessoais, geraria insegurança jurídica para empresas que desejam se instalar em São Paulo. Para advogadas, se aprovada, a proposta pode trazer atritos com a lei federal nº 13.709/2018, que criou a Lei Geral de Proteção de Dados (LGPD), sancionada em agosto.

Além de possíveis sobreposições e incongruências com o texto aprovado pelo Congresso, o receio é de que uma lei paulista influencie outras assembleias legislativas pelo país a aprovar propostas semelhantes.

Em levantamento, o JOTA identificou outros 10 projetos de lei com a mesma temática tramitando por Assembleias Legislativas e Câmaras Municipais do país. Um deles já foi aprovado pelo município de Vinhedo em julho deste ano.

O projeto estadual paulista, de autoria do deputado Rogério Nogueira (DEM), permite que uma autoridade estadual de dados aplique sanções administrativas a empresas que desrespeitarem procedimentos de coleta e tratamento de dados pessoais. Atualmente, está em fase de apreciação de comissões da Assembleia Legislativa do Estado de São Paulo (ALESP). 

Entre as obrigações da lei, estão o consentimento do titular das informações para que empresas utilizem seus dados; a boa-fé e interesse público para o uso de dados pessoais cujo acesso é público; a disponibilização, ao titular dos dados, sobre a finalidade, forma e duração em que suas informações serão usadas; e a anonimização ou o bloqueio de dados desnecessários.

As empresas que não respeitarem essas regras podem sofrer sanções administrativas de até R$ 25 milhões, valor inferior ao estipulado na LGPD, que pode chegar a R$ 50 milhões.

De acordo com a Marcela Mattiuzzo, sócia do escritório VMCA e especialista em tecnologia e proteção de dados, o projeto de lei apresenta um “duplicidade de aplicação de sanções” com a LGPD.

“Podemos ter duas esferas, federal e estadual, aplicando sanções iguais a fatos idênticos. A lei estadual tem a mesma redação da LGPD, sendo que nenhuma das duas fornecem pistas sobre quando a aplicação de multa será feita pela autoridade federal ou estadual”, avalia a advogada.

A advogada explica ser inevitável que dados de cidadãos paulistas sejam coletados, devido ao tamanho do estado e ao número de dados pessoais presentes no território. Entretanto, para ela, existiriam outras maneiras mais eficientes de acompanhar o tratamento de dados em São Paulo.

“A Alesp poderia criar uma comissão especial para acompanhar a implementação da lei federal no país e analisar o seu efeito e consequências no estado de São Paulo. O aumento de órgãos fiscalizadores gera mais insegurança jurídica, pois aumenta a complexidade de todo o processo de aplicação da legislação”, diz Marcela.

Para Andréa Machado, advogada do Dias Carneiro Advogados, uma autoridade estadual que tenha o mesmo poder de sanção de uma autoridade federal pode gerar uma insegurança a empresas que desejam se instalar em São Paulo. O receio é uma possível dupla sanção caso aconteçam problemas no tratamento de dados de clientes.

“Não há um limite de multas. Uma empresa teria a multa determinada na esfera federal e existiria adicionalmente outro valor da lei estadual”, explica a advogada, que diz ser preciso melhorar a definição no texto da lei sobre o funcionamento de eventuais multas estaduais. 

Segundo a advogada Caroline Klamas, do escritório CMT Advogados, é positiva a preocupação do poder público de São Paulo, um dos maiores controladores de dados pessoais do país, com o tema. Mas não seria necessário um projeto de lei para fiscalizar o uso de dados em um estado.

“A LGPD se aplica a todo o processamento de dados realizado em território nacional”, explica.

Para ela, um cenário com duas leis semelhantes de proteção de dados ainda é incerto. “Pode acontecer de termos vários órgãos dando orientações sobre os procedimentos adequados. Mas, se não houver uma coordenação de atuação desses órgãos, uma empresa pode se preocupar com um excesso de regras e punições. Isso é inviável”, afirma Caroline.

Além disso, a advogada destaca o prazo curto de adaptação às normas previstas no projeto de lei estadual. Enquanto a LGPD deu prazo de 18 meses para que todas as empresas realizem as mudanças necessárias para o tratamento de dados, o PL 598/18 teria prazo de 90 dias, considerado curto para a adaptação.