O Projeto de Lei 365/2020 (PL 365/2020), que está em tramitação na Câmara dos Deputados, tem por objetivo realizar algumas alterações na Lei Geral de Proteção de Dados (LGPD – 13.709/2018) em decorrência do acréscimo de entidades filantrópicas em seu rol, assim como estipulação de multa para tais instituições.
O projeto também possui a intenção da exclusão das regras de proteção de dados pessoais e o tratamento de dados feitos por entidades filantrópicas, desde que as mesmas estejam em campanha para arrecadar recursos para manutenção de suas atividades. A ideia defendida no projeto é que seria justo assegurar a proteção das pessoas no tratamento dos dados pessoais dessas instituições, mas acredita que tal proteção não pode se contrapor à necessidade das pessoas em vulnerabilidade socioeconômica.
Além disso, a proposta demonstra que todas as comunicações feitas pelas entidades devem trazer a opção de exclusão da lista de contatos, em que deverão se certificar ainda de que as pessoas que tenham solicitado a exclusão não receberão novas solicitações.
Desse modo, o PL realiza modificações no artigo 4º, V-VIII, da LGPD. Na atual redação do texto normativo, tem-se o seguinte:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III – realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.
A PL sugere a seguinte alteração para o Artigo 4 da LGPD:
“Art. 4º …………………………………………………………………………………. …………………………………………………………………………………………….
V – realizados por entidades filantrópicas desde que em campanha para arrecadação de fundos para manutenção de suas atividades. …………………………………………………………………………………………….
§ 5º O tratamento de dados pessoais previsto no inciso V não se aplica ao sigilo de dados pessoais referentes à saúde, nos termos desta Lei.
§ 6º É facultado àqueles que se sentirem incomodados com o recebimento de cartas, telefonemas, correspondências eletrônicas ou outro meio de abordagem por parte das entidades referidas no inciso V solicitarem não sejam mais enviadas solicitações.
§ 7º Todas as comunicações feitas pelas entidades referidas no inciso V devem trazer claramente a opção de exclusão da lista de contatos a fim de que não sejam mais enviadas solicitações.
§ 8º As entidades referidas no inciso V devem criar e manter uma lista com os nomes e dados das pessoas que solicitarem a exclusão mencionada no § 7º e certificarem-se de que elas não mais recebam suas solicitações.” (NR)
Desta forma, ficariam livres de regulação pela LGPD os dados pessoais que fossem tratados por entidades filantrópicas que estejam arrecadando fundos para manutenção de suas atividades. Além disso, foi estipulado, em seus parágrafos, situações em que os usuários poderão solicitar o cancelamento de solicitações enviadas.
O PL altera também o artigo 52 da LGPD, que, atualmente, está regido da seguinte forma:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
[…]
§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.
Conforme propõe o PL, teria a seguinte redação:
“Art. 52. ……………………………………………………………………………….. ……………………………………………………………………………………………. § 8º Em qualquer hipótese, fica estabelecido o teto de 5 (cinco) salários mínimos como multa máxima às entidades filantrópicas. (NR)”
Essa adição no artigo 52 da LGPD é responsável por criar a implicação de multa às entidades filantrópicas em casos de descumprimento do que foi estipulado pelo texto legal. E, dessa forma, fica a ANPD responsável por aplicar, administrativamente, multa de até cinco salários mínimos ao agente de tratamento que violar a lei.
O PL traz alguns avanços legislativos sobre a temática ao incluir as entidades filantrópicas e normatizar suas atividades como agente tratadora de dados pessoais, assim como as suas responsabilidades, obrigando a estas empresas a resguardar os dados recebidos e realizando as devidas exclusões daquelas pessoas que não desejam receber solicitações.
