Um projeto de lei da Assembleia Legislativa do Estado de São Paulo pretende criar uma entidade que sirva como uma autoridade estadual de dados pessoais. O PL nº 598/2018, de autoria do deputado estadual Rogério Nogueira (DEM-SP), é suplementar à Lei Federal nº 13.709/2018, á Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada em agosto, e pretende criar um “órgão da administração pública direta e/ou indireta responsável por zelar, implementar e fiscalizar” o cumprimento da Lei.
A proposta surge enquanto não se tem sinal de movimentação do Governo Federal em relação à prometida autoridade nacional de dados pessoais. O PL 598 pode acabar dando margem ao surgimento de projetos isolados de cada unidade federativa, já que o tema pode ser regulado pelos estados, uma vez que não há restrição para isso, contrário ao que acontece com as telecomunicações.
De acordo com o texto do deputado Rogério Nogueira, a autoridade estadual emitirá “opiniões técnicas ou recomendações referentes às exceções previstas (…) e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais”. Essas exceções são em fins de segurança pública e segurança do Estado, além de “atividades de investigação e repressão de infrações penais”. A autoridade terá poderes de sanções administrativas por meio de regulamento próprio, que o PL afirma que deverá ser colocado em consulta pública e que orientará o cálculo do valor-base das multas.
Pretende ser aplicada a qualquer operação de tratamento de dados (independente onde estejam localizados os dados) no Estado de São Paulo; cujo objetivo seja a oferta ou fornecimento de bens, serviços ou tratamento de dados de indivíduos localizados no território estadual; ou que os dados tenham sido coletados no território paulista. A autoridade estadual ainda poderá operar em conjunto com a nacional em processos de anonimização e realizar verificações sobre a segurança dos dados anonimizados.
A autoridade também poderá solicitar ao controlador (definido como pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento dos dados pessoais) “relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. A entidade terá direito a dispor sobre padrões de interoperabilidade para fins de portabilidade, “livre acesso aos dados” e segurança, bem como o tempo de guarda dos registros. Ela poderá verificar a gravidade do incidente e determinar ao controlador a adoções de providências, como divulgação em meios de comunicação e medidas para reverter ou mitigar efeitos do incidente.
Vale destacar também que o projeto de lei dá ao poder público estadual o mesmo tratamento dado a pessoas jurídicas nos termos da LGPD. Mesma prática será dada a empresas públicas, conforme está previsto no art. 24, parágrafo único: “As empresas públicas, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público”. Nos artigos 28 e 29, entretanto, fala que a autoridade estadual poderá solicitar a realização de “operação de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e demais detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei”. Além disso, poderá estabelecer “normas complementares” para atividades de “comunicação e de uso compartilhado” dos dados. O projeto foi apresentado no começo de setembro e ainda não teve movimentações relevantes. Em sua última tramitação, no dia 18, o PL entrou na pauta da 2ª sessão. Caso aprovada, a lei deverá ser regulamentada em 90 dias após a publicação.