Peru adota lei de proteção a dados pessoais

No início deste mês, o Perú, após oito anos de discussões, publicou sua nova lei de proteção a dados pessoais. Em consonância com as recomendações feitas pela Organização para a Cooperação e Desenvolvimento Econômico sobre proteção da privacidade e dados pessoais, a legislação peruana estabelece regras sobre notificação, consentimento, segurança, acesso, disseminação de dados e outros. A lei acompanha uma tendência de crescente preocupação de governos e da sociedade civil com o uso de dados pessoais em escala global por empresas - uso este possibilitado, facilitado e potencializado pela tecnologia. Os exemplos de tais usos são abundantes e vão desde empresas de Internet interessadas em oferecer propagandas altamente customizadas para cada perfil de consumidor - o que só pode ser feito através da coleta de grandes quantidades de informação sobre ele -, até a possibilidade (de moral questionável) de empresas de seguro ou de planos de saúde utilizarem-se, por exemplo, das informações sobre o perfil de navegação ou sobre o código genético de seus consumidores para decidir o valor que será pago por este. Imagine por exemplo o caso de um consumidor que tenha o valor do seu plano de saúde majorado pelo monitoramento dos hábitos alimentares do indivíduo feito com informações obtidas no seu cartão de crédito, ou mesmo a hipótese do plano cobrar valores diferenciados de acordo com os genes de seus consumidores e o eventual potencial de estarem relacionados ao desenvolvimento de determinada doença. Com os diversos bancos de dados com informações genéticas sendo dispobilizadas online para fins de pesquisa, os riscos de que elas comecem a ser usadas de forma a causar dano a pessoa sobre a qual as informações se referem é cada vez maior. A lei visa também a armonização do sistema de proteção de dados peruano com a legislação europeia sobre proteção de dados pessoais, possibilitando a prestação de serviços que envolvam de alguma forma o processamento de dados de cidadãos europeus, por países de fora da União Europeia. A diretiva europeia de proteção de dados estabelece, por exemplo, que os dados de cidadãos europeus só podem ser processados em países que garantam níveis adequados de proteção - com exceções somente para empresas que garantam o cumprimento das normas da diretiva, ainda que esteja localizada fora da União Europeia. Dessa forma, o estabelecimento de leis próprias de proteção aos dados pessoais abre um mercado adicional para a economia local. De acordo com a ONG Alpha-Redi, a lei peruana regula os seguintes pontos. Conceitos base A legislação entende como dados pessoais toda a informação sobre uma pessoal natural que a identifica ou a torna identificável através de meios que possam ser razoavelmente utilizados. Dentre eles encontram-se: dados sensíveis - constituídos por dados biométricos passíveis de identificar o titular -, dados relacionados a origem racial ou étnica, renda, opiniões ou convicções políticas, religiosas, filosóficas ou morais, filiação sindical e informações relacionadas à saúde ou vida sexual. Entre os direitos reconhecidos ao titular dos dados pessoais estão: o direito à informação, ao acesso, à atualização, incluindo correção e exclusão, o direito de bloquear o acesso aos seus dados, de impedir o fornecimento dos dados a terceiros, de ter o tratamento objetivo dos dados, de proteção e indenização. Consentimento A norma possibilita que dados pessoais sejam objeto de tratamento desde que haja o consentimento prévio do proprietário e contanto que não haja lei expressa em contrário. O consentimento deve ser prévio, informado, explícito e inequívoco. No caso particular de dados sensíveis, o consentimento deve também ser feito por escrito. O consentimento pode ser revogado pelo titular a qualquer momento desde que atendidos os mesmos requisitos para a concessão. Autoridade Competente A Autoridade Nacional de Protecção de Dados peruana será responsável pelo Registro Nacional de Protecção de Dados Pessoais, um registro de caráter administrativo. No exercício das suas funções a Autoridade não poderá ter conhecimento do conteúdo das bases de dados pessoais, salvo procedimento administrativo em curso, o que ameniza a preocupação levantada por alguns de que o Estado teria acesso livre a tais dados. Penalidades Por fim, a regra estabelece os tipos de infração à lei - que podem ser classificadas em leves, graves e muito graves - bem como define aspectos dos procedimentos disciplinares, sanções e multas a serem aplicadas.

Como já foi abordado aqui no blog, o Brasil está em processo de redação de um anteprojeto de lei para a proteção de dados pessoais. Após uma fase de consulta pública em que empresas, membros da sociedade civil, academia e governo tiveram oportunidade de fazer suas contribuições, o Ministério da Justiça em conjunto com a equipe do Centro de Tecnologia e Sociedade da FGV Direito Rio está analisando as contribuições e preparará uma nova versão do anteprojeto.