PROJETO DE LEI N.º 41/19
“ SUPLEMENTA NO ESTADO DO CEARÁ A LEI FEDERAL Nº 13.709, DE 14 DE AGOSTO DE 2018, QUE DISPÕE SOBRE A PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE NO ÂMBITO DA ADMINISTRAÇÃO PÚBLICA DIRETA E INDIRETA NO ESTADO E DÁ OUTRAS PROVIDÊNCIAS. “
A ASSEMBLEIA LEGISLATIVA DO ESTADO DO CEARÁ DECRETA:
CAPÍTULO I DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais por pessoa jurídica de direito público ou privado no âmbito da Administração Pública Estadual direta e indireta, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Art. 2º A disciplina da proteção de dados pessoais é condição para o pleno exercício da cidadania e tem como fundamento:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra, da vida privada e da imagem;
V- a legalidade, impessoalidade, moralidade, publicidade e probidade administrativa;
VI - o desenvolvimento econômico e tecnológico;
VII - a igualdade;
VIII - o reconhecimento da condição de vulnerável de crianças e adolescentes e sua proteção integral;
IX - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade, e o exercício da cidadania pelas pessoas naturais.
Art. 3º Subordinam-se ao regime desta Lei, além dos órgãos da Administração Pública Estadual direita e indireta, pessoa jurídica de direito privado quando contratada ou conveniada, direta e indiretamente, pelo Poder Público Estadual.
Parágrafo único. Para fins desta Lei, considera-se pessoa jurídica de direito privado contratada ou conveniada aquelas envolvidas em:
I - todo e qualquer ajuste entre órgãos ou entidades da Administração Pública e particulares em que haja um acordo de vontades para a formação de vínculo e a estipulação de obrigações recíprocas, seja qual for a denominação utilizada;
II - editais, contratos administrativos e convênios, na forma da Lei Federal no 8.666, de 21 de junho de 1993, bem como da Lei Federal no 11.079, de 30 de dezembro de 2014, e da Lei Federal no 13.019 de 31 de julho de 2014.
III - procedimentos que visem a apresentação de projetos, levantamentos, investigações ou estudos, por pessoa física ou jurídica de direito privado, com a finalidade de subsidiar a administração pública na estruturação de empreendimentos objeto de alienação, concessão ou permissão de serviços públicos, de parceria público-privada, de arrendamento de bens públicos ou de concessão de direito de uso.
Art. 4º Esta Lei não se aplica ao tratamento de dados:
I - realizado por pessoa natural para fins exclusivamente pessoais fora do âmbito da administração pública estadual direta ou indireta;
II - realizado para fins exclusivamente jornalísticos, artísticos, literários ou acadêmicos;
III - realizado para o fim de garantir o acesso à Informação, nos termos da Lei Federal no 12.527, de 18 de novembro de 2011.
Seção I - Definições
Art. 5º Para os fins desta Lei, consideram-se:
I - dado pessoal: dado relacionado à pessoa natural, identificada ou identificável;
II - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
III – dados sensíveis: dados pessoais sobre raça ou etnia, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, bem como dados genéticos ou biométricos quando vinculado a uma pessoa natural;
IV - dados anonimizados: dados relativos a um titular que não possa ser identificado mediante esforços razoáveis e disponíveis por ocasião de seu tratamento;
V - banco de dados: conjunto estruturado de dados pessoais, centralizado, descentralizado ou dispersos em uma base geográfica e em um suporte eletrônico ou físico;
VI - titular: a pessoa natural a quem se referem os dados pessoais objeto de tratamento;
VII - consentimento: manifestação livre e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica;
VIII - agentes do tratamento de dados pessoais: o responsável e o operador;
IX - responsável: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais no âmbito da Administração Pública Estadual;
X - operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável;
XI - encarregado: pessoa natural, indicada pelo responsável, que atua como canal de comunicação perante os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
XII - anonimização: qualquer procedimento disponível no momento do tratamento, por meio do qual um dado deixa de poder ser associado mediante esforços razoáveis, direta ou indiretamente, a um indivíduo;
XIII - bloqueio: guarda do dado pessoal ou do banco de dados com a suspensão temporária de qualquer operação de tratamento;
XIV - eliminação: exclusão definitiva de dado ou de conjunto de dados armazenados em banco de dados, seja qual for o procedimento empregado;
XV - uso compartilhado de dados: a comunicação, a difusão, a transferência internacional, a interconexão de dados pessoais ou o tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre órgãos e entidades públicos e entes privados para a execução de políticas públicas, descentralização da atividade pública e ações de interesse público; e
XVI - perfil comportamental: qualquer forma de tratamento automatizado de dados pessoais destinada a avaliar aspectos ou a segmentação de uma pessoa natural, ainda que não identificada ou identificável, tais como para analisar ou prever características socioeconômicas, estado de saúde, localização, deslocamento.
Art. 6º As atividades de tratamento de dados pessoais deverão observar, além dos princípios constitucionais que regem a Administração Pública, previsto na Constituição Federal de 1988, quais sejam o da moralidade, impessoalidade, legalidade, publicidade e a probidade administrativa, os seguintes princípios:
I - finalidade: pelo qual o tratamento deve ser realizado para finalidades legítimas, específicas, explícitas e informadas ao titular e boa-fé por parte do controlador e operador;
II - adequação: pelo qual o tratamento deve ser compatível com as legítimas expectativas do titular, de acordo as suas finalidades e com o contexto do tratamento;
III - necessidade: pelo qual o tratamento deve se limitar ao mínimo necessário para a realização das suas finalidades, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: pelo qual deve ser garantida aos titulares consulta facilitada e gratuita sobre as modalidades de tratamento e sobre a integralidade dos seus dados pessoais;
V - qualidade dos dados: pelo qual devem ser garantidas aos titulares a exatidão, a clareza, relevância e a atualização dos dados, de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento;
VI - transparência: pelo qual devem ser garantidas aos titulares informações claras, adequadas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;
VII - segurança: pelo qual devem ser utilizadas medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: pelo qual devem ser adotadas medidas capazes de prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e
IX - não discriminação: pelo qual o tratamento não pode ser realizado para fins discriminatórios, salvo se fizer parte da essência de determinada atividade ou política pública.
CAPÍTULO II REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Seção I - Requisitos para o tratamento
Art. 7º O tratamento de dados pessoais somente poderá ser realizado após o consentimento livre, específico e inequívoco do titular, salvo nas seguintes hipóteses:
I - para o cumprimento de uma obrigação legal pelo responsável;
II - para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas e prestação de serviços públicos previstos em leis ou regulamentos;
III - para a realização de pesquisa histórica, científica ou estatística;
IV - para o exercício regular de direitos em processo judicial ou administrativo;
V - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VI - para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
Parágrafo único. Nos casos de aplicação do disposto nos incisos I e II, o titular deverá ser informado das hipóteses em que será admitido o tratamento de seus dados, nos termos do art. 12 e seguintes.
Art. 8º O consentimento previsto no art. 7o, caput, deverá ser livre, específico, inequívoco e fornecido por escrito ou por qualquer outro meio que o certifique.
§ 1º Caso o consentimento seja fornecido por escrito, este deverá ser fornecido em cláusula destacada das demais cláusulas contratuais.
§ 2º Caso o consentimento seja obtido por outro meio, este deverá ser fornecido forma clara, adequada e ostensiva, bem como com a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.
§ 3º Cabe ao responsável o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 4º É vedado o tratamento de dados pessoais quando o consentimento tenha sido obtido mediante erro, dolo, coação, estado de perigo ou simulação.
§ 5º O consentimento deverá se referir a finalidades específicas, sendo nulas as autorizações genéricas para o tratamento de dados pessoais.
§ 6º O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular.
§ 7º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 13, o responsável deverá obter novo consentimento do titular, após destacar de forma específica o teor das alterações.
§ 8º O titular deverá ser informado da possibilidade de não fornecer o consentimento, na hipótese em que o consentimento é requerido, mediante o fornecimento de informações sobre as consequências da negativa.
§ 9º o consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou não tenham sido apresentadas previamente de forma clara, adequada e ostensiva.
§ 10º quando o consentimento para o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço ou para o exercício de direito, o titular será informado com destaque sobre tal fato e sobre os meios pelos quais poderá exercer controle sobre o tratamento de seus dados.
Art. 9º É vedado o tratamento de dados pessoais sensíveis, salvo:
I - com fornecimento de consentimento inequívoco, expresso e específico pelo titular:
a) mediante manifestação própria, distinta da manifestação de consentimento relativa a outros dados pessoais; e
b) com informação prévia e específica sobre a natureza sensível dos dados a serem tratados, com alerta quanto aos riscos envolvidos no seu tratamento.
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de uma obrigação legal pelo responsável;
b) tratamento e uso compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de pesquisa histórica, científica ou estatística, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos em processo judicial ou administrativo;
e) proteção da vida ou da incolumidade física do titular ou de terceiro; ou
f) tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias.
§ 1º O disposto neste artigo aplica-se a qualquer tratamento de dados pessoais capaz de revelar dados pessoais sensíveis.
§ 2º O tratamento de dados pessoais sensíveis não poderá ser realizado em detrimento do titular, ressalvado o disposto em legislação específica.
§ 3º O disposto na alínea &,39;c&,39; do inciso II não se aplica caso as atividades de pesquisa estejam vinculadas a qualquer das seguintes atividades:
I - comercial;
II - de administração pública, quando a pesquisa não for a atividade principal ou legalmente estabelecida do órgão; ou
III - relativa à investigação criminal ou inteligência.
§ 4º O disposto nas hipóteses do §3o garantirá, sempre que possível, a anonimização dos dados pessoais.
§ 5º Nos casos de aplicação do disposto nas alíneas &,39;a&,39; e &,39;b&,39; do inciso II do §3o pelos órgãos e entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos Seção III deste Capítulo.
§ 6º Medidas adicionais de segurança e de proteção aos dados pessoais sensíveis deverão ser adotadas pelo poder público, mediante a elaboração de relatório de impacto à privacidade.
Art. 10. Nas hipóteses de dispensa do consentimento para o tratamento de dados pessoais, respeitados os direitos e liberdades fundamentais do titular, deverão ser observados:
§ 1º os princípios gerais e da garantia dos direitos do titular, em particular:
I - as legítimas expectativas do titular de acordo com o contexto do tratamento, nos termos do inciso I do art. 6o;
II - a finalidade e adequação pelo qual o tratamento dos dados é realizado para uma finalidade específica, informadas e com as legítimas expectativas do titular, de acordo com o inciso II do art. 6o;
III - a necessidade pela qual o tratamento dos dados pessoais limita-se ao estritamente necessários para a finalidade pretendida, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados, o que envolve;
IV - anonimização sempre que compatível com a finalidade do tratamento.
§ 2º A adoção de medidas para garantir a transparência do tratamento de dados, devendo fornecer aos titulares mecanismos eficazes para que possam manifestar sua oposição ao tratamento, de acordo com o disposto no §1°do artigo 17°.
§ 3º A emissão de relatório de impacto à privacidade.
Seção II - Dados Anonimizados
Art 11. Os dados anonimizados serão considerados dados pessoais para os fins desta Lei quando o processo de anonimização ao qual foram submetidos for revertido ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e o tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis.
§ 2º Poderão ser igualmente considerados como dados pessoais para os fins desta Lei os dados utilizados para a formação do perfil comportamental de uma determinada pessoa natural, ainda que não identificada ou identificável.
§ 3º O compartilhamento e o uso que se faz de dados anonimizados deve ser objeto de publicidade e de transparência, bem como antecedida por relatório de impacto à privacidade referente aos riscos de reversão do processo de anonimização e demais aspectos de seu tratamento.
§ 4º A reversão do processo de anonimização é proibida, salvo mediante consentimento expresso dos próprios titulares dos dados pessoais.
Seção III - Da Transparência no Tratamento dos Dados
Art. 12. Cabe aos entes sujeitos ao regime desta lei adotar procedimentos e medidas de transparência das suas atividades de tratamento de dados pessoais e que devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes:
I - observância da publicidade como preceito geral e sigilo como exceção;
II - divulgação de informações, independentemente de solicitações, em locais e veículos de fácil acesso;
III - utilização de meios de comunicação viabilizados pela tecnologia da informação;
IV - fomento ao desenvolvimento da cultura de transparência no tratamento dos dados pessoais.
§ 1º Deverão informar de forma clara e atualizada em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos:
I - as hipóteses em que realizam o tratamento de dados pessoais;
II - as políticas organizacionais para garantir que o tratamento de dados pessoais está em conformidade com os princípios estabelecidos pelo artigo 6o desta Lei;
III - o uso compartilhado de dados;
IV - os relatórios de impacto à privacidade;
V - os critérios, procedimentos e instruções utilizados para decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem interesses do titular, inclusive as decisões destinadas a definir o seu perfil comportamental.
§ 2º Aplicam-se as normas e os procedimentos previstos na Lei Federal no 12.527, de 2011, para se assegurar uma gestão transparente dos dados pessoais.
Art. 13. O titular deverá ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva sobre, entre outros:
I - finalidade específica do tratamento;
II - forma e duração do tratamento;
III - identificação do responsável;
IV - informações de contato do responsável;
V - sujeitos ou categorias de sujeitos para os quais os dados podem ser comunicados, bem como âmbito de difusão;
VI - responsabilidades dos agentes que realizarão o tratamento, e
VII - direitos do titular, com menção explícita a possibilidade de acessar os dados, retificá-los ou revogar o consentimento, por procedimento gratuito e facilitado.
§ 1º Em caso de alteração de informação referida no inciso IV do caput, o responsável deverá comunicar ao titular as informações de contato atualizadas.
§ 2º Nas atividades que importem em coleta continuada de dados pessoais, o titular deverá ser informado periodicamente sobre as principais características do tratamento.
Seção IV - Término do Tratamento
Art. 14. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes para o alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício do seu direito de revogação do consentimento conforme disposto no art. 7o, § 6o.
Art. 15. Os dados pessoais serão eliminados após o término de seu tratamento, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal do responsável;
II - pesquisa histórica, científica ou estatística, garantida, quando possível, a anonimização dos dados pessoais.
CAPÍTULO III DIREITOS DO TITULAR
Art. 16. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais, garantidos os direitos fundamentais de liberdade, intimidade e privacidade, nos termos desta Lei.
Art. 17. O titular dos dados pessoais tem direito a obter, em relação aos seus dados:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou;
V - eliminação, a qualquer momento, de dados pessoais com cujo tratamento o titular tenha consentido.
§1º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§2º Os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que adotará imediata providência para seu atendimento.
§3º Em caso de impossibilidade de adoção imediata da providência de que trata o § 2o, o responsável enviará ao titular, em até sete dias a partir da data do recebimento do requerimento, resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados, indicando, sempre que possível, quem o seja; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 4º A providência de que trata o § 2o será realizada sem custos para o titular.
§ 5º O responsável deverá informar aos terceiros a quem os dados tenham sido comunicados sobre a realização de correção, eliminação, anonimização ou bloqueio dos dados, para que repitam idêntico procedimento.
Art. 18. A confirmação de existência ou o acesso a dados pessoais serão providenciados, a critério do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, data de registro, critérios utilizados e finalidade do tratamento, fornecida no prazo de até sete dias, a contar da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para tal fim; ou
II - sob forma impressa, situação em que poderá ser cobrado exclusivamente o valor necessário ao ressarcimento do custo dos serviços e dos materiais utilizados.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em um contrato, o titular poderá solicitar cópia eletrônica integral dos seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º O responsável poderá emitir recomendações sobre os formatos em que serão fornecidas as informações e os dados ao titular.
Art. 19. O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil comportamental
§ 1º Deverá ser permitida a realização de auditoria de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive com a inserção de novos dados e o acesso ao seu resultado;
§ 2º O Poder Público deverá fornecer informações claras e adequadas a respeito dos critérios, procedimentos e instruções utilizados para a decisão automatizada;
§ 3º O Poder Público deverá emitir relatório de impacto à privacidade, levando- se em consideração os direitos e liberdades fundamentais do titular;
Art. 20. Os dados pessoais referentes a exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Art. 21. A defesa dos interesses e direitos dos titulares de dados poderá ser exercida em juízo individual ou coletivamente, na forma do disposto na Lei n° 9.507, de 12 de novembro de 1997, nos arts. 81 e 82, da Lei n° 8.078, de 11 de setembro de 1990, na Lei n° 7.347, de 24 de julho de 1985, e nos demais instrumentos de tutela individual e coletiva.
Art. 22. Aplicam-se as normas e os procedimentos previstos na Lei Federal no 12.527, de 2011, para facilitar o acesso à informação sobre o tratamento dos dados pessoais pelo seu titular.
CAPÍTULO IV DO USO COMPARTILHADO DE DADOS
Art. 23. O uso compartilhado de dados por órgãos e entidades públicos ou entre órgãos e entidades públicos e entes privados deverá.
I - observar os princípios de proteção de dados elencados no art. 6o desta Lei, em particular:
a) as finalidades específicas de execução de políticas públicas ou para a prestação de serviços públicos, no cumprimento das competências legais dos órgãos e entidades públicos;
b) as legítimas expectativas do titular, de acordo com o disposto no art. 6o, II, frente à finalidade para a qual o seu dado foi coletado originariamente;
c) aos dados pessoais estritamente necessários para a finalidade pretendida, devendo ser anonimizados sempre que compatível com a finalidade do tratamento.
II - ser antecedido pela emissão de relatório de impacto à privacidade;
III - ser objeto de publicidade nos termos do art. 13, sendo fornecida informações claras e atualizadas sobre:
a) data;
b) periodicidade e frequência;
c) as finalidades do tratamento realizados com os dados;
d) a necessidade de compartilhamento;
e) descrição dos dados;
f) descrição de eventual formação do perfil comportamental de uma pessoa natural, ainda que não identificada ou identificável;
d) medidas de segurança adotadas para a proteção dos dados.
Art. 24. É vedado aos órgãos e entes da Administração Pública transferir dados pessoais constantes das suas bases de dados a entidades privadas, exceto em casos de execução descentralizada de atividade pública e nas hipóteses previstas na Lei Federal n° 12.527, de 2011.
§ 1º Aplicam-se as normas e os procedimentos previstos na Lei Federal no 8.666, de 1993, bem como a Lei Federal no 11.079, de 2014, para que o uso compartilhado dos dados esteja em estrita conformidade com os princípios básicos da administração pública, devendo ser precedida de licitação que:
I - não será sigilosa, sendo públicos e acessíveis os atos de seu procedimento;
II - não admitirá prever, incluir ou tolerar, nos atos de convocação, cláusulas ou condições que comprometam, restrinjam ou frustrem o seu caráter competitivo;
III - priorizará:
a) bens e serviços com tecnologia desenvolvida no País;
b) programas de computação de código aberto, livres de restrições quanto à cessão, alteração e distribuição de suas cópias eletrônicas, nos termos do art. 38;
c) adoção de medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza dos dados compartilhados e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
d) a adoção de padrões técnicos que facilitem o controle dos titulares sobre seus dados pessoais.
IV - não admitirá que os dados compartilhados sejam:
a) utilizados para outras finalidades estranhas à execução descentralizada da atividade pública;
b) como parte do preço ou como qualquer tipo de contraprestação a favor da contratada para a execução descentralizada da atividade pública, observando-se o princípio da moralidade na administração pública;
VI - O instrumento de convocação deverá levar em consideração medidas técnicas de segurança e de boas práticas, nos termos do artigo 38.
Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado para a execução de políticas públicas, prestação de serviços públicos e a descentralização da atividade pública.
Art. 26. Consideradas as diretrizes estabelecidas pelo Poder Público, o responsável poderá estipular instruções para o cumprimento do disposto nesta seção.
Art. 27. Os agentes de tratamento devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 28. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se ao dever de sigilo em relação aos dados pessoais, mesmo após o seu término.
Art. 29. Esta Lei entrará em vigor 90 (noventa) dias após a publicação.
Sala das Sessões da Assembleia Legislativa do Estado do Ceará, em 14 de fevereiro de 2019.
RENATO ROSENO
DEPUTADO
JUSTIFICATIVA
O presente Projeto de lei visa à suplementação da Lei Federal nº 13.709, de 15 de agosto de 2018, no Estado do Ceará, e tem por objetivo dar ordenamento jurídico e institucional ao tratamento de dados pessoais, bem como a proteção dos direitos individuais das pessoas, de acordo com o Ordenamento Jurídico Nacional.
Sociedades modernas vêm estabelecendo uma nova dinâmica nas comunicações como no surgimento de novos modelos de negócio e novos mercados, e no estabelecimento de uma nova economia. Estas configurações, em constante mudanças, são caracterizadas pelo uso de novas tecnologias, pela hiperconexão entre pessoas e dispositivos, além de ser, em grande medida, baseadas na coleta de dados, justificando a chamada Sociedade da Informação na qual estamos inseridos.
Esta revolução não diz respeito apenas ao setor privado, mas vem impulsionando a esfera pública, os serviços de uso coletivo, implementando soluções otimizadas para a melhoria das cidades. As comunicações entre cidadãos e o Poder Público não se fazem mais apenas de forma localizada e eventual, mas estão em constante atividade por meio da coleta de informações de forma sistematizada e contínua. A coleta de dados é cada vez mais indispensável e tem o potencial de alavancar os serviços públicos, enriquecendo bancos de dados que serão fundamentais para a implementação de políticas públicas e para o planejamento de programas de governo.
Dados são valiosos para a organização e desenvolvimento de uma sociedade cada vez mais digitalizada e ordenada, como reconhece, há pelo menos duas décadas, o Fórum Econômico Mundial e a Organização para Cooperação e Desenvolvimento Econômico. Desta forma, o fluxo de informações, em grande quantidade e de forma constante, demanda por uma uniformidade regulamentadora, a fim de gerar segurança para os agentes públicos, privados e para os cidadãos, em uma equação que une o aproveitamento do potencial das informações e a garantia de direitos.
De acordo com o levantamento realizado pelo database especialista em mercado de telecomunicações, Telegeography, o hub tecnológico de Fortaleza é o segundo maior do mundo. Atualmente, com 12 cabos submarinos de fibra óptica conectados, fica atrás somente de Fujairah, nos Emirados Árabes Unidos, que conta com 13.
Com forte avanço nos últimos anos de grandes empresas de telecomunicações, destaque para a Angola Cables, Fortaleza se tornou um polo de concentração de cabos submarinos que ligam a Cidade com África, Europa e América do Norte. Esses dados demonstram a necessidade de uma lei de dados pessoais, uma vez que passam pelo estado cada vez mais informações.
Estabelecer normas sobre a coleta de dados pessoais é reflexo esperado de uma sociedade cada vez mais dependente destes processos. Na esteira da regulação sobre o uso de dados pessoais, na União Europeia, desde maio de 2018, vigora a General Data Protection Regulation - GDPR, uniformizando este novo cenário baseado em processamento de informações pessoais. No cenário nacional, em conformidade com o referencial europeu, a Lei Geral de Proteção de Dados foi aprovada, em agosto, por unanimidade, modernizando o Brasil e possibilitando o avanço de modelos baseado em intercâmbio de informações em grande parte digitais.
Cidades, sobretudo, são reconfiguradas também a partir do uso de dados pessoais. A agenda das chamadas “cidades inteligentes” endereça necessidades que derivam da coleta de informações sobre o ambiente urbano, bem como dados pessoais dos cidadãos. Conhecimentos sobre densidade demográfica, mobilidade, temperatura, tráfego, saneamento, transporte, entre outros, são necessários para oferecer melhorias através de políticas públicas que aprimoram uma variedade de serviços. Isso se faz através de coleta de dados produzidos de forma contínua pelos cidadãos.
Além disso, dispositivos abarcados com sensores estão cada vez mais distribuídos pelas cidades de forma a coletar dados sobre o ecossistema urbano. Os territórios estão cada vez mais conectados, estabelecendo um canal de comunicação em tempo real entre as informações que os espaços oferecem e os órgãos da administração. Somemos a isso a crescente digitalização dos serviços públicos e teremos um potencial rico para a otimização da vida em sociedade.
Não somente no que se refere aos serviços estritamente oferecidos pelo poder público uma normativa de proteção de dados é pertinente.
Não por acaso, algumas regiões no Brasil já vêm construindo a noção de se modernizarem em torno destas novas demandas, desenhando marcos regulatórios que facilitam e asseguram a operacionalização dos meios de processamento de dados pela Administração Pública: São Paulo, Rio de Janeiro e Rio Grande do Sul, em âmbito estadual, Salvador, Fortaleza, Cariacica, Recife e São Paulo, em âmbito municipal, contam com iniciativas legislativas que procuram proteger essa dinâmica, resguardando a legitimidade do uso dos dados pessoais e estabelecendo um arcabouço de direitos nestas novas relações.
A sociedade civil, nacional e internacional por meio de organizações como o Coletivo Intervozes e a Coalizão Direitos na Rede vêm apoiando iniciativas de normativas para a proteção de dados em várias cidades do Brasil; e em âmbito internacional, a Rede Latino-Americana de Estudos em Vigilância, Tecnologia e Sociedade/LAVITS empreende e acompanha a multiplicação destas iniciativas, em construção conjunta com outras organizações da sociedade civil e com o poder público. É, portanto, uma demanda coletiva que encontra espaço, agora, na casa legislativa do Estado do Ceará.
Regular o uso de dados pessoais no âmbito público tem o condão de promover o uso consciente, transparente e legítimo dessas informações. Estabelecer as previsões constantes neste Projeto de Lei impulsionará a segurança jurídica, o potencial de inovação e os instrumentos para a garantia de direitos fundamentais. É um Projeto, sobretudo, que acompanha a modernidade tecnológica e fortalece o bem-estar social.
Do exposto, observa-se a relevância, constitucionalidade e adequação jurídica da proposição, que contribuirá para a proteção de dados pessoais no âmbito da Administração Pública direta e indireta no Estado do Ceará e, por tal motivo, merece aprovação.
Sala das Sessões da Assembleia Legislativa do Estado do Ceará, em 14 de fevereiro de 2019.
RENATO ROSENO
DEPUTADO