
Le projet de loi sur le traitement des données (PL 4060/12) approuvé par la Chambre des Députés le 29 mai 2018 spécifie que, pour réaliser des études de santé publique, les organismes de recherche pourront obtenir un accès aux bases de données personnelles, mais devront les traiter dans un cadre contrôlé et sécurisé.
A chaque fois que cela sera possible, les études devront rendre anonyme les données, ou du moins rendre leur association à leur propriétaire la plus difficile possible.
La communication ou l’utilisation partagée entre responsables de données sensibles sur la santé avec l’objectif d’obtenir un avantage économique, sauf en cas de consentement du propriétaire, seront interdites.
Enfants et adolescents
En référence au traitement des données personnelles d’enfants et adolescents, le remplaçant d’Orlando Silva (PCdoB-SP) prévient qu’il ne pourra être réalisé qu’avec le consentement d’au-moins l’un des deux parents ou responsable légal.
Lors de la participation à des jeux, applications en ligne ou autres activités, par exemple, les responsables du traitement de données doivent les conditionner pour n’obtenir que les informations personnelles strictement nécessaires.
Droits de l’utilisateur
Le propriétaire de données personnelles a le droit d’obtenir du responsable différentes informations ou processus en relation à ses données:
- confirmation de l’existence d’un traitement,
- accès aux données,
- correction de données incomplètes, inexactes ou désuettes,
- rendre anonymes, bloquer ou éliminer les données inutiles ou excessives,
- portabilité des données personnelles à un autre fournisseur de service ou produit,
- l’information des entités publiques et privées avec lesquelles le responsable a réalisé un usage partagé de données,
- l’information de la possibilité de ne pas fournir de consentement et sur les conséquences de cette négation,
- la révocation du consentement,
- entrer en litige avec le responsable et les organismes de défense du consommateur.
Sanctions
Les agents de traitement des données sont soumis à des pénalités allant de l’avertissement à la suspension ou l’interdiction de l’exploitation, en passant par l’amende et la suppression obligatoire des données.
Les amendes seront simples ou journalières, jusqu’à 4% du revenu de l’entité juridique privée, du groupe ou du conglomérat au Brésil au cours de son dernier exercice financier, limité au total à 50 millions de reais pour infraction.
La méthodologie divulguée à l’avance doit prévoir une gradation de l’amende en fonction de la gravité de l’infraction.
La suspension partielle ou totale du fonctionnement de la base de données sera d’une durée maximale de six mois, prorogeable pour la même période jusqu’à la régularisation de l’activité.
Organisme de régulation
En tant qu’organe de régulation, le projet crée l’Autorité Nationale de Protection des Données, une entité faisant partie de l’administration publique fédérale indirecte, soumise à un régime autarcique spécial et liée au Ministère de la Justice.
L’organisme aura un conseil d’administration avec trois conseillers mandatés pour quatre ans. Les décisions sont prises à la majorité des voix.
Parmi les attributions, il est important d’élaborer des lignes directrices pour une Politique Nationale de Protection des Données Personnelles et de la Vie Privée; fiscaliser et appliquer des sanctions; sensibiliser la population aux politiques et normes publiques en matière de protection des données à caractère personnel et de sécurité; promouvoir des actions de coopération avec les autorités de protection des données personnelles d’autres pays, de nature internationale ou transactionnelle; et effectuer ou déterminer la performance des audits.
L’autorité dispose d’une autonomie administrative et financière, les ressources provenant de l’exécution de sa dette active; allocations budgétaires; collecte d’émoluments pour les services rendus; et les ressources provenant d’accords, d’accords ou de contrats conclus avec des entités, des organismes ou des entreprises, publics ou privés, nationaux et internationaux.
Le Conseil
Le Conseil National pour la Protection des Données à caractère personnel et la Vie Privée est également créé, et composé de 23 représentants des organes suivants:
– six représentants de l’Exécutif fédéral;
– un représentant nommé par le Sénat fédéral;
– un représentant nommé par la Chambre des Députés;
– un représentant nommé par le Conseil National de la Justice;
– un représentant nommé par le Conseil National du Ministère Public;
– un représentant nommé par le Comité de Pilotage Internet au Brésil;
– quatre représentants de la société civile ayant fait leurs preuves dans la protection des données personnelles;
– quatre représentants d’institutions scientifiques, technologiques et d’innovation;
– quatre représentants représentatifs du secteur des entreprises lié au domaine du traitement des données personnelles.
Parmi ses compétences, la proposition de lignes directrices stratégiques peut être mentionnée; la préparation de rapports annuels pour évaluer la mise en œuvre des actions de la politique nationale de protection des données; mener des études et des débats sur le sujet; et la diffusion des connaissances sur le sujet dans la population générale.
Source: Agência Câmara Notícias.