Projeto de lei estadual paulista sobre dados pessoais - Quais os impactos?

Encontra-se em trâmite na Assembleia Legislativa do Estado de São Paulo o projeto de lei 598/18 ("PL 598/18"), o qual, nos termos do próprio projeto, "suplementa no Estado de São Paulo a lei federal 13.709/18" - ou seja, a Lei Geral de Proteção de Dados ("LGPD"). Se entrar em vigor, a lei estadual deverá ser respeitada não só pelas empresas sediadas em São Paulo, mas também por aquelas que usem dados pessoais para ofertar bens e serviços aos paulistas.

O PL 598/18 possui redação praticamente idêntica à da LGPD, consistindo a principal diferença na criação de uma Autoridade Estadual de proteção de dados, em adição à Autoridade Nacional já prevista na LGPD.

Neste sentido, caso o projeto seja aprovado, não é de se esperar grandes impactos às empresas que já estejam em processo de adequação à LGPD, uma vez que, sendo os dois diplomas praticamente idênticos, a obediência a um também implicaria a obediência ao outro.

No entanto, o projeto demanda, sim, um olhar atento dos empresários quanto a 2 (dois) pontos específicos:

(i) Primeiramente, nota-se que haveria um cenário no qual tanto a Autoridade Nacional quanto a Autoridade Estadual teriam poderes para publicar orientações sobre a correta aplicação das respectivas normas, bem como aplicar sanções pela não observância às mesmas. Isso poderia resultar na aplicação de dupla sanção por um mesmo ato, bem como no fato de que uma mesma prática viesse a respeitar as orientações da Autoridade Nacional e, ao mesmo tempo, contrariar orientações da Autoridade Estadual, causando grande insegurança jurídica.

(ii) Em segundo lugar, ressalte-se que o PL 598/18 possui previsão de entrada em vigor apenas 180 dias após sua publicação, sendo que, a depender da velocidade com a qual o projeto tramitar na Assembleia Legislativa paulista, é possível que as empresas sejam obrigadas a se adequar às novas normas ainda antes do Carnaval de 2020 (quando começará a vigorar a LGPD).

Antes de mais nada, porém, é importante lembrar que há significativas chances de que o PL 598/18 não venha a ser promulgado, tendo em vista que, nos termos do artigo 22, I, da Constituição Federal ("CF"), compete privativamente à União legislar sobre matéria civil e comercial, de modo que a regulação de questões atinentes ao tratamento de dados pessoais só poderia, teoricamente, se dar por meio de lei federal, como a LPGD. Em junho deste ano, o então governador do estado de São Paulo, Márcio França, vetou na íntegra um outro projeto de lei que versava sobre dados pessoais (PL 981/15), com base justamente no artigo 22, I, da CF.

Ressalte-se que o Estado de São Paulo não foi o único a propor alterações legislativas que sigam a esteira da LGPD. Como apontado em matéria recentemente publicada, há projetos estaduais em trâmite também no Rio Grande do Sul e no Rio de Janeiro e, na esfera municipal, em Campinas, Recife, Fortaleza, João Pessoa, Vinhedo (já aprovado) e até mesmo São Paulo.

Percebe-se, logo, que os players que realizem tratamento de dados em seus modelos de negócios deverão acompanhar de perto não apenas as diretrizes LGPD, mas também o desenrolar destas e/ou outras normas que podem estar por vir.

___________

*Caio de Faro Nunes é advogado da área de propriedade intelectual do escritório Salusse, Marangoni, Parente e Jabur Advogados.