O Congresso Nacional aprovou nesta terça-feira, 10/7, e agora falta apenas a sanção presidencial para o Brasil passar a ter uma legislação específica para a proteção de dados pessoais. O Senado manteve o texto já aprovado pela Câmara, que cria uma autoridade nacional para regular e fiscalizar o assunto, orientada por um colegiado multissetorial inspirado no Comitê Gestor da Internet e com regras para os setores público e privado.“Foram quase dois anos de um intenso debate nesta Casa. Quero agradecer o apoio forte que tivemos de uma forte coalizão da sociedade civil, mais de 60 entidades que se juntaram na direção de ajudar a construção coletiva de um texto que pudesse conferir à sociedade brasileira a garantia de um direito fundamental, que é o direito à privacidade. Mais de uma centena de países já têm leis e diretrizes de proteções de dados no ambiente da internet, que proteja a privacidade estabelecendo regras, limites, diretrizes, responsabilidades e penalidades objetivas. Com a sanção, a sociedade brasileira também terá”, festejou o relator, Ricardo Ferraço (PSDB-ES).De fato, deu-se um casamento inédito de interesses entre a sociedade, liderada por entidades de defesa de direitos civis e do setor privado, como a Coalizão Direitos na Rede e associações como a Abranet, a Brasscom, Abes, Assespro e Fenainfo, além de Abert, Movimento Brasil Competitivo, associações comerciais, entre outras. Nesta mesma terça, representantes desse grupo multissetorial foram à presidência do Senado insistir nos pedidos de votação antes do recesso parlamentar. Deu certo.A partir da sanção, haverá um período de 18 meses para que as previsões do texto legal entrem em vigor – a exemplo do que aconteceu na revisão das diretrizes europeias de proteção de dados pessoais, que aprovadas ainda em 2016 começaram a valer no fim de maio deste 2018.  O texto prevê a exigência de consentimento para o tratamento dos dados e considera princípios de finalidade específica, necessidade e responsabilização. Há dispensas quando feito pelo Poder Público, para cumprimento de obrigação legal, execução contratual ou “quando necessário para atender aos interesses legítimos do responsável ou de terceiro”. Ou quando os dados foram tornados públicos pelo titular – como informações postadas em redes sociais.No caso de dados sensíveis, o consentimento precisa ser específico e destacado, sendo assim considerados quando “sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Também há proteções específicas para dados de crianças e adolescentes.Dentre as previsões específicas para o Poder Público, os dados devem ser interoperáveis e compartilhado internamente para políticas públicas. Em especial, é vedada a transferência de dados pessoais a entidades privadas, a não ser em caso de execução descentralizada de atividade pública ou quando houver previsão legal. A não ser no caso das informações que já forem acessíveis publicamente.A lei cria uma autoridade nacional de proteção de dados, na forma de agência reguladora com conselho diretor com três membros, tendo ainda um conselho nacional multissetorial, com 23 integrantes, a quem compete definir as diretrizes estratégicas desse novo órgão. Em modelo semelhante ao Comitê Gestor da Internet, tem seis representantes do Executivo, quatro para Câmara, Senado, Conselho Nacional de Justiça e Conselho Nacional do Ministério Público, quatro vagas para representantes da sociedade civil, quatro para o setor empresarial e quatro para a academia. Além de um assento para o próprio CGI.br.