Bem vind@ à mais uma edição do Boletim! Destacamos, nesta semana, a opinião do European Data Protection Supervisor sobre o Digital Services Act e Digital Markets Act, em que a […]
Bem vind@ à mais uma edição do Boletim!
Destacamos, nesta semana, a opinião do European Data Protection Supervisor sobre o Digital Services Act e Digital Markets Act, em que a Autoridade aponta salvaguardas adicionais e proibições como, por exemplo, a de criação de perfis comportamentais para fins de moderação de conteúdo pelas plataformas, com exceção à criação de perfis comprovadamente necessárias para a mitigação de algum risco.
Além disso, a ICO (Autoridade britânica) publicou documento de elevada importância, um kit de ferramentas para o exercício do data analytics, que foi desenvolvido para que as organizações considerem os riscos, direitos e liberdades no contexto da lei de proteção de dados. O documento contém questões relacionadas a salvaguardas, legalidade, responsabilidade e governança, servindo como um excelente ponto de partida para organizações que fazem uso do data analytics.
Também enfatizamos as duas publicações, uma da CNIL (Autoridade francesa) e outra da INAI (Autoridade mexicana) a respeito do tratamento de dados pessoais para a vacinação contra a COVID-19. Ambas apontam para a necessidade de apenas os órgãos efetivamente envolvidos no processo de vacinação obtenham os dados – estritamente necessários – para a criação de “filas” prioritárias no processo de vacinação, além de outras recomendações para o período.
Desejamos à tod@s uma ótima leitura!
Bruno Bioni, Iasmine Favaro e Mariana Rielli
Proteção de Dados nas Autoridades
Brasil
ANPD apura caso de vazamento de dados de operadoras de telefonia
A Autoridade Nacional de Proteção de Dados (ANPD) informou que está apurando tecnicamente as informações sobre o incidente envolvendo o vazamento de dados pessoais e que está tomando todas as providências cabíveis, apontando que oficiou outros órgãos, como a Polícia Federal, a empresa que noticiou o fato e as empresas envolvidas, para investigar e auxiliar na apuração e na adoção de medidas de contenção e de mitigação de riscos relacionados aos dados pessoais dos possíveis afetados.
Dinamarca
Nova decisão sobre uso de programa de fiscalização para exames online em universidades
A Autoridade dinamarquesa tomou uma decisão após ter iniciado uma investigação detalhada sobre o uso de um programa de monitoramento de exames online por uma universidade. Em sua decisão, a Autoridade enfatizou, entre outras coisas, as seguintes circunstâncias: a universidade em questão realizou uma avaliação da necessidade concreta de supervisão de exames referentes às disciplinas oferecidas pela Universidade, e avaliou que ela só estava presente no caso de uma única disciplina. Ao selecionar e incorporar o programa de monitoramento, a universidade escolheu o programa menos invasivo, considerando as circunstâncias específicas do tratamento. A universidade também informou os alunos sobre o tratamento extraordinário de dados pessoais e, por fim, tomou uma série de medidas de segurança. Nesse sentido, a Autoridade entendeu que o tratamento em questão adequa-se às regras de proteção de dados pessoais e, com isso, sinalizou para a continuidade da utilização do programa.
Nova decisão sobre gravação de ligações telefônicas por serviços de saúde
Uma cidadã dinamarquesa reclamou que suas conversas telefônicas com um pronto-socorro haviam sido gravadas e que o pronto-socorro posteriormente se recusou a apagar as gravações. A Autoridade concluiu que não havia problema para o serviço médico de emergência registrar as conversas telefônicas, mas que ele geralmente mantinha as gravações por tempo excessivo, mais de cinco anos. Neste contexto, a Autoridade expressou sérias críticas à falta de um ciclo de vida dos dados definido e ordenou que o serviço médico de emergência excluísse todas as gravações com mais de cinco anos, enfatizando que o objetivo de gravar conversas telefônicas, nesse caso, é garantir a documentação para uso em quaisquer reclamações futuras sobre o serviço, e que, de acordo com a Lei de Acesso a Reclamações e Compensação dentro do Serviço de Saúde, o período para reclamação é de até cinco anos após o dia do atendimento.
Autoridade dinamarquesa publica guia rápido para uso de cookies
De acordo com a e-Privacy Directive, o consentimento do usuário deve ser obtido antes da instalação de cookies. Na medida em que, nesse processo, também ocorre o tratamento de dados pessoais para além das informações armazenadas em cookies ou que, em alguns casos, há o tratamento subsequente de dados pessoais, entende-se que o consentimento também deve ser dado de acordo com as leis de proteção de dados, como a GDPR. Em princípio, portanto, existem dois consentimentos diferentes, mas com os mesmos critérios: o deve ser livre, específico, informado e constituir uma forma inequívoca de expressão da vontade. O Council for Digital Security, a Danish Business Authority e a Danish Data Protection Agency estão publicando um Guia rápido para o uso de cookies, que pode ser usado como um ‘’check-list’’ para organizações que aplicam cookies, ou que devem dialogar com seus parceiros sobre as condições de configuração de cookies.
Trata-se de caso em que o Município de Vejen publicou, por engano, informações sobre o número da segurança social do reclamante no site do município. Com base na reclamação, a Autoridade dinamarquesa criticou o município de Vejen por não ter garantido um nível de segurança suficiente em relação à publicação de informações no seu site. O Artigo 32 (1) do Regulamento Geral de Proteção de Dados afirma que o controlador, tendo em conta o nível técnico atual, os custos de implementação e a natureza, escopo e finalidade do tratamento em questão, bem como os riscos (probabilidade e gravidade) sobre os direitos e liberdades das pessoas, deve implementar medidas técnicas e organizacionais aptas a garantir um nível de segurança adequado a esses riscos. Na opinião da Autoridade, tais medidas envolvem, pelo menos, um processo prévio de revisão do material com o objetivo de excluir ou tornar anônimos os dados pessoais que não devem ser publicados. Dependendo da natureza e extensão dos dados pessoais, normalmente também seria uma medida de segurança apropriada realizar uma verificação técnica para assegurar que os dados foram realmente excluídos ou tornados anônimos, conforme pretendido. Esse controle adicional pode ser continuamente automatizado para monitorar dados pessoais selecionados, por exemplo, números de segurança social.
European Data Protection Supervisor (EDPS)
Opinião do EDPS sobre o Digital Services Act e Digital Markets Act
No seu parecer, o EDPS recomenda medidas adicionais para melhor proteger os indivíduos no que diz respeito à moderação de conteúdos, publicidade direcionada online e sistemas de recomendação utilizados por plataformas online, como as redes sociais e os mercados. A criação de perfis comportamentais para fins de moderação de conteúdo deve ser proibida, a menos que o provedor de serviços online possa demonstrar que tais medidas são estritamente necessárias para lidar com os riscos sistêmicos explicitamente identificados no Digital Services Act. Além disso, os legisladores europeus devem considerar a proibição da publicidade direcionada online com base em técnicas de rastreamento generalizado, bem como restringir as categorias de dados que podem ser tratados para esses métodos de publicidade. No seu parecer sobre o Digital Markets Act, o EDPS acolheu favoravelmente a proposta da Comissão Europeia que visa promover mercados digitais justos e abertos e o tratamento justo de dados pessoais por meio da regulamentação de grandes plataformas online que funcionam como ‘’gatekeepers’’. A Autoridade também enfatizou a importância de fomentar mercados digitais competitivos para que os indivíduos tenham opções de escolha de plataformas e serviços online. O aumento da interoperabilidade pode ajudar a lidar com o aprisionamento do usuário e, em última análise, criar oportunidades para que os serviços ofereçam melhor proteção de dados.
França
CNIL incentiva organizações públicas e privadas a auditarem seus sites e aplicativos móveis
Após a criação do seu plano de ação sobre a segmentação da publicidade online, a CNIL considerou razoável conceder um prazo de seis meses, a partir da publicação das orientações sobre a utilização de cookies, para que os atores cumpram as novas regras. Duzentas comunidades, ministérios e operadoras estaduais receberam cartas de conscientização e e-mails. A CNIL contou também com alguns chefes do setor público (Associação de Prefeitos Franceses, Assembleia de Departamentos Franceses, Regiões da França, Rede Déclic, Conferência de Presidentes de Universidades, SupDPO) para garantir uma ampla divulgação desta campanha. A Autoridade enfatizou dois principais pontos: (i) Os banners de cookies, que aparecem em particular na página inicial de um site, devem detalhar as finalidades para as quais esses cookies são instalados nos dispositivos dos usuários. A mera presença de informações genéricas como “Este site usa cookies” ou “Os cookies são usados para melhorar a eficiência dos serviços oferecidos a você” não é suficiente e (ii) O usuário deve ser capaz de aceitar ou recusar cookies com igual facilidade. A CNIL recordou que a integração de um botão “recusar tudo” ao mesmo nível e no mesmo formato do botão “aceitar tudo” permite oferecer uma escolha clara e simples ao usuário da Internet. Também é possível, por exemplo, oferecer explicitamente ao usuário a possibilidade de recusar rastreadores fechando o banner de cookies. Por outro lado, a mera presença de um botão “configurar” em adição ao botão “aceitar tudo” tende, na prática, a dissuadir a recusa e, portanto, não permite o cumprimento dos requisitos do RGPD.
CNIL publica carta de apoio aos profissionais em processo de compliance
A Carta se destina a controladores e operadores, bem como às associações profissionais que os representam, sujeitas à regulamentação de dados pessoais, e fornecedores de soluções técnicas, tecnológicas e metodológicas cujos produtos e serviços são utilizados para o tratamento de dados, sem que eles próprios estejam diretamente sujeitos à regulamentação. O seu objetivo é apresentar princípios, metodologias e dar aos atores interessados respostas a questões práticas. A publicação desta carta faz parte da estratégia geral da CNIL e será complementada com a publicação de um programa de trabalho anual sobre ferramentas de soft law, de forma a dar aos profissionais plena visibilidade sobre estes instrumentos inovadores e permitir-lhes a sua participação por meio de consultas públicas.
CNIL emite parecer sobre alterações na aplicação TousAntiCovid
A CNIL emitiu decisão urgente, em 17 de dezembro de 2020, sobre um projeto de decreto que altera o Decreto nº 2020-650, de 29 de maio de 2020, relativo ao tratamento de dados da aplicação “TousAntiCovid”. Este projeto de decreto visa alterar as condições de implementação do tratamento de dados necessário ao funcionamento da aplicação com vista à reabertura de alguns estabelecimentos abertos ao público (restaurantes, pavilhões desportivos, salas de espectáculos, etc). Pretende incluir um dispositivo digital para registro de visitas a esses locais, a fim de facilitar o alerta aos indivíduos sobre o contato próximo com uma ou mais pessoas posteriormente diagnosticadas com COVID-19. O projeto de decreto pretende ainda permitir a coleta e tratamento de novos dados necessários ao combate à pandemia e integrar as sucessivas evoluções da aplicação desde o lançamento. Para a Autoridade, a introdução de tal característica deve levar em conta os riscos particulares de contaminação associados à frequência de espaços públicos. A CNIL considerou que está suficientemente demonstrada a utilidade, na fase atual do combate à pandemia, de um dispositivo adicional de identificação de contatos em risco de contaminação. No entanto, a CNIL especifica, no seu parecer, que não se encontra plenamente em condições de avaliar a proporcionalidade da coleta de dados prevista, uma vez que alguns elementos, necessários à sua análise, ainda não foram definidos (como a lista precisa dos estabelecimentos abertos, o caráter obrigatório ou facultativo do regime dos estabelecimentos, obrigação dos interessados de registarem as suas visitas, etc).
Quanto à segmentação e informação de públicos prioritários, a CNIL aponta que o sistema nacional francês prevê que o envio de convites de vacinação seja administrado exclusivamente pelo órgão responsável. De acordo com a estratégia nacional, um centro de vacinação deve utilizar uma das três plataformas de agendamento de consultas para ser aprovado e as operações de tratamento destes três prestadores de serviços são supervisionadas a nível nacional por meio da adoção de uma série de contratos. Não há, nesse sentido, necessidade de oferecer uma alternativa a essas ferramentas. A despeito disso, a comunidade permanece em condições de receber e processar informações anônimas relativas ao funcionamento e às necessidades dos postos de vacinação, sejam eles administrados ou não por essa tríade de prestadores (por exemplo: número de pessoas que compareceram, número de injeções, etc.). Tais trocas de informações podem ser decididas localmente entre os atores competentes e devem ser formalizadas.
Irlanda
Decisão do Tribunal Superior irlandês sobre direito de acesso aos dados pessoais
Em uma decisão do Tribunal Superior em novembro de 2020 (Dudgeon v Supermacs Ireland Ltd., [2020] IEHC 600 ), o Tribunal decidiu que um restaurante não era obrigado a divulgar as gravações de um incidente para uma pessoa, presente nos registros, que reivindicou danos por lesões resultantes do incidente. A decisão gerou discussões sobre como ela pode afetar as solicitações de acesso de acordo com o Artigo 15 da GDPR e a Seção 91 da Lei de Proteção de Dados irlandesa de 2018. A Autoridade apontou que o direito de acesso aos dados pessoais é fundado, dentre outros diplomas normativos, no artigo 8.º, n.º 2, da Carta dos Direitos Fundamentais da União Europeia. Destacou, na sequência, uma diferença importante entre solicitações de acesso e de ‘’descoberta’’, esta referente ao processo em que partes de um litígio obtêm acesso a documentos e dados necessários à demonstração das questões sob juízo. O direito de acesso, por outro lado, é consideravelmente mais amplo e não diz respeito, necessariamente, a um contexto judicial. Em resumo, o Tribunal sustenta que, nesse caso, a sua deriva da legislação relativa à descoberta e não está relacionada aos direitos decorrentes da proteção de dados pessoais. Por esse motivo, a menos que uma restrição sob a GDPR ou legislação de proteção de dados relevante possa ser invocada, um controlador ainda deve atender às solicitações de acesso em relação a filmagens.
Itália
Garante multa três organizações por violação de dados de saúde
A Autoridade relembra que estabelecimentos de saúde devem tomar todas as medidas técnicas e organizacionais necessárias para evitar que os dados de seus pacientes sejam divulgados a outras pessoas por engano. Diante disso, sancionou três organizações por violações de dados pessoais causadas por procedimentos inadequados e simples erros humanos. Um hospital toscano recebeu uma multa de € 10.000 por enviar um relatório médico contendo informações sobre a saúde e a vida sexual de dois indivíduos pelo correio para o paciente errado. Um hospital em Emilia-Romagna também recebeu uma multa de € 10.000 por entregar registros médicos a pacientes contendo dados e relatórios que podem ser atribuídos a outras pessoas, incluindo um menor de idade. Em ambos os casos, as penalidades foram calculadas levando em consideração que as estruturas de saúde demonstraram imediatamente um alto grau de cooperação com a Autoridade e que os incidentes foram isolados e não voluntários. As duas instalações também planejaram outras medidas técnicas e organizacionais para minimizar os erros. Um terceiro caso, por outro lado, diz respeito a uma instituição da Emília-Romagna, em que uma paciente havia solicitado explicitamente – mediante assinatura de formulário específico – que nenhuma pessoa externa, nem mesmo familiares, fosse informada sobre seu estado de saúde. O formulário, porém, foi incluído no prontuário. Uma enfermeira, sem saber da solicitação, ao invés de contatá-la pelo celular particular, ligou para o número do domicílio cadastrado no banco de dados da empresa, conversando, assim, com um familiar. Novamente, a empresa em questão reconheceu os erros que causaram a violação de dados e comprometeu-se a implementar um sistema informatizado para gerenciar os números de telefone de pacientes hospitalizados, e elaborar formulário único com o qual o paciente possa manifestar o desejo de comunicar informações sobre seu estado de saúde a terceiros, a partir de uma política específica da empresa. A instituição, que também recebeu pedido de indenização da paciente, terá que pagar uma multa de 50.000 euros por violação à GDPR.
Garante não apoia a utilização de impressões digitais de funcionários se não houver fundamento legal
A Autoridade multou a Autoridade Provincial de Saúde (ASP) de Enna em € 30.000 pela utilização de um sistema de detecção de atendimento baseado no tratamento de dados biométricos dos colaboradores. Para além do reforço das garantias previstas no Regulamento e no Código de Privacidade da instituição, a instalação deste tipo de sistema requer uma base legal que seja coerente com a finalidade perseguida. A investigação da Autoridade permitiu constatar que o sistema de detecção de assiduidade da ASP do Enna obteve as impressões digitais de mais de 2.000 colaboradores, armazenando-as de forma criptografada no crachá de cada trabalhador. A Empresa, então, verificava a identidade do funcionário comparando o modelo biométrico de referência, armazenado no crachá, com a impressão digital apresentada periodicamente, e transmitia o número de registro do funcionário, bem como a data e hora de carimbo, para o sistema de gestão de assiduidade. Contrariamente ao que afirma a empresa, a Autoridade considerou que desta forma os dados biométricos dos trabalhadores eram tratados sem que houvesse uma base jurídica adequada. O consentimento dos trabalhadores, invocado pela ASP como base do tratamento, não pode ser considerado válido, no âmbito laboral, devido ao desequilíbrio inerente à relação entre trabalhador e empregador. A Autoridade acrescentou que o serviço de saúde, apesar de ter informado o pessoal e os sindicatos sobre escolha organizacional feita, não divulgou todas as informações sobre o tratamento, conforme exigido pelo regulamento europeu. Considerando todos os aspectos do caso, a Autoridade declarou ilegal o processamento de dados biométricos e aplicou uma multa de € 30.000 à ASP. Também ordenou o cancelamento dos modelos biométricos armazenados nos crachás e solicitou que a entidade publicize as iniciativas que pretende empreender para impedir o tratamento inadequado dos dados biométricos dos seus colaboradores.
Holanda
Autoridade holandesa multa hospital por segurança insuficiente de registros médicos
A Autoridade holandesa impôs uma multa de 440 mil euros ao hospital OLVG de Amsterdã. O hospital havia tomado poucas medidas, entre 2018 e 2020, para evitar que funcionários não autorizados acessassem os registros médicos. Isso ocorreu devido a verificações insuficientes de níveis de acesso e à segurança inadequada dos sistemas computadorizados. Além dos dados médicos, os arquivos contêm informações como CPF, endereço e telefone. Esses dados também devem ser bem protegidos, devido aos riscos de fraude de identidade e phishing, por exemplo. Após sua investigação, a AP concluiu que a OLVG não administrava adequadamente o acesso aos arquivos médicos e observou duas violações: (i) em primeiro lugar, o hospital deveria manter um registro e verificar regularmente quem consulta cada arquivo. Assim, poderia identificar em tempo hábil consultas não permitidas e tomar medidas contra isso. O OLVG rastreava automaticamente os acessos e suas datas, mas não verificou esse registro com frequência suficiente para impedir acessos não autorizados ou mitigar os seus efeitos e (ii) uma boa segurança requer autenticação com pelo menos dois fatores. A identidade de um usuário para obter acesso a um arquivo do paciente deve ser estabelecida, por exemplo, com um código ou uma senha em combinação com um cartão de equipe. O OLVG não empregou esse mecanismo de segurança no tratamento dos dados.
Autoridade holandesa publica manual para campanhas eleitorais
O Manual de privacidade para campanhas eleitorais contém 7 pontos de atenção para os partidos políticos que desejam iniciar sua campanha eleitoral. O principal ponto refere-se ao tratamento dos chamados dados pessoais de categoria especial, como, por exemplo, a filiação a um partido político. Em princípio, é proibido tratar dados pessoais dessa categoria, a menos que haja uma exceção legal. Uma diferença importante da GDPR é se um partido político concentra sua campanha eleitoral em membros do partido ou (também) eleitores em potencial. Se diz respeito a membros existentes, então os partidos políticos podem, é claro, informá-los sobre as eleições, já que a própria GDPR contém uma exceção para o tratamento de dados pessoais especiais a fim de permitir a comunicação com membros existentes. Já para comunicações com não-membros, deve-se investigar se outra exceção legal, como o consentimento válido das pessoas envolvidas, se aplica.
Reino Unido
O kit de ferramentas foi desenvolvido para que as organizações considerem os riscos, direitos e liberdades no contexto da lei de proteção de dados, mas não é uma análise abrangente de todos os fatores que devem ser considerados ao implementar um sistema de análise de dados. O documento começa com perguntas para ajudar a determinar o regime jurídico cabível e direcionar o leitor para a parte apropriada do kit de ferramentas. O documento ainda contém uma série de perguntas separadas em quatro temas: legalidade, responsabilidade e governança, princípios de proteção de dados e direitos do titular. A caixa ‘mais informações’ contém mais detalhes para ajudar o agente a responder às perguntas.
México
O Instituto Nacional de Transparência, Acesso à Informação e Proteção de Dados Pessoais (INAI) trabalha com as diversas instituições do Governo Federal que participam do processo de vacinação contra a COVID-19 para aprimorar os protocolos e medidas que garantam a segurança dos dados pessoais da população que será vacinada. Constatou-se que, em alguns casos, para além da credencial, são tiradas fotografias das pessoas nesses processos, e diante disso, a Autoridade estabeleceu contato e tem realizado reuniões com as diversas entidades públicas envolvidas no processo de vacinação, a fim de evitar a violação do direito à proteção dos dados pessoais dos indivíduos (nesse momento, os idosos que estão sendo vacinados).
Dentre as orientações, estão: (i) verificar se a página da web para pré-registro começa com https: // e inclui um cadeado fechado na barra de status do navegador; (ii) evitar entrar em sites por meio de links recebidos por e-mail, aplicativos de mensagens instantâneas ou publicações em redes sociais. Sugere-se digitar o endereço fornecido pela instituição de ensino diretamente no navegador; (iii) verificar se os dados pessoais, principalmente de crianças e adolescentes, compartilhados no momento do pré-cadastro, são aqueles estritamente necessários ao cumprimento da finalidade correspondente. Além disso, os dados pessoais devem estar atualizados e corretos; (iv) evitar fornecer informações pessoais de crianças e adolescentes por meio de redes sociais; (v) revisar a existência e o conteúdo do Aviso de Privacidade que deve estar disponível no site da instituição de ensino, bem como no portal específico para pré-cadastro e (vi) comunicar ao INAI qualquer tratamento indevido de dados pessoais de que tenha conhecimento.
Proteção de Dados nas Universidades
Voice-based diagnosis of covid-19: ethical and legal challenges
MARANHÃO, Juliano. ALMADA, Marco.
O artigo explora as questões éticas e legais que podem surgir do uso de dados de voz no contexto do diagnóstico e tratamento remoto da Covid-19, com atenção especial para dois aplicativos atualmente em desenvolvimento no Brasil: SPIRA e SoundCov. Ambos os aplicativos seguem a mesma abordagem geral: um usuário grava um áudio de sua voz, que é então analisado por algoritmos de aprendizado de máquina, levando a um diagnóstico que é fornecido ao usuário. No entanto, cada aplicativo usa uma técnica médica e tecnológica diferente. O desenvolvimento de todo o potencial do diagnóstico com base em sons requer atenção às questões éticas e legais, como as relacionadas à qualidade dos diagnósticos, às demandas de saúde pública que surgem no contexto de uma pandemia e à possibilidade de uso indevido de dados pessoais de um usuário. O artigo também pretende explorar os embates éticos do uso da inteligência artificial no âmbito da saúde.
Proteção de Dados no Legislativo
Apresentado pelo Deputado Federal Rui Falcão, do PT, o PL 294/2021 altera a Lei Geral de Proteção de Dados (Lei 13.709/2018), determinando o conceito de serviço de mensageria privada e que serão submetidos previamente à ANPD os acordos, contratos, convênios ou quaisquer outros instrumentos legais que permitam o uso compartilhado, comunicação, transferência ou difusão de dados pessoais, entre outras definições. O parlamentar também apresentou Requerimento (RIC 147/2021) solicitando ao Ministro de Estado Chefe da Secretaria-Geral da Presidência da República informações acerca da conduta da Autoridade Nacional de Proteção de Dados – ANPD sobre a nova política de privacidade do Facebook/Whatsapp, no Brasil. O PL está atualmente na Mesa Diretora.
Apresentado pelo Deputado Federal Kim Kataguiri, o PL 199/2021, que altera a Lei n° 9.883, de 07 de dezembro de 1999, que instituiu o Sistema Brasileiro de Inteligência, estabelecendo normas procedimentais para coleta, tratamento, compartilhamento e disseminação de informações, de forma a assegurar a estrita observância aos direitos, liberdades e garantias individuais e coletivas. O Projeto de Lei define que a coleta de informações somente poderá ser realizada de forma justificada, e tendo como objetivo a defesa da soberania nacional, do Estado Democrático de Direito e a segurança dos cidadãos e que é vedada a coleta, tratamento, compartilhamento e disseminação de informação com a finalidade de beneficiar interesses privados de autoridades, ocupantes de cargos públicos, agentes ou grupos políticos de qualquer natureza, entre outras determinações. Atualmente, o Projeto de Lei está na Mesa Diretora.
