Informação e conhecimento são os motores da economia pós-industrial. Informação e conhecimento alimentam-se de dados. Em grande medida, dados que dizem respeito a cada um de nós. É nesse contexto que a regulação da proteção de dados pessoais se espalha pelo mundo. O Brasil implementa aos poucos seu regime de proteção.
Nesse contexto, o Ministério da Justiça (MJ) abriu, em 28 de janeiro, por prazo prorrogável de 30 dias, dois debates públicos para discutir: (i) o decreto que regulamentará o Marco Civil da Internet; e (ii) o teor do Anteprojeto de Lei para a Proteção de Dados Pessoais (APL). Os debates estão sendo realizados por meio de plataformas interativas que coletam as contribuições de natureza pública. O tema da privacidade de dados pessoais permeia os dois debates. No caso do APL, foi oferecida proposta de texto de lei.
A proposta submetida ao público tem clara inspiração no regime europeu de proteção, um dos mais restritivos do mundo sobre o tema. Como exemplo, o APL reproduziu parcialmente o texto da proposta para a nova regulamentação europeia (ainda em discussão) ao definir que dados pessoais são aqueles que se referem a uma “pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais e identificadores eletrônicos”.
A adequada definição de dados pessoais é crucial, na medida em que, em sua ausência, não há proteção da lei. No atual estado da técnica, a referência a uma pessoa identificável traz em si o risco de se tratar como pessoais, dados que não têm o propósito identificar o indivíduo. Como resultado, estende-se sem necessidade, e em prejuízo da economia digital, a aplicabilidade da lei a praticamente qualquer tipo de dados.
Dependendo da velocidade (e conveniência) desse processo legislativo, aparenta avizinhar-se o dia em que, a par da observância das exigências já trazidas pelo Marco Civil da Internet, as empresas e o setor público terão que implantar controles e processos internos complexos e onerosos voltados ao compliance em privacidade.
O APL é centrado no direito à autodeterminação informativa, sob o qual o titular de dados pessoais é empoderado para gerir e controlar o fluxo de informações que lhe dizem respeito. Como a direitos correspondem obrigações, a principal fonte de legitimação para coleta, uso e disseminação de dados pessoais pelo “responsável” – esta foi a designação escolhida para aquele que toma decisões quanto ao tratamento dos dados – é a obtenção do consentimento do titular. Não será tarefa simples.
Caso o texto do APL venha a se tornar lei, caberá ao “responsável”, por exemplo, ajustar periodicamente seus contratos e políticas de privacidade, uma vez que será exigido que o consentimento refira-se a finalidades específicas (exemplo transacionais ou associadas a marketing), as quais tendem a mudar com relativa frequência.
As obrigações não se limitam à questão do consentimento, dentre as quais, destaco: (i) garantir que o titular tenha acesso a seus dados e possa solicitar eventuais correções; (ii) tratamento diferenciado de dados sensíveis (como os de saúde); (iii) obrigações relativas à transferência ou comunicação de dados a terceiros, tanto em âmbito nacional, quanto internacional; (iv) indicação de um encarregado pelo tratamento de dados pessoais, o qual, dentre outras funções, receberá reclamações e adotar providências em relação a estas; e (v) adoção de medidas voltadas à segurança da informação e comunicação de incidentes de segurança.
Em resumo, qualquer negócio que lide ainda que indiretamente com dados pessoais, deverá estabelecer processos internos para que conheça em detalhes e seja transparente sobre: (i) como coleta dados; (ii) para quê os dados são coletados; (iii) quais dados estão sob seu controle; e (iv) o que é feito desses dados. Na falta de cuidados, o responsável estará sujeito a penalidades que variam de multa à suspensão de suas atividades de tratamento de dados.
Outro ponto que merece destaque é a possibilidade de criação, ou não, de uma autoridade pública garantidora (uma espécie de agência reguladora para a privacidade). O APL fez menção apenas a um “órgão competente”, sem estabelecer seu formato institucional ou atribuir-lhe competências de forma explícita. A lacuna se explica pela falta de consenso no governo sobre sua conveniência.
Defendida pelo próprio MJ, a criação da autoridade de garantia atende a uma série de necessidades: (i) o estabelecimento de órgão com poderes normativos, fiscalizatórios e sancionatórios independente da ingerência governamental; (ii) a especialização em tema de altíssima complexidade e estratégico para o desenvolvimento social e econômico; e (iii) a eficiência na proteção de direitos com o afastamento de tutela difusa ou fragmentada.
Em tempos de big data, o papel de qualquer regulação relativa à proteção de dados pessoais é estabelecer regras de governança adequadas para o tratamento desses dados. A governança adequada deve levar em conta, não apenas os riscos ao direito à privacidade, mas também os benefícios para o indivíduo e para a sociedade como decorrência do processamento e análise de altos volumes de dados. Nesse contexto, somos todos stakeholders nos debates patrocinados pelo MJ. Não deixemos a oportunidade passar.
*Gustavo Artese é líder das práticas de Propriedade Intelectual, Privacidade e Direito Digital de Vella, Pugliese, Buosi e Guidoni Advogados e membro da IAPP – International Association for Privacy Professionals