Brasil a um passo de ter sua Lei de Proteção de Dados Pessoais

Após aprovação no plenário do Senado do PLC 53/2018, o texto que regulamenta o tratamento de dados pessoais no Brasil, tanto pelo poder público quanto pela iniciativa privada, falta apenas a sanção presidencial para finalmente estarmos alinhados com o contexto de Transformação Digital e entrarmos para a lista dos países que já regulamentaram os ativos mais valiosos da Sociedade da Informação. A exemplo do que já ocorre com os vizinhos latinos Chile, Colômbia, Costa Rica, Peru, Uruguai, e Argentina, que se destaca por ter uma lei considerada com mesmo nível do Regulamento Europeu de Proteção de Dados Pessoais (GDPR).

A necessidade de se ter uma lei específica sobre proteção dos dados pessoais decorre devido à forma como está sustentado o modelo atual de negócios da Sociedade Digital, onde a informação passou a ser a principal moeda de troca utilizada pelos usuários para ter acesso a determinados bens, serviços ou conveniências. Na medida em que a economia digital gira em torno dos dados pessoais, é preciso delimitar alguns limites e melhores práticas, para proteção do consumidor e evitar inclusive concorrência desleal.

Um dos fatores que pressionou essa corrida legislativa em vários países foi a entrada em vigor do General Data Protection Regulation (GDPR) na União Europeia, em maio deste ano. Isso porque o Estado que não possui lei de mesmo nível pode passar a sofrer algum tipo de barreira econômica ou dificuldade de fazer negócios com os países da região. Considerando o contexto econômico atual, este é um luxo que a maioria das nações, especialmente os da América Latina, não podem se dar.

Os efeitos da GDPR são principalmente econômicos, sociais e políticos. É apenas uma das muitas regulamentações que vão surgir nesta linha, onde se busca trazer mecanismos de controle para equilibrar as relações dentro de um cenário de negócios digitais sem fronteiras. A linha mestra é a garantia da liberdade, mas a base é a transparência. Ou seja, estas novas regras vêm com um escopo de permitir que a livre iniciativa possa inovar desde que siga uma cartilha de valores que estejam condizentes com o respeito aos direitos humanos fundamentais.

Portanto, não apenas virão regras sobre proteção de dados pessoais, mas também sobre demais usos de tecnologia com alto impacto na sociedade, tais como a Inteligência Artificial, a robotização, o Blockchain, entre outros. Há uma grande preocupação em um modelo de “dados abertos” (Open Society) com cibersegurança. Pois não dá mais para continuar com puxadinhos digitais, como quando vimos casos de vazamentos de dados que foram mantidos anos em segredo.

Logo, os bens de conhecimento estão nas grandes bases de dados e para esse tratamento é necessário transparência, reter dados pessoais com a justificativa legal compatível e anomização. É construir uma cultura de proteção para manter a valorização dos ativos intangíveis e das ações. O investidor precisa de proteção e de blindagem legal do patrimônio e da reputação. Vivemos uma nova era de mais responsabilidade, onde tecnologia e informação resultam em poder.

A importância da lei, resumidamente, é o estabelecimento de segurança jurídica para os envolvidos no processo de tratamento de dados porque apesar de termos alguma legislação setorial (como o Código de Defesa do Consumidor, por exemplo), existem casos de obscuridade, sem definição do que seriam os dados pessoais e as consequências do mau uso deles.

Considerando que o atual estágio tecnológico impõe a análise massiva de dados, a economia digital depende do tratamento de dados pessoais, em especial, serviços e produtos altamente especializados. Afinal, a grande questão não é proibir ou demonizar o uso de dados pessoais pelas empresas. O desafio é fazer isso de forma equilibrada, protegendo a privacidade dos cidadãos, mas sem inviabilizar a inovação e os negócios.

O cidadão deve ter o direito de ser proprietário da sua própria informação e poder negociar livremente a mesma. O governo e as empresas podem tratar dados, mas o indivíduo tem o direito de saber quais dados estão sendo coletados e com que estão sendo compartilhados e para quais finalidades. Deve haver uma base de princípios e regras a serem seguidas, e respeitar a capacidade jurídica de se contratar e a liberdade para tanto.

É importante destacar que as relações negociais dependem diretamente dos dados para garantir a segurança jurídica das partes, evitar golpes, fraudes, inadimplência e oferecer melhores experiências na oferta de produtos e serviços, otimizando mão-de-obra e especializando negócios. Informação verdadeira e transparente, utilizada de forma legítima e proporcional, garante crescimento econômico e segurança jurídica.

Nesta perspectiva, o Brasil debateu bastante a matéria de proteção de dados pessoais pois é uma pauta que exige não apenas a implementação de uma Lei, mas sim a mudança da cultura da empresa e dos próprios usuários. Foram três projetos de leis tratando do tema, sendo que dois deles foram alvo de análise pela Câmara (5.276/2016 e 4060/2012) e um pelo Senado (PLS 330/2013). Vingou o projeto da Câmara 4060/2012, após audiências públicas e consultas aos interessados com alterações, tornando-se o PLC 53/2018.

O PLC 53/2018 tem a proposta de auxiliar na busca do equilíbrio entre a transparência devida aos titulares dos dados e a segurança jurídica para quem os trata, conforme as seguintes diretrizes:

– definição do que são dados pessoais e dados sensíveis (arts. 5º e 11), apontando quais são os requisitos para o seu tratamento (art. 7º), além de prever normas sobre a localidade (art. 3º) e sobre o término do tratamento dos dados (art. 15);

– expressa quais são os direitos do titular (art. 17) e estabelece como será o tratamento de dados pelo Poder Público (art. 23);

– regras sobre as responsabilidades no art. 25 e, no art. 33, normas sobre a transferência internacional de dados, o que é importante para segurança jurídica das atividades da economia digital já que as principais partes que tratam dados são players globais;

– regras sobre os responsáveis pelo tratamento dos dados (o art. 37), inclusive do encarregado (art. 41), apontando aspectos de sua responsabilidade (art. 42);

– a partir do art. 46 há outras normas importantes, tratando da segurança e das boas práticas envolvendo dados, inclusive determinando o privacy by design e by default (§2º, art. 46), que impõem que medidas de privacidade devem ser observadas desde a concepção até a implementação/execução dos produtos/serviços;

– o art. 50 traz disposições sobre boas práticas de governança, inclusive fazendo menção ao compliance digital (§2º, I e II) – ainda que não se tenha usado esta nomenclatura;

– no art. 52 estão previstas as sanções administrativas que serão impostas pela Autoridade Nacional de Proteção de Dados – ANPD (art. 55);

– a criação do Conselho Nacional de Proteção de Dados (art. 58), que aconselhará a ANPD nas políticas públicas de tratamento e proteção de dados;

– por fim, o PLC prevê uma vacatio legis de dezoito meses (art. 65), o que é tempo mais do que suficiente para que todos se adaptem às mudanças.

 

(*) Patricia Peck é sócia-fundadora do escritório Patricia Peck Pinheiro Advogados  e presidente do Instituto iStart de Ética Digital, responsável pelo Movimento Família Mais Segura na Internet. E Marcelo Crespo é professor, membro do Instituto dos Advogados de São Paulo (IASP), autor do livro “Crimes Digitais” (Saraiva, 2011) e coautor do livro “Direito Digital Aplicado 3.0” (RT, 2018)