O setor privado e os cidadãos clamam por uma lei de proteção de dados
Em meio às recentes notícias sobre a nova Carteira Nacional de Habilitação acessível pelo celular e sobre o compartilhamento de dados entre órgãos da administração pública federal, no viés do Decreto nº 9.094/17, a reflexão sobre o atual arcabouço jurídico de proteção de dados pessoais no Brasil é inevitável. Embora seja certo que no âmbito da administração pública federal, algumas regras já foram devidamente delineadas quanto à proteção dos dados, no setor privado o cenário é ainda bastante obscuro, permanecendo nosso país como um dos poucos que ainda não regulam de forma clara a coleta e o tratamento dos dados.
Atualmente há no mundo 110 países com leis específicas de proteção de dados pessoais, desses ao menos 100 contam com uma entidade específica para fiscalização. Na América Latina, o Brasil é o único grande que não possui norma específica. Ainda que tenhamos no Brasil o Código de Defesa do Consumidor e o Marco Civil da Internet, fato é que tais diplomas legais são insuficientes. O primeiro, posto que obsoleto à era digital; o MCI, além de ter aplicação limitada às relações celebradas via internet, pincela alguns direitos dos usuários e estabelece alguns requisitos de segurança pelo seu decreto regulamentador, remetendo a futura lei, detalhes específicos quanto a coleta e o tratamento de dados.
Regras claras sobre a forma de se obter o consentimento válido, bem como quanto à transferência de dados entre diferentes players é medida que se impõe para que o Brasil entre definitivamente na rota da inovação, garantindo segurança jurídica aos investidores. Para o cidadão, mais do que regras claras é fundamental que haja uma definição de competência quanto a quem caberá fiscalizar. Veja que no Marco Civil da Internet, pelo seu decreto regulamentador, a fiscalização do cumprimento de suas regras foi repartido entre Anatel, para questões de sua competência, Secretaria Nacional do Consumidor, no tocante a relações consumeristas e ao Sistema Brasileiro de Defesa da Concorrência, para infrações a ordem econômica.
Nenhuma dessas entidades, a despeito de sua notória experiência em suas áreas de atuação majoritárias, têm histórico de análise técnico-informática de questões relativas à segurança da informação, notadamente sobre o cumprimento do artigo 13 do Decreto nº8.771/16, que traça as diretrizes sobre padrões de segurança. Ainda que uma vez ou outra tenham atuado nesse sentido, fato é que não é sua atuação principal o que implica em demora de apuração e ausência de resposta a contento. Nos principais projetos de lei em discussão no Congresso Nacional (PLS 330/2013, PL 5.276/2016 e 4.060/2012) não há presença de uma autoridade destinada a essa função, embora no projeto apresentado pelo executivo, em sua minuta levada à discussão pública prévia, havia a chamada Autoridade de Garantia, que cumpriria tal finalidade. A mudança do texto legal se deu em meio à crise econômica, quando então falar em criação de novos órgãos seria assunto indigesto.
Se não há recursos para criar um novo órgão ou dar recursos a órgãos existentes para terem equipes e departamentos especializados, pouco adiantará uma lei de proteção de dados pessoais, visto que seu cumprimento ficará mais sujeito a demandas judiciais, muitas vezes lentas e também conduzidas por um judiciário ainda não afeto a questões técnico-informáticas. O maior prejudicado é o cidadão e o ambiente de inovação no Brasil, que persistirá sem segurança jurídica.
*Dr Rafael Maciel é advogado especializado em Direito Empresarial e sócio do escritório Rafael Maciel Sociedade de Advogados
