O escândalo Facebook-Cambridge Analytica provocou uma avalanche de reações políticas no mundo todo. Se nos Estados Unidos, a reação imediata foi convocar Mark Zuckerberg para uma longa sabatina no Congresso sobre a licitude de seu modelo de negócios, no Brasil, o efeito imediato se deu no Senado Federal, por meio de uma sessão temática extraordinária sobre o “Projeto de Lei do Senado nº 330/2013”, uma das propostas de “lei geral de proteção de dados pessoais” no país.
O referido projeto tramita há cinco anos, com muitas idas e vindas. Foi proposto em 2013, pelo senador Antonio Valadares (PSB/SE), dois meses após o caso Edward Snowden. Em 2015, ganhou substitutivo do senador Aloysio Nunes (PSDB/SP). Em maio de 2016, teve votação favorável pela Comissão de Meio Ambiente e Defesa do Consumidor, três dias antes da apresentação de uma versão da lei de dados pessoais pelo governo Dilma Rousseff. Desde março deste ano, o projeto está nas mãos do senador Ricardo Ferraço (PSDB/ES), na Comissão de Assuntos Econômicos. Após o escândalo Facebook, a discussão sobre proteção de dados pessoais ganhou nova dimensão e reaqueceu a discussão sobre o PLS 330/13.
A sessão temática, que contou apenas com especialistas homens – um ponto negativo diante da pluralidade de vozes femininas no debate -, foi marcada por muitos consensos, algumas divergências e omissões consideráveis. A todo momento, repetia-se o mantra de que “já é hora de uma lei de dados pessoais” e de que é crucial a criação de uma autoridade de proteção de dados pessoais. Ricardo Ferraço foi enfático: em 15 dias, apresentará um substitutivo do projeto de lei. A questão é saber qual será seu conteúdo.
A depender da sessão temática desta terça, há algumas pistas de para onde as coisas vão em termos legais. Analisamos, neste texto, as principais discussões da sessão e as variações entre consensos e divergências. Discutimos, por fim, questões em aberto e não discutidas no evento realizado no Senado Federal.
Consensos
“Esse projeto de lei tem poucos pontos que são tão consensuais quanto a criação de uma autoridade de proteção de dados”. A fala do deputado Orlando Silva (PCdoB), presente na sessão temática do Senado, representa bem uma das principais tônicas da audiência, mencionada e compartilhada pelos participantes. O tema foi consensual, com observações específicas aqui e ali.João Gomes Cravinho, embaixador da União Europeia, destacou a criação de uma autoridade independente de supervisão como um dos pilares da legislação europeia e aspecto essencial para assegurar a proteção dos direitos dos cidadãos.
O setor privado concordou. Rony Vainzof, representante da Fiesp (Federação das Indústrias do Estado de São Paulo), destacou que a ausência do órgão regulador tornaria a lei “manca” e provavelmente sem eficácia. Também frisou a necessidade de ser um órgão multissetorial e operacionalmente independente. Já Maximiliano Martinhão, secretário do MCTIC e conselheiro do Comitê Gestor da Internet, concordou com ressalvas: segundo ele, haveria uma preocupação de setores privados para que a criação de uma instituição pública não gerasse novos tributos ou promovesse aumento da burocracia estatal no setor.
A possibilidade de tratamento de dados por “legítimo interesse” também foi ponto de destaque. Mencionada 30 vezes ao longo das exposições – a título de comparação, a palavra “consentimento” foi utilizada 9 vezes, bem como a expressão “segurança jurídica” –, ficou clara a importância do conceito, que consiste em uma das exceções à necessidade do consentimento para a coleta e tratamento de dados pessoais. A percepção é de que sua definição deve ser bem trabalhada pelo projeto de lei, a fim de que um nível de previsibilidade e de segurança jurídica seja alcançado para a utilização do instituto. O advogado Márcio Cots, representante da Abinc (Associação Brasileira de Internet das Coisas), destacou a importância do conceito para a inovação e desenvolvimento econômico no país. Bruno Bioni reforçou que regras claras sobre relatórios de impacto à proteção de dados, no caso de coleta por legítimo interesse, geram segurança jurídica e mitigação de riscos a direitos fundamentais.
Outra preocupação comum da sessão é que a lei de proteção de dados brasileira esteja em adequação às normas internacionais, especialmente ao Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que entra em vigor em maio de 2018. Nesse sentido, afirmou o senador Antônio Carlos Valadares, autor do Projeto de Lei: “Precisamos estar alinhados com essa postura [do Regulamento Geral de Proteção de Dados], sobretudo o governo brasileiro, que não pode se eximir da responsabilidade de adotar e seguir as regras […] sob pena de enfraquecer relações comerciais e diplomáticas, com repercussões de ordem econômica.” Tal preocupação reflete um interesse econômico e político de ingresso na OCDE e de manutenção de transferências internacionais com a União Europeia.
O recado de Valadares foi direcionado ao núcleo do governo Temer, que tem cogitado um substitutivo do projeto de lei de dados pessoais que não se aplicaria ao poder público. Se essa ideia prosperar, o Brasil terá dificuldades de acordos bilaterais com União Europeia e de ingresso na OCDE.
Divergências
Se a existência de uma lei geral e a existência de uma autoridade de proteção de dados pessoais foram consensos, senadores e participantes divergiram sobre o conteúdo do Regulamento europeu e sua influência no direito brasileiro. Mario Viola, um dos especialistas convidados, discordou da posição de Ricardo Ferraço sobre uma certa “incompatibilidade” entre proteção forte de direitos e inovação. Para ele, a lei europeia “não é nenhum bicho de sete cabeças”. Não seria necessário “encontrar um caminho do meio” entre inovação e proteção a direitos. Uma legislação forte, nos padrões europeus, já seria ponto de partida para mais segurança jurídica e inovação nas economias digitais.
Bruno Bioni também criticou o modo como o projeto brasileiro trata dos relatórios de impacto à proteção de dados pessoais e das regras de prevenção de riscos coletivos. Bioni fez um chamado aos legisladores. “Vamos gastar energia e esforços em pensar como sistematizar um capítulo para relatórios de impacto à privacidade, um instrumento supermoderno e que está presente em várias leis de proteção de dados pessoais”, defendeu.
O pesquisador também deu destaque à importância do consentimento e de sua devida adjetivação, especialmente para dados sensíveis, item necessário para a criação de uma “arquitetura que reforça a confiança desse ecossistema como um todo”. Nem todos, porém, compartilharam dessa opinião. Rony Vainzof, por exemplo, argumentou que a limitação pela finalidade legítima é algo “ultrapassado” e que a indústria da Big Data precisa de mais flexibilidade.
Falando pela Fiesp, Vainzof defendeu a incorporação de modelos regulatórios do setor financeiro, em especial a ideia de “caixa de areia regulatória” (regulatory sandbox) proposta pela Financial Conduct Authority no Reino Unido, na qual “novos projetos são testados em atmosferas controladas, visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso” e da aplicação de sanções como última ratio. Enquanto Vainzof destacou a necessidade de uma punição gradativa e dialogada com as empresas privadas, Bruno Bioni destacou a necessidade que os poderes sancionatórios “correspondam à própria capacidade econômico-financeira dos atores regulados”, com possibilidade de multa de até 4% do faturamento global de um grupo econômico, aos moldes da GDPR.
As regras sobre consentimento, os limites sobre uso de dados sensíveis e a definição do tipo de postura regulatória da autoridade – comando e controle ou regulação responsiva – são divergências que precisarão ser resolvidas no substitutivo do senador Ferraço.
Omissões
As duas horas e meia dedicadas ao tema de proteção de dados pessoais renderam boas discussões no Senado, porém questões importantes foram ignoradas.
Pouco se falou sobre “dados anonimizados” ou dados “pseudoanonimizados”. Há enorme pressão de diferentes setores da indústria para que a futura legislação não se aplique caso o responsável pela coleta demonstre que os dados são “anonimizados”. No entanto, como demonstrado pela professora Latanya Sweeney da Universidade de Harvard, os “dados anonimizados” são qualquer coisa menos anônimos. Com relativamente poucas técnicas de engenharia de dados, é possível reidentificar pessoas e gerar insights sobre perfis comportamentais. No debate, pouco se comentou sobre a proposta do governo – inédita no mundo todo – de limitar o escopo de aplicação da lei para casos em que são tratados “dados anonimizados”. Esse tipo de excepcionalismo mostra-se altamente problemático e pode implicar em severos riscos para a população.
Também não houve qualquer menção a respeito da possibilidade de coleta de dados sensíveis tornados “manifestamente público”. Afinal, qual seria o conceito interpretativo de “manifestamente público”? Informações sobre raça e gênero disponibilizados em diferentes redes sociais – Facebook, Twitter e Instagram – já figurariam como tal? Diante da polêmica em torno do Facebook e da existência de empresas utilizando webcrawlers para garimpar tais dados, esperava-se que essa discussão tivesse aparecido.
O debate também não aprofundou quais seriam as “regras excepcionais” para o poder público, tal como defendido pelo representante do Ministério do Planejamento. Seria a mera existência de um capítulo especial sobre o assunto, com possibilidade de compartilhamento de informações coletadas de acordo com os princípios da lei? Ou seria uma opção autoritária de isentar a administração pública do cumprimento da legislação de uma forma geral?
Por fim, os senadores não discutiram questões mais específicas sobre multas e sanções. Afinal, os senadores defendem limites de cem salários mínimos em casos de descumprimento dos direitos dos titulares de dados? Ou adotaríamos o critério de 4% do faturamento global da pessoa jurídica? Haveria limitação de sanção para a empresa no Brasil ou as multas seriam aplicáveis para o grupo econômico como um todo?
Se considerarmos as promessas do senador Ricardo Ferraço, teremos uma resposta da Comissão de Assuntos Econômicos na primeira semana de maio. Considerando que a GDPR entra em vigor no dia 25 de maio, o próximo mês será decisivo para a economia e os direitos digitais, seja em Bruxelas ou em Brasília.
Fonte: Jota
Assuntos
Compartilhe