O Ministério da Justiça (MJ) abriu, em 28 de janeiro, debates públicos para discutir, além do decreto que regulamentará o Marco Civil da Internet, o teor do Anteprojeto de Lei para a Proteção de Dados Pessoais (APL). Os debates estão sendo realizados por meio de plataformas interativas específicas, as quais coletam contribuições de natureza pública.
Uma das marcas da proposta do APL submetida a público são as exigências relacionadas à segurança da informação. A imposição de obrigações pelo APL quanto ao tema, não é recebida com surpresa. Afinal, a indicação da segurança da informação como elemento essencial à proteção de dados pessoais é feita, senão em todas, em praticamente todas as legislações e sistemas jurídicos voltados à proteção de dados. O que merece destaque, entretanto, é que caso aprovado nos termos atuais, o APL será um divisor de águas para a indústria de tecnologia da informação no Brasil.
Muito embora já existam leis e regulamentos nacionais que exijam a implantação de sistemas e processos de segurança da informação, nenhum o faz de forma tão rigorosa e abrangente quanto o APL. A novidade, portanto, é que o APL pode representar a primeira exigência regulatória efetiva de compliance em segurança da informação, ou seja, medidas de segurança que ainda hoje são vistas por algumas organizações como opcionais ou eletivas, passarão a ser obrigatórias com a nova lei.
A relação entre privacidade e segurança da informação é intuitiva – quase óbvia. Segurança da informação diz respeito ao controle e proteção da informação – de qualquer informação. Na visão mais tradicional, a segurança da informação é voltada ao controle e acesso ao fluxo de informações, geralmente proprietárias e com valor intangível, em uma organização ou entre a organização e terceiros. Em matéria de privacidade, a obrigação não se dá em benefício da organização. Em privacidade, a organização, geralmente por força de lei, reconhece que o domínio sobre a informação não é seu. Muito embora a organização possa reter o controle físico dos dados pessoais, as decisões sobre o fluxo desses dados devem ser determinadas pelas preferências e consentimento do titular daqueles dados. Presume-se que a informação não pertence à organização, sendo esperado, portanto, que esta aplique regras eficazes para sua proteção. Tão simplesmente, se a informação não é sua, é esperado que você seja obrigado a cuidar bem dela.
Quanto à adequação do texto em si, ainda há espaço para aperfeiçoamentos, os quais podem ser buscados através da consulta pública. Na proposta de regulamento europeu, por exemplo, o processador ou responsável pelos dados deve conduzir uma avaliação de risco antes de definir o nível de segurança adequado, o qual deverá ser compatível com os riscos enfrentados, com o estado da técnica e, até mesmo, com os custos de implantação das medidas de segurança. As exigências da Federal Trade Commission americana vão na mesma linha, sendo que lá, são ainda levados em consideração 'o tamanho da organização, a complexidade, natureza e o escopo de suas atividades'.
No APL, por sua vez, a determinação se as medidas de segurança adotadas pela empresa são aptas ou não, leva em conta apenas o estado da técnica e a sensibilidade dos dados a serem protegidos. A consequência disto é que o nível de discricionariedade das autoridades brasileiras para definir, no caso concreto, se os objetivos de segurança da informação foram atingidos será maior. Isso acaba por gerar incertezas e insegurança para o mercado. Seria melhor que as regras estivessem mais claras antes do jogo começar.
A consulta pública sobre o APL está aberta e vai até o dia 30 de abril. Qualquer cidadão pode dar a sua opinião, através do site do Ministério da Justiça.
Gustavo Artese, líder das práticas de direito digital e propriedade intelectual de VPBG Advogados, com especialização em privacidade e segurança da informação, mestre em direito pela Universidade de Chicago e professor de direito e tecnologia da Poli-USP.