Informação e conhecimento são os motores da economia pós-industrial. Informação e conhecimento alimentam-se de dados. Em grande medida, de dados que dizem respeito a cada um de nós. É nesse contexto que a regulação da proteção de dados pessoais se espalha pelo mundo. O Brasil implementa aos poucos seu próprio regime de proteção.
Nesse contexto, o Ministério da Justiça (MJ) abriu, no início desse ano, dois debates públicos para discutir, o decreto que regulamentará o Marco Civil da Internet e o teor do Anteprojeto de Lei para a Proteção de Dados Pessoais (APL). Ambos os debates já foram finalizados e contaram, em conjunto, com aproximadamente 2.000 contribuições. O tema da privacidade de dados pessoais permeou os dois debates. No caso do APL, foi oferecida proposta de texto de lei.
A proposta submetida ao público tem clara inspiração no regime europeu de proteção, um dos mais restritivos do mundo sobre o tema. Como exemplo, o APL reproduziu parcialmente o texto da proposta para a nova regulamentação europeia (ainda em discussão) ao definir que dados pessoais são aqueles que se referem a uma "pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais e identificadores eletrônicos". A adequada definição de dados pessoais é crucial, na medida em que, em sua ausência, não há proteção da lei. No atual estado da técnica, a referência a uma pessoa identificável traz em si o risco de se tratar como pessoais, dados que não têm o propósito identificar o indivíduo. Como resultado, estende-se sem necessidade, e em prejuízo da economia digital, a aplicabilidade da lei a praticamente qualquer tipo de dados.
Dependendo da velocidade (e conveniência) desse processo legislativo, aparenta avizinhar-se o dia em que, a par da observância das exigências já trazidas pelo Marco Civil da Internet, as empresas e o setor público terão que implantar controles e processos internos complexos e onerosos voltados ao compliance em privacidade.
O APL é centrado no direito à autodeterminação informativa, sob o qual o titular de dados pessoais é empoderado para gerir e controlar o fluxo de informações que lhe dizem respeito. Como a direitos correspondem obrigações, a principal fonte de legitimação para a coleta, uso e disseminação de dados pessoais pelo "responsável" – esta foi a designação escolhida para a empresa ou instituição que toma decisões quanto ao tratamento dos dados – é a obtenção do consentimento do titular. Não será tarefa simples.
Caso o texto do APL venha a se tornar lei, caberá ao "responsável", por exemplo, ajustar periodicamente seus contratos e políticas de privacidade uma vez que será exigido que o consentimento refira-se a finalidades específicas (e.g. transacionais ou associadas a marketing), as quais tendem a mudar com relativa frequência.
As obrigações não se limitam à questão do consentimento. Dentre outras, destacamos: (i) garantir que o titular tenha acesso a seus dados e possa solicitar eventuais correções; (ii) tratamento diferenciado de dados sensíveis (e.g. relativos à saúde); (iii) obrigações relativas à transferência ou comunicação de dados a terceiros, tanto em âmbito nacional, quanto internacional; (iv) indicação de um encarregado pelo tratamento de dados pessoais, o qual, dentre outras funções, deverá receber reclamações e adotar providências em relação a estas; e (v) adoção de medidas voltadas à segurança da informação e comunicação de incidentes de segurança.
Em apertado resumo, qualquer negócio que lide ainda que indiretamente com dados pessoais, deverá estabelecer processos internos para que conheça em detalhes e seja transparente sobre: (i) como coleta dados; (ii) para quê os dados são coletados; (iii) quais dados estão sob seu controle; e (iv) o que é feito desses dados. Na falta de cuidados, o responsável estará sujeito a penalidades que variam de multa à suspensão de suas atividades de tratamento de dados.
Outro ponto que merece destaque é a possibilidade de criação, ou não, de uma autoridade pública garantidora (uma espécie de agência reguladora para a privacidade). O APL se limitou a mencionar um "órgão competente", sem estabelecer seu formato institucional ou atribuir-lhe competências de forma explícita. A lacuna se explica pela falta de consenso no governo quanto à sua conveniência.
Defendida pelo próprio MJ, a criação da autoridade de garantia – iniciativa que o autor apoia – atende a uma série de necessidades: (i) o estabelecimento de órgão com poderes normativos, fiscalizatórios e sancionatórios independente da ingerência governamental; (ii) a especialização em tema de altíssima complexidade e estratégico para o desenvolvimento social e econômico; e (iii) a eficiência na proteção de direitos com o afastamento de tutela difusa ou fragmentada.
Em tempos de Big Data, ou melhor, de uma data-driven society, o papel da regulação relativa à proteção de dados pessoais não é o de simplesmente inibir a coleta e utilização desses dados, mas sim o de estabelecer regras de governança adequadas para seu tratamento. Uma governança adequada deve levar em conta, não apenas os riscos a direitos individuais, mas também os benefícios sociais que decorrem do processamento e análise de altos volumes de dados. Discutir o tema é essencial neste momento e, com certeza, os referidos seminários serão uma boa oportunidade para isso Não deixemos a oportunidade passar.
Gustavo Artese, líder das práticas de direito digital e propriedade intelectual de VPBG Advogados, com especialização em privacidade, contratos de tecnologia e segurança da informação. Gustavo é mestre em direito pela Universidade de Chicago, professor de direito e tecnologia da Escola Politécnica da USP e colaborador da IAPP – International Association for Privacy Professionals.
