A sanção presidencial da Lei Geral de Proteção de Dados Pessoais (PLC 53/2018) é uma vitória da sociedade civil organizada e dos diferentes setores envolvidos com a defesa desta importante legislação. Felizmente, nenhum artigo que trata dos direitos básicos dos cidadãos foi modificado. Também não houve modificação de elementos de vanguarda na legislação, como a proteção especial aos dados sensíveis, as regras de transparência com relação ao "relatório de impacto à proteção de dados pessoais", a proteção especial das crianças, os direitos de portabilidade de dados pessoais e auditoria de condutas potencialmente discriminatórias. A aprovação da Lei Geral de Dados Pessoais, no entanto, foi limitada por vetos que modificaram alguns pontos cruciais da legislação de proteção de dados pessoais, diz o IDEC em nota oficial.
O veto mais significativo, sem dúvidas, é o relacionado à criação da Autoridade Nacional de Proteção de Dados Pessoais (artigos 55 a 59). O veto da Presidência da República elimina a principal instituição de aplicação da legislação de dados pessoais. Sem a Autoridade, a legislação fica "manca", pois não há reguladores com expertise técnica e tampouco estrutura administrativa para monitoramento das práticas de mercado e de práticas ilegais de uso de dados pessoais pelo Poder Público.
O veto também pode modificar a estrutura de composição da Autoridade, originalmente pensada em um Conselho Diretor de três membros, apoiada por uma Comissão de caráter multissetorial (com assentos para membros de universidades, ONGs, empresas e governos).
Com o veto, a Lei aprovada deixa de fazer qualquer menção sobre o papel de educação ou de promoção de políticas públicas sobre "conhecimento digital" e uso de dados pessoais. Corre-se o risco de, com edição de novo Projeto de Lei ou de Medida Provisória, ocorrer a modificação das funções da Autoridade Nacional de Proteção de Dados Pessoais.
O segundo veto significativo é o relacionado às sanções administrativas, ou seja, quando controladores de dados pessoais cometem atos ilegais e podem ser punidos pela Autoridade Nacional de Proteção de Dados Pessoais. Com o veto dos incisos VII, VIII e IX do art. 52, a Presidência da República fragilizou o sistema sancionatório originalmente criado na Lei. Como consequência, eliminou as chances de suspensão de atividade ilícita (uso indevido de dados pessoais por um controlador ou responsável). Em uma analogia com outra área regulada, é como se a vigilância sanitária não pudesse fechar um restaurante com coliformes fecais na cozinha. Na prática, a Autoridade de Dados Pessoais pode aplicar advertência, multa simples, multa diária, publicização da infração e bloqueio dos dados pessoais a que se refere a infração. Mas não poderá exigir a suspensão parcial do funcionamento do banco de dados ou a suspensão do exercício da atividade de tratamento de dados pessoais por 6 meses, tal como previsto originalmente. Esse veto tende a tornar o sistema sancionatório um pouco mais frouxo, retirando uma"ameaça saudável" que contava na Lei.
O terceiro veto mais importante é o relacionado ao uso de dados pessoais pelo Poder Público. Com o veto do art. 23, inciso II, há impactos aos direitos dos requerentes de informações conforme a Lei de Acesso à Informação (LAI). Na prática, o poder público não estará mais obrigado a proteger dados pessoais de quem utiliza a LAI para investigar os poderes públicos. Também poderá compartilhar essas informações no âmbito do Poder Público e, até mesmo, com empresas. Esse veto tende a diminuir as proteções de jornalistas e cidadãos que utilizam constantemente a LAI.
Na mesma linha do veto ao art. 23, a Presidência também vetou o artigo 28, que pedia publicidade, pelo Poder Público, de práticas de compartilhamento de informações pessoais do cidadão. O veto faz com que o Poder Público deixe de dar publicidade ao uso compartilhado de dados pessoais dentro do Estado (por exemplo, o repasse de informações do Ministério da Saúde para o Ministério do Planejamento). Na prática, torna o compartilhamento mais opaco e menos conhecido pela população.
O Instituto Brasileiro de Defesa do Consumidor (Idec) defende que a mobilização civil e social não tenha fim até que seja criada a Autoridade Nacional de Proteção de Dados Pessoais por Medida Provisória ou por Projeto de Lei de iniciativa do Poder Executivo. Sem a Autoridade, não é possível afirmar que os direitos serão efetivamente protegidos. A ausência de um órgão técnico regulador também impacta os negócios e a segurança jurídica, abrindo possibilidade de interpretações pulverizadas na Legislação.
O balanço final da sanção da Lei de Dados Pessoais é muito positivo da perspectiva dos novos direitos afirmados aos cidadãos, porém preocupante da perspectiva da capacidade de garantia desses direitos e de regras que tornam as práticas do Poder Público menos transparentes. Depois de nove anos, a batalha quase chegou ao fim. O desfecho se dará com a efetiva criação da Autoridade Nacional de Proteção de Dados Pessoais.