Dados pessoais: por uma governança adequada

0

Informação e conhecimento são os motores da economia pós-industrial. Informação e conhecimento alimentam-se de dados. Em grande medida, de dados que dizem respeito a cada um de nós. É nesse contexto que a regulação da proteção de dados pessoais se espalha pelo mundo. O Brasil implementa aos poucos seu próprio regime de proteção.

Nesse contexto, o Ministério da Justiça (MJ) abriu, no início desse ano, dois debates públicos para discutir, o decreto que regulamentará o Marco Civil da Internet e  o teor do Anteprojeto de Lei para a Proteção de Dados Pessoais (APL). Ambos os debates já foram finalizados e contaram, em conjunto, com aproximadamente 2.000 contribuições. O tema da privacidade de dados pessoais permeou os dois debates. No caso do APL, foi oferecida proposta de texto de lei.

A proposta submetida ao público tem clara inspiração no regime europeu de proteção, um dos mais restritivos do mundo sobre o tema.  Como exemplo, o APL reproduziu parcialmente o texto da proposta para a nova regulamentação europeia (ainda em discussão) ao definir que dados pessoais são aqueles que se referem a uma "pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais e identificadores eletrônicos". A adequada definição de dados pessoais é crucial, na medida em que, em sua ausência, não há proteção da lei. No atual estado da técnica, a referência a uma pessoa identificável traz em si o risco de se tratar como pessoais, dados que não têm o propósito identificar o indivíduo. Como resultado, estende-se sem necessidade, e em prejuízo da economia digital, a aplicabilidade da lei a praticamente qualquer tipo de dados.

Dependendo da velocidade (e conveniência) desse processo legislativo, aparenta avizinhar-se o dia em que, a par da observância das exigências já trazidas pelo Marco Civil da Internet, as empresas e o setor público terão que implantar controles e processos internos complexos e onerosos voltados ao compliance em privacidade.

O APL é centrado no direito à autodeterminação informativa, sob o qual o titular de dados pessoais é empoderado para gerir e controlar o fluxo de informações que lhe dizem respeito. Como a direitos correspondem obrigações, a principal fonte de legitimação para a coleta, uso e disseminação de dados pessoais pelo "responsável" – esta foi a designação escolhida para a empresa ou instituição que toma decisões quanto ao tratamento dos dados – é a obtenção do consentimento do titular. Não será tarefa simples.

Caso o texto do APL venha a se tornar lei, caberá ao "responsável", por exemplo, ajustar periodicamente seus contratos e políticas de privacidade uma vez que será exigido que o consentimento refira-se a finalidades específicas (e.g. transacionais ou associadas a marketing), as quais tendem a mudar com relativa frequência.

As obrigações não se limitam à questão do consentimento. Dentre outras, destacamos: (i) garantir que o titular tenha acesso a seus dados e possa solicitar eventuais correções; (ii) tratamento diferenciado de dados sensíveis (e.g. relativos à saúde); (iii) obrigações relativas à transferência ou comunicação de dados a terceiros, tanto em âmbito nacional, quanto internacional; (iv) indicação de um encarregado pelo tratamento de dados pessoais, o qual, dentre outras funções, deverá receber reclamações e adotar providências em relação a estas; e (v) adoção de medidas voltadas à segurança da informação e comunicação de incidentes de segurança.

Em apertado resumo, qualquer negócio que lide ainda que indiretamente com dados pessoais, deverá estabelecer processos internos para que conheça em detalhes e seja transparente sobre: (i) como coleta dados; (ii) para quê os dados são coletados; (iii) quais dados estão sob seu controle; e (iv) o que é feito desses dados. Na falta de cuidados, o responsável estará sujeito a penalidades que variam de multa à suspensão de suas atividades de tratamento de dados.

Outro ponto que merece destaque é a possibilidade de criação, ou não, de uma autoridade pública garantidora (uma espécie de agência reguladora para a privacidade). O APL se limitou a mencionar um "órgão competente", sem estabelecer seu formato institucional ou atribuir-lhe competências de forma explícita. A lacuna se explica pela falta de consenso no governo quanto à sua conveniência.

Defendida pelo próprio MJ, a criação da autoridade de garantia – iniciativa que o autor apoia – atende a uma série de necessidades: (i) o estabelecimento de órgão com poderes normativos, fiscalizatórios e sancionatórios independente da ingerência governamental; (ii) a especialização em tema de altíssima complexidade e estratégico para o desenvolvimento social e econômico; e (iii) a eficiência na proteção de direitos com o afastamento de tutela difusa ou fragmentada.

Em tempos de Big Data, ou melhor, de uma data-driven society, o papel da regulação relativa à proteção de dados pessoais não é o de simplesmente inibir a coleta e utilização desses dados, mas sim o de estabelecer regras de governança adequadas para seu tratamento. Uma governança adequada deve levar em conta, não apenas os riscos a direitos individuais, mas também os benefícios sociais que decorrem do processamento e análise de altos volumes de dados. Discutir o tema é essencial neste momento e, com certeza, os referidos seminários serão uma boa oportunidade para isso Não deixemos a oportunidade passar.

Gustavo Artese, líder das práticas de direito digital e propriedade intelectual de VPBG Advogados, com especialização em privacidade, contratos de tecnologia e segurança da informação. Gustavo é mestre em direito pela Universidade de Chicago, professor de direito e tecnologia da Escola Politécnica da USP e colaborador da IAPP – International Association for Privacy Professionals.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.