Há anos, advogados e especialistas em privacidade e dados pessoais bradam a necessidade de o Brasil aprovar uma lei geral de proteção de dados pessoais. Talvez eles finalmente comecem a ser ouvidos no Legislativo. Nesta terça-feira (22/5), estava marcada a votação na Comissão de Assuntos Econômicos (CAE) do parecer do Projeto de Lei do Senado (PLS 330/2013), uma das iniciativas legislativas nacionais para unificar as leis para o assunto.

No final da semana passada, porém, o relator do projeto, senador Ricardo Ferraço (PSDB-ES), informou que retiraria o projeto de pauta para ter uma reunião com “mais ampla participação social na discussão do projeto”, que acontecerá nesta terça-feira, às 15h.

O documento de 35 páginas está disponível no site do Senado e aborda diversos aspectos da regulação sobre o tratamento e coleta de dados pessoais. Desde os conceitos essenciais a uma lei geral, como a definição de dado pessoal, à criação de uma agência para fiscalizar a aplicação da lei.

Para especialistas, porém, o novo texto, embora tenha avançado significativamente em relação ao que foi entregue em outubro do ano passado, ainda assim precisa ser aprimorado.

Entre as regras que ficaram frouxas, está o tratamento concedido ao setor público na coleta e manuseio de dados pessoais. Segundo o advogado Danilo Doneda, professor de Direito da Universidade Federal do Rio de Janeiro (UFRJ), o parecer não retirou o setor público da regulação, mas na prática várias determinações feitas a agentes privados não se aplicam a ele.

Segundo Doneda, o poder público, como está escrito o projeto, não teria obrigação de transparência nem de dar publicidade ao processo de tratamento de dados. Também pode conservar sem limite de tempo dados pessoais e não precisa dizer para o titular quais os critérios de decisões que vai tomar em relação aos dados. Além disso, o titular não pode pedir o cancelamento do uso de seus dados. “Houve uma exclusão parcial do setor público. Ele continua com vantagens que não são devidas”, avalia.

Em março deste ano, o JOTA publicou uma reportagem especial para mostrar a dimensão do problema que o uso de dados pessoais representa para a economia e para a vida pessoal dos cidadãos.

Segundo Laura Mendes, doutora em Direito Privado pela Universidade Humboldt de Berlim e professora do Instituto Brasiliense de Direito Público (IDP), uma lei geral é importante para harmonizar as variadas legislações que o país possui. Nesse aspecto, ela precisaria também abarcar todo o setor privado e o setor público.

“Como o dado flui por vários setores, se é regulado só por lei específica, posso ter situações que não vão estar reguladas. A ideia da lei geral é uniformizar isso. O caso da Cambridge Analytica é interessante por isso. Era um aplicativo pensado inicialmente para pesquisa e parou onde parou”, diz Laura.

Transferência internacional

Para os especialistas em dados pessoais, o parecer do PLS 330, em seu artigo 30, ao dispor que a transferência internacional de dados pessoais pode ser realizada “mediante autodeclaração”, faz com que o Brasil fique distante das melhores práticas internacionais de proteção de dados.

Segundo Laura Mendes, trata-se de uma inovação nacional. “Não conheço outra legislação que trate dessa questão desta forma”, observa. “A mera declaração vai servir como garantia?”

Para a especialista, essa definição do texto não traz garantias de como funcionará o processo de transferência de dados. “É preciso algum tipo de controle de que a empresa não está descontextualizando os dados e, com isso, causando danos”, avalia.

Para se fazer transferência de dados pessoais, afirma Laura, “costuma-se pedir o mesmo nível de adequação e garantias no tratamento dessas informações. Se isso não existe, é preciso garantir que as empresas tenham cláusulas contratuais e mecanismos que garantam esse tipo de proteção”.

Autoridade de dados

O parecer do PLS 330 também preparou as bases para a criação de uma autoridade de dados pessoais, que fiscalizaria a aplicação da lei geral no país. Em seu artigo 46, diz que “as atividades, atribuições e competências estabelecidas à autoridade competente a que se refere esta lei serão exercidas por órgão do Ministério da Ciência, Tecnologia, Inovações e Comunicações, em caráter transitório, até que o Poder Executivo venha a constituir entidade destinada a essa finalidade”.

Para Laura Mendes, a autoridade precisa se apoiar em um tripé para que funcione de forma eficiente: com estrutura para fiscalizar, equipe qualificada e independente. “Mesmo que criada em caráter transitório, sem estrutura, expertise e independência a lei vai ser aplicada?”, questiona.

Ela ressalta que os marcos regulatórios setoriais do país vieram, em sua maioria, atrelados à criação das agências reguladoras. “Para que possamos ter os benefícios de uma adequação na legislação de dados pessoais e ampliar negócios no Brasil só uma autoridade nesses moldes atenderia. Um órgão-tampão não atenderia a esses padrões”, avalia.

Mas a advogada pondera que não cabe ao Poder Legislativo criar novos cargos, prerrogativa de atribuição do Poder Executivo. “O parecer não poderia criar essa autoridade. Por isso é necessário de um compromisso social do governo”, afirma.

O problema do regime transitório, avalia Danilo Doneda, é que, no Brasil, ele costuma “durar para sempre”.

Prazo longo e multas

O artigo 6º, que trata das condições para que o dono dos dados peça acesso ao que a empresa tem armazenado sobre ele, também chamou a atenção. Segundo Doneda e Mendes, o prazo de trinta dias, sem estipular se úteis ou corridos, é demasiado longo.

“E se o usuário tem uma informação errada em um site e pede para tirar porque lhe causa prejuízo? O titular dos dados fica em uma situação de vulnerabilidade muito grande”, diz Doneda.

Outro ponto de preocupação é o artigo 37, que estabelece as sanções para as empresas que descumprirem a lei. Em seu inciso 3º, o dispositivo determina que a multa aplicada será de 2% do faturamento da empresa ou grupo econômico.

O valor é considerado baixo. Para efeito de comparação, o Regulamento Geral de Proteção de Dados (GDPR, em inglês), que entrará em vigor na sexta-feira (25), fixou multa de até 20% do faturamento das empresas.

“Em grande medida é o que tem feito as empresas se preocuparem com o GDPR. Esta multa está fora de linha com o que o senso comum diz que é razoável”, avalia Doneda.

Para especialistas, a situação piora quando o texto diz que a sanção será aplicada em “caso de reincidência de infração”. “A multa somente após reincidência, numa área tão dinâmica e que não depende de empresas grandes para causar danos, é um potencial chamariz para incentivar o setor privado a fugir da sanção. Praticamente desmoraliza o regulador”, diz Doneda.

A advogada Laura Mendes lembra que o compliance ganhou força no país depois do aumento das punições aplicadas pelos órgãos de defesa da concorrência, como o CADE, nos últimos anos. “Esse é um dos pontos do parecer que merece mais aperfeiçoamento. É importante pensar que, para todo o sistema funcionar, é preciso de um autoridade que tenha poder real”, avalia Laura.

Pseudonimização e anonimização

Entre os pontos positivos, Doneda avalia que o parecer corrigiu várias incoerências, como incluir o conceito de dados pseudonimizados (quando se tira os dados pessoais, mas ainda é possível identificar a pessoa por meio de pseudônimos), uma técnica nova.

Do ponto de vista da anonimização de dados, quando se tira dados pessoais para que o titular deles não seja reconhecido, o parecer não incluiu critérios para se fazer isso. Na Câmara dos Deputados, observa Doneda, o PL 5726 já diz que só é anônimo o dado que não possa ser revertido.

“A anonimização pode ser bem feita ou mal feita. O risco é do cidadão. Sem parâmetros, as empresas podem ter um incentivo a não anonimizar os dados pessoais corretamente”, avalia.

Mendes, nesse ponto, cita um estudo dos pesquisadores Arvind Narayanan and Vitaly Shmatiko, da Universidade do Texas, que conseguiu desanonimizar parte da base de clientes da Netflix em 2007.

Na época, a empresa fez um concurso para melhorar seu algoritmo de sugestão de filmes e disponibilizou a sua base de dados com todas as avaliações de filmes de seu catálogo do período de 1998 à 2005, suprimindo os nomes dos usuários avaliadores, deixando somente a data e a nota da avaliação. Ao cruzar esta base de dados com a do site IMDB, os pesquisadores conseguiram “recuperar” a identidade dos usuários da Netflix.

Estudos mostram que os mesmos pesquisadores já conseguiram identificar diversas bases de dados anonimizados, como a do censo americano, de hospitais e centros de pesquisa de saúde.

Para Mendes, a definição de anonimização descrita no parecer é positiva por conter um conceito de “irreversibilidade” do dado pessoal. “Do contrário, permite-se a exclusão do âmbito de aplicação da lei de dados supostamente anônimos que depois com facilidade poderão ser de-anonimizados, permitindo com isso, a reidentificar as pessoas.”

Privacidade e Marco Civil

Outro problema apontado está no artigo 44, que revoga os incisos VII, VIII, IX e X do 7º artigo do Marco Civil da Internet (MCI). Segundo Danilo Doneda, este dispositivo basicamente revoga todo o conceito de privacidade do MCI. Entre essas revogações, está o princípio de consentimento e de finalidade.

“Deveria haver uma harmonização do consentimento com o MCI. O parecer revogou toda a parte de garantias e principiológica de privacidade do MCI. Deu uma tratorada. Não vejo isso como positivo”, diz Doneda.

Os riscos, segundo o especialista, são a perda de controle sobre os próprios dados. “É revogar algo que já está previsto na legislação. Vai contra a proteção de dados”, avalia. “Acho que houve uma confusão, até porque há um artigo no parecer que fala na revogação do consentimento”.

Fonte: JOTA