Tribuna
i

Presidente Temer, a lei de dados precisa de seu órgão fiscalizador

A entrada em vigor de uma lei geral de proteção de dados sem uma autoridade autônoma e independente pode ter um impacto indesejado em sua eficácia

Mais informações

Antes de mais nada, um esclarecimento: esse é um texto emocionado, pois o autor que lhes escreve não tem como ser imparcial. Há oito anos colaboro com a discussão, redação e esforço pela aprovação da lei geral de proteção de dados pessoais no Brasil. Bem, o grande dia chegou! Na última terça, o Senado Federal aprovou o PLC 53/2018, que dispõe sobre a proteção de dados pessoais e altera a Lei 12.965/16 (Marco Civil da Internet), consolidando-se assim como a Lei Geral de Proteção de Dados brasileira (LGPD). Após dois anos de trâmite no Congresso Nacional, duas consultas públicas, mais de 2.500 contribuições de atores nacionais e internacionais, o processo chegou ao seu fim e, agora, o texto segue para sanção -ou talvez veto- presidencial. Se aprovado pelo presidente Michel Temer, o que deve ocorrer nos próximos quinze dias, o projeto passa a ser lei.

A LGPD cria todo um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito online quanto offline, nos setores privados e públicos. Importante salientar que o país já dispunha de mais de 40 normas que direta e indiretamente tratavam da proteção à privacidade e aos dados pessoais. Todavia, a LGPD vem substituir e complementar esse arcabouço regulatório setorial, que por vezes era conflituoso, pantanoso, trazia insegurança jurídica e tornava o país menos competitivo. O texto visa não somente garantir direitos individuais, mas também fomentar o desenvolvimento econômico, tecnológico e a inovação por meio de regras claras, transparentes e amplas para o uso adequado de dados pessoais.

Ao ter uma lei geral, o Brasil entra para o rol de mais de cem países com uma política de proteção de privacidade e uso de dados considerada adequada. O movimento brasileiro segue um que teve impacto global: em maio deste ano, entrou em vigor a nova regulamentação europeia de proteção de dados, conhecida como GDPR. Apesar de ser uma lei da União Europeia, por diversos fatores, ela tem eficácia e aplicação extraterritorial, além dos limites geográficos do velho continente e isso inclui o Brasil.

Diversas empresas nacionais que têm filiais em algum dos 28 países da UE, ou oferecem serviços à pessoas localizadas neles, tiveram que se adaptar, sob pena de sofrerem multas milionárias ou perderem contratos com empresas que diretamente devem estar em conformidade com a nova regulamentação. A GDPR também criou obstáculos para a transferência internacionais de dados pessoais para países que não são considerados com um nível adequado de proteção. O Brasil, agora com a LGPD, pode, em breve, passar a compor o rol de países para os quais tais dados podem ser transferidos, o que terá fortes impactos econômicos e comerciais.

Esses elementos da lei europeia e seus impactos aumentaram a pressão não só para a aprovação da lei geral, mas também moldaram as discussões que culminaram numa redação muito similar à GDPR, até mesmo superior em alguns pontos, como na abordagem dada à dados anonimizados quando estes forem utilizados para a formação de perfis comportamentais.

Além da repercussão do escândalo pelo uso abusivo de dados envolvendo a consultoria política Cambrigde Analytica no Facebook, um outro ponto que foi essencial para a aprovação da LGPD no Congresso Nacional foi a tentativa de alteração da Lei do Cadastro Positivo, que regulamenta o banco de dados de adimplentes (bom pagadores, em conjunto com o Código de Defesa do Consumidor, que liga com o de mal pagadores), relatórios de crédito e algoritmos de risco de crédito. A lei, como vigente atualmente, determina que os dados de consumidores somente podem ser adicionadas à tais bases com o seu consentimento, prática conhecida como opt-in. A alteração pretendia, entre outros pontos, mudar essa lógica para permitir que os dados pessoais pudessem ser coletados, utilizados e compartilhados sem o consentimento do titular, permitindo a este, apenas, requisitar o cancelamento dos seus dados, prática conhecida como opt-out. Essa alteração automaticamente incluiria os dados de mais de 30 milhões de brasileiros em sistemas geridos por empresas, o que poderia, alguns defendiam, alavancar a concessão de crédito no país, pois seria possível, em tese, efetivamente distinguir os bons pagadores dos maus.

Todavia, essa vantagem não viria sem riscos. Numa era de grandes vazamentos de dados e incontáveis casos de usos indevidos destes, permitir a aglomeração de dados pessoais de toda a população brasileira economicamente ativa sem que haja regras claras, transparentes, robustas e harmônicas que regulem tais uso pode ser uma prática indesejada e temerária. Esse cenário deu ensejo a toda uma leva de negociações políticas que culminaram na aprovação de um texto base alterando a Lei do Cadastro Positivo, mas bem diferente do original, com bem mais garantias, e a concordância do presidente da Câmara dos Deputados, Rodrigo Maia, da necessidade de se ter uma lei geral de proteção de dados antes das alterações pretendidas no cadastro positivo. Esse acordo político foi um dos principais fatores que permitiram a aceleração do tramitação.

Importância de uma órgão fiscalizador

Como disse acima, a LGPD vai agora para sanção presidencial. Temer pode acatar a lei como um todo, negá-la completamente ou vetar determinadas partes. Muito se discute sobre a possibilidade de veto do trecho que cria a Autoridade Nacional de Proteção de Dados, com base em uma série de argumentos, tanto jurídicos, políticos e orçamentários. Todavia, a entrada em vigor de uma lei geral de proteção de dados sem uma autoridade autônoma e independente pode ter um impacto indesejado em sua eficácia. Pode até mesmo tornar a lei incompleta, uma vez que o seu texto faz menção à autoridade 56 vezes, e determinada partes simplesmente não farão sentido sem a sua existência. Por isso, é importante que a existência desse novo órgão seja garantida.

A LGPD terá um impacto na sociedade como poucas leis antes tiveram, uma vez que, hoje, praticamente toda e qualquer prática se vale do uso de dados pessoais. Empresas de todos os setores terão que se adaptar e uma nova cultura sobre o uso adequado de dados deverá ser formada, algo de difícil atingimento levando em consideração que o Brasil, diferente de outras regiões do mundo, principalmente da Europa, ainda está na sua infância com relação a esse tema.

Após a publicação da lei, as entidades terão 18 meses para se adaptar. Poderá ser uma tarefa árdua e custosa, principalmente para àquelas que deixarem para o final do período de transição. Mas a proteção de dados pessoais e segurança da informação devem, e podem, ser encaradas não apenas como um custo, mas como vantagem competitiva, um diferencial de mercado. Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados, se adequar à regras claras, transparentes e harmônicas pode restaurar ou aumentar a confiança do consumidor nas empresas e no mercado. Portanto, empresas precisam se adequar às regras de hoje e compreender que se antever à futura regulamentação é um investimento e uma vantagem competitiva.

Renato Leite Monteiro é sócio do Baptista Luz Advogados e fundador do Data Privacy Brasil.