A proteção de dados pessoais deixou de ser assunto dos entusiastas da privacidade e chegou à grande mídia e às conversas corriqueiras de redes sociais. Desde 2013, quando o ex-agente da NSA Edward Snowden divulgou como o governo americano espionava a vida dos cidadãos, não se via uma sequência tão pujante de acontecimentos relacionados ao tema. No primeiro semestre de 2018, veio à tona o uso irregular de dados envolvendo Facebook e Cambridge Analytica, a denúncia de venda de dados do Serpro, a edição da GDPR (a lei de proteção de dados europeia) e, em julho, a aprovação do PLC 53/2018, a Lei Geral de Proteção de Dados (LGDP) – a “GDPR brasileira”. Apesar de estar nos holofotes, legisladores, academia e sociedade civil organizada discutem a lei há cerca de 10 anos.
Até então, o país dispunha de normas esparsas em diferentes legislações que mencionam a proteção dos dados pessoais – sejam eles on-line ou off-line. A LGDP, que está nas mãos do presidente Michel Temer, abarca todas as instruções sobre os procedimentos que devem ser feitos por entes públicos ou privados para o tratamento de dados. Entende-se por dados pessoais tanto os mais óbvios, como nome e CPF, como os capazes de identificar uma pessoa se ligados a outros dados (as preferências de consumo deixadas como rastro na internet se unidas a um CEP, por exemplo). Com regras sobre coleta, processamento, armazenamento e compartilhamento, as empresas passarão a dispor de segurança jurídica. Já os cidadãos terão maior direito à privacidade e autonomia sobre suas informações.
Entre os pontos de grande destaque da futura lei estão o consentimento que o usuário deve dar para que seus dados sejam coletados e compartilhados, o direito à portabilidade dos dados e ao acesso dos mesmos. O texto também prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia independente responsável pela fiscalização de toda a cadeia. Cabe a Michel Temer sancionar o projeto na íntegra ou vetar alguns pontos, o que pode comprometer os rumos da proteção. O presidente tem até o dia 7 para sancionar a lei. Relator do projeto na Comissão de Assuntos Econômicos (CAE), o senador Ricardo Ferraço (PSDB-ES), que também relatou o Marco Civil no Senado em 2014, responde a cinco perguntas sobre a futura lei.
1. Qual a importância de uma Lei de Proteção de Dados Pessoais no Brasil?
Não se trata apenas de uma preocupação brasileira: as principais democracias no mundo já adotaram um sistema legal de proteção de dados pessoais e de privacidade de seus cidadãos. Lidar com dados é fundamental para qualquer economia, seja ela pública ou privada. Daí a necessidade imperiosa de um regime jurídico de proteção, não somente dos dados, mas do cidadão. Proteger o cidadão é zelar por seus dados pessoais.
2. Debate-se a uma lei desde mais ou menos 2008. Quais motivos contextuais levaram à aprovação do Senado? Houve influência da GDPR?
Na verdade, essa discussão é até um pouco mais antiga do que 2008. Em 2004, o Senado já tinha um projeto de lei sobre esse assunto, que foi depois reapresentado pelo senador Antonio Carlos Valadares. Mas o debate se intensificou em etapas distintas. Em 2010, tivemos a primeira consulta pública pelo Ministério da Justiça. Em 2013, tivemos o caso das denúncias de Edward Snowden, que provocou a instalação de uma CPI no Senado, da qual também fui relator. Em 2014, esse debate foi reaquecido com a aprovação do Marco Civil da Internet, cujo projeto também relatei no Senado. Em 2016, a União Europeia aprovou, após intenso debate, a reforma das regras de proteção de dados, editando a GDPR. No início de 2018, tivemos o caso Facebook-Cambridge Analytica e, mais recentemente, denúncias de venda de dados de contribuintes pelo Serpro. Foram, portanto, vários picos de tensão social e política que moveram essa legislação. É certo que a entrada em vigor da GDPR, com aplicação extraterritorial, afetou bastante o debate e teve seu grau de pressão sobre o Congresso.
3. Empresas terão 18 meses para adequação. O senhor é otimista quanto a esse processo de adaptação?
Nossa opinião era de um prazo menor, tal como chegamos a sugerir no parecer ao PLS 330, que depois foi apensado ao PLC 53. Não há, na história legislativa brasileira, um prazo de vacância maior do que 1 ano, exceto, talvez, apenas o Código Penal de 1940, que levou cerca de 1 ano e 3 semanas para vigorar. Nem o nosso Código Civil de 2002 precisou de mais de 1 ano, e ali estão regras para todos os setores da sociedade. Mas, cedendo aos apelos de segmentos da sociedade, a Câmara dos Deputados optou por estender a esse prazo que mantivemos no Senado. Se se trata de um prazo suficiente ou não, estou seguro de que empresas conscientes e preocupadas com seus consumidores levarão a sério a regulação e se adequarão.
4. Há risco de veto sobre a criação da Autoridade Nacional de Proteção de Dados Pessoais. Qual a consequência para a lei caso o presidente Michel Temer opte pelo veto? Quem fiscalizaria as empresas e o Poder Público?
Esse talvez seja o ponto mais polêmico dessa questão. Temos dúvida sobre a constitucionalidade desse ponto e certamente que o Presidente da República, amparado por sua consultoria jurídica e pareceres da AGU, saberá o que melhor se compatibiliza com a ordem jurídica. Porém, caso haja veto, é preciso que o próprio Presidente sinalize uma solução, porque uma lei é tão eficaz quando os dentes da fiscalização. Ruim seria uma fiscalização sem dentes, mas, pior, é fiscalização nenhuma.
5. Na sua opinião, como deve ser a composição dessa autoridade?
Acredito que isso já esteja bem estabelecido no PL. Uma entidade enxuta, como a proposta, é suficiente e amparada em modelos internacionais, como o de Singapura, muito citado nos debates.
6. A nova lei afetará negócios do Brasil?
Estamos falando de uma legislação que vai inaugurar um novo ordenamento jurídico no Brasil, atingindo todos os setores da sociedade, públicos ou privados. Ninguém hoje se aventura ao mercado sem processamento de dados pessoais. Portanto, haverá, sim, uma transformação social e econômica sem precedentes.
Quer entender os detalhes da nova lei? Veja estas sugestões de leitura:
- País precisa ser competitivo em uma economia de dados
- Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada
- Laura Schertel Mendes e Danilo Doneda: Lei de proteção de dados não pode morrer na praia
- Veja 20 perguntas e respostas sobre projeto de proteção de dados aprovado pelo Senado
imagem: Marcos Oliveira/Agência Senado