ARTIGO Sancionada a Lei de Proteção de Dados Pessoais, mas com vetos. O que significam?

Por: André Ramiro

Por: Paulo Tavares

Publicado em: 17/08/2018 12:47 Atualizado em: 17/08/2018 13:14

Foto: Marcos Corrêa/PR/Fotos Públicas (Foto: Marcos Corrêa/PR/Fotos Públicas)
Foto: Marcos Corrêa/PR/Fotos Públicas
Foi, enfim, sancionada a Lei Geral de Proteção de Dados do Brasil - LGPD. Fruto de anos de ampla discussão pública, ativismo, pesquisas e debate político entre os mais diversos setores da sociedade, representando um processo verdadeiramente democrático e transparente, a norma entre em vigor após decorridos dezoito meses de sua publicação.

A lei tem por objetivo regulamentar o uso, a proteção e a transferência de dados pessoais. É amplamente reconhecido o cenário de vulnerabilidade em que nos colocamos atualmente, diante de modelos de negócio e serviços que utilizamos todos os dias e que coletam, processam e mercantilizam nossos dados de forma indiscriminada. Foi preciso regulamentar tais processos, como forma de empoderar o cidadão, especialmente o usuário da internet, e construir mais consciência sobre como estes mercados funcionam.
 
Sua sanção configura um enorme avanço para a garantia de direitos fundamentais no Brasil, trazendo consigo mais ferramentas para os usuários de serviços com base em coleta de dados, bem como mais segurança jurídica para estas empresas. Ocorre que a sanção da lei trouxe alguns vetos à redação original, os quais modificam de forma preocupante a sua aplicabilidade.
 
O mais preocupante dos vetos se refere à criação de uma Autoridade Nacional de Proteção de Dados - ANPD (presente no art. 55, na redação original), instituto basilar para a eficácia da norma e presente em cerca de cem países que contam com normas de proteção de dados, a maioria delas progressistas e centradas no cidadão. O veto significa que a fiscalização sobre a utilização de dados pessoais pode não mais se dar por meio de um órgão independente e com competência e estrutura especializada.

Preocupa, igualmente, como o Brasil será visto na dinâmica do mercado internacional, pois, sem a ANPD, coloca-se em outro parâmetro, em desacordo com as normas da União Europeia  (a qual possui lei geral de proteção de dados paradigmática) para o livre e seguro fluxo de dados, por exemplo. Além disso, se encontrará em desacordo com exigências mínimas de regulação de dados pela OCDE, o que dificultará seu ingresso na organização.

O órgão havia sido pensado no texto original da lei para ser constituído com estrutura inovadora, contando com uma Direção composta por três membros, além de um Conselho Nacional de Proteção de Dados e da Privacidade, esfera de caráter multissetorial (representantes do governo, do setor privado, da academia e da sociedade civil), formato moderno e que permite a construção de políticas públicas de forma rica e democrática, como a criação de campanhas de conscientização à sociedade e acompanhamento dedicado das atividades empresariais.

Assim, a pergunta mais importante que se faz agora é, quem fiscalizará os abusos cometidos pelo setor privado e, principalmente, pelo Estado? Nos últimos meses, representantes do governo já mencionaram a possibilidade de a ABIN (Agência Brasileira de Inteligência), a Polícia Federal ou o Ministério Público assumirem essa função. Porém é de se perceber que estes órgãos são absolutamente parciais, o que comprometeria a fiscalização das atividades de processamento de dados. Sabe-se que o Estado opera programas de vigilância que, muitas vezes, extrapolam limites de direitos fundamentais, sobretudo da privacidade, fragilizando o cidadão. O desenho original da ANPD não foi construído por acaso: é necessário independência e imparcialidade. Deixar o controle sobre os dados dos cidadãos nas mãos do aparato vigilantista do Estado é como deixar o galinheiro aos cuidados da raposa (http://g1.globo.com/jornal-nacional/noticia/2018/07/projeto-de-protecao-de-dados-pessoais-aguarda-sancao-de-temer.html)

O veto quanto à criação da ANPD foi justificado sob a alegação de que houve vício de iniciativa (por exemplo: certa medida foi tomada por um poder que não possuía competência para tal). Nesse caso, alega-se que houve inconstitucionalidade no processo legislativo. Porém o argumento já havia sido longamente desconstruído por um ex-ministro do STF.

Outro veto significativo diz respeito ao tratamento de dados pessoais pelo poder público, o que trará impactos sobre como se dará a governança dos dados por este setor. O art. 23, inciso II, carregava obrigações ao setor público para que fossem protegidos dados daqueles que fizessem uso da Lei de Acesso à Informação - LAI, de forma a garantir a segurança e a privacidade destes atores, tais como jornalistas, ativistas ou pesquisadores. Agora, além de não haver obrigação de proteção aos dados pessoais nessa hipótese, o governo também poderá compartilhar estes dados entre outros órgãos da administração pública, bem como com o setor privado.

De cara, é possível imaginar que a fiscalização cidadã das atividades do governo saia prejudicada, de forma que quem fizer uso da LAI para obter informações públicas não terá garantias de proteção, dando margem à fragilização da privacidade, do acesso à informação e, consequentemente, da liberdade de expressão. Além disso, sai prejudicado o princípio da finalidade, um dos pilares da lei, ao possibilitar que dados coletados para um uso específico seja compartilhado para outras esferas da administração pública.

Sobre o compartilhamento de dados pessoais pelo Poder Público, questão crítica, o veto recaiu sobre o art.  26, II. O inciso permitia que dados pessoais administrados por certo órgão público pudessem ser compartilhados com entidades privadas em casos de existência de previsão legal eou transferência respaldada em contratos, convênios e instrumentos congêneres. É uma leitura possível a de que, sem o inciso, fica mais limitado o rol de possibilidades em que os órgãos públicos poderão compartilhar informações pessoais com empresas, por exemplo. 

Outra leitura que pode ser feita é de que o governo não está de acordo com a exigência de “previsão legal e necessidade de contrato ou outro instrumento”, de forma cumulativa, o que inviabilizaria práticas corriqueiras de compartilhamento de dados pessoais com entidades privadas. A questão será melhor interpretada nos próximos meses. 

Em contrapartida, o dever de publicidade dos órgãos públicos em informar os titulares dos dados em relação ao uso e compartilhamento de suas informações com outros órgãos da administração pública foi prejudicado com o veto ao art. 28. Na prática, isso vai acabar por tornar mais obscuro o manejo de dados pessoais entre órgãos do Estado, configurando menos transparência na obtenção de esclarecimentos sobre como se dá o repasse de informações.

É necessário ter sempre em vista que a LGPD tem uma função simples e clara: fornecer meios para que o cidadão tenha controle sobre sua privacidade, evitando abusos. Seguindo o caso acima, o veto dá margem para que, por exemplo, o Banco Central compartilhe dados de uma certa pessoa com uma autoridade policial sem que haja qualquer previsão de informação ao titular dos dados. Isso enfraquece o autocontrole sobre os dados, questão já vulnerabilizada em tempos de rápido fluxo de informações.

Uma última, porém não menos importante, questão preocupante se refere às penalidade impostas na redação original da lei (art. 52). Antes, entre outras sanções administrativas, estava a suspensão ou proibição da atividade de tratamento de dados pessoais. Ou seja, caso a empresa repetidamente cometesse abusos em suas atividades com dados pessoais, haveria a possibilidade de puni-la com a suspensão ou proibição desse tratamento, o que carregaria um caráter pedagógico importante, levando empresas a evitarem abusos.

Ainda que haja outros importantes dispositivos que procuram disciplinar a atividade de tratamento de dados, os vetos dos incisos VII, VIII e IX dão margem para que a atividade abusiva continue após uma correção paliativa. 

Importante mencionar que, com a ausência da Autoridade Nacional de Proteção de Dados, a aplicação das penalidades se fragiliza ainda mais, em razão dos motivos mencionados acima. Resta saber quem irá impor as sanções, fiscalizar o tratamento de dados das empresas e dos órgãos públicos em âmbito nacional, promover medidas educativas e de boas práticas a cidadãos e ao setor privado, políticas públicas, estudos de comparação com normas internacionais, entre outras funções.

São questões para as quais teremos respostas no decorrer dos próximos meses. Agora, é esperar para saber se quem irá desempenhar o papel de fiscalizador da proteção de dados pessoais carregará a competência e expertise necessária para tanto. Esperemos ou continuemos na luta por uma Autoridade independente, tal como proposto durante os quase dez anos de construção da Lei de Proteção de Dados Pessoais.

*** André Ramiro - Diretor de Projetos e Pesquisador no IP.rec - Instituto de Pesquisa em Direito e Tecnologia do Recife. Mestrando em Ciências da Computação - UFPE. Bacharel em Direito - UFPE.

Paulo Tavares - Pesquisador no IP.rec - Instituto de Pesquisa em Direito e Tecnologia do Recife. Membro Colaborador da Comissão de Direito da Tecnologia e da Informação da OAB/PE.


Os comentários abaixo não representam a opinião do jornal Diario de Pernambuco; a responsabilidade é do autor da mensagem.