Lei de proteção de dados empodera cidadão, mas autoridade nasce banguela

A Lei Geral de Proteção de Dados, regulação que dita as regras sobre como os dados pessoais devem ou podem ser tratados no Brasil, foi aprovada em sua versão mais completa neste mês de julho e inclui a criação de uma entidade responsável por garantir que seja seguida nos setores privado e público.

Embora tenha sido sancionada originalmente em agosto de 2018, no governo Temer, a decisão sobre a criação da Autoridade Nacional de Dados Pessoais (ANPD) foi adiada e se arrastou em debates até ganhar uma nova forma proposta pelo Congresso. Uma das preocupações dos parlamentares era garantir que a Autoridade Nacional de Dados Pessoais fosse configurada de modo a ter autonomia e independência para agir livremente.

Quando chegou às mãos de Bolsonaro, o texto foi aprovado com nove vetos e transformado em lei. Embora os vetos tenham ainda de ser validados pelo Congresso (onde será necessário um mínimo de 257 votos de deputados e 41 de senadores para derrubar um veto), especialistas já apontam que os itens retirados da lei farão falta e podem gerar consequências graves ao país. Entre elas, o entendimento de que a lei de proteção de dados nacional não se adequa aos padrões internacionais -- o que inviabilizaria transações, trocas de informação e acordos entre países.

Para Bruno Bioni, consultor, professor e fundador do Data Privacy Brasil, entidade especializada em proteção de dados pessoais, os vetos fazem da ANPD uma autoridade "banguela" que não conseguirá morder quando realmente for necessário.

"Não basta a lei no papel, é preciso um arranjo institucional que bote essa lei em movimento. É o que a ANPD faria. Ela não está sendo criada no seu modelo ideal e os vetos a enfraquecem ainda mais. Com isso, temos o risco real de uma judicialização exagerada", diz. "Se a autoridade não tem capacidade institucional de resolver conflitos, isso vai para justiça. E aí o tiro sai pela culatra. A tão prometida segurança jurídica cai por terra porque você não tem previsibilidade de como a lei vai ser interpretada".

Os vetos podem ser resumidos em cinco temas:

Decisão automatizada: anteriormente, o texto estabelecia que todo cidadão tem o direito de solicitar revisão humana sobre decisões automatizadas (tomadas por computador) das quais discorde do resultado. O veto presidencial manteve o direito à revisão, mas excluiu a condição de ela ser feita por um humano, sob alegação de que inviabilizaria modelos de negócios de pequenas empresas.

Lei de Acesso à Informação: Bolsonaro derrubou item que proibia o poder público de transferir a órgãos públicos e privados dados de pessoas que tenham solicitado informações por meio da Lei de Acesso à Informação.

Perfil do encarregado: o texto antes apontava que a figura do encarregado, pessoa responsável para ser o porta-voz quando o assunto for dados pessoais, deveria ser alguém com conhecimento jurídico regulatório sobre privacidade e dados pessoais. A exigência foi vetada pois gerava um "rigor excessivo que se reflete na interferência desnecessária por parte do Estado".

Sanções: a ANPD perdeu poder de fogo com a exclusão da lei da possibilidade de punição com paralisação ou interrupção de atividades de tratamento de dados de um órgão.

Taxas: a ANPD tinha como fonte de receita a possibilidade de cobrar taxas por serviços prestados a órgãos privados e públicos. O item foi vetado, mantendo como principal fonte de renda o orçamento da União.

Danilo Doneda, advogado especialista em privacidade e proteção de dados pessoais e professor do Instituto Brasiliense de Direito Público (IDP), diz que o veto da revisão humana de decisões automatizadas, feito "sob uma justificativa bastante mal articulada", coloca o Brasil em descompasso com o resto do mundo. "Enquanto o mundo caminha para uma maior transparência, dando maior ênfase ao fator humano nas decisões automatizadas, aqui isso é vetado. Chegamos numa situação em que a LGPD é incoerente. A decisão de uma máquina vai então ser feita por outra máquina?", questiona. Para ele, a lei pode ser considerada incompatível com padrões internacionais como da União Europeia e da OCDE.

"Uma máquina não deveria revisar outra máquina", diz Bruna Martins dos Santos, da Coding Rights, organização dedicada à defesa de direitos na internet. Para ela, o veto pode colaborar para que decisões automatizadas que reproduzem preconceitos continuem a discriminar pessoas no Brasil. "Dados como orientação sexual - um dado sensível de acordo com a lei - em uma sociedade que ainda vive preconceitos contra a diversidade, também podem servir a práticas de segregação, restringindo, por exemplo, as oportunidades de trabalho. A ideia de garantir a revisão por pessoa natural de decisão automatizada gira em torno de corrigir eventuais discriminações decorrentes de processos algorítmicos e conferir mais transparência a processos de perfilamento dos cidadãos em perfis de consumo, profissionais ou de crédito", diz.

A permissão para dados sobre autores de pedidos da LAI (Lei de Acesso à Informação) serem compartilhados entre órgãos públicos e privados pode servir como um desincentivo ao uso da lei. "É inexplicável sobre qualquer ponto de vista porque a intenção da LAI é evitar que aquele que exerce o direito de acesso à informação seja perseguido", afirma Doneda. "É um retrocesso, inclusive em termos de acesso à informação".

O professor do IDP também se mostra contrário ao veto sobre a exigência de um conhecimento regulatório sobre dados pessoais para o cargo de encarregado. A liberdade de formação para a posição pode gerar prejuízo para quem depender da eficiência de suas funções, avalia.

Já os vetos que afetam a capacidade da autoridade de punir quem desrespeitar a LGPD foram bem vistos pelas empresas do setor de tecnologia. Da forma como ficou, a lei permite que a autoridade nacional aplique advertências e multas (de no máximo R$ 50 milhões). Esse teto, porém, foi considerado baixo.

Bruna Martins dos Santos lembra que as sanções de suspensão parcial ou total de atividade só seriam aplicadas ante a reincidência de uma determinada empresa ou entidade da administração pública. "Uma autoridade forte, com poder de sanção reforçado torna-se relevante para coibir abusos cometidos por agentes de tratamento de dados pessoais."

Entenda a lei

A chamada Lei Geral de Proteção de Dados (LGPD) carrega o "geral" no nome não por acaso. Até então, as regras sobre o que governo e setor privado poderiam fazer com as nossas informações pessoais, bem como os direitos dos cidadãos sobre seus próprios dados, estavam dispersas em regulações de áreas diferentes, como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo ou o Marco Civil da Internet.

A atual lei centraliza essas regras, dá ao cidadão controle sobre seus próprios dados e vai além, indicando os princípios de privacidade e proteção de dados que devem guiar toda atividade que envolver a coleta ou o uso de dados pessoais no Brasil, como o da finalidade (só pode usar o dado para o propósito que foi previamente informado por quem coletou) e o da transparência (tudo o que acontece com o dado é informado e fica acessível ao titular).

Sendo assim, toda empresa ou repartição pública que conta com um banco de dados com informações sobre você (nome, endereço de e-mail, número do CPF, data de nascimento, o que for) terá de se adequar ao que a LGPD diz. Quem abusar, fica sujeito a ser investigado e punido pela autoridade nacional.

"Hoje, é um banco de dados que diz se você é elegível para um programa social, se vai receber crédito no banco, o que você deve ler ou ouvir nas suas redes sociais, ou determina o valor do seu plano de saúde", diz Bruno Bioni. "Quando seus dados projetam como você é visto no mundo, uma lei geral é um veículo de cidadania. É quase uma repactuação do contrato social".

"Dados são parte integrante das pessoas, qualquer utilização despropositada deles vai gerar prejuízo", diz Danilo Doneda. Para ele, o primeiro efeito da lei será o empoderamento do cidadão sobre seus próprios dados. "A pessoa poderá dizer que tal coleta de dados não tem necessidade", explica.

A lei define o que são dados pessoais e dados sensíveis (dados que recebem tratamento diferenciado por terem o potencial de causar dano ao titular, como dados genéticos, biometria, informações sobre raça/etnia, sexualidade etc.), diz que é necessário consentimento do titular para que uma empresa ou órgão público colete, use ou transfira suas informações e dá ao cidadão o direito de revogar esse consentimento, exigir a exclusão dos dados ou sua portabilidade quando quiser.

Pelo lado dos setores público e privado, ela passa a conferir a chamada "segurança jurídica". É o que explica Bruna Martins dos Santos, analista da Coding Rights. "A lei fomenta a criação de estruturas internas responsáveis por observar as atividades de tratamento de dados, implementar relatórios de análises de risco e desenvolver políticas internas mais fortes a respeito do processamento dos dados pessoais dos seus clientes", afirma.

No setor público, que lida com dados da população para prestação de serviços e formulação de políticas, a aplicação da lei cobre uma lacuna ao tornar as entidades da administração pública sujeitas às mesmas regras de adoção de boas práticas de segurança e proteção de dados pessoais aplicadas ao setor privado, explica a especialista.

Dentre as regras e novas obrigações, as entidades devem excluir dados pessoais depois de cumprir a finalidade para a qual foram coletados, como também indicar publicamente uma pessoa responsável para ser o porta-voz quando o assunto for ligado a dados pessoais. É a essa figura, chamada "encarregado", que o cidadão deve recorrer sempre que quiser fazer uma reclamação, pedir esclarecimentos etc.

Junto com a ANPD, que terá seu quadro formado por pessoas indicadas pela presidência da República, a lei prevê a criação do Conselho Nacional de Proteção de Dados Pessoais, um órgão multisetorial constituído por representantes de órgãos públicos, privados, sociedade civil e academia, que tem o objetivo de acompanhar o trabalho da autoridade, fazer estudos, dar opiniões técnicas e propor diretrizes para a política de dados no país.

A LGPD entra em vigor em agosto de 2020. O prazo foi dado para que os setores público e privado tenham tempo de se ajustar ao novo contexto regulatório.

Fique por dentro de comportamento e cultura seguindo o TAB no Instagram e tenha conteúdos extras sobre inovação, tecnologia e estilo de vida.