O que significa uma lei de proteção de dados para o Brasil?
23 de julho de 2018
O primeiro semestre de 2018 foi marcado pela adoção de importantes marcos legais relativos à proteção de dados pessoais e à privacidade online. Mais especificamente, pôde-se observar a aprovação e a entrada em vigor de leis específicas para a proteção desses conteúdos, elaboradas por alguns dos países com maior relevância no cenário internacional atualmente.
Inicialmente, em 23 de março, foi aprovado pelo Congresso dos Estados Unidos a chamada CLOUD Act – sigla para Clarifying Lawful Overseas Use of Data Act (ou algo como “Lei para Esclarecimento do Uso Legal de Dados no Estrangeiro). O objetivo principal da lei teria sido o de modernizar certos aspectos relativos à legislação de proteção de dados, privacidade e monitoramento por parte de órgãos governamentais, além de refletir práticas correntes da indústria de computação em nuvem. A lei, ao alterar a vigente Stored Communications Act (SCA) of 1986, também propôs a superação do modelo de MLATs – Mutual Legal Assistance Treaties, ou acordos de cooperação jurídica internacional – atualmente empregado para a transferência internacional de dados em casos nos quais eles são necessários para uma investigação criminal.
Entre as justificativas, em suma, está a alegada ineficiência dos MLATs, que costumam levar até dois anos para garantir a efetiva transferência dos dados requisitados entre as autoridades dos dois países envolvidos na questão. Nesse sentido, o intuito do CLOUD Act, que teve como pano de fundo o caso EUA vs. Microsoft Ireland, facilitar a celebração de acordos para a entrega de conteúdo de comunicações entre os EUA e os países que forem considerados detentores de um ambiente de proteção de dados adequado o suficiente para os padrões norte americanos.
Do outro lado do Atlântico, Já em maio, entrou em vigor o GDPR – sigla para General Data Protection Regulation, ou, em português, “Regulamento Geral de Proteção de Dados” -. Esse extenso regulamento, produto da atividade política e normativa dos órgãos da União Europeia, repercutiu rapidamente em todo o mundo, resultando em alterações significativas nos termos de uso de diversas aplicações de internet. Em curto período, empresas de internet tiveram de se adequar às demandas estabelecidas pelo GDPR em torno de compliance com os padrões de proteção de dados e evitar as consequências de atuação em conflito com um dos maiores mercados digitais do mundo.
A GDPR estabelece normas muito específicas quanto ao tratamento de dados pessoais por provedores de aplicação de internet e determina multas elevadas pelo descumprimento das obrigações ali previstas. Além disso, são positivados os direitos dos usuários com relação aos seus próprios dados, incluindo a necessidade de consentimento prévio expresso para que esses dados possam ser submetidos a tratamento por terceiros, bem como o direito à desindexação imediata assim que requisitado pelo indivíduo.
Vale mencionar, também, que, assim como o CLOUD Act, a GDPR prevê certas condições facilitadas para transferência internacional de dados para países que, segundo o julgamento da UE, apresentem um ambiente saudável de proteções e garantias digitais. Os parâmetros legais do novo Regulamento Europeu, além de inaugurarem profundidade inédita de um regime normativo para a proteção de dados, também possuem extensão considerável, em termos de aplicação dos dispositivos, cujos efeitos podem se estender para outros países, muito além dos Estados Membros da União Europeia.
Em quadro de intensa discussão em outros países, apesar de o Brasil ter sido pioneiro com a promulgação do Marco Civil da Internet, ainda não havia consolidado uma legislação específica e exaustiva sobre a proteção de dados. Isso passou a ser considerado um grande empecilho para o país, tendo sido, inclusive, alegado motivo de perda de investimento financeiro internacional em razão do “isolamento jurídico”.
Em vista do movimento global favorável, o Projeto de Lei da Câmara (PLC) nº 53/2018, denominado “Lei Geral de Proteção de Dados (LGPD)”, passou a tramitar em regime de urgência no Legislativo. Tornou-se evidente a necessidade de solucionar essa preocupante lacuna jurídica no ordenamento brasileiro e possibilitar maior interação com os cenários de regulamentação dos mercados digitais europeu e estadunidense e modelos de negócios envolvendo internet e computação em nuvem.
A importância da aprovação da Lei brasileira, ainda pendente de sanção presidencial, mostra-se ainda maior em virtude da convergência de modelos legislativos e padrões de proteção de dados no globo. Oconceito de “ambiente de proteção e garantias digitais adequado”, tanto no CLOUD Act quanto na GDPR, menciona a necessidade de existência de leis específicas para proteção de dados pessoais e da privacidade nos países para os quais dados são transferidos.A Lei Geral de Proteção de Dados, portanto, insere o Brasil nas tendências globais de regulação na era do Big Data. Sobre isso, o IRIS produziu estudo analisando a situação do principal projeto de lei sobre a matéria – PL 5276/2016- e os regimes de proteção de dados sob transferência internacional.
Contexto de proteção de dados anterior à Lei Geral
Anteriormente à aprovação da LGPD, a regulação sobre a proteção de dados pessoais no encontrava-se esparsa no ordenamento jurídico interno. Em um levantamento produzido no final de 2017, verificou-se a existência de mais de 40 normas setoriais que tratavam do tema no país. Além das previsões principiológicas de proteção da privacidade estabelecidas na Constituição, destacam-se o Marco Civil da Internet (MCI) – Lei nº 12.965/2014 -, o seu decreto regulamentador – Decreto nº 8.771 -, e o Código de Defesa do Consumidor (CDC) – Lei nº 8.078/1990.
Nos cenários de regulamentação normativa que envolvem a internet, o Marco Civil trouxe grandes avanços relativos à proteção do usuário, de forma a tentar conciliar a proteção da privacidade e dos dados pessoais e o desenvolvimento de aplicações baseadas no seu tratamento. O Art. 7º, VII do MCI, inspirado pelo modelo de consentimento da antiga Diretiva 95/46/CE da União Europeia, prevê que o fornecimento de dados pessoais a terceiros por provedores de conexão e aplicação, pode se dar mediante o consentimento livre, expresso e informado, e por meio de outras hipóteses previstas em lei que não requerem o consentimento, como, por exemplo, na garantia da execução de um contrato ou na execução do interesse da parte.
No que diz respeito ao MCI, ele ainda estabelece o direito de o usuário requerer a exclusão dos seus dados ao término da relação entre as partes – direito de opt-out – (Art. 7º, inciso X), bem como em quais condições uma empresa é obrigada a fornecer determinados dados a autoridades públicas, sempre mediante ordem judicial (Art. 10), entre outras proteções.
Em relação à interface entre Código de Defesa do Consumidor (CDC) e a LGPD, pode-se ressaltar o direito do cidadão a ter informações claras e adequadas sobre os produtos fornecidos e serviços prestados (arts. 6º, 8º e 12). Assim, esta garantia pode ser entendida como o direito do consumidor de ser informado sobre como seus dados são tratados por determinada empresa, mesmo que o uso de seus dados pessoais seja uma contraprestação necessária ao uso de determinado serviço – o qual poderia ser erroneamente entendido como gratuito.
Outra garantia prevista no CDC (Art. 43) é a do acesso, pelo consumidor, às informações existentes em cadastros sobre dados pessoais e de consumo. Nesse caso, o consumidor deve ser notificado previamente à abertura do cadastro, além de possuir o direito de correção de qualquer informação inexata.
Por fim, certos níveis de proteção aos dados dos usuários ainda podiam ser observados na ausência de marco legal específico: na ação constitucional de Habeas Data; nas regulações sobre análise de crédito de pessoas naturais e jurídicas (Lei nº 12.414/2011); em resoluções pontuais sobre dados de saúde (por exemplo, a Resolução CFM Nº 1.821/07 sobre prontuários eletrônicos) e dados financeiros (Decreto n. 4.489/2002 sobre sigilo bancário); entre outros.
Dessa forma, apesar de a LGDP sistematizar a proteção de dados, de forma a inaugurar categorias e institutos específicos, estabelecer garantias a titulares e atribuir estatura normativa relevante sobre o tema , não se pode afirmar o caráter inédito da matéria no Brasil. O direito brasileiro veio se aperfeiçoando a partir de importantes referências legislativas tangenciando proteção de dados, ainda que de forma precária.Pode-se considerar, portanto, que a LGPD apresenta-se como uma evolução natural em um processo legislativo que data de muitos anos, mas que somente agora tomou concretude e sustância. O experimento legal, entre nós implementado pelo Congresso Nacional, alinha a prática do Estado brasileiro a outros países, além daquela já levada a cabo por nossos vizinhos do Mercosul, como a Argentina, que conta com sua lei geral de proteção de dados desde 2000 (Ley Nº 25.326).
Como se deu a aprovação da LGPD?
O Projeto de Lei da Câmara n° 53 é originário do PL nº 4060/2012. Este, de autoria do deputado Milton Almonti (PR/SP), tramitou pela Câmara dos Deputados em regime de urgência (Art. 155 do Regimento Interno da Câmara dos Deputados – RICD) e, ao longo do andamento, foi apensado e desapensado à outros Projetos de Lei (como o PL nº 5276/2016 e o PL nº 3558/2012).
Entre maio de 2015 e maio de 2018, diversas audiências públicas foram requeridas por parlamentares – entre eles, os deputados Sergio Zveiter (PSD-RJ), Sibá Machado (PT-AC) e Alessandro Molon (REDE-RJ). Nessas audiências, foram convidados representantes de organizações da sociedade civil (ABAP, ABERT, IDEC, Intervozes), academia (UERJ, FGV, USP), governo (CGI.br, MCTIC) e setor privado (Mozila, Facebook, Uol). O escândalo envolvendo a Cambridge Analytica e a Facebook também suscitou requerimento de audiência pública pela deputada Bruna Furlan (PSDB-SP) para tratar do impacto do uso e da coleta ilegítimos de dados pessoais de brasileiros. Assim, pode-se afirmar que o projeto de lei em questão fora apreciado no âmbito da Câmara dos Deputados, sendo realizadas 7 emendas ao texto originário.
No Senado, o PL nº 4.060/2012 recebeu o nome de Projeto de Lei da Câmara nº 53/2018. O PLC 53 tramitou nessa casa legislativa em conjunto do PLS nº 330/2013. O relator da Comissão de Assuntos Econômicos, senador Ricardo Ferraço, em seu relatório confere extrema importância ao PLC ao afirmar que a aprovação da lei “não se trata de uma opção legislativa, mas uma necessidade inafastável.” O PLC 53 possui 65 artigos, distribuídos em 10 capítulos, aprovados nos termos do conteúdo votado na Câmara dos Deputados. O senador Ricardo Ferraço justificou a aprovação do texto normativo na íntegra pelo Senado (salvo por pequenas emendas redacionais), pela urgente necessidade de uma lei específica de proteção de dados e um contexto político em que o retorno da matéria à Câmara dos deputados poderia significar “postergação definitiva desta matéria, em face do ano eleitoral.”
O texto foi submetido à sanção presidencial no dia 17/07/2018 e tem até dia 06/08/2018 para veto ou sanção, conforme o Art. 66, § 1º, da Constituição Federal.
Dispositivos centrais da LGPD brasileira
De modo sistematizado, a Lei Geral de Proteção de Dados conta com os seguintes dispositivos relevantes e que passam a moldar o direito brasileiro de proteção de dados:
- Escopo: lei diz respeito a dados pessoais de pessoa natural e pessoa jurídica (Art. 1º);
- Aplicação: às operações de tratamento: i) realizada em território nacional; ii) pretenda a oferta ou fornecimento de bens e serviços a indivíduos em território nacional; iii) de dados coletados em território nacional; iv) proveniente de fora do território nacional e objeto de comunicação de agentes de tratamento brasileiros (Art 3º e 4º);
- Fluxo internacional: Em caso de operação de tratamento proveniente de fora do território nacional (Art. 4º, IV) e transferência internacional de dados (Art. 33, I), é necessário que o país destino possua grau de proteção de dados pessoais adequado;
- Estado: O tratamento de dados pessoais para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais será regido por legislação específica (Art. 4º, I);
- Uso de dados pelo poder público: A lei reforça que, no tratamento de dados para cumprimento de obrigação legal ou uso da administração pública, o titular do dado deve ser informado da hipótese de tratamento (Art 7º, §1º). São também detalhadas as regras de tratamento de dados pelo poder público (Capítulo IV, Seções I e II). Esses aspectos enfatizam o caráter de precaução assumido pela Lei em relação ao uso de dados por órgãos públicos;
- Conceitos legais: Detalha e conceitua os direitos dos usuários quanto aos seus dados pessoais já garantidos pelo art 7º do MCI (Art. 6º, 9º, 17 e 18);
- Consentimento: Exige que o repasse de dados obtidos após consentimento do indivíduo deva contar com o consentimento específico do titular para a finalidade de compartilhamento ou uso subsequente/derivado. Essa situação recorda o caso Cambridge Analytica, pois o app ThisisYourDigitalLife, apesar de possuir consentimento para coleta de dados de usuários, não possuía consentimento para repassar estes dados para a empresa envolvida no escândalo (Art. 7º, §5º);
- Dados sensíveis: A legislação é mais rígida quanto ao tratamento de dados sensíveis, uma vez que impede essa operação em casos específicos: (i) execução e procedimentos preliminares de contrato,(ii) atendimento de interesse legítimo e (iii) proteção de crédito. Em caso de dados pessoais, essas situações possibilitam o tratamento (Art. 11). Além disso, a LDGP possibilita a vedação ou regulamentação do tratamento de dados sensíveis com o objetivo de obter vantagem econômica (Art. 11, §3º);
- Proteção de menores: Possui seção específica atinente aos dados de crianças e adolescentes, incluindo a necessidade, para o tratamento de dados pessoais desse grupo, de consentimento por pelo menos um dos pais ou pelo responsável legal. Igualmente, a Lei impõe o dever do responsável pelo tratamento realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança (Seção III);
- Decisão automatizada: Garante a possibilidade de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais (Art. 20);
- Responsabilidade: Atribui a responsabilidade de registro das operações de tratamento de dados pessoais ao responsável e ao operador do tratamento, incutindo responsabilidade solidária em caso de indenização por violação à legislação vigente (Arts. 37 e 42). A LGDP opta por um modelo de responsabilidades definidas a partir do ato ou atividade praticadas pelo responsável e pelo operador do tratamento de dados, de modo a favorecer tanto previsibilidade como segurança aos modelos de negócios ;
- Prova: Possibilita que o juiz, no curso do processo civil, inverta o ônus da prova por reconhecer a existência de vulnerabilidade ou “hipossuficiência do titular dos dados (Art. 42, §2º);
- Sanções: Prevê objetivamente sanções administrativas para infrações à lei, não afastando sanções previstas em legislação específica (Art. 52); entre elas, destacam-se a possibilidade de aplicação de multa de até 2% do faturamento da empresa envolvida (“pessoa jurídica de direito privado, grupo ou conglomerado no Brasil”) no seu último exercício, excluídos os tributos e não superior a R$ 50 milhões e fixacão de astreintes, além do bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.
Principais desafios
Tem sido afirmado que a aprovação do PLC nº 53/2018 se deu, em parte, devido à entrada em vigor da GDPR na UE em maio 2018. O novo Regulamento Europeu estabelece, de forma mais detalhada que a antiga Diretiva 95/46/CE (Art. 25, §§ 1 e 6), que as transferências de dados para países terceiros são autorizadas, basicamente, em dois cenários (Arts. 44 a 50 da GDPR): (i) se o país terceiro também possui um nível de proteção de dados pessoais adequado; e ii) mesmo que não possua, a transferência pode ocorrer sob a condição de que o controlador ou processador dos dados garanta a proteção dos dados conforme o Regulamento – por meio de cláusulas contratuais, por exemplo.
Assim, a aprovação de uma lei geral de proteção de dados no Brasil evita que o país seja excluído ou discriminado como possível destino para o tratamento de dados de pessoas situadas na União Europeia facilitando assim as operações econômicas envolvendo dados entre os países e regiões. Isso já foi apontado pelo IRIS no estudo sobre a transferência internacional de dados, relativo às previsões do PL nº 5.276/2016, cujo conteúdo foi incorporado à lei aprovada.
Até certo ponto, esse raciocínio pode ser transposto para o atual cenário de análise, pois, como observado anteriormente, a GDPR prevê como critério de análise do nível de proteção de dados pessoais de um país a existência de normas específicas sobre o tema (Art. 25, §2º, a). Para a normativa comunitária, relevante é a disponibilidade, nos países destinatários dos dados transferidos, de marcos legais adequados e favoráveis à proteção de dados. Entretanto, em seu Art. 25, §2º, alínea “b”, o Regulamento, também pressupõecomo critério relevante a existência de autoridades fiscalizadoras que consigam efetivamente aplicar (enforcement) a regulação de proteção de dados pessoais.
Apesar de o PLC nº 53/2018 prever a criação de uma Autoridade de Proteção de Dados Pessoais independente, discute-sea possibilidade de veto dessa parte da Lei pelo Presidente da República. As justificativas possíveis vão desde restrições orçamentárias até questões de competência legislativa (visto que a criação de uma autarquia é de iniciativa do Presidente e não do legislativo). Desse modo,caso a competência para fiscalização seja de órgãos não independentes (este ponto é importante, pois a regulação também se aplica ao tratamento de dados feito pelo governo) e não especializados, corre-se o risco de que a lei não seja aplicada de forma adequada.
Especialistas analisam a questão, observando a relevância da preservação da autonomia e especialidade do órgão de proteção no Brasil. Danilo Doneda alerta para o fato de que, na Casa Civil, tem-se proposto dar poderes de fiscalização para algum órgão ligado ao Gabinete de Segurança Institucional (GSI). Isso seria, no mínimo, uma contradição, pois daria-se competência para que um órgão com prerrogativas de espionagem realizasse a tarefa de garantir a privacidade dos cidadãos. Renato Leite Monteiro,ainda, alerta para o fato de que a LGPD faz 56 referências diretas à Autoridade Nacional de Proteção de Dados. Sendo assim, sua exclusão pode tornar nulas diversos dispositivos da lei, dificultando sua aplicação sistêmica.
Caso não seja criada um autoridade verdadeiramente independente para fiscalização, corre-se grande risco de que a lei não seja aplicadade forma adequada. Além disso, diminuem-se as chances de que o Brasil seja classificado pela União Europeia como país que garante nível de proteção equivalente ao europeu, tornando-o um local menos atrativo para investimentos na área de tratamento de dados. A essa altura do debate internacional já travado, entre os modelos do GDPR, na União Europeia, e das reformas introduzidas pela CLOUD Act nos Estados Unidos, seria absoluta perda de oportunidade entre terras brasileiras.
Considerada a importância de uma autoridade de proteção de dados, para a efetivação da LGPD e para a inserção do Brasil no ambiente legal de ajustamento aos níveis globais de proteção dos dados, é que o IRIS já se posicionou em defesa de sua criação. A LGPD, portanto, merece a sanção presidencial e vetos ao seu texto, conforme aprovado pelo Congresso Nacional, podem significar a fragmentação da lei brasileira, deixando de incluir o país em níveis significativos de proteção de dados ou lançando-o ao completo ostracismo entre principais os atores dos competitivos mercados em crescimento na indústria de dados.