CGI alerta para urgência de uma lei de proteção de dados pessoais no Brasil

Em nota pública divulgada nesta sexta-feira (9/3), o Comitê Gestor da Internet no Brasil (CGI.br) ressalta para a urgência de adoção, no Brasil, de uma Lei Geral de Proteção de Dados Pessoais.

Na opinião dos membros do CGI, essa lacuna regulatória tem resultado em vulnerabilidades e insegurança jurídica para empreendedores e cidadãos brasileiros em relação aos direitos e deveres decorrentes do tratamento dos dados pessoais, com impactos negativos para a inovação e para o desenvolvimento econômico do país. Afinal de contas, vivemos em um mundo cada vez mais movido a dados.

Informações a nosso respeito são coletadas e compartilhadas para "melhorar nossa experiência", explicam quase que na totalidade os termos de uso e políticas de privacidade dos provedores de Internet. Mesmo em outras áreas, conhecer bem o cliente passou a ser um elemento fundamental para o sucesso das empresas. Quanto mais conhecimento, melhor e mais diferenciada é a experiência que elas podem oferecer – seja na venda de um bem ou serviço.

Isso tem feito com que muitos, mundo afora, já comecem a se preocupar com questões como o tipo de controle que devemos ter sobre nossos dados, independente de onde estejam armazenados, se em serviços internet ou, e principalmente, em base de dados governamentais.

Outra preocupação crescente é como o tratamento adequado desses dados por quem os coleta. Qual é a real quantidade de dados coletados? Que dados podem ou devem ser tornados públicos? Qual o nível de cruzamento e perfilação desses dados? O cidadão dá, de fato, consentimento expresso para o tratamento, troca e divulgação dos seus dados? Como impedir que o gerenciamento dos dados seja feito por terceiros (órgão governamentais, bancos, serviços de internet, lojas, etc) sem qualquer tipo de controle? A quem deve caber hoje fiscalizar os procedimentos de guarda e tratamento? Há garantias suficientes sobre a segurança no tratamento desses dados pessoais?

São muitas as perguntas em aberto. Parte delas já estão sendo endereçadas agora, na União Europeia, com a aprovação do General Data Protection Regulation (GDPR), que eleva o nível de atenção e atendimento legal das organizações com relação à privacidade dos cidadãos europeus. Seu cumprimento passará a ser obrigatório em maio deste ano. Uma vez em vigor, qualquer organização que detenha ou processe dados pessoais de cidadãos da UE deverá ser capaz de identificar, proteger e gerenciar todas as informações de identificação pessoal (PII) dos residentes dos países membro, mesmo que essas organizações não estejam baseadas na Europa.

No Brasil, os direitos de proteção de dados se restringem a algumas leis setoriais. Entre elas, o Marco Civil da Internet e o Código de Defesa do Consumidor. Mas três projetos de lei sobre o tema seguem em discussão no Congresso. Dois estão na Câmara: o PL 5.276/2016, que teve origem em um anteprojeto escrito pelo Ministério da Justiça ainda no governo Dilma, e o PL 4060/12, de autoria do deputado Milton Monti (PR-SP), que sugere a auto-regulamentação para o tratamento de dados por parte das empresas, a exemplo do que acontece hoje com a publicidade. Np Senado, um projeto de autoria do senador Aloysio Nunes (PSDB-SP) também segue em tramitação.

No início de fevereiro, a comissão especial sobre a proteção de dados pessoais criada na Câmara para apreciar esses PLs, apresentou um requerimento ao Plenário pedindo sua prorrogação por 20 sessões. Na ocasião, a presidente da comissão, deputada Bruna Furlan (PSDB-SP), defendeu que era preciso ouvir mais autoridades e entidades civis ligadas ao tema. Essa comissão deverá votar um substitutivo juntando os dois PLs, a ser apresentado pelo deputado Orlando Silva (PCdoB-SP).

O debate desses PLs nos obrigará, como nação, a nos debruçarmos sobre questões como que privacidade teremos, que dados vamos querer proteger e quem terá o direito de usá-los. Há muitos desafios pela frente. Principalmente porque o conceito de dados pessoais é muito amplo e impreciso.

Como vamos evitar que o tratamento de dados seja uma atividade de risco? Como vamos diferenciar o tratamento de dados realizado pelo poder público do tratamento realizado pela iniciativa privada? Como vamos tratar as violações de dados por parte do poder público e da iniciativa privada? São mais questões em aberto e as respostas dadas a elas afetarão a todos nós.

A nota emitida pelo CGI nesta sexta-feira pede a continuidade do debate, e também que ele seja considerado prioritário, ainda que em ano eleitoral.

Confira a íntegra do documento.

Considerando que:

a) Nos termos do Decálogo de Princípios do CGI.br, o uso da Internet deve guiar-se pelos princípios de liberdade de expressão, da privacidade e respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática;

b) Está em curso no mundo uma transformação digital na qual o País deve estar convenientemente inserido, por meio de políticas públicas e medidas de estímulo aos investimentos visando capturar os benefícios que tal transformação trará para a melhoria da qualidade de vida dos brasileiros, para a melhoria da gestão dos serviços públicos, para aumento da competitividade global do Brasil, com maior geração de riquezas;

c) Historicamente, o CGI.br pronunciou-se em diversas ocasiões a respeito do tema da proteção da privacidade e dos dados pessoais, como, por exemplo, no âmbito da Resolução CGI.br/RES/2015/013 (www.cgi.br/resolucoes/documento/2015/013).

d) Atualmente, cerca de 120 (cento e vinte) países já contam com leis gerais de proteção de dados pessoais para regular o tratamento de dados pessoais dos seus cidadãos, contando igualmente, em sua grande maioria, com um arranjo institucional capaz de garantir a aplicação e fiscalização da lei na forma de autoridades públicas de proteção de dados pessoais.

e) Até o presente o momento, a proteção de dados pessoais no Brasil conta somente com leis setoriais, não existindo uma normativa geral cujo escopo de aplicação seja transversal e estipule de forma abrangente os direitos dos cidadãos.

f) Tal lacuna regulatória tem resultado em vulnerabilidades e insegurança jurídica para o empreendedor e para os cidadãos brasileiros em relação aos direitos e deveres decorrentes do tratamento dos dados pessoais, com impactos negativos para a inovação e para o desenvolvimento econômico do país.

Vem a público, nos termos da Lei 12.965/2014 e do §1º do art. 13 do Decreto 8.771/2016:

1. Recomendar que as discussões legislativas em torno dos projetos de lei em tramitação no Congresso sobre a temática da proteção aos dados pessoais tenham seu encaminhamento priorizado para que haja uma solução tempestiva que garanta os direitos dos cidadãos e incentive o empreendedorismo e a inovação, capaz de atender aos interesses dos diversos setores interessados.

2. Sugerir que a solução legislativa adotada proporcione, aos titulares dos dados, princípios relacionados ao tratamento de dados na esfera pública e na esfera privada.

3. Sugerir que a solução legislativa se caracterize por condicionantes principiológicos, minimizando a burocracia e concorrendo para um custo operacional racional.

Em tempo: A falta de uma legislação específica para proteção de dados pessoais é algo que não só prejudica a economia, como deixa o Brasil em posição de desvantagem em relação até a países vizinhos, que fazem parte de um grupo de mais de cem que tem legislação a respeito do assunto. Uruguai, Argentina, Chile, Colômbia, Peru e México, todos eles já têm uma lei geral de proteção de dados pessoais.