Legislação deve dar aos cidadãos controle total sobre seus dados pessoais

Foi realizada nesta terça-feira, no Plenário do Senado, uma  sessão temática com objetivo de subsidiar a votação do PLS 330/2013, que cria um marco regulatório para a proteção de dados pessoais.  Dois pontos sobressaíram: a necessidade de criação de uma autoridade nacional de proteção de dados, independente, e a necessidade de um marco regulatório que contemple, igualmente, o setor público e a iniciativa privada, dando ao cidadão controle total sobre o uso de seus dados pessoais.

"Essa é a sessão temática derradeira para que eu possa apresentar o parecer na CAE", disse o senador Ricardo Ferraço (PSDB-ES), atual relator do projeto de lei de autoria do senador Antonio Carlos Valadares (PSB-SE),  que pretende concluir seu voto e apresentá-lo à Comissão de Assuntos Econômicos (CAE) em no máximo 15 dias. Quem sabe, antes do feriado de 1ºde maio.

Setor público
Primeiro a falar, logo após a abertura de Ferraço, o senador Valadares foi direto ao abordar o assunto que mais movimentou Brasília na última semana em relação ao tema: a tentativa do governo de excetuar de forma significativa a responsabilidade do Poder Público na proteção de dados.

"Devemos nos manter atentos à nova realidade do mundo globalizado. Diversos países têm elaborado leis com o objetivo de conferir maior proteção a esses pleitos. Em maio, entrará em vigor na União Europeia o Regulamento Geral de Proteção de Dados (GDPR), que exigirá das empresas a garantia de que seus bancos de dados não estejam vulneráveis a vazamentos e regras para conter eventuais rompimentos, porque os dados pessoais só podem ser processados para fins explícitos e legítimos especificados. Precisamos estar alinhados com essa postura, sobretudo o governo brasileiro, que não pode se eximir da responsabilidade de adotar e seguir as regras", afirmou Valadares.

"A lei de proteção de dados precisa, justamente, ser capaz de assegurar às pessoas instrumentos de maior controle sobre seus dados pessoais e proporcionar transparência às operações de coleta e tratamento desses dados, pelos operadores e pelos responsáveis, sejam eles públicos ou privados", argumentou o senador.

Fotos: Pedro França/Agência Senado

Mario Viola, consultor e especialista em privacidade e proteção de dados pessoais, também foi firme: "O setor público não pode ficar fora de uma lei geral de proteção de dados", disse. "Temos que ter uma lei que seja horizontal e que não tenha especificidades para cada setor. Isso não quer dizer que a lei não tenha de reconhecer que setores distintos têm algumas necessidades distintas, como faz a legislação europeia", comentou.

João Gomes Cravinho, Embaixador da União Europeia no Brasil, comentou que  um dos quatro pilares da legislação do bloco foi ter uma legislação única sobre proteção de dados, em vez de abordagens setoriais, que forçosamente seriam perfiladas e eventualmente também contraditórias. "Um quadro legal comum é garantia de uma efetiva proteção dos dados dos cidadãos de forma coerente, independentemente do setor de atividade", disse.

Não por acaso, muitos especialistas em proteção de dados sustentam que a exclusão de qualquer setor da incidência de uma lei de proteção de dados representa uma quebra na harmonia do sistema, proporcionando menor clareza aos cidadãos quanto aos seus direitos, diminuindo a confiança e a segurança jurídica e enfraquecendo o sistema como um todo, além de tornar o marco regulatório virtualmente incompatível com os de outros países.

Bruno Bioni, Pesquisador da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade, também defendeu que a lei geral de proteção de dados pessoais seja, de fato, uma lei geral. "No seu desenho não deve haver exceções a determinados setores específicos da economia, muito menos com relação ao setor público. E, aí, eu digo não só a respeito de eventuais exceções com relação ao escopo de aplicação da lei como um todo, mas eventuais privilégios setoriais embutidos no texto dessa lei, como por exemplo criação de bases legais que favoreçam determinado setor específico", disse.

Na opinião do pesquisador, é necessário que seja arquitetado um capítulo próprio que trate das particularidades próprias de produção de dados pessoais no setor público, para que haja equivalência de regulação, tal como aquela disposta com relação ao setor privado. "Somente se alcançarmos esse tipo de simetria de regulação, vamos conseguir, ao mesmo tempo, franquear uma proteção integral do cidadão e uma regulação uniforme para todos os setores da economia", opinou.

Último a falar, o representante do poder executivo, Luis Felipe Salin Monteiro, Secretário da Tecnologia da Informação e Comunicação do Ministério do Planejamento, evitou a polêmica. Limitou-se a dizer que "não há nenhuma intenção do Governo brasileiro de se eximir das responsabilidades por eventual dano causado pelo próprio Governo ao manipular esses dados", e a defender que a lei "equalize a eficiência e a inovação necessárias de mercado e a eficiência e inovação necessárias ao próprio Poder Público".

A grande preocupação do governo é a de que a legislação possa inviabilizar, de alguma forma, a livre troca de dados entre os diversos órgãos do governo para balizar o aprimoramento de políticas e serviços públicos. Já hoje, o governo diz ter dificuldades, a partir das legislações atualmente em vigor, em trabalhar o tema de cruzamento e interoperabilidade de dados para oferta do seu serviço e para maior eficiência.

Para ilustrar, o secretário citou que um desses cruzamentos de dados de registros administrativos mantidos pelo Governo permitirá o cancelamento de 5,2 milhões de benefícios que estavam sendo pagos para cidadãos que, em determinado momento, deixaram de atingir os requisitos de elegibilidade do Bolsa Família. "E essa liberação de espaço permitiu que outros 4,8 milhões de famílias, de fato elegíveis, entrassem e fossem beneficiadas por essa política pública", afirmou.

"É necessário tratar registros públicos e dados de propriedade do Governo ou de uso restrito do Governo como uma situação excepcional para melhor focalização e melhor entrega dos serviços à população brasileira", defendeu Luiz Felipe.

Vale lembrar que uma das maiores críticas feitas ao texto de um substitutivo extraoficial ao PL 330,  atribuído à Casa Civil, e que circulou semana passada nos bastidores do Congresso, foi justamente o fato de prever o fornecimento de dados em poder dos órgãos pública a terceiros, sem contudo deixar claro quais terceiros seriam.

A alegação do governo era a de que o termo terceiros se referia a órgãos públicos, mas não havia qualquer no texto a respeito. Motivo pelo qual muitos especialistas passaram a interpretá-lo como uma autorização para a venda de bases de dados da administração pública para empresas privadas por meio de simples ato administrativo, contrariando as próprias garantias prometidas no texto: de transparência e conhecimento sobre a finalidade do tratamento do dado.

É importante ressaltar que nenhum dos projetos de lei de proteção de dados em tramitação no Congresso negam o reconhecimento da necessidade de melhoria e modernização dos serviços públicos, inclusive com a ampliação das possibilidades de otimização de políticas públicas via o tratamento de dados.

Mario Viola tocou nesse ponto. "Para promover inovação, é preciso assegurar que o próprio Governo tenha os seus dados, as suas bases de dados… Como alguém já se referiu aqui, é importante para as parcerias público-privadas. Então, é importante que o governo também participe desse arcabouço normativo. Ele tem que ser um dos sujeitos submetidos a esse regime [de proteção de dados]", reafirmou. Mesmo que boa parte dos dados mantidos nas bases de dados do setor público sejam apresentados pelo próprio cidadão ao governo, "em troca, ou ao exercerem um direito, ou ao responderem a um dever que a legislação atual imponha", como advogou Luiz Felipe.

Aliás, outra preocupação do governo é com relação à necessidade de consentimento prévio para uso dos dados dos cidadãos. Em reportagem publicada pelo jornal O Globo, a Casa Civil chegou a alegar  que essa necessidade de solicitar o consentimento do cidadão para a efetivação de cada política pública seria um entrave. Especialistas em proteção de dados, no entanto, argumentam que o poder público dispõe, tanto nas leis de proteção de dados, como nos PLS330/2013 e  PL5276/2016, de diversas  garantias que  permitam acesso facilitado a dados pessoais.

Segundo esses especialistas o poder público não necessita obter o consentimento prévio do titular para o tratamento de seus dados, estando eles inseridos na sua atividade para implementação de políticas públicas ou em diversas atividades do Estado, como a fiscalização e controle. O tratamento de dados deve ser público, como aliás já é hoje, conforme a Lei de Acesso à Informação.

Para esses mesmos especialistas, um outro efeito potencial desta exclusão do setor público seria a incompatibilidade do maro regulatório brasileiro com os de muitos outros países, dificultando a harmonização e padronização sobre a matéria, com prejuízos concretos à balança comercial – pois há muitas barreiras que outros países estabelecem para que dados de seus cidadãos sejam tratados em outros países. Assim, seria dificultado o outsourcing de atividades de empresas estrangeiras para o Brasil quando implicasse na transferência de dados pessoais, colocando o Brasil em um patamar pouco privilegiado para se apresentar como um país atrativo para atividades relacionadas à economia da informação – incluíndo, no caso, a dificuldade de compatibilizar a própria legislação com a de países-membros de OCDE.

Autoridade nacional
Praticamente todos os participantes da sessão temática desta tarde, no Senado, defenderam a criação de uma autoridade nacional de caráter independente para atuar na proteção de informações de consumidores e usuários da internet. Até mesmo o senador Ricardo Ferraço mostrou-se favorável à criação da autoridade nacional de proteção de dados, mas lembrou que o Poder Legislativo não pode invadir a competência do Executivo.

"Se tivermos um marco legal e não tivermos uma autoridade que possa atuar no cumprimento dessa norma, estaremos construindo uma letra fria. De fato há a controvérsia se temos ou não iniciativa de propor uma nova estrutura administrativa, mas podemos recomendar a criação para que o Executivo adote uma medida dessa natureza",  afirmou.

O embaixador João Gomes Cravinho ressaltou que a experiência da União Europeia mostra que a implementação de regras de privacidade eficazes depende em grande medida da existência de uma autoridade independente de supervisão, uma autoridade que garanta uma monitorização efetiva do cumprimento da lei e que seja salvaguarda contra os prevaricadores, quer sejam entidades privadas, quer sejam organismos públicos. "Esse é um aspecto essencial para assegurar a proteção dos direitos dos cidadãos", afirmou.

Segundo o embaixador, cada Estado-membro da União Europeia, por exemplo, tem a sua própria autoridade de proteção de dados mais próxima dos cidadãos, com a necessidade de assegurar uma interpretação coerente das regras, através de uma estreita colaboração e coordenação entre todos os supervisores nacionais. "Esse equilíbrio entre proximidade e coerência global parece-nos um elemento muito importante da nossa experiência e eventualmente pode ser interessante para o caso do Brasil", completou.

O diretor do Departamento de Defesa e Segurança da Federação das Indústrias de São Paulo (Fiesp), Rony Vainzof, também apoiou a ideia. "Caso essa legislação nasça sem uma autoridade do setor, ela será manca e provavelmente sem eficácia. Além disso, uma lei que estabeleça sanções administrativas sem identificar quem vai aplicá-las pode ser um convite para imposição de multas injustas. A ausência de uma autoridade também impedirá o Brasil de se adequar às normas de outros países", disse.

Ainda para a Fiesp, a autoridade prevista na lei deve ser única, central, dotada de independência financeira e operacional e formada por um corpo técnico especializado.

Já para Bruno Bioni a entidade não só deveria ter poderes para aplicar a legislação e sanções aos infratores, como deveria atuar de forma preventiva e no incentivo ao bom comportamento.

"Hoje em dia, com aumento do volume e variedade de informações, o cidadão, sozinho, não pode fazer valer seus direitos. Por isso, é necessária a criação de um órgão com expertise, que possa equilibrar essa assimetria".