No dia 25 de agosto, a Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI) realizou uma audiência pública na Câmara dos Deputados, para debater o Projeto de Lei 4060/2012, que dispõe sobre o tratamento de dados pessoais. Joana Varon, da Oficina Antivigilância, foi uma das convidadas para discutir o PL, e fez, em sua fala, diversas críticas ao projeto. Segue abaixo o vídeo e o texto da sua intervenção.

Também é possível assistir toda a Audiência no site da Câmara, com falas de Veridiana Alimonti, do Coletivo Intervozes; Mariana Valente, Coordenadora do Núcleo de Direito,Internet e Sociedade da Faculdade de Direito da Universidade de São Paulo(NDIS/USP); e Luca Belli, Pesquisador do Centro de Tecnologia e Sociedade da Fundação Getúlio Vargas (CTS/FGV).

Audiência Pública na Comissão de Ciência, Tecnologia, Inovação e Comunicação
Tema: PL4060/12
Dia: 25/08/2015
Intervenção de Joana Varon, Coding Rights
Baixe a Apresentação (ppt)

Antes de tudo, gostaria de agradecer pela oportunidade de participar deste debate e análise do projeto de lei 4060/12 nesta ilustre comissão, trazendo algumas breves considerações sobre proteção de dados pessoais.

Sou diretora fundadora da Coding Rights, organização com fins sociais que pretende fomentar maior interação entre o conhecimento sobre o funcionamento das tecnologias e o processo de concepção de leis e políticas públicas no mundo digital. Nosso objetivo final é que a evolução dessas tecnologias acompanhe a proteção de direitos fundamentais, sem inviabilizar um ambiente de inovação.

Como advogada pesquisadora e ativista em direitos humanos no mundo digital, o tema da privacidade tem sido meu foco de pesquisa e produção de conteúdo e material informativo para a conscientização da sociedade sobre a importância da proteção deste direito para o exercício da democracia. Em razão desta produção acadêmica e cultural, tenho acompanhado e participado de vários painéis e debates com experts em privacidade e criptografia e policy makers do mundo todo, nos fóruns da ONU e em reuniões especializadas, justamente para tentar contornar os desafios que as novas tecnologias trazem para a proteção do direito à privacidade. Espero poder trazer um pouco deste conhecimento nesta minha intervenção.

De fato, os desafios são muitos, nunca na historia da humanidade se teve a capacidade de coletar e processar tamanha quantidade de dados pessoais. Cabe ressaltar que dados pessoais quando processados são fonte de informação, e informação é poder. Dai a intrínseca relação da proteção da privacidade com os valores da democracia e a necessidade de proteger o titular do dado pessoal, como sempre sendo o elo mais fraco da corrente.

Pois bem, ao analisar o projeto de lei 4060/12, meu parecer é que ele não faz jus a estes desafios e, de maneira geral, falha principalmente por:

a) não apresentar princípios, direitos e sanções capazes de garantir proteções básicas ao titular dos dados pessoais, nem fornecer ao cidadão instrumentos de controle ou estabelecer para a parte que realiza o tratamento de dados obrigações de informação, transparência e contraprestação,

b) não estar em conformidade com os debates e padrões internacionais de proteção de dados pessoais, como a Diretiva Europeia sobre o tema e até mesmo os posicionamentos da FTC (Federal Trade Commission) dos Estados Unidos, que soltou um relatório pedindo limites para a atuação dos databrokers.

c) não estar em conformidade, nem ter flexibilidade para se adequar a evolução das tecnologias, por vezes altamente intrusivas, de coleta, processamento e compartilhamento de dados pessoais, permitindo que nossos dados sejam utilizados sem nosso consentimento ou mesmo sem nosso conhecimento.

O resultado disto é deixar os cidadãos brasileiros, todos nós, a mercê de práticas de spam, profiling, ou seja, enquadramento de todos nós em perfis de consumo, de acordo com os dados que são coletados a nosso respeito. Estes perfis são vendidos para fins de marketing, crédito, etc..

Temos que levar em conta que trata-se de um projeto antigo, de 2012, que foi ressucitado este ano sem levar em consideração que o debate no Brasil e no mundo já evoluiu. Neste momento acabamos de finalizar o processo de consulta pública do ante projeto de lei de dados pessoais, cujas contribuições dos diversos setores da sociedade estão sendo analisadas pela Secretaria Nacional do Consumidor, do Ministério da Justiça. Mesmo com vários pontos de desacordo, percebe-se uma discussão muito mais madura e alinhada com os debates internacionais e com a evolução das tecnologias. O mesmo se aplica até ao PL 330 também em debate no Senado.

É fato que o Brasil, até mesmo em comparação aos vizinhos da América Latina, está atrasado em aprovar uma lei de proteção de dados pessoais, mas o projeto de lei em questão, pelas razões elencadas acima, não é um projeto de proteção de dados pessoais, é um projeto de lei para o TRATAMENTO de dados pessoais. Assim, desde seu enunciado já percebemos uma inversão na lógica de proteção, promovendo assimetrias de poder ao invés de equilibrá-las.

Cabe destacar que o projeto em si é produto de debates no V Congresso Brasileiro da Indústria da Comunicação, evento promovido pela ABAP – Associação Brasileira das Agências de Publicidade, e que, embora fosse possível que o produto tivesse uma visão equilibrada, é fato que o texto favorece apenas e somente a criação desprotegida de um mercado de dados pessoais.

Um modelo de debate multisetorial, desde o início da concepção do texto, como é o caso do APL de dados pessoais do Ministério da Justiça, tem resultado em versões de texto mais equilibradas e é evidentemente mais apropriado pelo grau de sensibilidade do tema e impacto que pode ter, inclusive na participação do Brasil no desenvolvimento das TICs no mundo.

Mas passemos para alguns pontos específicos que ilustram mais claramente esse meu diagnóstico a fim de visar um parecer desfavorável ao seguimento deste projeto no processo legislativo. Para tal, sigo uma estrutura básica comum em varias leis de proteção de dados pessoais:

Escopo e Aplicação
Art 6 – Esta lei não se aplica:
III – aos bancos de dados utilizados para a pesquisa histórica, científica ou estatística, de administração pública, investigação criminal ou inteligência;

Uma lei geral sobre proteção de dados pessoais deve ser válida para todo tratamento de dados pessoais, independente de ser realizado pelo setor público ou privado, se o objetivo é a proteção do cidadão, a proteção deve ser garantida sempre que dados pessoais são tratados. A claro que leis de proteção de dados pessoais estabelecem limites no escopo da proteção, mas tais limites devem ser muito mais delineados. No exemplo do APL da Senacon, mesmo exceções para fins de segurança nacional são condicionadas e estão sob debate.

Definições
Como o Brasil ainda não tem uma lei de proteção de dados pessoais, vários conceitos no que diz respeito ao tratamento de dados ainda são novidade na legislação e, portanto, não são facilmente referenciáveis. Mas o presente projeto não se utiliza do capítulo das definições para esclarecer eventuais controvérsias. Não trata, por exemplo, da acirrada discussão sobre a definição de dados anônimos. Há quem diga que não existem dados anônimos, apenas dados anonimizados. Essa discussão é de suma importância para determinar o escopo da proteção e responsabilidade dos agentes caso os dados sejam desanonimizados. Mas não entrar neste debate é estratégico para databrokers e empresas que utilizam dados pessoais para marketing publicitário.

Princípios
Toda lei de proteção de dados pessoais estabelece princípios de proteção de dados como sendo sua espinha dorsal, de forma a garantir a homogeneidade e eficácia da lei, bem como a compatibilidade com legislações de outros países. Como tal, devem ser aplicados, mesmo que não exista maior detalhamento na lei sobre o seu conteúdo. Servem, portanto, para lidar com situações futuras, pois mesmo que as tecnologias avancem, esses princípios permanecem como ponto balizar de valores que se pretende proteger. Princípios como o da transparência e da finalidade, por exemplo, são essenciais para traçar limites entre o uso lícito e o abusivo dos dados pessoais, contudo, o projeto de lei em questão não elenca princípios específicos para balizar a lei e apenas menciona princípios constitucionais gerais da Defesa do Consumidor, Livre iniciativa, Liberdade de Comunicação e Ordem Econômica, dando peso, mais uma vez, à liberdade de tratamento e perdendo oportunidade de destacar princípios específicos da proteção de dados. Resultando, mais uma vez, em uma situação de assimetria de poder e falta de controle do titular dos dados, o que, por sua vez, deveria ser a essência de uma lei de proteção de dados.

Mas não só, o artigo 8, ao afirmar que a “veracidade e regularidade dos dados pessoais fornecidos para tratamento é de responsabilidade do titular dos dados, presumindo-se a sua acuidade, correção e veracidade” reverte princípios básicos inclusive garantidos pela Constituição, como o principio da autodeterminação, da transparência. E coloca a pergunta, como podemos ser responsáveis pela veracidade de dados que são coletados sem nosso consentimento ou conhecimento

Soma-se a isso dois pontos ainda mais problemáticos referentes ao consentimento e ao compartilhamento de dados, ambos presentes no Capitulo II, sobre requisitos para tratamento de dados pessoais (ao meu ver o coração do projeto e o capítulo mais problemático)

Consentimento e legítimo interesse
O artigo 9 e o art. 13 ressaltam que “o tratamento de dados pessoais ou a sua interconexão respeitará a lealdade e boa fé, de modo a atender aos legítimos interesses dos seus titulares, lhes devendo ser garantido sempre o direito ao bloqueio do registro, salvo se necessário para cumprimento de obrigação legal ou contratual.

Ao invés do consentimento, o projeto de lei estabelece o critério do legítimo interesse como o principal critério de legitimação para o tratamento de dados. Na UE europeia, conhecida por ter os padrões mais protetivos de proteção de dados, a questão do legítimo interesse é uma rara exceção ao consentimento. No projeto de lei o consentimento só é regra para dados sensíveis. Trata-se, portanto, de uma total inversão do conceito de proteção de dados pessoais, onde o controle do cidadão sobre o que é feito com seus dados é a finalidade maior e o consentimento é instrumento chave para permitir o exercício deste controle.

E não só, os melhores padrões de proteção de dados pessoais estabelecem um consentimento qualificado, tendo atributos como: livre, expresso, específico para determinada finalidade e informado. As qualificações do consentimento, bem como as raras situações para excetua-lo também tem sido temas de debate bastante qualificado no processo do APL da Senacon.

Compartilhamento
O Art. 14 dispõe que “os responsáveis pelo tratamento de dados poderão compartilhá-los, inclusive para fins de comunicação comercial, com empresas integrantes de um mesmo grupo econômico, parceiros comerciais ou terceiros que direta ou indiretamente contribuam para a realização do tratamento de dados pessoais”, trata-se mais uma vez de uma total dispensa do consentimento, sem possibilitar que o titular do dado tenha ciência de que seus dados estão sendo utilizados por diversos agentes e, por fim, prejudicando a possibilidade do mesmo fazer valer seus direitos, pois, além de permitir a transmissão irrestrita de dados entre diferentes agentes, sem consentimento ou transparência, o artigo não estabelece nenhum tipo de responsabilidade.

E o paragrafo único do artigo 15 ainda vai além e estabelece o opt-in para spam e e-mail marketing… ou seja, qualquer um pode ter acesso e tratar dados pessoais para envio de comunicações comerciais, sendo ônus do titular fazer o pedido de não receber esse tipo de comunicação. Mais uma vez uma inversão na lógica de proteção em detrimento do consumidor ou cidadão e em prol do mercado de databrokers e publicitário.

Direitos do titular
As previsões da capítulo II tornam inócuos os artigos sobre os direitos do titular, como é o caso do artigo 19, que permite que o titular do dado requeira o bloqueio do tratamento de seus dados, mas tal requerimento torna-se inviável em um ambiente jurídico em que o titular do dado não consentiu o tratamento e nem tem ciência de quais dados ou quem trata seus dados.

Fiscalização
Não obstante o fato de que, em conformidade com o disposto no referido projeto de lei, os titulares dos dados passam a ter pouca ou nenhuma margem de manobra para exercício de seu direito à privacidade. O texto também elege no seu artigo 21, o Código de Defesa do Consumidor como sistema sancionatório para resolver abusos, sem levar em conta que muitos casos vão além das relações de consumo. E joga também questões específicas a cargo de um conselho de autorregulamentação, sem considerar que aqueles que autorregulam seriam os mesmos que se beneficiam imensamente com a utilização destes dados.

Por fim, entre outros lapsos, o projeto de lei nada sobre responsabilização por incidentes de segurança e vazamentos; por não destacar princípios como o da finalidade, deixa o término do tratamento a cargo das políticas de privacidade (aquelas que ninguém lê) dos responsáveis pelo tratamento dos dados.

Num contexto de vazamento de dados Databreaches, como o visto na visualização a seguir:
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
(sendo o mais famoso e o mais recente caso do hacking da plataforma Ashley Madson, dedicada a encontros com foco em pessoas casadas, que vazou lista seus usuários), e, no caso do Brasil, de plataformas como o “Tudo sobre Todos”, que disponibiliza venda de dados pessoais, não se pode pensar em aprovar uma lei que abra espaços desta maneira para abusos no uso de dados pessoais..

Temos em andamentos debate de projetos mais coerentes com a complexidade do tema da privacidade, seja o processo do MJ ou o PL 330 que corre no Senado. Ambos tem sido debatidos com profundidade. Torna-se necessário levar todas essas frentes em consideração para que o Brasil aproveite o fato de seu relativo atraso para legislar sobre o tema de maneira a aprovar uma lei que seja condizente com os desafios atuais. Infelizmente, não é o caso do projeto em questão.

Por meio do projeto Oficina Antivigilância publicamos um guia intitulado “Dados Pessoais: como contribuir para o debate público”, que elenca pontos que devem fazer parte de qualquer projeto de lei de dados pessoais e quais os temas controversos nos debates atuais. Trata-se de sucinto material de leitura fácil, para qualquer um que se interesse no tema, que pode ajudar para maiores esclarecimentos sobre o porque o projeto de lei em questão é inapropriado para proteger os dados pessoais dos brasileiros.

Obrigada!