Por Joana Varon

Desde final de maio de 2014, está em discussão no Senado o Projeto de Lei 181, que estabelece princípios, garantias, direitos e obrigações referentes à proteção de dados pessoais. O último passo da tramitação foi uma audiência pública na Comissão de Constituição, Justiça e Cidadania – CCJ, realizada no dia 2 de dezembro.

O projeto trata de um tema sensível e ainda não regulado na legislação brasileira, mas traz controvérsias pelo fato de ter sido apresentado ao legislativo no meio de um processo de consulta e construção de um projeto de lei para tratar do mesmo tema, iniciado pelo Ministério da Justiça: a consulta do APL de Dados pessoais. É fato, contudo, que, embora a consulta pública do APL de Dados Pessoais tenha sido encerrada em abril 2011, o texto resultante deste processo ainda não veio a público, mas tal atraso se deu, em parte, pelas revelação de Snowden, que obrigaram a repensar o tema, bem como pela priorização da tramitação do Marco Civil, que acabou sendo aprovado com mais dispositivos sobre privacidade.

O texto submetido à consulta e o PLS tem algumas semelhanças, mas, se comparados, percebemos que o PLS ainda carece de clareza e atualização no que diz respeito aos padrões internacionais de garantia da proteção da privacidade e dados pessoais.

Cabe lembrar que, como ainda não se tem acesso ao texto final da consulta do APL de Dados Pessoais, na análise abaixo averiguamos o texto do PLS 181 com base na legislação internacional e no texto submetido à consulta pública, em 2011. Trata-se de uma análise preliminar do texto do PLS, destacando os pontos considerados mais críticos.

Considera-se o PLS 181 problemático principalmente, mas não apenas, no que diz respeito às questões abaixo:

a) Princípios

Os princípios elencados no PLS não estão de acordo com os princípios internacionalmente estabelecidos para proteção de dados pessoais. De acordo com a contribuição que fizemos à consulta da UNESCO:

“…the Council of Europe have approved the Convention for the Protection of Individuals with regard to automatic processing of personal data (Convention 108) that set as basic principles: a) regarding collection and processing of personal data: “fair and lawful collection and automatic processing of data, stored for specified legitimate purposes and not for use for ends incompatible with these purposes nor kept for longer then is necessary;” b) regarding “quality of data, it sets they must be adequate, relevant and not excessive (proportionality) as well as accurate”; c) “it outlaws, in the absence of proper legal safeguards, the processing of sensitive data” and d) “enshrines the individual’s right to know that information is stored on him or her and, if necessary, to have it corrected.” This is the only legally binding international instrument in data protection. The Convention was modernized in 2012, also addressing issues of data security, transparency of processing, between others and is currently open for accession to non-member states of CoE.”

A Convenção 108 e sua modernização tem sido base para a reforma da Diretiva Européia de Proteção de Dados – Directive 95/46/EC rumo a Regulação Geral de Proteção de Dados – GDPR, que tem inspirado reformas legislativas no sentido de ampliar a proteção da privacidade em vários países, inclusive na América Latina. Contudo, o PLS 181 deixa alguns princípios fundamentais fora da lista, como os princípios da qualidade, adequação, necessidade, prevenção, que inclusive estavam mencionados no texto submetido à consulta do MJ.

b) Definição de dados pessoais

Uma definição clara do conceito legal de dados pessoais é eixo central de qualquer texto de lei que se pretenda tratar do tema, contudo o texto parte do seguinte conceito:

Art 5, inciso I – dado pessoal: qualquer informação relativa a uma pessoa natural que permita sua identificação, direta ou indiretamente, incluindo os números de identificação ou de elemento de sua identidade física, fisiológica, psíquica, econômica, cultural ou social e o endereço de protocolo de internet (endereço IP) de um terminal utilizado para conexão a uma rede de computadores.

A opção por trazer uma lista exaustiva, classificando o tipo de dados, apesar de parecer ampliar o escopo da proteção, está limitando e deixando o conceito confuso. O mais indicado seria partir do elemento principal da definição de dado pessoal: “qualquer dado relacionado ao indivíduo identificado ou identificável” e deixá-la ampla, sem que se abra uma espectativa de uma lista abrangente e exaustiva.

Além disso, seria indicado também que o texto tivesse definições de dados sensíveis e anônimos, como acontece no texto do APL submetido para consulta.

d) Restrições ao poder público

Apesar de que o texto estenda a proteção ao dados pessoais também ao tratamento de dados por parte do poder público, é necessário que se considerem as particularidades de quando o poder público é o responsável em disposições específicas, caso contrário, corre-se o risco de que tal previsão genérica seja inaplicável.

e) Temas emergentes

O texto não trata de temas como o da portabilidade de dados. O tema está sendo discutido, por exemplo, nos debates da Regulação Geral de Proteção de Dados da União Européia e constitui tema fundamental para permitir que o consentimento dos usuários seja realmente livre e para que haja maior competitividade no mercado.

f) Implementação: a necessidade de uma autoridade de proteção de dados pessoais

Muito se vem discutindo nos bastidores do debate sobre o APL de Dados Pessoais a necessidade de uma autoridade de proteção de dados pessoais para garantir a aplicação da lei e regular questões que ficam em aberto possibilitando que o texto de lei seja flexível o suficiente para se adaptar aos avanços das novas tecnologias. Esse é o caso de vários países ao redor do mundo, inclusive a Alemanha, país que tem se destacado pelo alto nível de proteção de dados de seus cidadãos e que inclusive tem exercido parceria com o Brasil nos debates internacionais. Mas não só, segundo levantamento do MJ, cerca de 92 países possuem autoridades públicas específicas para o tema, a maioria com competência de atuação para o poder público e para o setor privado.

Contudo, o PLS 181, como sendo uma iniciativa do legislativo, não tem, e não pode ter, uma previsão para criação de tal autoridade, e apenas dispões o seguinte:

Art. 26. A União, os Estados, o Distrito Federal e os Municípios, em caráter concorrente e nas suas respectivas áreas de atuação administrativa, fiscalizarão o cumprimento desta Lei, apenando eventuais infrações mediante processo administrativo que assegure o contraditório e a ampla defesa.

Trata-se de uma atribuição de tutela administrativa concorrente, que causa insegurança jurídica e enfraquece de maneira considerável qualquer proteção que o texto de lei pode oferecer.

Conclusão

Conclui-se que, embora trate de tema pertinente, cuja regulação carece de urgência no contexto nacional, até mesmo para que tenhamos coerência com o discurso de proteção à privacidade que o país tem defendido la fora, o PLS 181 não é um bom texto. Carece de clareza, atualidade e efetividade mesmo se comparado com a versão de 2011 do texto submetido à consulta pública. Considera-se, portanto, prudente aguardar que o texto da consulta seja publicado com urgência para que o debate continue sobre um texto mais completo rumo a um sistema de proteção de dados pessoais condigente com o dinamismo do setor e com a dimensão do mercado de consumidores brasileiros para o qual um texto de lei deve garantir direitos fundamentais.

Cabe lembrar que, em outubro deste ano, a Secretaria Nacional do Consumidor – Senacon, realizou um reunião no Ministério da Justiça convidando interessados no tema da proteção de dados pessoais de todos os setores, na qual os representantes do Grupo de Trabalho Consumo e Sociedade da Informação (GTCSI) anunciaram que o debate em torno do texto do APL seria reiniciado. Os colegas do Ibidem fizeram um relato completo da reunião

Acesse outros conteúdos publicados na  “#Edição10 do boletim Antivigilância” acessando a tag “boletim10” abaixo.