OPINIÃO

O que pode mudar com a Lei de Proteção de Dados Pessoais?

26/10/2015 17:17 -02 | Atualizado 27/01/2017 00:31 -02

2015-10-21-1445445590-2261602-APLdadospessoais.png

Por Renato Leite Monteiro* e Bruno Bioni **

Em 2010 foi lançado no Brasil a primeira versão de um anteprojeto de lei que visava regular de forma abrangente o sistema protetivo de dados pessoais no país. A primeira versão desse documento, que trazia em seu texto não só um conceito de dados pessoais, mas também diversos princípios gerais, direitos e garantias do titular dos dados, foi aberto para discussão pública online em idos de 2011. Nova versão foi lançada em janeiro de 2015 e também foi aberta para consulta pública, recebendo mais de 1500 comentários através de plataforma da Ministério da Justiça. A nova versão, incorporando diversas sugestões, foi disponibilizada em 20 de outubro de 2015.

A pretensão desse pequeno ensaio é, apenas, apontar os principais avanços dessa última versão, deixando-se de lado, em um primeiro momento, considerações críticas. As inovações estão sistematizadas na seguinte lista inicial que consiste em uma breve exposição dos pontos inovadores:

Inovações da nova versão do APLPDP:

  • Alusão de que a lei tem como um dos seus objetivos assegurar o livre desenvolvimento da personalidade, além da liberdade, intimidade e privacidade. Demonstra-se, assim, que a proteção de dados pessoais angaria autonomia ao direito à privacidade, cuja lente de interpretação deve se orientar pelos direitos da personalidade;
  • Novo rol de fundamentos para a aplicação da lei, incluindo o direito à autodeterminação informativa, liberdades de expressão e de comunicação, livre iniciativa e livre concorrência, inovação e proteção aos direitos do consumidor. Trata-se de um verdadeiro arsenal guia para a interpretação de todos os seus dispositivos;
  • Modificação do conceito de dados pessoais: por um lado restringiu-se os identificadores eletrônicos únicos quando estes se referirem a uma pessoa identificada, não incluindo pessoas identificáveis, o que pode ser interpretado como uma mera identificação de equipamentos. Por outro lado, todos os demais tipos de dados serão considerados dados pessoais se forem relativos a uma pessoa identificada ou identificável, prevalecendo, portanto, a lógica expansionista do conceito de dados pessoais;
  • O consentimento passa a ser apenas uma das nove formas para autorizar a coleta, uso e tratamento dos dados pessoais, incluindo-se a figura dos legítimos interesses, que devem seguir requisitos como: a) legítimas expectativas do titular; b) transparência e a disponibilização de mecanismos eficazes para que o titular opõe-se ao seu tratamento; c) adequação com a finalidade original, situações concretas; d) anonimizados sempre que possível; e) faculdade do órgão competente para solicitar relatórios de impacto à privacidade. Estabelece-se, assim, um teste de ponderação para tal hipótese de tratamento, inovando-se, significativamente, com relação aos itens "a", "b", "e", se comparadas com outras iniciativas legislativas, como a da modernização da diretiva da União Europeia. Esses novos requisitos conciliam, a um só tempo, mecanismos eficazes para que os titulares mantenham uma esfera de controle sobre seus dados pessoais, bem como trazem maior clareza para o operador que pretende se valer do tratamento de dados pessoais contemplado por interesses legítimos;
  • O consentimento livre e inequívoco para a ser a regra geral, e o expresso apenas para situações específicas, como no caso de tratamento de dados pessoais sensíveis, aliviando-se, portanto, a outrora adjetivação extensa empregada ao consentimento;
  • Mesmo sendo o tratamento de dados pessoais condição para o fornecimento de um produto ou serviço, deve-se assegurar meios para que o seu titular exerça uma esfera de controle. Tal ressalva, associada à faculdade do órgão competente de dispor sobre os meios como tal controle seria exercido, acaba por abrir espaço para o denominado consentimento granular. Há, assim, a possibilidade de que o titular dos dados pessoais possa emitir autorizações, de forma fragmentada, no tocante ao fluxo de seus dados pessoais, escapando-se da lógica do "tudo" ou "nada" das políticas de privacidade;
  • Dados anônimos não mais constam na lei, também não mais existindo referência à dados dissociados, sendo substituídos por Dados Anonimizados, em alusão direta aos métodos de anonimização que podem tornar improvável a identificação do titular;
  • Dados anonimizados podem ser objetos da lei quando estes possam ser razoavelmente desanonimizados ou possam influenciar a vida de indivíduos através de procedimentos de análise de comportamento e/ou profiling (dados que podem, através de algoritmos, sujeitar o indivíduo a decisões automatizadas). Um exemplo seria a metodologia da price discrimination que, ao sujeitar um usuário a decisão automatizada de flutuação de preços, seria abarcada pela lei e, sobretudo, vedada por ocasionar discriminação entre os consumidores;
  • A razoabilidade do processo de anonimização poderá ser determinada a posteriori pelo órgão competente, já que ele poderá dispor sobre padrões e técnicas do processo de anonimização. Além disso, foca-se em medidas de transparência do uso e o compartilhamento dos dados anonimizados, absorvendo-se, assim, a ideia de que o risco de reversão do processo de anonimização está atrelado ao que se denomina de entropia de informação, tal como uma eventual (provável) agregação com outras bases de dados, seja quanto ao uso ou seu compartilhamento. A completar esse quadro regulatório, o órgão competente poderá solicitar relatórios de impacto à privacidade.
  • Dados públicos ("acesso público irrestrito") deixam de ser uma exceção ao consentimento e o seu tratamento deve estar adstrito aos princípios e regras propostas pelo APL, considerando-se a finalidade, boa-fé e o interesse público que justificou a disponibilização. Clareia-se, assim, que a dinâmica de proteção de dados pessoais não segue a lógica da dicotomia entre o público e privado, própria do direito à privacidade;
  • Dados biométricos foram incluídos no conceito de dados sensíveis, ao lado de dados genéticos, diferentemente da versão anterior, que relegava a natureza dos dados à regulamentação posterior pelo órgão competente.
  • Dados pessoais sensíveis somente podem ser usados para fins de pesquisa histórica, científica ou estatística se o tratamento não estiver vinculado a atividade comercial, da administração pública, investigação criminal ou inteligência. São os chamados casos de pesquisa "pura";
  • Inclusão de capítulo específico sobre o tratamento de dados pessoais pelo poder público, incluindo-se a exigência de informe ao Órgão Competente para o compartilhamento de dados entre entidades públicas, e entre entidades públicas e privadas, exigindo-se, em alguns casos, a sua autorização. Avança-se, ainda que timidamente, em uma fiscalização do tratamento dos dados pessoais pelo Estado;
  • Inclusão do direito ao titular à portabilidade dos seus dados pessoais, que deve ser feito em formato interoperável, o que pode fomentar a proteção de dados pessoais como fator competitivo.
  • A adequação, através do reconhecimento do nível de proteção pela autoridade competente, é apenas umas das formas para a transferência de dados internacionais, que inclui, também: a) o consentimento especial; b) cláusulas padrão; c) normas corporativas globais e; d) autorizações pontuais. As transferências internacionais dos itens "b" e "c" devem ir além de uma espécie de "contratualização" das obrigações legais, devendo estar acompanhado de uma accountability imbuída na própria tecnologia - privacy by design. Mais uma vez, a privacidade pode ser um elemento de competição em razão desse benefício representado pelo livre fluxo informacional transfronteiriço;
  • Criação do Órgão Competente, com competência para fiscalizar a aplicação da lei e punir entidades privadas, e do Conselho Nacional de Proteção de Dados e da Privacidade, que funcionará como entidade multissetorial com a função de auxiliar o órgão competente. Merece destaque dentre algumas das suas atribuições, a promoção de debates e estudos de proteção de dados pessoais, bem como a disseminação de conhecimento sobre a matéria junto à população geral;
  • Possível limitação da figura do encarregado (privacy officer) para empresas de pequeno porte, o que demonstra o caráter de fomento à inovação e a competição;
  • Obrigatoriedade da utilização de princípios gerais de proteção de dados pessoais desde a concepção até a utilização de serviços e produtos, implementando-se o conceito de privacy by design e data protection by design;
  • Aumenta-se o prazo da vacatio legis em 60 (sessenta) dias, completando 180 (cento e oitenta dias), mantendo-se a possibilidade do Órgão Competente estabelecer normas para o período de adequação progressiva dos bancos de dados às novas regras e princípios previstos na lei.

Por fim, não se poderia deixar de consignar que a consulta pública do APPDP foi frutífera, e sobretudo, útil diante da considerável lista de inovações que são produto do engajamento da sociedade brasileira nesse debate. Ao Ministério da justiça, que permitiu essa porosidade, e à toda sociedade brasileira que abraçou tal oportunidade, fica, certamente, a sensação de dever cumprido.

*Advogado, Professor de Direito Digital da Universidade Presbiteriana Mackenzie, Mestre em Direito e Tecnologia, Doutorando em Engenharia da Computação.

** Mestrando em Direito pela USP; pesquisador da Fapesp e do Grupo de Pesquisa em Políticas Públicas de Acesso à Informação/GPoPAI da Universidade de São Paulo.

SIGA NOSSAS REDES SOCIAIS:



VEJA MAIS SOBRE NO BRASIL POST:

A internet e a Justiça brasileira