Primeiras impressões da nova lei geral de proteção de dados brasileira

Por Fabrício Posocco*

O Brasil tem ganhado destaque nas mídias nacionais e do mundo desde o dia 10 de julho de 2018 quando o Projeto de Lei oriundo da Câmara dos Deputados, o PLC 53/2018, foi aprovado no Senado Federal. Em linhas gerais, a nova legislação determina como os dados pessoais da sociedade brasileira podem ser coletados e tratados, sob pena de punições para transgressões. Essa legislação foi inspirada no GDPR (General Data Protection Regulation ou Regulamento Geral sobre a Proteção de Dados), um rigoroso conjunto de regras sobre privacidade da União Europeia que entrou em vigor em maio passado.

Para que possamos entender a importância do tema, atualmente os dados pessoais podem ser considerados as novas moedas da economia digital, qualificando-se como um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas.

Entretanto, diante da falta de regulamentação específica no direito brasileiro sobre a obtenção e tratamento dessas informações, as pessoas jurídicas de direito público e de direito privado, de uma maneira geral, se aproveitam dessa nova tendência e se utilizam dos dados pessoais da forma que desejam, sob o pretexto de melhorar seus serviços. Com a posse dessas referências, elas realizam práticas abusivas sem o consentimento efetivo do usuário. Isto fere os direitos basilares da personalidade, como a privacidade e a intimidade, por exemplo.

Apenas para demonstrar como essa situação é muito comum no Brasil – e, por vezes, passa imperceptível – as farmácias, os supermercados, os bancos, as operadoras de cartão de crédito e várias outras empresas adotam uma conduta para criar um cadastro de monitoramento de hábitos e dados. Estes estabelecimentos oferecem descontos em produtos e serviços mediante inscrições em sites específicos desde que o usuário forneça informações pessoais (CPF, e-mail ou número de telefone celular). Depois eles negociam essas informações com terceiros.

Da mesma forma, episódios envolvendo vazamento de dados e informações não faltam. O que evidencia cada vez mais a importância de uma política de proteção e tratamento de dados pessoais. No famoso episódio Wikileaks, diversos documentos secretos relacionados ao governo americano e suas agências de segurança foram divulgados ao público sem nenhuma parcimônia. Mais recente, houve a fuga de informações pessoais de mais de 50 milhões de usuários do Facebook e a utilização destas pela consultora Cambridge Analytica para eleição do presidente americano Donald Trump na última campanha eleitoral.

O Brasil, com a aprovação desse projeto de lei – que aguarda a sanção do presidente da República – junta-se a um grupo de países que passa a regulamentar e a tratar essa situação jurídica de maneira diferente.

A partir da entrada em vigor dessa lei, as organizações públicas e privadas só poderão coletar dados pessoais se tiverem consentimento específico do titular.

A solicitação deverá ser feita de maneira clara para que o cidadão saiba exatamente o que vai ser coletado, para quais fins e se haverá compartilhamento. Não podendo ser realizada de modo velado, como muitas vezes ocorre atualmente, quando o consumidor se depara com algumas operações eletrônicas, em sites ou redes sociais, que exigem um “concordo/aceito” sob pena de o usuário não conseguir usufruir daquele serviço que está buscando.

Portanto, se nessa coleta de dados houver mudança de finalidade ou a intenção de repasse de dados a terceiros, um novo consentimento deverá ser solicitado ao consumidor especificamente.

O usuário poderá, sempre que desejar, revogar a sua autorização, bem como pedir acesso, exclusão, portabilidade, complementação ou correção dos dados.

Caso o uso das informações leve a uma decisão automatizada indesejada — recusa de financiamento por um sistema bancário, por exemplo —, o usuário poderá pedir uma revisão humana do procedimento.

Quando houver envolvimento de menores de idade, os dados somente poderão ser tratados com o consentimento dos pais ou responsáveis legais.

De modo geral, a ideia é proteger o cidadão do uso abusivo e indiscriminado dos seus dados. Além de pedir consentimento de maneira clara e atender às demandas do usuário sobre manutenção ou eliminação de informações pessoais, as organizações só poderão solicitar as que realmente são necessárias ao fim proposto. Nesse sentido, o usuário poderá questionar se a exigência de determinado dado faz sentido.

Importante ainda considerar a existência de uma categoria classificada como “dados sensíveis”, que dizem respeito as informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual. O uso desses dados será mais restritivo e nenhuma organização empresarial pública ou privada poderá utilizá-los para fins discriminatórios. Também será necessário garantir que eles serão devidamente protegidos.

Ressalte-se que, como tudo em direito, também existem exceções. A nova legislação deixa claro que essas regras não valem para dados pessoais tratados para fins acadêmicos, artísticos ou jornalísticos. Nem para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. Estes casos deverão ser tratados por leis específicas.

A proposta vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro. De uma maneira simples e singela, isso significa que, se o Google coletar dados de um usuário em terras nacionais, mas por algum motivo processar esses dados nos Estados Unidos, a legislação brasileira é que deverá ser seguida. Saliente-se ainda que, se a empresa necessitar transferir os dados para uma filial ou sede estrangeira, isso somente poderá ser permitido com a condição de que o país de destino também tenha leis abrangentes de proteção de dados ou possa garantir mecanismos de tratamento equivalentes aos que são exigidos no Brasil.

Por fim, a nova legislação também prevê punições para quem violar as regras desse novo instrumento normativo, entretanto, isso dependerá necessariamente da gravidade da situação. Caso se comprove a infração, a empresa ou organização responsável poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento, limitada ao valor máximo de R$ 50 milhões. A empresa ou organização também poderá ter as atividades ligadas ao tratamento de dados total ou parcialmente suspensas, além de responder judicialmente a outras violações previstas em lei, quando for o caso.

A fiscalização será, em tese, realizada por uma Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça, que deverá fiscalizar e garantir a aplicação da lei. Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil, cabendo a esse grupo realizar estudos, debates e companhas referentes ao assunto. Por fim, o Ministério Púbico, na qualidade de fiscal da ordem jurídica e juridicamente protetor dos direitos difusos e coletivos como um todo, também terá competência para analisar, discutir, processar e apontar punições a essas situações, cabendo ao Poder Judiciário a decisão final.

Vale lembrar que esse projeto ainda precisa passar por sanção do presidente Michel Temer, sendo que após esse procedimento, haverá um prazo de 18 meses para que setores privados e públicos se adéquem. Assim, a não ser que a proposta seja vetada, venha a ser revisada ou tenha o prazo ampliado por algum motivo (o que não é incomum no Brasil), é de se esperar que a lei entre em vigor somente no começo do ano de 2020.

Destarte, ainda é um pouco cedo para se tratar esse assunto como definitivo, sendo que nesse tempo de "vacatio legis" em que se aguardará a entrada da norma em vigor, muitas autoridades, juristas e especialistas no assunto ainda deverão manifestar suas opiniões. Todavia, parece que dentre todos, uma é unânime: a de que a nova lei é realmente necessária.

*Fabrício Posocco (foto) é professor universitário e advogado especialista em direito civil e digital, sócio-proprietário do escritório Posocco & Associados Advogados e Consultores