Em 10/072018, foi aprovada por unanimidade no Senado a Lei Geral de Proteção de Dados (LGPD), originada do PLC 53/18[1], da Câmara dos Deputados, que agora segue para sanção presidencial. O projeto tramitou por cerca de oito anos no legislativo, após passar por diversas comissões e sofrer diversos ajustes na versão original.
A Lei disciplina o uso, a proteção e transferência de dados pessoais, garantindo aos cidadãos maior controle sobre suas informações. A lei brasileira sofreu influência da regulação europeia sobre dados pessoais, conhecida como Regulamento Geral de Proteção de Dados (RGPD)[2], que entrou em vigor no dia 25 de maio deste ano.
Dentre outras inovações, o texto aprovado no Senado com 65 artigos distribuídos em 10 capítulos exige o consentimento explícito do titular para a coleta e uso dos seus dados por terceiros, conferindo-lhe a possibilidade de exigir a correção e exclusão dos dados. A Lei ainda prevê a criação de um órgão responsável pela sua aplicação: a Autoridade Nacional de Proteção de Dados (ANPD), que terá a forma de uma autarquia especial vinculada ao Ministério da Justiça. Ainda prevê punições para o caso de infrações ou descumprimento de seus dispositivos, que variam de uma simples advertência até multa no limite de 50 milhões de reais, podendo haver também proibição parcial ou total do exercício de atividade da empresa que comete o ato infracional, dependendo da gravidade da infração. A lei será aplicável mesmo para empresas que tenham sede no exterior, desde que a operação de tratamento de dados seja realizada envolvendo pessoas que tenham residência no Brasil.
O projeto da lei geral de proteção de dados pessoais tramitava há muito tempo e ganhou impulso não somente depois do momento de entrada em vigor de sua congênere europeia, mas sobretudo depois que eclodiu o escândalo de vazamento de dados dos usuários do Facebook, transmitidos e utilizados para fins políticos sem o consentimento deles por uma empresa parceira dessa rede social, a Cambridge Analytica[3]. A divulgação desse caso teve repercussão em todo mundo, trazendo a questão da proteção de dados pessoais para o centro dos debates políticos, inclusive forçando o CEO do Facebook, Mark Zuckerberg, a prestar esclarecimentos perante uma comissão do Congresso dos EUA[4]. No Brasil, o efeito imediato foi a agilização do projeto da lei geral de proteção de dados pessoais, que foi votada em regime de urgência pelo plenário do Senado.
A expectativa é que o Presidente Temer sancione a Lei sem vetos significativos, mas só entrará em vigor dentro de 18 meses, prazo suficiente para que as empresas e o setor público se adequem às suas exigências.
O Brasil vinha perdendo oportunidades de investimento financeiro internacional em razão do “isolamento jurídico” por não dispor de uma lei geral de proteção de dados pessoais. A União Europeia, por exemplo, veda a transferência de dados de cidadãos europeus para empresas de outros países que não têm um “nível adequado” de proteção de dados pessoais, e o Brasil até então era enquadrado na categoria das nações que não protege de maneira satisfatória a privacidade e intimidade das pessoas. Como se costuma dizer, os dados hoje são “o petróleo” da nova economia da informação e o nosso país estava em desvantagem em relação a outros países que já tinham adotado legislação semelhante.
O Brasil chega excessivamente tarde na regulamentação do assunto da proteção de dados pessoais. O chamado Regulamento Geral de Proteção de Dados (RGPD), que serviu como modelo para a legislação brasileira, foi na verdade uma reforma das regras de proteção de dados na União Europeia, que já contava com uma Diretiva sobre o assunto desde 1995 (a Diretiva 95/46/CE)[5]. Leis específicas de proteção de dados pessoais começaram a surgir a partir da década de 70, com o advento das tecnologias da informação. Em 1970, o Estado alemão de Hesse editou a primeira lei sobre essa matéria. A Suécia contava com o Datalegen, Lei 289 de 11 de maio de 1973. Desde 1977, a Alemanha tinha uma lei federal de proteção de uso ilícito de dados pessoais. A Dinamarca regulamentava a questão da proteção de dados pelas Leis 243 e 244, ambas de 08 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas. A França tinha a Lei 78-77, de 06 de janeiro de 1978. Até mesmo na América do Sul muitos países já contavam com leis que protegem a intimidade e a privacidade das pessoas contra coleta e processamento indevidos de dados individuais. A Argentina tem leis de proteção de dados pessoais em vigor desde 1994. A lei chilena é de 1999 e o Peru criou sua legislação de proteção de dados em 2011. No Uruguai o direito à proteção de dados está previsto em lei editada em 2008. A Colômbia aprovou sua lei de proteção de dados em 2010.
De qualquer maneira, embora tardiamente, o Brasil editou sua lei geral de proteção de dados pessoais. Essa é uma Lei que traz ao mundo do direito a importância que os dados pessoais já possuem para a economia digital, onde são considerados “o novo petróleo”, como se disse. É analisando e interpretando grandes quantidades de dados e de grande variedade que as empresas hoje funcionam. Dependem e extraem soluções do Big Data, termo que descreve o grande volume de dados – estruturados e não estruturados – que impactam a vida das empresas diariamente. As organizações coletam dados de fontes variadas, incluindo transações financeiras, redes sociais e informações de sensores ou dados transmitidos de máquina para máquina. No passado, armazená-los teria sido um problema, mas novas tecnologias facilitaram essa atividade.
A utilização dos dados, contudo, não pode ser feita de maneira indiscriminada ou sem limite por corporações empresariais ou por órgãos do governo. O processamento de informações envolve diversos problemas como o uso indevido dos dados, sobretudo quando se combina Big Data com machine learning[6] para construção de modelos analíticos e tomada de decisões. A grande questão e que gera preocupações é a do controle dos indivíduos pelas grandes empresas de tecnologia e pelos governos. Quem controla os dados, controla a vida das pessoas. Por isso o Direito se preocupa com o que as organizações fazem com eles.
A nova lei cria mecanismos para que os indivíduos tenham o controle sobre seus dados, para que possam decidir sobre suas próprias vidas.
Notas
[1] https://www25.senado.leg.br/web/atividade/materias/-/materia/133486
[2] https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN
[3] Ver notícia publicada pelo jornal El País, pulicada em 20.03.18, acessível em: https://brasil.elpais.com/brasil/2018/03/19/internacional/1521500023_469300.html
[4] Ver notícia publicada em 11.04.18, acessível em: https://www.tecmundo.com.br/redes-sociais/129169-mark-zuckerberg-depoe-congresso-eua-confira-destaques.htm
[5] Para quem se interessar em conhecer as linhas gerais da revogada Diretiva 95/46/CE, sugiro a leitura do meu artigo intitulado “A Diretiva Europeia sobre Proteção de Dados Pessoais - uma Análise de seus Aspectos Gerais”, publicado na Revista Lex Magister, acessível em: http://www.lex.com.br/doutrina_24316822_A_DIRETIVA_EUROPEIA_SOBRE_PROTECAO_DE_DADOS_PESSOAIS__UMA_ANALISE_DE_SEUS_ASPECTOS_GERAIS.aspx
[6] Aprendizado de máquina (em inglês, machine learning) é um método de análise de dados que automatiza a construção de modelos analíticos. É uma vertente da inteligência artificial que se baseia na ideia de que sistemas podem aprender com dados, identificar padrões e tomar decisões com o mínimo de intervenção humana.