Nas últimas semanas, ganhou força no Congresso a ideia da aprovação de uma lei de proteção de dados pessoais. Duas propostas tramitam no Parlamento, uma na Câmara e outra no Senado.
O tema mobiliza companhias de tecnologia, emissoras de radiodifusão, confederações empresariais, bancos, entidades de defesa do consumidor, pesquisadores e organizações de defesa dos direitos dos usuários.
Apesar do consenso sobre a necessidade da aprovação de uma lei, há diversas polêmicas sobre o conteúdo dessas normas. As divergências vão desde o conceito de dados pessoais até as hipóteses em que uma empresa possa utilizar as informações para uma finalidade diferente da explicada no momento da coleta.
Enquanto empresas querem menos obrigações argumentando que podem dificultar a inovação, organizações da sociedade civil defendem uma norma com direitos amplos aos usuários e limites claros a quem realiza o tratamento.
Consentimento
Um ponto chave da divergência está no tema consentimento. Para entidades empresariais, ele deve ser mais flexível, não sendo necessário renová-lo toda vez em que um novo uso for feito da informação.
Na avaliação dessas empresas, não seria necessário que o usuário desse uma permissão expressa. Uma pessoa que fornecesse o e-mail para uma lista de mensagens (newsletter), por exemplo, já estaria consentindo implicitamente com o fornecimento da informação, não necessitando uma autorização.
No entendimento de João Emílio Gonçalves, da Confederação Nacional da Indústria (CNI), a lei não deveria solicitar autorização a cada uso. “Faz muito mais sentido ter regras gerais sobre responsabilidade das empresas, do que você o tempo inteiro ficar submetendo o usuário a ler os mínimos detalhes sobre de que forma vai estar sendo tratado”, propõe.
Já para Bia Barbosa, do Intervozes – entidade que faz parte da Coalizão Direitos na Rede, organização que reúne dezenas de grupos da sociedade civil em defesa de direitos dos usuários, o consentimento precisaria ser expresso, informado e específico.
Ou seja, para coletar os dados de uma pessoa, uma empresa precisaria pedir expressamente a autorização, informar o que seria feito com ela e assegurar que a permissão contemplaria aquele pedido específico, e não qualquer uso.
Legítimo interesse
Vinculado ao debate sobre o consentimento está o de legítimo interesse. Este termo designa as situações em que uma empresa ou ente pode usar dados mesmo que não tenha obtido consentimento para tal. Um banco, por exemplo, pode utilizar informações de um correntista para impedir uma fraude. Mas poderia para vender um serviço de seguro?
Entidades empresariais argumentam que o legítimo interesse deve ser amplo o suficiente para não impedir a atuação das firmas em um ambiente crescentemente conectado.
“Teríamos uma dificuldade se a todo e qualquer momento empresas precisassem pedir consentimento sobre os dados. Legítimo interesse foi criado no ecossistema em que permanecem os direitos, mas há possibilidade de um incremento, de uma inovação que seja benéfica aos usuários”, afirmou Márcio Cots, da Associação Brasileira de Internet das Coisas em sessão temática no Senado sobre o tema, realizada no dia 17 de abril.
Na avaliação do pesquisador Bruno Bioni, da Rede Latinoamericana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits), o interesse econômico não pode justificar uma liberação na lei para um uso amplo dos dados sem consentimento, devendo estas hipóteses serem restritas.
“A nossa futura lei deve prever diretrizes para aplicação do conceito de interesse legítimo. Ela deve prever teste de proporcionalidade para este instituto aberto, pois isso vai se tornar um cheque em branco cujo uso pode não corresponder às expectativas do titular”, defende.
Dados “anonimizados”
Outra possibilidade defendida por entidades empresariais seria o caso de dados “anonimizados”. Esta técnica envolve um cruzamento de dados no qual a informação já não está mais vinculada à pessoa, sendo impossível identificá-la.
O Projeto de Lei 330, que tramitando no Senado, prevê que as obrigações e garantias previstas na lei não valham para este tipo de tratamento.
Na opinião de Paulo Rená, integrante do Instituto Beta: Internet e Democracia, esta exceção é perigosa. “Não há anonimização completa. Pode ter dado que passou por este processo, mas qualquer dado permite rastrear quem é o titular. Mesmo sem indicar quem é a pessoa, é possível direcionar conteúdo, em ações relacionadas à definição de sensações e enviesamento político”, pondera.
Setor público
A inclusão de órgãos públicos na abrangência da Lei é uma discussão que coloca setor privado e entidades da sociedade em lado oposto ao governo federal.
O Estado é um manancial enorme de informações, de carteiras de motorista a dados fiscais e previdenciários. Em 2017, o governo lançou a plataforma GovData, que reúne 14 bases de dados da Administração Pública, permitindo cruzamento de milhões de registros de cidadãos.
Para o secretário de tecnologia da informação do Ministério do Planejamento, Luís Felipe Monteiro, o Poder Público precisa ter regras diferentes.
“A gente precisa garantir que os registros públicos possam ser compartilhados. Assim podemos aumentar a eficiência do governo, melhorar a focalização de políticas públicas, com redução de gastos, e vamos acelerar a entrega de serviços no balcão e também por meio da internet”, destaca.
Ele cita como exemplo a plataforma GovData, criada pelo governo federal, que permitiu identificar fraudes em benefícios sociais, como aposentadorias, e diminuir o tempo de emissão de documentos, como passaportes.
A Fiesp vê a necessidade de contemplar o Poder Público na lei, observadas exceções pertinentes para a eficiência da administração pública e a proteção dos dados dos cidadãos.
“É o setor público que mais coleta dados e dados sensíveis a respeito dos cidadãos e, caso os poderes públicos não tenham obrigações nesse campo, estaremos sujeitos a vazamentos, transferências abusivas e discriminações ilegais em larga escala”, reforça Flávia Lefévre, especialista em direito digital e integrante do Comitê Gestor da Internet no Brasil.
As proteções da Lei também devem valer, acrescenta Flávia Lefévre, para os dados tornados públicos. Ou seja, caso uma informação esteja em um banco de dados público (como o CPF no resultado de um concurso público) ou tenha se tornado disponível por outros meios, seu tratamento não poderia estar dispensado das regras previstas na legislação.
Órgão regulador e punições
Entidades empresariais e organizações sociais se aproximam na defesa de uma autoridade regulatória. Na avaliação da Fiesp, prever sanções na lei sem definir quem vai aplicá-las pode abrir espaço para medidas injustas. A federação acredita que o modelo a ser adotado deve ser a de um órgão único e central, com independência financeira e um corpo técnico especializado.
“A forma de atuação deveria priorizar a orientação, a conscientização e o reconhecimento de boas práticas. As sanções só deveriam ser adotadas em casos graves, em que a intenção é comprovada e quando houvesse reincidência”, diz Rony Vainzof, diretor do departamento de defesa e segurança da federação.
Para organizações de defesa dos consumidores, se há concordância com uma autoridade forte e independente, a visão sobre o poder de fiscalização e sanção do órgão é diferente. Na avaliação de Rafael Zanatta, do Instituto de Defesa do Consumidor (Idec), as punições não podem ser brandas e devem alcançar o grupo econômico da empresa.
“Uma multa baixa e a impossibilidade de não chegar no grupo econômico e nos ‘peixes grandes’ é uma ideia de viés empresarial. Assim, vai valer a pena a empresa descumprir porque a multa é só em uma firma local e porque atingiria um valor baixo para empresas grandes. Para Facebook e Google não é nada”, alerta.
Direitos
Na opinião do professor de direito do Mackenzie e especialista em direito digital Renato Leite, a lei precisa listar alguns direitos fundamentais dos titulares dos dados de modo a facilitar a proteção e a consequente fiscalização pela autoridade regulatória.
Entre esses direitos estão quatro garantias consagradas em legislações internacionais: acesso às informações (para saber que dados uma determinada plataforma ou empresa detêm sobre a pessoa), correção de eventuais informações erradas, cancelamento do envio e negativa do usuário a determinado tratamento.
As polêmicas envolvendo plataformas nos últimos anos, como redes sociais, também jogaram luz sobre outros direitos. Um deles é a portabilidade de dados, o que reduziria a dependência do usuário de uma determinada aplicação. Outra é o direito a não se submeter a decisões automatizadas, como as operadas por algoritmos.
É o caso tanto das chamadas “notas de crédito” (que definem limites de cartão de crédito ou parâmetros de financiamento) quanto dos sistemas que decidem o conteúdo exibido em uma linha do tempo do Facebook ou qual vídeo é recomendado pelo YouTube.
“Estes se tornaram essenciais em face ao alto grau de automatização das nossas vidas, em detrimento ao baixo grau de transparência quanto ao funcionamento dos algoritmos que hoje, também, acabam regendo o funcionamento da sociedade”, destaca.
Ciberia // Agência Brasil
