Um tema que, sem sombra de dúvidas, é um dos mais importantes nos últimos tempos é a proteção aos dados pessoais. No atual estágio tecnológico parece mais do que claro a importância dos dados para os negócios. Não à toa muito se fala em análise de dados num contexto de "Big Data".
Assim, é fundamental que exista uma regulamentação sobre os dados pessoais justamente porque é preciso permitir que o cidadão tenha algum controle sobre como as suas informções são utilizadas pelas instituições, sejam elas públicas ou particulares.
A existência de uma lei de proteção aos dados pessoais objetiva padronizar requisitos a serem implementados para o adequado uso de dados pessoais e, também, para atribuir a devida responsabilidade em casos de mau uso. Nesta perspectiva é fundamental uma normatização sobre as finalidades de uso dos dados, sobre a necessidade de ambiente seguro e controlado e, provendo garantias ao cidadão de que será protagonista das decisões sobre o uso das suas próprias informações. Tais colocações podem até soar óbvias, mas o fato é que poucas pessoas, de fato, conhecem ou tem a oportunidade de conhecer a exato utilização de seus dados pessoais. Então, em resumo, a maior benesse que se pode ter com a edição de uma lei que proteja os tais dados é equilibrar a assimetria existente entre os titulares e dos que se utilizam dos dados. Sobre a importância do tema já tivemos a oportunidade de discorrer aqui na coluna.
Neste contexto e sob estas premissas é que, em abril, a europa aprovou a "General Data Protection Regulation" (GDPR) que, no entanto, só vigorará a partir de 2018 para que todos possam se organizar para cumprir suas normas.
As grandes empresas como o Facebook e o Google terão que se adaptar às novas normas caso desejem continuar prestando serviços em solo europeu. Embora as novas disposições não obriguem países não europeus, será muito mais plausível que as grandes empresas adotem, paulatinamente, melhorias em outros países. Além disso, sendo a União Europeia um importante bloco econômico, naturalmente, outros países tendem a se inspirar nas suas normas para a confecção de suas legislações. Aliás, esse é o caso do Brasil, cujo projeto de lei 5276/2016 é oriundo do anteprojeto elaborado pelo Ministério da Justiça e que foi claramente inspirado no modelo europeu.
Pode-se dizer que o GDPR focou nos principais grupos do mercado digital, grupos estes que se utilizam de inúmeras ferramentas para rastrear dados dos usuários sob o argumento de lhes prover uma "melhor experiência de navegação" que, em outras palavras, nada mais é que direcionamento mais preciso, segmentado, de produtos.
Quanto ao direito dos cidadãos, estes terão mais informações sobre como seus dados são processados, informação esta que deverá ser de fácil acesso e em linguagem que facilite a compreensão. Além disso, passou a considerar dados genéticos e biométricos como pessoais e, portanto, protegidos pelas normas do GDPR.
Há, ainda, a possibilidade de que os usuários se valham da portabilidade para transferir seus dados de um serviço para outro. Quanto a isso, ainda precisaremos aguardar para verificar a viabilidade técnica já que as empresas, muitas vezes, precisarão adaptar seus bancos de dados em razão de utilizarem padrões distintos. Essa norma parece ter poder de causar alguma dificuldade de cumprimento. Vamos aguardar para ver.
Sobre o direito ao esquecimento, hoje vigente na União Européia em decorrência do caso Mário Costeja X Google Spain julgado pelo Tribunal de Justiça Europeu, a nova normativa esclarece alguns pontos e aumenta seu escopo, além de positivá-lo.
Há, ainda, norma que declara o direito dos usuários saberem se seus dados foram "vazados" ou "hackeados" já que se previu a implementação do "data breach notification", isto é, a obrigação de comunicar o usuário sobre o vazamento para que ele possa tomar medidas que visem resguardar seus direitos (previsão contida no projeto de lei brasileiro mencionado e, ainda, em diversos estados norte-americanos).
Sobre o consentimento, este é fundamental na nova normativa porque exige o legítimo interesse para a utilização dos dados, ou seja, não se considera que eles são livremente concedidos para os prestadores dos serviços que os exigem (também previsto no projeto brasileiro).
Talvez o ponto mais importante seja o fato de que o GDPR criará um regime único para todos os países que integram a União Europeia, não se tratando de uma diretiva, mas de uma legislação que abrangerá todo o bloco. Evidentemente, essa uniformização favorece os usuários além de trazer segurança jurídica.
Além disso, o nível de algumas obrigações será proporcional ao risco envolvido na atividade de processamento de dados pessoais, o que é razoável sob a perspectiva da análise de risco e da proporcionalidade, evitando obrigações muito onerosas em situações de riscos menores (também previsto no projeto de lei brasileiro).
Importante previsão de direito é o do "privacy by design", ou seja, as medidas protetivas da privacidade e dos dados pessoais deverão ser inseridas nos equipamentos desde sua concepção (também previsto no projeto de lei brasileiro).
Não se deixou de prever pesadas multas para os casos de descumprimento, podendo as mesmas chegarem a vinte milhões de euros ou até quatro por cento do faturamento mundial da empresa (para algumas delas essa previsão poderá fazer com que as multas cheguem à casa dos bilhões).
Com tantos direitos para os cidadãos era esperado que também adviessem obrigações e responsabilidades. Há uma série de regras destinadas aos responsáveis pelo tratamento dos dados, o que inclui muito do que se mencionou acima, mas agora com vistas a quem coleta e processa os dados.
Por fim, no caso de transferência internacional de dados o GDPR exige que o país que receber os dados precisará conferir o mesmo nível de proteção, o que é salutar. A questão que se põe é: como isso será monitorado? Será algo de fiscalização factível? Ou bastará se verificar a existência de uma lei sobre o tema? Algo a ser conferido com o tempo...
O GDPR vem em boa hora e espera-se que seja um verdadeiro marco na proteção de dados pessoais. Quanto à lei brasileira, fiquemos de olho no andamento dos projetos de leis que tratam do tema, em especial o 5276/2016, que nos parece o de maior probabilidade de conversão em lei.