Quando se evoca o caráter coletivo da proteção de dados pessoais, deve-se considerar a proteção de direitos fundamentais de liberdade e de privacidade, bem como do livre desenvolvimento da personalidade da pessoa natural. Esse trecho pode ser encontrado no art. 1º da lei 13.709 de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). Em fevereiro de 2022, por meio da Emenda Constitucional nº 1151, a Constituição Federal brasileira foi alterada para incluir a proteção de dados pessoais no seu rol de direitos e garantias fundamentais. Também foi fixada a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Anteriormente, em 2018, respectivamente em agosto e dezembro, foi promulgada a Lei Geral de Proteção de Dados Pessoais e criada a Autoridade Nacional de Proteção de Dados no Brasil.
Embora a positivação da matéria específica sobre a proteção de dados pessoais no Brasil tenha ocorrido recentemente, as discussões sobre o tema já existiam tendo sido permeadas em outras Leis, como o Código de Defesa do Consumidor, Lei de Acesso à Informação, Lei do Cadastro Positivo e o Marco Civil da Internet. Da mesma forma, outros países da América do Sul, especificamente do Mercosul, já discutiam sobre o assunto, tendo – não todos - positivado seus entendimentos sobre a proteção de dados pessoais recentemente, da mesma forma que o Brasil. Entretanto, desde a década de 1960, normas relacionadas à proteção de dados pessoais já eram pensadas como um fator necessário ao tratamento de dados. Desde então, a proteção de dados pessoais desenvolveu-se exponencialmente, assim como a própria complexidade do tratamento de dados.
Em 1997, Viktor Mayer-Schönberger2 sistematizou a evolução de leis protetivas de dados pessoais de 1960 até aquele momento. Inicialmente, a proteção dos dados pessoais era mais técnica, focada nas limitações de controle por bancos de dados de órgãos públicos (com pouca menção à participação de pessoas físicas como sujeitos nesse tratamento). Isso se devia à indisponibilidade ao público de um grande fluxo de dados envolvendo informações pessoais de terceiros, estrutura essa disponível apenas ao Estado e seus órgãos. O computador não era um produto comercial e acessível ao grande público.
Durante os anos 70, com a multiplicação dos centros de tratamento de dados e a criação de diversos bancos “database”, a segunda geração das leis de proteção de dados surgiu com um novo viés. O foco da proteção não era mais técnico, mas na privacidade do indivíduo, sujeito ativo na proteção de seus dados. Exemplo disso foi a “Loi Informatique et Libertés”3 de 1978, reformada em 2022 e que previa “dados pessoais como direitos inerentes às pessoas”. Na década de 80, os dados pessoais começaram a ser compartilhados conforme o indivíduo fosse se envolvendo na teia social, muitas vezes fora de seu conhecimento e/ou consentimento. Assim, o complexo fluxo de compartilhamento de dados pessoais interligado ao Estado e entes privados não deveria ser apenas uma responsabilidade do indivíduo, mas do coletivo, durante todo o tratamento daquele dado pessoal4. Assim surgem as leis de quarta geração, com uma ideia de autodeterminação pelo titular de dados pessoais, mas também de tutela de dados como direito fundamental.
Portanto, considerando o poder da informação e o pressuposto de que a internet é o principal fluxo de disseminação desta, a proteção de dados passou a ser incorporada nas constituições de muitos países. De modo que se um país não coaduna com os ideais de proteção de dados e segurança na rede, este pais: 1. Permitiria que exista insegurança relativa aos dados pessoais que tiverem seu tratamento realizado naquele território e 2. Geraria desconfiança e insegurança nas relações internacionais, com implicâncias econômicas, sociais e políticas complexas. Dessa forma, o presente texto procura ilustrar um cenário positivo da evolução da legislação brasileira e dos demais países-membro ativos do Mercosul – Argentina, Paraguai e Uruguai – em relação à proteção de dados pessoais.
Há dez anos, em 2013, o Ministério de Justiça Brasileiro e a Secretaria Nacional do Consumidor (SENACON), em cooperação com órgãos públicos argentinos, uruguaios e internacionais, coordenaram a edição do Atlas Ibero-Americano de Proteção do Consumidor5. O documento contém 44 (quarenta e quatro) perguntas sobre pontos relativos à proteção do consumidor em 19 países, dentre elas, três perguntas específicas sobre a proteção de dados pessoais. Mais especificamente, as perguntas direcionadas pelo Atlas foram a) “Existe regulação especial em matéria de Proteção de Dados Pessoais?”; b) “Existe uma autoridade responsável pela aplicação da matéria, ou é a mesma de proteção dos consumidores? Qual é o seu regime?” e c) “Considera necessária alguma atualização ou complementação da regulação existente na matéria?”.
Assim, esse artigo contará com a comparação dos cenários envolvendo a proteção de dados pessoais nos países do Mercosul em 2013 e 2023 em relação a três pontos principais: legislação especial sobre proteção de dados vigente, autoridade responsável pela proteção da matéria e discussões em voga. O objetivo é o de traçar uma linha de evolução nos 10 anos que se passaram desde a edição do Atlas, trazendo aspectos atualizados. Comecemos a seguir com a análise, por ordem alfabética, de cada país.
A partir de 2018, os grupos de pesquisa “Observatório da LGPD” da Faculdade de Direito da Universidade de São Paulo de Ribeirão Preto e o “Mercosul, Direito do Consumidor e Globalização”, liderados respectivamente por Cíntia Rosa Pereira de Lima e Claudia Lima Marques, elaboraram um questionário minucioso para detalhar o estado da arte em diversos países da América Latina.
Argentina
Em 2013, no que concerne à proteção de dados pessoais, a Argentina já contava com a lei 25.326 de 20006, primeira norma de um Estado-Membro do Mercosul a dispor especificamente sobre Proteção de Dados Pessoais, estabelecendo os princípios gerais relativos à essa proteção. Esta legislação definiu os direitos dos titulares de dados, as responsabilidades dos detentores de arquivos ou bancos de dados, os mecanismos de controle e as sanções aplicáveis em caso de violação das normas de proteção de dados.
A autoridade encarregada da aplicação das disposições de proteção de dados pessoais na Argentina era a Direção de Proteção de Dados Pessoais, que fazia parte do Ministério da Justiça e Direitos Humanos. Esta autoridade detinha competências e atribuições específicas para lidar com reclamações de indivíduos prejudicados por informações imprecisas, defeituosas ou não autorizadas, bem como para impor sanções às empresas que operavam bancos de dados e que violavam as normas de proteção de dados. Além disso, o sistema judicial também previa ações judiciais relacionadas à proteção de dados pessoais.
Naquela época, estava sendo considerada a possibilidade de atualizar e complementar a regulamentação existente em matéria de Proteção de Dados Pessoais. O objetivo era o aprimoramento da proteção dos consumidores, principalmente no que se referia aos prazos de retenção de dados em bancos de dados e aos mecanismos para acessar e corrigir informações pessoais armazenadas.
Em 2023, o país vinha discutindo, desde 2022 com uma iniciativa da Agencia de Accesso a la Información Publica (AAIP), um anteprojeto para a Lei promulgada em 2000. A contribuição da sociedade argentina culminou no Projeto de Lei de Proteção de Dados Pessoais7 , em tramitação.
Brasil
No Brasil, em 2013, no que diz respeito à regulamentação de proteção de dados pessoais, não existia uma lei geral abrangente. As disposições gerais referentes à proteção da privacidade podiam ser encontradas na Constituição Federal (Art. 5º, X) e no Código Civil (Art. 21). Além disso, existiam disposições específicas e setoriais relacionadas à proteção de dados pessoais no Código de Defesa do Consumidor (Art. 43), na Lei do Cadastro Positivo (lei 12.414/2011) e na Lei de Acesso à Informação (lei 12.527/2011, Art. 31).
Em relação à um órgão competente, não existia uma autoridade especializada para a aplicação das normas de proteção de dados pessoais. No entanto, nos casos em que a proteção de dados pessoais era necessária no contexto das relações de consumo, as entidades que integravam o Sistema Nacional de Defesa do Consumidor (SNDC) possuíam competência para tratar dessas questões.
Por fim, considerava-se vital e oportuna a atualização da legislação relacionada à proteção de dados pessoais. Tal atualização deveria ser baseada na criação de uma Lei Geral de Proteção de Dados Pessoais, cujo propósito seria o de resguardar a privacidade e a liberdade dos cidadãos em relação ao tratamento de suas informações pessoais. Na época, foi definido no documento que era imperativo que a proteção fosse assegurada em todas as situações em que se tornasse necessária, sem citar, entretanto, conceitos como tratamento de dados pessoais.
Em 2023, o Brasil dispunha de cenário completamente diverso em relação à proteção de dados pessoais. Em 14 de agosto de 2018, foi promulgada no país a Lei Geral de Proteção de Dados Pessoais (LGPD) e em dezembro do mesmo, foi criada a Autoridade Nacional de Proteção de Dados, autarquia federal de natureza especial, vinculada ao Ministério da Justiça e responsável por implementar e fiscalizar a LGPD no Brasil.
A autoridade tem realizado um trabalho educativo, emitindo guias orientativos sobre tratamento de dados em casos específicos, divulgando modelos organizacionais e instrutivos. Também tem realizado a fiscalização de denúncias de titulares de dados pessoais, bem como analisado incidentes de segurança com dados pessoais e aplicado multas sancionatórias aos descumpridores da LGPD, após processo administrativo próprio.
Paraguai
Em 2013, a proteção de dados pessoais no Paraguai era baseada na Constituição Federal, por meio do remédio constitucional do habeas data. Infraconstitucionalmente, o tema da proteção de dados era tratado principalmente na Lei 1682 de 20018, que dispunha da “regulamentação da informação em caráter privado”.
Em relação à um órgão competente, o país não contava com qualquer Autoridade responsável pela proteção de dados pessoais. Entretanto, no documento, não é exposta nenhuma outra lei ou normativa que disciplinasse a proteção de dados pessoais, apenas a Constituição Federal paraguaia.
Já em relação à complementação/atualização da matéria, as iniciativas paraguaias reconheciam que a cooperação institucional auxiliaria nessa matéria.
Em 2023, no entanto, o cenário era outro. Após a pandemia do Covid-19 em 2020, foi promulgada a Lei de Proteção de Dados Pessoais Creditícios9, que revogou completamente a Lei 1682/2001. No caso, apesar de seu nome, a lei se aplica ao tratamento de dados em registros públicos ou privados, bem como dos direitos e garantias de proteção de dados pessoais de pessoas físicas e jurídicas, de acordo com seus artigos 2º10 e 3º, c11.
Uruguai
Em 2013, no que diz respeito à regulamentação de dados pessoais, o Uruguai contava com a Lei 18.331 de 2008. O texto normativo criou no Uruguai, além de uma legislação específica sobre proteção de dados, também uma autoridade reguladora e fiscalizadora da matéria. Constitucionalmente, a proteção de dados pessoais não está expressamente escrita, mas foi reconhecida como “institucionalmente presente” em comunicado da Unidad Reguladora y de Control de Dados Personales (URCDP) – autoridade reguladora12.
No caso, a URCDP era uma unidade descentralizada da AGESIC (Agência de Governo Eletrônico e Sociedade da Informação e do Conhecimento), que integrava a estrutura da Presidência da República Uruguaia13. A URCDP é dotada de autonomia técnica, tendo como competência assegurar o cumprimento da legislação relativa à proteção de dados pessoais e assegurar o cumprimento de seus princípios14.
Em relação à complementação da matéria, ela ocorreu em 2020, com a promulgação do decreto 64 de 202015. Dentre suas modificações na Lei 18.331, estão as definições de algumas especificações, como a figura do DPDP (Delegado de Protección de Datos Personales) e a obrigação de notificação em 72 (setenta e duas) horas à Autoridade uruguaia no caso de Incidente de Segurança envolvendo dados pessoais.
Conclusão
Após analisar a evolução da legislação de proteção de dados pessoais e as autoridades responsáveis nos países-membro ativos do Mercosul ao longo de uma década, é evidente que houve avanços significativos nessa área.
Na Argentina, a promulgação do Projeto de Lei de Proteção de Dados Pessoais em 2023 demonstra um compromisso contínuo com a proteção da privacidade e dos direitos dos cidadãos. Esse progresso está alinhado com a tendência global de fortalecer a regulamentação de dados pessoais.
O Brasil, por sua vez, deu um grande passo com a aprovação da Lei Geral de Proteção de Dados Pessoais em 2018 e o estabelecimento da Autoridade Nacional de Proteção de Dados. Essas medidas garantiram uma estrutura sólida para a proteção de dados pessoais no país e demonstram um compromisso em conformidade com os padrões internacionais.
No Paraguai, a promulgação da Lei de Proteção de Dados Pessoais Creditícios em resposta à pandemia de Covid-19 mostra uma resposta ágil às necessidades de proteção de dados pessoais em situações de crise. Isso reflete um entendimento crescente da importância da proteção de dados no mundo moderno.
O Uruguai, com sua legislação abrangente e uma autoridade reguladora dedicada desde 2008, liderou o caminho na proteção de dados pessoais na região. A complementação da legislação em 2020 fortaleceu ainda mais as garantias de proteção de dados no país.
Em conclusão, o Mercosul, por meio de seus países-membro ativos, está demonstrando um compromisso crescente com a proteção de dados pessoais. Esses avanços são essenciais não apenas para proteger os direitos individuais, mas também para promover a confiança nas relações internacionais e no ambiente digital, impulsionando assim o desenvolvimento econômico e social. A evolução da regulamentação de dados pessoais na região é um passo positivo em direção a um futuro mais seguro e privado para todos os titulares de dados pessoais.
Atualmente, discute-se um esboço de um sistema de proteção de dados pessoais em nível do Mercosul de autoria de Cíntia Rosa Pereira de Lima, Claudia Lima Marques, Kelvin Peroli e Newton De Lucca, que pretende atingir uma harmonização mínima da matéria em nível supranacional tendo em vista a intensa circulação de dados pessoais transfronteiriça. Nas próximas publicações, durante este semestre, será dado destaque para expor os detalhes da proteção de dados pessoais em diversos países da América Latina.
__________
1 BRASIL. Emenda Constitucional nº 115. Disponível aqui. Acesso em 27 de setembro de 2023.
2 MAYER-SCHÖNBERGER, Viktor. General development of data protection in Europe. Cambridge: MIT Press, 1997. pp. 219-243.
3 FRANÇA. Loi 78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Disponível aqui. Acesso em 27 de setembro de 2023.
4 DONEDA, Danilo. Princípios de Proteção de Dados Pessoais. In - DE LUCCA, Newton; SIMA~O FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de (coords.).
5 Atlas Ibero-americano de proteção ao consumidor = Atlas Iberoamericano de protección al consumidor / [coordenação : Secretaria Nacional do Consumidor]. – Brasília: Ministério da Justiça, 2013. 489 p. ISBN : 978-85-85820-37-4. Disponível aqui. Acesso em 27 de setembro de 2023.
6 ARGENTINA. Habeas Data. Disponível aqui. Acesso em 27 de setembro de 2023.
7 ARGENTINA. Proyecto de Ley de Protección de Datos Personales. Disponível aqui. Acesso em 27 de setembro de 2023.
8 PARAGUAI. Ley 1.682. Disponível aqui. Acesso em 27 de setembro de 2023.
9 PARAGUAI. Ley 6.534. Disponível aqui. Acesso em 27 de setembro de 2023.
10 É o texto da Lei 6.534 do Paraguai, em seu texto original: “Artículo 2°.- ÁMBITO DE APLICACIÓN. Esta Ley es de aplicación obligatoria al tratamiento de datos personales en registros públicos o privados recopilados o almacenados en el territorio nacional en sistemas de información, archivos, registros o bases de datos físicos, electrónicos o digitales a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos.”
11 É o texto da Lei 6.534 do Paraguai, em seu texto original: “Art. 3º A los efectos de la presente Ley, se entende por [...] c) Titular de Datos: Persona física o jurídica, cuyos datos son objeto de tratamiento. [...]”
12 URUGUAI. Principales criterior administrativos. Disponível aqui. Acesso em 27 de setembro de 2023.
13 URUGUAI. Unidad Reguladora y de Control de Datos Personales. Disponível aqui. Acesso em 27 de setembro de 2023.
14 URUGUAI. Unidad Reguladora y de Control de Datos Personales. Disponível aqui. Acesso em 27 de setembro de 2023.
15 URUGUAI. Reglamentacion de los arts. 37 a 40 de la ley 19.670 y art. 12 de la ley 18.331, referente a proteccion de datos personales. Disponível aqui. Acesso em 27 de setembro de 2023.