Com certo atraso, Brasil finalmente é inserido no rol de países com marco legal em proteção de dados
Apesar do veto de Temer quanto à previsão legal para criação de um órgão fiscalizador (aguarda-se a criação de uma Autoridade Nacional de Proteção de Dados por medida provisória ou por projeto de lei), e das críticas de que sem um controlador a lei não funciona, o texto legal foi publicado em 15 de agosto no Diário Oficial, e entra em vigor em 18 meses a contar dessa data.
terça-feira, 28 de agosto de 2018
Atualizado em 23 de setembro de 2019 17:38
Na tarde de terça-feira (14) o presidente Michel Temer sancionou a lei geral de proteção de dados (LGPD), que dispõe sobre a proteção de dados pessoais no Brasil. A lei recebeu o nº 13.709/18.
A lei aprovada é inspirada no sistema europeu e insere o Brasil, com certo atraso, no rol dos países mundiais que possuem marco legal na área de proteção de dados. Na Europa, desde o convenio 108, datado de 28 de janeiro de 1981, existe texto específico para a proteção dos cidadãos quanto ao tratamento automatizado de dados de caráter pessoal. Foi este Convenio que serviu de base para a Diretiva do Parlamento Europeu e do Conselho de 1995, a qual, por sua vez, foi substituída, em 2016, pelo Regulamento Europeu nº 679, cujo texto entrou em vigor em 25 de maio de 2018.
A história se repete. Na América Latina, fomos o último país a adotar um Código Civil (o primeiro foi o Chile, em 1855). Até 1916 eram as ordenações reais portuguesas que regulamentavam os atos civis dos brasileiros por aqui, não obstante já se distanciasse em muitos anos a data de nossa independência. Novamente estamos no final da fila. Somos um dos últimos países no cone sul da América a incorporar sistema legal de proteção de dados, e são os chilenos, outra vez, a começar (1999), seguidos pelos argentinos (2000) e vários outros na sequência (Uruguay, Mexico, Peru, Costa Rica, Nicaragua, Colombia, Republica Dominicana).
O direito caminha a reboque da tecnologia: é inevitável. Mas, no Brasil, a demora para aprovação de um sistema de proteção de dados pessoais já tinha esgotado o mais paciente dos virtuosos. Além disso, a aprovação da lei consiste em condição para o Brasil ingressar na OCDE (Organização para a Cooperação e Desenvolvimento Econômico).
A frase de efeito dado é o novo petróleo, atribuída ao matemático inglês Clive Humby (Data is the new oil, 2013), denota a importância do assunto. Dados pessoais nunca tiveram tanto valor. Não à toa cerca de 70% do PIB dos países do G7 depende de mercadorias intangíveis relacionadas à informação. Dados pessoais permitem desenvolver psicometria para perfilamento de indivíduos, em aspectos que geram extremo valor, como hábitos de consumo e preferências políticas.
Até agora, o Brasil possuía previsão para proteção de dados em leis esparsas - a exemplo de breves disposições no Código Civil e Código de Defesa do Consumidor, dentre poucos outros textos legais - que não eram suficientes para a realidade do mercado de dados atual. É certo que a economia do big data, impulsionada pela internet das coisas, das cidades inteligentes e da inteligência artificial, não poderia resistir ao vácuo das regras jurídicas do jogo. A cultura atual dos algoritmos exige uma posição do Estado para regulamentar o assunto, sob pena de comprometer direitos fundamentais dos cidadãos (liberdade, privacidade, livre desenvolvimento da personalidade). E não apenas isso. A existência de lei específica traz mais segurança jurídica, o que acaba por fomentar a economia e atrair investidores ao país, uma vez que, agora, as regras são mais claras em relação ao tratamento de dados pessoais.
A lei sancionada empodera o cidadão brasileiro ao fundamentar as regras do tratamento de dados na autodeterminação informativa (inteligência jurídica criada na Alemanha, na década de 1970): o titular de dados terá maior controle sobre o processamento de seus dados pessoais, de forma que o compartilhamento de suas informações será devido apenas por meio de consentimento explícito. Além disso, o titular de dados passa a ter a garantia legal que suas informações serão utilizadas apenas para as finalidades específicas para as quais foram coletadas, devendo ser eliminadas após o propósito que gerou sua coleta e armazenamento. Ainda, o direito de portabilidade de dados é uma novidade conferida pela lei ao brasileiro.
Com previsão de multas de até 50 milhões de reais por infração nos casos mais severos, a lei prevê diversas obrigações ao controlador - figura criada pela nova norma, responsável pelas decisões referentes ao tratamento de dados, e por avaliar e fundamentar o ciclo de vida completo do tratamento de dados pessoais, por meio da elaboração de relatório de impacto contendo a descrição dos processos de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas para mitigação dos riscos relacionados. Além disso, a lei somará mais um officer às empresas: o DPO (Data Protection Officer), a ser indicado pelo controlador.
Com ou sem atraso, fato é que os departamentos jurídicos das empresas brasileiras já começaram a se movimentar: revisão de políticas internas, catalogação das espécies de dados, mapeamento do ciclo de vida dos dados pessoais tratados e busca para contratação de profissional especializado na área.
Apesar do veto de Temer quanto à previsão legal para criação de um órgão fiscalizador (aguarda-se a criação de uma Autoridade Nacional de Proteção de Dados por medida provisória ou por projeto de lei), e das críticas de que sem um controlador a lei não funciona, o texto legal foi publicado em 15 de agosto no Diário Oficial, e entra em vigor em 18 meses a contar dessa data.
__________
*Texto atualizado em 30/8/18.
__________
*Juliana Abrusio é professora da faculdade de Direito da Universidade Mackenzie, doutoranda pela PUC-SP e sócia do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.