NOTÍCIAS

15/07/2018

Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada

No dia 10 de julho de 2018, foi aprovado no plenário do  Senado Federal o PLC 53/2018 (tenha acesso à íntegra do texto aqui), o qual dispõe sobre a proteção de dados pessoais e altera a Lei 12.965/16 (Marco Civil da Internet), consolidando-se assim como a Lei Geral de Proteção de Dados brasileira (LGPD). O processo público e legislativo começou em 2010, com a abertura de uma consulta pública sobre o tema, promovida pelo Ministério da Justiça, que resultou, posteriormente, na propositura do PL 5276/2016, anexado ao PL 4060/2012, perante a Câmara dos Deputados. Agora, após 2 anos de trâmite no Congresso Nacional (Câmara e Senado), duas consultas públicas, mais de 2500 contribuições de atores nacionais e internacionais, de todos os setores, inúmeros eventos, chega ao seu fim e segue para sanção (e, talvez, veto parcial) presidencial. Se aprovado pelo presidente Michel Temer, o projeto passa a ser lei, com um período de adaptação de 18 meses.

A LGPD cria toda um novo regramento para o uso de dados pessoais no Brasil, tanto no âmbito online quanto offline, nos setores privados e públicos. Importante salientar que o país já dispunha de mais de 40 normas que direta e indiretamente tratavam da proteção à privacidade e aos dados pessoais. Todavia, a LGPD vem substituir e/ou complementar esse arcabouço regulatório setorial, que por vezes era conflituoso, pantanoso, trazia insegurança jurídica e tornava o país menos competitivo no contexto de uma sociedade cada vez mais movida a dados. O texto, fruto de uma ampla discussão, visa não somente garantir direitos individuais, mas também fomentar o desenvolvimento econômico, tecnológico e a inovação por meio de regras claras, transparentes e amplas para o uso adequado de dados pessoais. Ao ter uma Lei Geral, o Brasil entra para o rol de mais de 100 países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados.

Quais são os objetivos de uma Lei Geral de Proteção de Dados?

Quais são as vantagens de uma Lei Geral de Proteção de Dados?

Fatores que levaram à aprovação da Lei

Como dito acima, a LGPD não foi aprovada de uma hora para outra - pelo contrário, foram anos de intensa discussão, que levaram a um texto extremamente maduro quando comparado com a primeira versão de 2010. Todavia, alguns fatores podem ser listados que forçaram a aceleração do trâmite na sua reta final:

General Data Protection Regulation - GDPR

No último dia 25 de maio, entrou em vigor a nova regulamentação europeia de proteção de dados, conhecida como GDPR. Apesar de ser uma lei da União Europeia, por diversos fatores, ela tem eficácia e aplicação extraterritorial, além dos limites geográficos do velho continente. Isso inclui o Brasil. Diversas empresas nacionais que têm filiais em algum dos 28 países da UE, ou oferecem serviços à pessoas localizadas neles, tiveram que se adaptar, sob pena de sofrerem multas milionárias ou perderem contratos com empresas que diretamente devem estar em conformidade com a nova regulamentação. Ainda, a GDPR cria obstáculos para a transferência internacional de dados pessoais para países que não são considerados com um nível adequado de proteção. O Brasil, agora com a LGPD, pode, em breve, passar a compor o rol de países para os quais tais dados podem ser transferidos, o que terá fortes impactos econômicos e comerciais.

Tais elementos aumentaram a pressão não só para a aprovação da lei geral, mas também moldaram as discussões que culminaram numa redação muito similar à GDPR, até mesmo superior em alguns pontos, como na abordagem dada à dados anonimizados quando estes forem utilizados para a formação de perfis comportamentais.

Cambridge Analytica

O escândalo envolvendo a empresa Cambridge Analytica escancarou as graves consequências que podem advir do uso não autorizado e indevido de dados pessoais, que extrapolam o plano individual, ao ponto de repercutir nos rumos democráticas de uma nação, como se suspeita que tenha acontecido com a eleição do Presidente Donald Trump nos EUA e com a saída do Reino Unido da União Europeia. Ficou claro o impacto que a ausência de regras claras sobre o uso de dados e de uma autoridade que as aplique e supervisione pode ter.

No Brasil, onde a empresa já pretendia atuar no futuro pleito eleitoral para a presidência da república por meio de oferecimento de conteúdos e propagandas direcionadas à eleitores, baseadas nos interesses inferidos dos seus dados pessoais, possivelmente coletados e utilizados de forma indevida, visando influenciar os seus votos, o escândalo teve tal repercussão que uma investigação foi aberta pelo Ministério Público para averiguar se realmente houve coleta e uso não autorizado de dados pessoais. Todavia, na ausência de uma lei geral, uma zona interpretativa cinzenta prevalece quanto à (i)legalidade no uso dos dados, uma vez que inexistiria, em alguns contextos, limitações claras ao tratamento destes. Desta forma, fica evidente a necessidade de uma LGPD.

Organização para a Cooperação e Desenvolvimento Econômico - OCDE

O Brasil está a pleitear a sua entrada na Organização para a Cooperação e Desenvolvimento Econômico (OCDE, ou OECD, no seu original). A organização foi uma das primeiras a especificamente lidar com a regulação do uso de dados pessoais, com foco principal nas transferências internacionais inerentes à muitos modelos de negócio. Suas primeiras orientações foram publicadas já em 1980 (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), atualizadas em 2013 para se adequar aos novéis da sociedade da informação, e influenciaram diretamente leis em inúmeros países, até mesmo a antiga diretiva europeia de proteção de dados e o futuro regulamento. Apesar dos seus guidelines não terem força de lei, para que o países possam fazer parte da organização, eles devem se obrigar a cumprir com as regras estabelecidos por eles, inclusive às proteção de dados. Entretanto, o Brasil, por carecer de uma lei geral ou de normas robustas, estava longe de cumprir com tais obrigações. Essa lacuna compeliu o Governo Federal e o Ministério das Relações Exteriores, por meio do seu Chanceler, Senador Aloyzio Nunes, que também fora relator do PL de Dados do Senado, o antigo PL 330/2013, a apoiarem a aprovação da LGPD, como forma de facilitar a entrada do Brasil na OCDE.

Lei do Cadastro Positivo

Um outro ponto que foi essencial para a aprovação da LGPD no Congresso Nacional foi a tentativa de alteração da Lei do Cadastro Positivo, que regulamenta o banco de dados de adimplentes (bom pagadores, em conjunto com o Código de Defesa do Consumidor, que lida com o de mal pagadores), relatórios de crédito e algoritmos de risco de crédito. A lei, como vigente atualmente, determina que os dados de consumidores somente podem ser adicionadas à tais bases com o seu consentimento, prática conhecida como opt-in. A alteração pretendia, entre outros pontos, mudar essa lógica para permitir que os dados pessoais pudessem ser coletados, utilizados e compartilhados sem o consentimento do titular, permitindo a este, apenas, requisitar o cancelamento dos seus dados posteriomente, prática conhecida como opt-out. Essa alteração automaticamente incluiria os dados de mais de 30 milhões de brasileiros em sistemas geridos por empresas, o que poderia, alguns defendiam, alavancar a concessão de crédito no país, pois seria possível, em tese, efetivamente distinguir os bons pagadores dos maus.

Todavia, essa vantagem não viria sem riscos. Numa era de grandes vazamentos de dados e incontáveis casos de usos indevidos destes, permitir a aglomeração de dados pessoais de toda a população brasileira economicamente ativa sem que haja regras claras, transparentes, robustas e harmônicas que regulem tais usos pode ser uma prática indesejada e temerária. Esse cenário deu ensejo a toda uma leva de negociações políticas que culminaram na aprovação de um texto base alterando a Lei do Cadastro Positivo, mas bem diferente do original, com bem mais garantias, e a concordância do Presidente da Câmara dos Deputados, Rodrigo Maia, da necessidade de se ter uma lei geral de proteção de dados antes das alterações pretendidas no cadastro positivo. Esse acordo político foi um dos principais fatores que permitiram a aceleração do trâmite do PL 5276/2016 na Câmara, que recebeu a numeração de PLC 53/2018 após ser aprovado nesta casa e enviado para o Senado.  

O que a lei diz

A LGPD tem aplicação transversal e multissetorial, tanto no âmbito público e privado, online e offline. Ela versa sobre o conceito de dados pessoais, lista as bases legais que autorizam o seu uso ? e o consentimento é apenas uma delas, dando destaque para a permissão do uso de dados com base no legítimos interesse do controlador do dados -, além de tratar de princípios gerais, direitos básicos do titular - como acesso, exclusão dos dados e explicação sobre uso - obrigações e limites que devem ser aplicadas a toda entidade que se vale do uso de dados pessoais, seja como insumo do seu modelo de negócio, seja para a atividade de seus colaboradores. Estes são os principais pontos da nova lei:

Próximos passos

A LGPD vai agora para sanção presidencial. A Presidência pode acatar a lei como um todo, negá-la completamente ou vetar determinadas partes. Muito se discute sobre a possibilidade de veto do trecho que cria a Autoridade Nacional de Proteção de Dados, com base em uma série de argumentos, tanto jurídicos, políticos e orçamentários. Todavia, a entregada em vigor de uma lei geral de proteção de dados sem uma autoridade autônoma e independente pode ter um impacto indesejada na sua eficácia, e até mesmo tornar a lei incompleta, uma vez que o seu texto faz menção à autoridade 56 vezes, e determinada partes simplesmente não farão sentido sem a sua existência.

Após a publicação da lei, as entidades terão 18 meses para se adaptar. Poderá ser uma tarefa árdua e custosa, principalmente para àquelas que deixarem para o final do período de transição, que foi amplamente visto no contexto da GDPR.

Em suma, a LGPD terá um impacto na sociedade como poucas leis antes tiveram, uma vez que, hoje, praticamente toda e qualquer prática se vale do uso de dados pessoais. Empresas de todos os setores terão que se adaptar e uma nova cultura sobre o uso adequado de dados deverá ser formada, algo de difícil atingimento levando em consideração que o Brasil, diferente de outras regiões do mundo, principalmente da Europa, ainda está na sua infância com relação a esse tema.

Nesse sentido, a proteção de dados pessoais e segurança da informação devem, e podem, ser encaradas não como um custo, mas sim como uma vantagem competitiva, um diferencial de mercado. Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados, se adequar à regras claras, transparentes e harmônicas pode restaurar ou aumentar a confiança do consumidor nas empresas e no mercado. Portanto, empresas precisam se adequar às regras de hoje e compreender que se antever à futura regulamentação é um investimento e uma vantagem competitiva.  

Data Privacy Brasil

O Data Privacy Brasil, instituto que visa promover o conhecimento e o ensino sobre proteção de dados, realizará, em São Paulo, a segunda edição de seu curso de extensão "Privacidade e Proteção de Dados: Teoria e Prática". O curso, que já estará totalmente adaptado à nova lei Lei Geral brasileira, terá nove encontros, aos sábados, a partir do dia 25 de agosto, totalizando 45 horas-aula de imersão.

O plano de aulas e a metodologia do curso foram desenhados para combinar o conhecimento teórico ao prático. Com isso, os alunos aplicarão e testarão os conceitos de cada temática das aulas a partir do estudo de casos reais atuais e simulados.

No contexto da nova Lei Geral de Proteção de Dados e das dezenas de leis setoriais, as aulas contarão com análises sobre a evolução e a distinção do conceito de privacidade e de proteção de dados pessoais; a concessão, ?privatização? e uso de bases de dados de órgãos públicos, como do sistema do bilhete único e do caso SERPRO; a regulamentação das Operadoras de Transportes Credenciados, como Uber em São Paulo, que envolveu o repasse de dados pessoais à Administração Pública.

Além disso, será avaliada a legalidade do sistema de credit scoring e a decisão do Superior Tribunal de Justiça/STJ no que diz respeito à proteção dos dados dos consumidores e possíveis parâmetros para governança de algoritmos no Brasil; o Marco Civil da Internet como um microssistema de proteção de dados pessoais e os bloqueios de aplicações, como do WhatsApp, no Brasil.

Do ponto de vista legislativo, as aulas também abordarão os detalhes da Lei Geral de Proteção de Dados Pessoais por meio de uma análise comparativa junto ao Regulamento Europeu de Proteção de Dados Pessoais (GDPR).

Em relação à GDPR, haverá a simulação de implementação de programas corporativos de proteção de dados pessoais, como data protection impact assessement (DPIA), privacy e data protection by design.

O objetivo do curso é capacitar o aluno a desenvolver modelos de negócio inovadores e atuar na formulação de políticas públicas, tornando-os capazes de lidar com os novos desafios regulatórios e jurídicos de uma sociedade cada vez mais orientada por dados (data-driven society), tanto no âmbito privado quanto público.

A linguagem e a metodologia do curso de extensão possibilitará que profissionais do direito e das diferentes áreas ligadas a compliance e regulação de novas tecnologias, bem como empreendedores, gestores e formuladores de políticas interajam entre si e aprofundem seus conhecimentos sobre proteção de dados pessoais e privacidade.

As inscrições podem ser feitas aqui e no site do curso e. As ementas das aulas e a bibliografia do curso também estão disponíveis aqui.