Apesar da previsão constitucional que protege a intimidade dos cidadãos, o Brasil é um dos poucos países com expressividade econômica na América do Sul que ainda não tem lei específica para proteção de informações pessoais em bancos de dados. Atento a essa necessidade, o Ministério da Justiça iniciou em dezembro de 2010 uma consulta pública sobre o anteprojeto de lei que pretende garantir a proteção de dados pessoais, inclusive na internet. Apesar de bastante técnica, a proposta tem sido elogiada, pois deverá regular redes sociais e dados de proteção ao crédito. O desafio, segundo especialistas, é fechar o texto o mais rápido possível, para que possa ser encaminhado ao Congresso Nacional.
O debate sobre a proposta de proteção de dados pessoais está sendo feito por meio de um blog da plataforma pública Cultura Digital. O encerramento da consulta pública estava marcado para o dia 31 deste mês, porém, foi prorrogado para 31 de março. Com a lei, o governo pretende criar um marco regulatório e o Conselho Nacional de Proteção de Dados Pessoais para gerenciar o uso e a divulgação de informações como endereço pessoal, número de documento do cidadão, situação de crédito e até os chamados "dados sensíveis", entre eles a opção religiosa e sexual.
Hoje, muitos desses dados são fornecidos ao governo, a empresas ou a sites na internet pelo cidadão e, posteriormente, usados sem o seu conhecimento. Há casos de empresas que vendem ou cedem a terceiros dados pessoais de seus clientes sem autorização. A partir da aprovação da lei, as pessoas terão de dar o seu consentimento para que qualquer empresa ou banco possa utilizar as suas informações. A regra vai valer também para multinacionais.
De acordo com o doutor em Direito Civil Danilo Doneda, consultor do Ministério da Justiça e um dos responsáveis pela elaboração do anteprojeto, a proposta não se baseia na ideia de "silêncio", ou seja, de sigilo dos dados pessoais, mas sim de controle. Numa compra feita a prazo, em que é necessário cadastro do consumidor, a empresa terá de pedir autorização expressa para usar as informações e dizer o que vai fazer com os dados.
"O consumidor tem de ser informado das consequências da compra e o motivo de as informações serem solicitadas. Em compras feitas à vista, ele não precisa informar o quanto ganha, por exemplo. Entendo que este caso fere o princípio da proporcionalidade, pois ninguém pode pedir mais informação do que a necessária", explicou.
Em linhas gerais, o texto estabelece que as informações pessoais somente sejam tratadas com a autorização do próprio titular e para determinado fim. "A ideia básica é dar poderes para o cidadão saber o que está sendo feito com suas informações. Somente o titular da informação pode determinar como ela será usada. Ou seja, esse dado não pode der vendido ou repassado para terceiros, como empresas de recursos humanos." Doneda destacou que o anteprojeto oferece dispositivos gerais para a proteção legal em todos os casos que envolvam armazenamento de dados, seja no ambiente online, nas relações de consumo ou mesmo quando os dados são solicitados pelo Poder Público.
Sem uma lei específica, cada setor regula a proteção de dados de maneiras diferentes, o que gera vulnerabilidade para o cidadão, que acaba por não conhecer seus direitos, e insegurança jurídica para o mercado e o Estado. Nesse sentido, o anteprojeto tem duas vertentes: garantir a proteção do cidadão e a permanência de investimentos no país. "Uma empresa europeia, por exemplo, pode deixar de fazer negócios no Brasil, pois não temos garantias de que informações relativas à empresa ou aos seus funcionários serão protegidas aqui."
Entre as dores de cabeça que um cidadão pode ter com a falta de proteção de seus dados pessoais estão clonagem de identidade, fraude bancária, vazamento de dados ou mesmo discriminação. Doneda informou que há casos de formação de bancos de dados com informações genéticas ou acerca da saúde das pessoas. Esses dados podem ser usados por uma empresa em um processo de seleção de funcionário. "Não estamos falando apenas de privacidade ou intimidade, estamos tratando do direito de liberdade e de dignidade das pessoas."
Com a falta de uma norma específica, em muitos casos o cidadão que se sente prejudicado recorre ao Código de Defesa do Consumidor, que assegura, por exemplo, o direito do consumidor de ter acesso a informações pessoais arquivadas sobre ele e de exigir a imediata correção de dados inexatos. Porém, quando não há relação de consumo, é mais difícil garantir uma reparação. O cidadão precisa juntar uma série de provas e procurar a Justiça, o que muitas vezes é caro e demorado.
Para o advogado Leonardo Palhares, do escritório Almeida Advogados e coordenador do Comitê Jurídico da Câmara Brasileira de Comércio Eletrônico, as discussões sobre o anteprojeto de lei são importantes, pois, ao contrário de vários países, o Brasil ainda não tem normas que tratam do assunto. "Na medida em que a proteção de dados trata do direito à privacidade, o país já tem um dispositivo sobre o tema, que é a Constituição. Porém a falta de uma lei específica gera dificuldades na aplicação desse direito constitucional e confusões quanto à extensão da proteção dos dados."
Início
O anteprojeto do Brasil foi inspirado na principal norma da União Europeia que trata de proteção de dados, a Diretiva 95/46/EC. Normas de países vizinhos também serviram de base. Na América do Sul, o Chile saiu na frente, sancionando lei específica em 1999. Em seguida, veio a Argentina, em 2000. No Uruguai, a lei específica do país passou a valer em 2004.
O texto preliminar começou a ser formulado em 2005, a partir de uma pesquisa feita pelo Ministério da Justiça e por uma equipe da Fundação Getulio Vargas do Rio de Janeiro. O grupo de trabalho estudou normas internacionais e como elas poderiam se encaixar na realidade brasileira. No fim de 2010, o texto foi colocado à disposição para consulta pública na internet. "Esta é uma medida relativamente nova, mas que tem sido utilizada pelo Ministério da Justiça, sobretudo nos assuntos relacionados a tecnologia. Esse é o processo de elaboração de lei no seu formato mais democrático", considerou Palhares.
Por meio do blog, os interessados podem fazer comentários artigo por artigo. Após o término do prazo para consulta pública, os comentários serão analisados pelo Ministério da Justiça e incorporados ao texto, caso o órgão julgue interessante. Só depois ele será enviado ao Congresso Nacional. Para Palhares, apesar de ser um projeto de iniciativa do Executivo, a consulta pública já propicia uma pré-validação do texto.
Penalidades
De acordo com o artigo 41 do anteprojeto, o uso inadequado dos dados pessoais prevê apenas sanções administrativas, entre elas multa, bloqueio dos dados pessoais, dissociação dos dados pessoais, cancelamento dos dados pessoais, proibição do tratamento de dados sensíveis, suspensão temporária de atividade e proibição de funcionamento do banco de dados. As multas podem variar de R$ 2 mil a R$ 6 milhões.
Para Doneda, o fato de o anteprojeto não prever sanções penais não significa que a medida não possa ser incorporada no texto posteriormente. "Na Europa, há normas com dois ou três sanções penais, mas pouco aplicadas, determinadas para deixar claro que algumas irregularidades são mais graves que outras." Ele explicou que as multas são necessárias para que se crie uma cultura de respeito sobre a utilização dos dados. "As empresas e as pessoas precisam entender que o uso indiscriminado dessas informações gera danos. Hoje, ou essas informações são tratadas com pouco caso pelas empresas, pelo governo ou pelo próprio titular, ou há projetos de informática para proteção com falhas."
De acordo com o anteprojeto, o órgão responsável pelo cumprimento da lei será o Conselho Nacional de Proteção de Dados Pessoais. A instituição existe em quase todos os países que já possuem normas específicas de proteção. Além de agir como agente fiscalizador, o conselho também receberá reclamações. De forma geral, caberá à entidade elaborar e executar ações da política nacional de proteção de dados pessoais; receber e encaminhar denúncias e sugestões referentes à proteção das informações; e aplicar sanções quando a lei for desrespeitada.
"O órgão poderá fazer inspeções e estabelecer multas, funcionando como uma entidade parajurisdicional, o que evita que as reparações sejam feitas por via judicial. Entendemos que o conselho deve ser um órgão técnico, portanto, melhor preparado para tratar essas questões do que o Judiciário", explicou Doneda. Ele afirmou ainda que os países que não deram poder de sanção pecuniária ao conselho não conseguiram implementar efetivamente o cumprimento da lei. "A multa demonstra a força do órgão."
O Canadá, por exemplo, conseguiu fazer com que o Facebook alterasse sua política de privacidade graças a sua agência de proteção de dados. O site foi obrigado a evitar que as aplicações desenvolvidas por terceiros instaladas em sua plataforma tivessem acesso irrestrito aos dados do perfil de uma pessoa apenas a partir de um consentimento genérico. Também teve de estabelecer instrumentos e regras claras para que seus usuários pudessem apagar sua conta (e não somente desativá-la), e tomar medidas para garantir que os dados pessoais de quem não fosse usuário não acabasse sendo expostos sem seu consentimento.
Apesar de não estar previsto no projeto, o conselho deve ter autonomia administrativa, orçamentária e financeira, uma vez que também vai fiscalizar a atividade do Estado em relação aos dados pessoais. "A composição desse conselho é um tema que está em debate."
Dados sensíveis
De acordo com o advogado Victor Haikal, especialista em Direito Digital do escritório Patricia Peck Pinheiro Advogados, o projeto é bastante inovador, principalmente nas questões que tratam do compartilhamento de base de dados e na divulgação de dados pessoais e sensíveis a terceiros.
"A nossa legislação prevê sanções quando a divulgação de dados pessoais é usada para ferir a imagem, a honra ou a privacidade do cidadão. Mas não há sanções sobre a atividade de se transferir dados de uma empresa para outra. Isso é muito comum na internet. Percebemos isso com as malas diretas que chegam de empresas que nós não conhecemos." Atualmente, segundo Haikal, não existe um prazo de vencimento para que as informações sejam armazenadas e o cidadão só pode obrigar a empresa a excluir suas informações de sua base de dados pela via judicial.
Com relação aos dados sensíveis, nenhuma pessoa poderá ser obrigada a fornecer informação que possa ocasionar discriminação do titular, como origem racial ou étnica, convicções religiosas, opiniões políticas e filiação sindical ou partidária. Também serão consideradas sensíveis as informações referentes à saúde e à vida sexual, bem como os dados genéticos. O texto proíbe que sejam formados bancos de dados com as informações consideradas sensíveis, a não ser em disposição legal expressa. Nesse caso, o consentimento do usuário deverá ser manifestado por escrito.
Haikal apontou pontos passíveis de discussão, como o artigo 32, que diz que "comunicação e interconexão de dados pessoais entre pessoas jurídicas de direito público será admitida nos casos em que suas competências não versem sobre matérias distintas". Ou seja, as cortes e órgãos que tratam de ações cíveis ou criminais não poderão trocar dados pessoais com órgãos especialidades em ações tributárias, por exemplo.
De acordo com o anteprojeto, a comunicação de dados pessoais entre pessoas jurídicas de direito público com competências sobre matérias distintas será admitida mediante expressa previsão legal, sempre no respeito aos direitos dos titulares dos dados ou quando for necessária para a realização das suas competências institucionais. No caso de crianças, a coleta de dados apenas poderá ocorrer com a permissão dos responsáveis legais, além de ser vedado o uso dessas informações para fins comerciais.
Além disso, serão fornecidas informações como: a natureza obrigatória ou facultativa do fornecimento dos dados; as consequências de uma eventual negativa em fornecê-los; o âmbito de difusão das informações. O texto indica ainda a indicação de um diretor responsável pelo tratamento dos dados será obrigatória para as empresas com mais de 200 empregados.
Haikal destacou ainda que o inciso terceiro do artigo 33, que trata da negação do cancelamento do tratamento de dados pessoas pelos responsáveis pelo banco de dado público, não fala sobre atividade criminosa. "Acredito que isso é um descuido, pois prevê certo engessamento de dois órgãos investigativos de obter dados como se fosse uma rede interligada, para proteção da ordem pública."
Demora na lei
A discussão sobre a normatização da matéria ainda é muito incipiente. Não há prazo nem para que o projeto de lei fique pronto. Porém, os especialistas acreditam que, pelo cuidado com que o tema está sendo tratado agora, sendo elaborado por um corpo técnico e discutido livremente com a sociedade, é possível que a proposta chegue mais afinada no Congresso e que, por isso, o projeto seja aprovado com mais facilidade.
Desde 1999, o Congresso analisa o Projeto de Lei 84, conhecido como Lei Azeredo, que trata dos crimes virtuais. Não há consenso sobre a matéria. Haikal avalia que, nesse caso, possa haver uma falta de conhecimento sobre tecnologia dos elaboradores da lei, o que gera insegurança. Porém, pode haver falta de interesse dos parlamentares.
Questão comercial
A proteção de dados, principalmente em ambiente virtual, não obedece fronteiras. Uma coisa é falar de dados que estão guardados numa repartição pública. Outra é tratar de proteção de dados que estão na web. É por isso que, segundo Palhares, a legislação brasileira que vai tratar do tema deve seguir uma tendência mundial. "A legislação tem de ser adequada às práticas internacionais para garantir a segurança nos troca de dados."
A proteção de dados é uma segurança necessária para garantir investimentos no país. A Argentina, por exemplo, sentiu necessidade de se posicionar sobre o tema em 2000, em meio a uma crise econômica. "Os argentinos dependem muito do comércio exterior. Em sua balança comercial, têm quase o dobro de participação de recursos de fora do que o Brasil. Com a crise, o país começou a perder muitas oportunidades, porque não tinha normas específicas", explicou Doneda.
O Comitê Jurídico da Câmara Brasileira de Comércio Eletrônico vai iniciar um longo debate para compilar sugestões que atendam as necessidades da iniciativa privada, por meio da criação de um grupo de trabalho. As reuniões começam nesta semana. Dentre os pontos de preocupação há a forma como será composto o conselho, medida que não foi estabelecida pelo anteprojeto de lei. "O conselho deve ser paritário, com a representação de todos os segmentos da sociedade e com força suficiente para garantir o cumprimento da lei", afirmou Palhares.
Na última quarta-feira (19/1), o comitê se reuniu para discutir os principais pontos do anteprojeto. O evento contou com a participação de Danilo Doneda. "Os representantes das empresas se mostraram bastante interessados e receptivos. O mercado gosta de regras claras, que permitem o cumprimento da lei sem interpretações diferentes. As empresas querem respeitabilidade", comentou Doneda.
Fonte: Conjur – Consultor Jurídico (25.01.11)