Autores: José Eduardo Pieri e Rebeca Garcia (*)
O Ministério da Justiça apresentou, no último dia 20 de outubro, por meio da Secretaria Nacional do Consumidor (Senacon), a versão final do Anteprojeto de Lei que disciplina o tratamento de dados pessoais, a ser submetida ao Congresso Nacional. O texto é resultado de um amplo e transparente processo colaborativo e multissetorial, iniciado em 2010 e consolidado após a consulta pública ocorrida entre 28 de janeiro e 5 de julho de 2015, por meio de plataforma online para apresentação de comentários e sugestões — paralelamente à consulta pública sobre a regulamentação do Marco Civil da Internet.
O tema tem especial interesse para o mercado empresarial, uma vez que o avanço da tecnologia tem proporcionado oportunidades, há pouco inimagináveis, no mapeamento de hábitos e tendências de consumo. A precisão na análise de dados pode levar à tomada de decisões com mais confiança e menor margem de erro. Por sua vez, melhores decisões podem significar uma maior eficiência operacional, redução de risco e de custos.
Pelo que já de vê da versão final apresentada, o anteprojeto traz diversas e importantes novidades — sobre as quais só se pode falar, por ora, em caráter especulativo, eis que o caminho pela frente ainda é imprevisível, e pode ser longo. De todo modo, já vale destacar que o objeto da proteção do anteprojeto são os dados pessoais e a privacidade da pessoa natural — não que a pessoa jurídica não tenha proteção, mas ela se dá por outros meios já existentes ou porventura mais desenvolvidos no futuro.
Além de estabelecer importantes princípios e consagrar direitos do titular dos dados, o texto deixa claro que o sistema brasileiro de proteção de dados pessoais não se concentra apenas na figura do consentimento, que pode assumir nuances diversas a depender da relação concretamente considerada. Antes, trata-se especialmente de conferir ao titular dos dados pessoais objeto de tratamento mecanismos que lhe permitam ter maior ou algum controle sobre o tratamento que se faz de seus dados.
Como relação às empresas que se valem de dados pessoais de consumidores, o texto proposto estabelece regras até certo ponto claras, homenageando o fundamental princípio da transparência — que chega de mãos dadas com princípios como o da finalidade (que de ser definida, informada e, especialmente, legítima) e da proporcionalidade. Entende-se que assim haverá maior segurança jurídica para o desenvolvimento de atividades empresariais que se valem do tratamento e uso de dados pessoais para melhor atender seus clientes.
O anteprojeto é importante também por estabelecer conceitos-chave, como o de dados pessoais, tratamento de dados, dados sensíveis, bancos de dados, consentimento etc. Merecem particular atenção, também, as regras previstas com relação aos requisitos para o tratamento de dados pessoais, dentre os quais inclui-se o consentimento livre e inequívoco do titular dos dados, bem como as regras sobre a transferência internacional de dados — que é expressamente permitida, mas em condições e hipóteses bem definidas. A transferência, além de observar o princípio da transparência e a necessidade de consentimento, só pode ocorrer para países que proporcionem nível de proteção ao menos equiparável ao estabelecido na lei que vier a ser sancionada no Brasil.
É possível destacar também o tratamento conferido pela minuta de texto com relação aos agentes envolvidos no tratamento de dados e, especialmente, ao regime de responsabilidade que se lhe aplica. Nesse sentido, por exemplo, estabelece-se regime de responsabilidade solidária e objetiva entre cedente e cessionário em hipóteses de transferência de dados pessoais — prática cada vez mais comum em operações societárias.
Atenção também merecem as regras sobre segurança de dados pessoais e boas práticas, além da instituição da figura do órgão competente para zelar pela implementação e fiscalização da lei de proteção de dados. Segundo o anteprojeto, em caso de incidentes de segurança que possam acarretar risco ou prejuízo relevante aos titulares, deve-se comunicar o órgão competente — e, nos casos em que se possa identificar que o incidente coloque em risco a segurança pessoal dos titulares ou lhes possa causar danos, deve haver pronta comunicação aos próprios titulares dos dados pessoais afetados pelo incidente.
Estas são apenas algumas das tantas inovações inauguradas com o anteprojeto de lei, que é relevante em sua inteireza. Trata-se não só de um passo crucial, mas de importante (e esperado) marco legislativo em matéria de proteção de dados e privacidade, que poderá inserir o Brasil no grupo de países que contam com um nível legislativo considerável de proteção de dados pessoais — o que não apenas garante proteção aos cidadãos, mas pode mesmo fomentar ainda mais negócios, parcerias, acordos.
A proteção de dados pessoais e privacidade da pessoa no Brasil é ainda fragmentada, mas vai ganhando substância com alterações legislativas substanciais, além de ganhar mais espaço no espectro de atenção e participação da sociedade. Regras esparsas continuam sendo editadas, aplacando, de certa forma (e apenas pontualmente), a atual timidez legislativa em matéria de proteção de dados. Não se sabe qual será o destino do anteprojeto de lei recentemente apresentado, ou dos projetos relacionados atualmente em tramitação (não só no Senado, mas na Câmara). Uma coisa, porém, é certa: o país precisa urgentemente de uma lei geral de proteção de dados pessoais. Como há pouco tempo afirmou o senador Aloysio Nunes, relator de dois projetos de lei no Senado relativos ao tema (PLS 181/2014 e 330/2013), “já passa da hora de o Brasil ter uma lei sobre guarda de dados pessoais”.
Autores: José Eduardo Pieri é advogado da área de Propriedade Intelectual do BM&A – Barbosa, Müssnich & Aragão.
Rebeca Garcia é advogada do BMA – Barbosa, Müssnich, Aragão.