O Senado Federal aprovou nesta terça-feira (10) o projeto de lei que estabelece os conceitos e as regras gerais que garantem a devida proteção a dados pessoais de cidadãos e consumidores no Brasil, dentro e fora do ambiente digital.
A chamada Lei Geral de Proteção de Dados Pessoais (PLC nº 53/2018) deve ainda obter a sanção do presidente Michel Temer para começar a contagem dos 18 meses dados como prazo para que ela passe a valer.
Dessa forma, governo e setor privado terão um ano e meio para se adequar às exigências da nova potencial lei. O prazo, de acordo com um representante da CNI (Confederação Nacional da Indústria), é “apertado”, porém “adequado” para que as empresas consigam “enxergar os obstáculos e irem se preparando”.
“Todo mundo vai ter que investir e se preparar para isso. Não dá para dizer que é um tempo longo. Ele exige que algumas empresas comecem desde já a se preparar para esse processo. Mas nos parece suficiente”, disse ao Nexo o gerente executivo de Política Industrial da CNI, João Emílio Gonçalves.
O trabalho de adaptação pode variar de empresa para empresa dependendo da sua atividade e, sobretudo, do seu tamanho. Gonçalves cita que a falta de uma distinção entre micro, pequenas e grandes empresas é um dos poucos pontos sobre os quais a entidade é crítica.
“As grandes empresas, principalmente as que já têm operação internacional, já vinham se adequando às legislações existentes em outros países. Para elas, é mais uma adaptação a ser feita dentro de uma cultura já existente”, diz. “Mas para as empresas com operação mais restrita ao mercado doméstico, sobretudo as de pequeno porte, o desafio é um pouco maior.”
Um dos exemplos de obrigações que acarretarão custos a empresários, bem como ao setor público, é a figura do “encarregado”. A lei obriga que empresas e órgãos públicos indiquem um funcionário para ocupar esse cargo, o qual será responsável pela comunicação quando o assunto for dados pessoais.
É ele quem receberá as reclamações de cidadãos e consumidores e adotará as providências para resolver problemas. Ele também será o responsável por orientar funcionários sobre as melhores práticas em relação a dados pessoais na empresa ou órgão público.
“É uma atividade importante, mas se uma empresa tem quatro funcionários e ela desloca um para fazer isso vira um fator de custo, em alguns casos até insuportável para a empresa”, afirma Gonçalves.
A lei, no entanto, já prevê que um órgão, chamado Autoridade Nacional de Proteção de Dados, com competências como a de fiscalizar o cumprimento da lei de dados e até aplicar multas quando necessário, poderá criar normas no futuro que permitam a dispensa da necessidade de um encarregado “conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
De volta aos anos 1990
O impacto da entrada em vigor da Lei Geral de Dados Pessoais, na visão do especialista em privacidade e proteção de dados pessoais, Bruno Bioni, pode ser comparado ao que se deu com o Código de Defesa do Consumidor em 1990.
“Os empresários ficaram apavorados no começo, mas na realidade foi um instrumento super importante em termos de civilização, que estabeleceu padrões que estimularam a economia e o consumo no Brasil”, disse o jurista ao Nexo.
Ele acredita que o que agora é encarado como custo pode passar a ser entendido como um investimento que fará com que o consumidor sinta mais confiança e prefira as empresas guiadas pelas melhores práticas em relação a seus dados.
“Tem um custo econômico? Claro, na década de 1990 também teve. Mas a lei agora também cria novas oportunidades. Cada vez mais a reputação dessas empresas vai ser calibrada pelas boas práticas relacionadas ao tratamento de dados pessoais”, diz Bioni.
O especialista cita o item da lei que cria a obrigação de empresas garantirem a portabilidade dos dados de consumidores que solicitem a transferência para outra empresa.
“Se uma empresa não cuidou bem dos meus dados, teve um vazamento, ela alterou a sua política de dados de um modo com o qual eu não concordo, enfim, eu consigo exigir a transferência dos meus dados daquela empresa para outra que tenha práticas melhores”, diz o especialista.
Pelo lado do empresariado, João Emílio Gonçalves, do CNI, diz que o setor deve absorver os custos de adaptação e que, independentemente do desafio, a legislação prestes a ser sancionada “é muito importante para a indústria”.
“A gente sempre defendeu a lei porque ao mesmo tempo em que ela gera mais segurança e privacidade para o usuário, ela dá muita segurança jurídica para as empresas que coletam e tratam dados, e também para muitas outras que estão em processo de tentar novos modelos de negócio que envolvam tratamento de dados”, afirmou.
Impasse com autoridade
Enquanto tramitava no Congresso Nacional, o projeto ganhou mais atenção quando, no fim de maio deste ano, entrou em vigor na Europa o chamado GDPR, o Regulamento Geral de Proteção de Dados na União Europeia, na sigla em inglês.
Por lá, depois da aprovação formal das novas regras sobre dados pessoais, os países do bloco europeu tiveram dois anos para se adaptarem. Desde 1995, porém, uma diretiva (espécie de texto de referência) já listava os princípios de uma legislação de proteção de dados pessoais e sugeria a criação de uma “autoridade nacional” para regular o tema em cada um dos países.
No Brasil, o PLC 53/2018 usa o texto europeu de base e também prevê a criação desse órgão de controle, o qual funcionaria como uma autarquia, com autonomia funcional e financeira, vinculada ao Ministério da Justiça.
O item que cria o órgão, no entanto, está sendo questionado no momento pelo Poder Executivo. Segundo o jornal Valor Econômico, o MCTIC (Ministério da Ciência, Tecnologia, Inovações e Comunicações) e a Casa Civil defendem que Temer vete parcialmente a proposta, apontando “vício de iniciativa” ou “vício de origem”. Ou seja, a proposta seria inconstitucional por ser oriunda do Legislativo e acarretar custos ao Executivo, o que não é permitido pela legislação brasileira.
Em nota ao Nexo, o Ministério da Justiça informou que o ministro Torquato Jardim endossará a recomendação pelo veto à criação da Autoridade Nacional.
A afirmação é rebatida pelo deputado Orlando Silva (PCdoB-SP), relator do projeto na Câmara, que lembra que o texto originalmente veio do Executivo, proposto pelo Ministério da Justiça do governo Dilma Rousseff.
No lugar, o MCTIC propõe a criação de um órgão “de caráter consultivo”.
De acordo com texto publicado nesta quarta-feira (11) pela Folha de S. Paulo, embora a Autoridade Nacional ainda pudesse ser criada por meio de medida provisória, a constituição de mais um órgão público iria na contramão do objetivo do governo de cortar despesas em até 20% até o fim do ano.
Para Bruno Bioni, a lei de dados pessoais brasileira só terá um impacto semelhante à causada pelo GDPR se vier acompanhada da Autoridade Nacional com poder de fiscalizar, julgar e aplicar sanções. “Além da lei, é fundamental um aparato institucional que coloque pressão regulatória sobre os atores que compõem esse ecossistema”, diz o pesquisador.
Reduzir a Autoridade Nacional a um órgão meramente consultivo, diz Bioni, enfraqueceria o cumprimento da lei e causaria uma “judicialização” dos problemas relacionados a dados pessoais no Brasil.
“Imagina as instâncias do Judiciário aplicando e interpretando essa lei, cada uma de um jeito nos diferentes estados da federação. Ninguém quer isso. Por isso a Autoridade é importante, porque ela garante previsibilidade sobre a aplicação da lei”, diz.
Pelo texto da lei, a Autoridade seria formada por um Conselho Diretor (com três membros) e um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (com 23 representantes do governo, setor privado e sociedade civil).
Sua obrigação é garantir o cumprimento da lei, atender demandas da população, fiscalizar e aplicar multas, além de propor atualizações às normas sobre o tema e propor medidas de conscientização da população sobre dados pessoais no país.
“Autoridade é um padrão na grande maioria dos países que têm leis gerais de proteção de dados pessoais. É uma questão histórica”, diz Bioni.
“Se o Brasil não vier a ter uma autoridade com autonomia funcional e financeira, muito provavelmente ele não será visto como um país em conformidade para receber dados de cidadãos europeus, por exemplo, ou mesmo não estará apto à vaga que ele pleiteia na OCDE [Organização para a Cooperação e Desenvolvimento Econômico].”
Para o gerente executivo de Política Industrial da CNI, a Autoridade “é o órgão capaz de traçar isso de forma técnica e garantir as adaptações e os reparos necessários à medida em que a tecnologia evolui”.
Sem Autoridade, diz João Emílio Gonçalves, a lei ficaria “limitada” e acabaria concentrando o tema nas mãos da Justiça, o que “é pouco diante da intenção da lei” que é a de criar “uma cultura de proteção de dados no país”.
“A lei não é para servir só como um instrumento de repressão. Ela tem um papel de orientação. Por isso a gente tem defendido, até com base na experiência internacional, a importância de se ter um órgão especializado para isso”, diz.
