Quais os vetos de Bolsonaro à lei dos dados pessoais

Nova legislação criou órgão para zelar pela privacidade digital, mas alterações podem extinguir revisão humana de decisões tomadas por máquinas em bancos e operadoras de planos de saúde

     

    O presidente Jair Bolsonaro sancionou uma lei que dispõe sobre coleta, tratamento, armazenamento ou comercialização de dados pessoais na internet. Aprovada em 9 de julho de 2019, a Lei Geral de Proteção de Dados (13.853/2019) estabelece direitos do cidadão em relação ao uso de suas informações por entidades públicas e privadas no âmbito digital. Também delimita as condições para a atuação de empresas e órgãos que lidam com dados.

    A legislação cria a Autoridade Nacional de Proteção de Dados (ANPD), integrante da estrutura da Presidência, mas com autonomia de decisão. Também estabelece o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que reunirá governo, sociedade e empresas do setor.

    No texto final, Bolsonaro vetou 14 pontos da primeira versão da lei, aprovada em agosto de 2018 pelo presidente Michel Temer. Entre os vetos, um dos mais controversos é o fim da obrigatoriedade de revisão humana em caso de recurso contra decisão de sistema de inteligência artificial. Outro ponto vetado que deve gerar discussão é aquele referente a proteção a pessoas que fazem solicitações via Lei de Acesso à Informação.

    “Somente com uma entidade regulatória com independência financeira e institucional, dotada de um corpo técnico altamente profissionalizado, é que a lei poderá ser concretizada”

    Bruna Martins

    Analista de advocacy e políticas públicas da Coding Rights

    As empresas de tecnologia comemoraram a aprovação do projeto. Representado pela Brasscom (Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação), que tem entre seus associados a Amazon, o Facebook e a Uber, o setor teve atuação decisiva na elaboração das modificações da lei.

    Em comunicado enviado ao Nexo, a entidade frisou que a ANPD será o “órgão central para a operacionalização do arcabouço jurídico da proteção aos dados pessoais”. Para a Brasscom, a independência da autoridade reflete “o compromisso do Brasil com a nova economia intensiva de dados”.

    A nova autoridade

    Na visão de Bruna Martins, analista de advocacy e políticas públicas da Coding Rights, organização especializada em questões de direito na internet, a criação da autoridade deixa o cidadão mais protegido na internet. Falando ao Nexo, ela também assinalou que a nova autarquia proporciona “garantia de segurança jurídica para os agentes de tratamento de dados pessoais”.

    Martins alerta, no entanto, para a alteração realizada por Bolsonaro quanto ao status da ANPD. Ela estará conectada à estrutura administrativa da Presidência, com cargos já previstos no quadro do governo, só que terá autonomia decisória e deliberativa. Esse desenho será avaliado por dois anos. Ao final do período, o Executivo decidirá se ele permanece assim ou se será convertido em autarquia vinculada indiretamente à administração pública.

    Esse modelo foi escolhido porque a criação de uma nova agência reguladora, nos moldes da Anatel (Agência Nacional de Telecomunicações) teria custo muito elevado. Ao mesmo tempo, era reconhecida a necessidade de uma entidade técnica com capacidade regulatória para trazer confiança ao mercado e à sociedade.

    Bolsonaro justificou o veto à obrigatoriedade de avaliação humana em recursos contra decisões de máquina dizendo que tornaria inviável “modelos atuais de planos de negócios de muitas empresas"

    “Acho importante frisar a importância da transformação em autarquia, uma vez que o simples vínculo da Autoridade Nacional com a administração pública é um fator que a enfraquece. O órgão fica desprovido de autonomia administrativa e, portanto sujeito a eventuais controles políticos e obstáculos para a investigação de práticas ilegais de empresas ou órgãos governamentais que lidam com dados públicos ou até privados. Somente com uma entidade regulatória com independência financeira e institucional, dotada de um corpo técnico altamente profissionalizado, é que a lei poderá ser concretizada”, afirmou ao Nexo.

    Vai na mesma linha um artigo assinado por diversos advogados e pesquisadores especializados no âmbito digital, entre eles Ronaldo Lemos e Rafael Zanatta. No texto, o grupo avalia que a aprovação da lei “é benéfica para o cenário nacional”, mas ressalva que “deve-se atentar para o fato de que parte do sucesso da LGPD dependerá diretamente da prometida independência de facto da ANPD e de nomeações técnicas e representativas para esta Autoridade.”

    Os vetos

    Desrespeito à Lei Geral de Proteção de Dados

    O texto aprovado aboliu punições contra empresas ou órgãos públicos que desrespeitarem o que a lei estabelece sobre o tratamento de dados pessoais. As sanções previstas originalmente incluíam interrupção parcial da operação de banco de dados e a proibição parcial e total de atividades ligadas ao tratamento de dados. Agora não mais. “A lei já é bastante fraca em relação a sanções. O limite de multa é pequeno e grandes empresas que usam dados pessoais vão ignorar a lei se a sanção maior for a multa e o órgão não tiver sanções como bloqueio e suspensão, vetadas”, afirmou Danilo Doneda, professor do Instituto de Direito Público (IDP) e colaborador no processo de preparo da lei, à revista Veja. Já o governo, na justificativa para o veto, alegou que as penalidades geram insegurança às empresas e podem até acarretar “prejuízo à estabilidade do sistema financeiro nacional”, já que bancos trabalham essencialmente com dados de seus clientes, e “afetar a continuidade de serviços públicos”.

    Recurso contra decisões automatizadas

    Atualmente, algoritmos são responsáveis por milhões de decisões envolvendo usuários humanos. Por exemplo, avaliação de crédito por parte de instituição financeira e o gerenciamento de conteúdo nas redes sociais. Pedidos de exames para certas operadoras de saúde, por exemplo, também são negados ou aprovados com base em decisões automatizadas. Mais preocupante, softwares de reconhecimento facial ou de predição de crimes vêm sendo acusados de conter vieses raciais. O presidente Bolsonaro vetou a obrigatoriedade de uma avaliação humana em caso de um indivíduo recorrer de uma decisão de máquina. Na justificativa, o presidente alegou que a obrigação inviabilizaria economicamente “modelos atuais de planos de negócios de muitas empresas, notadamente das startups”. É a mesma linha de argumentação da Brasscom. O caminho vai na contramão de leis aprovadas em outros países, como a General Data Protection Regulation (GDPR) da União Europeia.

    Proteção a quem usa Lei de Acesso à Informação

    Outro ponto derrubado foi a proibição do poder público de compartilhar dados de pessoas que utilizaram a Lei de Acesso à Informação em outros órgãos públicos ou entes privados. Seu objetivo era evitar que solicitantes de informações pudessem sofrer retaliações por suas pesquisas. Além disso, a preservação dos dados de quem usa essa lei serve como incentivo para que mais pessoas a usem.  De acordo com o presidente, a medida teria impacto em “diversas atividades e políticas públicas”.

    Histórico da legislação

    A Lei Geral de Proteção de Dados Pessoais (13.709) original foi o resultado da união de outros dois projetos antigos que caminhavam juntos na Câmara – o PL 4060/2012 e o 5276/2016. No Senado, foi apensado a ele uma outra proposta que tramitava por lá, o PLS (Projeto de Lei do Senado) 330/2013.

    De acordo com seu antigo relator, o deputado Orlando Silva, o atual projeto é importante por centralizar as regras sobre o tema. “As regras existentes, como o Marco Civil da Internet, o Código de Defesa do Consumidor e a Lei de Acesso à Informação, são dispersas e insuficientes para regular questão tão complexa”, escreveu o parlamentar no site Poder 360.

    À época, especialistas disseram ao Nexo que, sem uma legislação específica, o país se isolava e poderia ter problemas ao precisar compartilhar dados de segurança ou realizar transações comerciais que envolvessem dados pessoais com países que possuem legislação mais avançada.“Nenhum país europeu vai poder passar dados para o Brasil sem uma legislação minimamente adequada”, disse Doneda ao Nexo em junho de 2018.

    Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.

    Já é assinante?

    Entre aqui

    Continue sua leitura

    Para acessar este conteúdo, inscreva-se abaixo no Boletim Coronavírus, uma newsletter diária do Nexo: