O Brasil e a Lei de Proteção de Dados

Dado pessoal é a moeda da economia digital. Um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas. Não há dúvida sobre a importância do dado pessoal para o desenvolvimento econômico global.

As maiores potências mundiais estão se esforçando ativamente para desenvolver uma vibrante economia baseada em dados, como as estratégias digitais do Reino Unido e da Alemanha. Inclusive o Brasil, com o recentíssimo decreto que estabeleceu a Estratégia brasileira para Transformação Digital.

As maiores potências mundiais estão se esforçando para desenvolver uma vibrante economia baseada em dados

Fato é que na era digital cada vez mais negócios são baseados em dados e isso não mudará. Muito pelo contrário, na era do Big Data, da Internet das Coisas e da Inteligência Artificial, é impossível pensar no oposto.

Se a discussão do problema é baseada exatamente no modelo de negócio da maioria das entidades que atuam no segmento digital e não há qualquer hipótese que se sustente juridicamente de impedir por completo uma economia baseada em dados, que são coletados, tratados e utilizados como contrapartida para excelentes serviços, é preciso haver freios e contrapesos para que tal exploração seja realizada de forma justa, transparente e proporcional.

No Brasil, mesmo diante da existência de ao menos 30 leis setoriais aplicáveis, há anos se discute um necessário marco legal de proteção de dados pessoais, principalmente para trazer maior segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e o fomento à economia digital, bem como visando, com um nível de legislação compatível com outros países, proporcionar a facilitação ao fluxo de transferência internacional de dados.

E finalmente poderemos ser brindados com a Lei Geral de Proteção de Dados brasileira (LGPD), com a esperada sanção presidencial ao Projeto de Lei nº 53/2018, que já foi votado e aprovado na Câmara dos Deputados e no Senado, o que ocorreu, nesta última Casa legislativa, esta semana.

O PL em questão conta com previsão de criação de uma Autoridade Nacional de Proteção de Dados e sanções administrativas de até 2% do faturamento da pessoa jurídica no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração, independentemente de outras sanções administrativas, civis ou penais definidas em legislação específica.

A futura lei, caso aprovada, aplicar-se-á a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Alguns dos mais relevantes princípios para tratamento de dados pessoais são: finalidade, ou seja, para propósitos legítimos, específicos, explícitos e informados ao titular; necessidade, com limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; transparência, com informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial. E ainda segurança, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Entre outros, destaca-se como requisito taxativo para o tratamento o consentimento, que é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, por escrito ou por outro meio que demonstre a manifestação de vontade.

Outro ponto relevante da futura lei é o relatório de impacto à proteção de dados pessoais, documentação do responsável que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação destes riscos.

Além disso, o responsável deverá comunicar ao órgão competente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável.

Por fim, um cuidado que se deve ter, é que a Autoridade de Proteção de Dados, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a indústria, buscando, ao invés de inquisição e sanção, dar prioridade ao diálogo, apoio, mútua cooperação, orientação, conscientização e informação.

As sanções devem ser a "ultima ratio", principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.

Assim, finalmente o Brasil poderá contar com uma robusta legislação em termos de proteção de dados pessoais. O que possivelmente aprimorará o desenvolvimento tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo protegerá aos dados pessoais dos cidadãos em nosso país, trazendo um equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança.

Rony Vainzof é advogado, coordenador e professor da pós-graduação de Direito Eletrônico da Escola Paulista de Direito e diretor do Departamento de Segurança e Defesa da Fiesp

Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O jornal não se responsabiliza e nem pode ser responsabilizado pelas informações acima ou por prejuízos de qualquer natureza em decorrência do uso dessas informações

Fonte : Valor