Estamos mudando o site. Participe enviando seus comentários por aqui.

Lei de dados requer cooperação judicial mundial para obter plena eficácia

Detalhada no Projeto de Lei da Câmara (PLC) 53/2018, a Lei de Proteção de Dados Pessoais (saiba mais abaixo), aprovada de maneira unânime por senadores na última semana, terá um tempo de adaptação até que suas regras sejam plenamente percebidas pelo cidadão comum, dentro ou fora de rede mundial de computadores. Alguns efeitos da nova legislação terão efeito imediato, segundo especialistas ouvidos pelo Congresso em Foco, mas outros pontos demandarão acordos de cooperação judicial fora do Brasil para ter plena eficácia.

A explicação é clara: grupos de análise de dados na internet – entre eles os chamados hackers, "piratas" cibernéticos, que atuam à margem de qualquer lei – podem insistir em violar a privacidade dos brasileiros fora de nosso território nacional. E, nesses casos, apenas acordos internacionais de cooperação judicial podem ser capazes de coibir abusos ou, no limite, punir transgressores.

Concebida para proteger dados pessoais, a matéria regulamenta uso, proteção e transferência desse tipo de informação no Brasil, mas só estará em vigência um ano e meio depois de promulgada (tornada lei). O período é para que empresas púbicas e privadas tenham tempo de se adequar às novidades. Inspirada no modelo de proteção de dados europeu – o GDPR, sigla para General Data Protection Regulation – a matéria avança no sentido de fazer com que dados pessoais no Brasil só possam ser manipulados, por quem quer que seja, com a devida autorização da pessoa em questão.

Mas o principal propósito da nova legislação pode cair por terra caso autoridades de países implicados em eventuais violações não atuem de forma conjunta. Ou seja, o não alcance da lei brasileira em outros países, nos casos em que não houver acordo bilateral, fará com que continuem desprotegidos os chamados "dados sensíveis", que englobam questões como etnia, orientação sexual, religiosa, ideológica e político-partidária dos usuários. Nesse sentido, a proliferação das chamadas fake news, as notícias falsas, seria um dos efeitos mais nocivos.

"Com relação à possibilidade de haver uma indústria de fake news no interior da Rússia, do Paraguai ou de qualquer outro país, poderemos ter o mesmo drama que qualquer outro país que tenha uma lei de dados pessoais tem: vamos precisar de acordos de cooperação judiciária. Assim como a GDPR, a legislação brasileira prevê que, uma vez entrando na parte sancionatória, não seja possível identificar o ofensor, aquele que fez a lesão de direitos, no território nacional, porque ele está fora [do país], busque-se acordo de cooperação judiciária com o governo russo, por exemplo, para implementar a legislação de dados pessoais", explica o advogado Rafael Zanatta, que encabeça o programa de direitos digitais do Instituto de Defesa do Consumidor (Idec).

A questão da interação global tem um fator complicador. Ao contrário do que houve na Europa, que já dispunha de órgãos destacados para receber denúncias de má gestão de dados antes da implementação do GDPR, o Brasil ainda não tem qualquer estrutura institucional para desempenhar a função. Logo, no caminho inverso, a nova lei implicará a criação de tal estrutura de fiscalização.

À parte a questão institucional, Zanatta diz que os acordos bilaterais podem se dar por meio de tratados de assistência jurídica ou de forma mais direta, entre autoridades brasileiras e ministérios da Justiça de outros países, por exemplo. O advogado acrescenta que a segmentação dos usuários em categorias com fins de exploração comercial, principalmente por meio do direcionamento de publicidade, apenas exigirá readequação de empresas digitais, para efeito de cumprimento da lei, sem implicações nos negócios.

"O Facebook e o Twitter vão continuar podendo fazer isso, desde que eles façam uma renovação de seus termos de uso e a partir da obtenção do consentimento específico e apartado. Eles continuarão a operar com a mesma lógica que operam, de estruturar um tipo de produto que é uma capacidade de segmentação que ninguém mais oferece – e, assim, fazer com que os anunciantes paguem para acessar os dados de determinado grupo. Isso não afeta o negócio deles", arremata o especialista.

Reposicionamento

A formulação da lei pelo Congresso brasileiro segue o movimento internacional de readequação do arcabouço legal sobre dados pessoais. A consequência é que grandes grupos de tecnologia, comércio virtual e consumo online têm sido obrigados a fortalecer o controle e a transparência de seus modelos de negócio.

Um caso emblemático de punição sob os novos tempos da informação digital foi a multa fixada há uma semana pelo judiciário do Reino Unido ao Facebook. A rede social foi responsabilizada pelo vazamento irregular de dados de usuários, em 2016, à Cambridge Analytica, grupo de consultoria que atuou tanto na definição da estratégia digital da campanha de Donald Trump, eleito presidente dos Estados Unidos, como na que levou ao plebiscito do "Brexit", que decidiu pela saída do Reino Unido da União Europeia. O custo da exposição indevida de dados: 500 mil euros, algo em torno de R$ 2,6 milhões, o mais alto valor que a legislação correspondente prevê. O pagamento da multa está sob negociação.

"Em linhas gerais, não se espera que haja alterações no modelo de negócio da publicidade digital. Apenas uma maior preocupação com a transparência de processos", ressalva Cristiane Camargo, diretora-executiva do IAB Brasil, braço brasileiro do Interactive Advertising Bureau, entidade que representa o setor da publicidade digital.

Senado aprova projeto de lei sobre proteção de dados pessoais

O IAB Brasil diz que a nova lei é importante não só para a preservação da privacidade do cidadão comum. Voltado para o desenvolvimento da mídia interativa no Brasil, o grupo lembra que a proposta de legislação envolve todos os atores envolvidos no uso de dado pessoal, sejam eles do setor público ou privado, especialmente o mercado publicitário (anunciantes, agências de publicidade, plataformas e provedores de soluções tecnológicas).

Entre os benefícios da legislação, ainda segundo a entidade, estão o aumento da transparência no tratamento desses dados, de maneira a diminuir os casos de fraude ou vazamento de dados, e da proteção ao cidadão, na medida em que exige das empresas do setor a autorização para utilização de seus dados com fins específicos. "Dessa maneira, o consumidor deve sentir-se mais seguro para compartilhar informações", arremata Cristiane Camargo.

Nas mãos de Temer

O texto que foi a voto em plenário na última sexta-feira (10), foi apoiada por grupos como Facebook e Twitter, que se veem enredados em investigações criminais que demandam divulgação de informações de usuários. Na quase totalidade dos casos, as apurações esbarram no preceito constitucional da privacidade, desdobrando-se em disputas jurídicas como a que resultou nas recentes interdições de outra ferramenta de comunicação, o WhatsApp, aplicativo de comunicação muito usado em celulares.

Depois de cerca de oito anos de tramitação, o PLC 53/2018 superou a burocrática etapa de tramitação na Câmara e no Senado e está à espera do aval do presidente Michel Temer (MDB) – que pode vetá-la, com encaminhamento de eventual veto para que o Congresso dê a última palavra; ou sancioná-la, tornando-a lei vigente. A partir de então, além das redes sociais já mencionadas, outros gigantes como Google e Instagram terão que se submeter à nova lei.

Entenda

O texto cria a Autoridade Nacional de Proteção de Dados, órgão regulador vinculado ao Ministério da Justiça, e visa dar aos cidadãos mais controle sobre suas informações pessoais: ao exigir consentimento explícito para acesso e utilização dos dados – seja o gestor de dados do poder público ou da iniciativa privada –, impõe oferta de alternativas para que o usuário visualize, retifique e exclua tais informações. Também é criado o Conselho Nacional de Proteção de Dados, colegiado formado por 23 representantes do Poder Público, da sociedade civil, de empresas e de instituições científicas e tecnológicas, com o objetivo de propor diretrizes estratégicas e auxiliar a autoridade nacional.

Para coletar e manusear dados individuais, empresas ou entes da Federação têm que solicitar autorização ao titular de tais informações de forma clara, em cláusula específica, e não genericamente. Caso a coleta de dados tenha sua finalidade modificada, o solicitante deve requerer novo consentimento, que pode ser revogado a qualquer tempo, se o titular assim preferir.

Mas há situações excepcionais em que o consentimento não é necessário: casos de proteção da vida, de cumprimento de obrigação legal e de procedimento de saúde. A mais controversa dessas exceções é o chamado "legítimo interesse", em que o interessado em coletar dados de terceiros o faz para um propósito e decide usá-los para outro, sob alegação de "finalidade legítima" prevista na proposta de legislação, "a partir de situações concretas". Neste caso, apenas dados "estritamente necessários" podem ser usados.

São assegurados ao titular uma série de direitos. A qualquer tempo, a lei garante acesso a informações que determinada empresa ou ente reuniu sobre cada usuário, incluindo-se finalidade, forma e duração do tratamento. Fica preservado ao indivíduo o direito de saber se houve uso compartilhado de seus dados com algum outro agente, e com qual finalidade.

Também é garantida ao titular a correção de dados incompletos, a exclusão de registros por ele considerados desnecessários e/ou excessivos e a portabilidade das informações para outro provedor de serviço – isto é, o titular de um e-mail pode requerer a transferência de todas as suas mensagens para outra plataforma. Ainda é garantido ao titular solicitar a revisão de decisão automatizada baseada em suas informações, entre elas a classificação para obtenção de crédito.

Punição

O projeto também proíbe o emprego das informações pessoais com fins de discriminação ilícita ou abusiva, fixando punições para tais desvios (multa diária de até R$ 50 milhões, bem como proibição parcial ou total do exercício de atividades relacionadas à análise de dados). Nesse sentido, fica vedado o cruzamento de informações pessoais, bem como de determinado grupo, com o objetivo de subsidiar ações comerciais – detecção de perfil de consumo para embasar ofertas de bens ou serviços, entre outras atividades –, políticas públicas ou atuação de órgão público.

Nesse ponto da nova legislação, os efeitos da mudança serão imediatamente sentidos pelo cidadão comum, diz Rafael Zanatta. Como exemplo, ele cita a proibição de uma forma recorrente de monitoramento público em metrópoles como São Paulo e Brasília, que dispõem de inúmeras câmeras instaladas por órgãos municipais e estaduais em pontos estratégicos. Monitoramento que, mais recentemente, passou a contar com a utilização de drones, aparelhos autopropulsores com câmeras acopladas para gravações e transmissões aéreas de imagens.

"Serão proibidas as coletas de informações biométricas – do rosto, da expressão, da emoção – em locais públicos, por meio de drones ou câmeras de vigilância em metrôs, que é uma coisa que São Paulo está fazendo na Linha 4. Eles [autoridades] instalaram lá as câmeras inteligentes: mostram a propaganda da Coca-Cola, por exemplo, e detectam se você sorriu, se ficou triste, se olhou para o lado... Criaram um identificador único para cada registro de traço biométrico. Isso é assustador. Essa lei proíbe isso, e que você revenda essas informações para anunciantes", afirma Zanatta. Para ele, "o passo que o Brasil está dando é fundamental".

O futuro dirá

A despeito da aprovação por unanimidade no plenário do Senado, o projeto ainda traz mais dúvidas do que respostas. Estudiosos do assunto têm dito que a eficácia da matéria será testada com o transcorrer do tempo, em que pese a sintonia entre as nações sob cooperação mútua, no caso de violações eventualmente praticadas fora do país cuja legislação tenha sido desrespeitada. Mas, em linhas gerais, o projeto é bem visto por grupos que trabalham com dados pessoais.

"É de se esperar que o setor como um todo tenha de ajustar-se para atender às determinações da lei, o que pode variar em grau a depender do que a regulamentação a ser definida determinar. Sempre que uma nova regra, legislação ou regulamento entra em vigor é necessário um tempo de amadurecimento para seu entendimento por todos aqueles que são afetados por ela e sua adoção na prática", acrescenta Cristiane Camargo, do IAB Brasil, lembrando que a lei só entrará em vigor um ano e meio após a sanção presidencial. "Ou seja, no mínimo a partir de 2020."

Rafael Zanatta, do Idec, prevê que "um grande pacto entre vários setores" sirva como reação aos casos de violação da lei. Além disso, ele vislumbra que o Ministério Público pode ser fortalecido temporariamente como órgão fiscalizador, junto com a Secretaria Nacional do Consumidor (Senacon), "para fazer um trabalho preventivo e poder segurar as pontas, por assim dizer, até 2020".

"Eventualmente, pode-se recorrer a medidas técnicas como a combinação da lei de dados pessoais com o Marco Civil [da Internet], em seus artigos 11 e 12, que dispõem sobre as sanções por violações ao direito à privacidade. Elas são cumulativas: primeiro, tenta-se sancionar multando; depois, tenta-se impedir a utilização daquelas informações que foram obtidas ilegalmente; e, no último caso, pode-se empregar técnicas de bloqueio de IPs [internet protocol, sigla em inglês que designa cada computador conectado à rede]. Ou mesmo tentar punir esse violador impedindo, tecnicamente, que essas pessoas possam acessar páginas alheias e continuar gerando lucro para suas empresas", sugere Zanatta.

Tais providências, acredita o advogado, podem significar um duro golpe para os violadores, que vendem dados para parceiros comerciais via deep web – a "internet profunda", cujo acesso é mais difícil e direcionado a um público menor e mais especializado. "Ou eles tentam montar páginas de acesso, de consulta, em que a renda deles é de publicidade. Se você bloqueia o acesso a essas páginas, você corta a fonte de financiamento", exemplifica. Com a nova lei, tais atividades passam a ser consideradas ilegais caso não haja consentimento do usuário.

Diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS-Rio), Ronaldo Lemos também elogiou o projeto de dados pessoais e lembrou ao site que cerca de 120 países já possuem leis relativas à privacidade individual. "E o ponto principal: a lei brasileira introduziu elementos que equilibram essa burocracia [de acesso a dados]. Um deles é o chamado ‘legítimo interesse’, que é uma exceção à necessidade de se obter o consentimento”, observou o pesquisador, referência internacional em assuntos como mídia, tecnologia e propriedade intelectual.

Para Ronaldo, a nova lei vai dar mais segurança jurídica a profissionais do setor. "Até hoje quem trabalha com dados vivia em uma zona cinzenta, sem saber o que era certo e o que era errado. Agora vai dar para saber."

 

Fonte: Agência Senado

 

Deputados barram apresentação de projetos populares pela internet

Continuar lendo