Apesar de pioneirismo com Marco Civil, Brasil peca na proteção de dados

O Brasil pode ser considerado um país inovador com a adoção do Marco Civil da Internet, sancionado em abril de 2014, mas ainda está muito atrasado quando o assunto é a proteção de dados pessoais de seus cidadãos, segundo a avaliação de especialistas ouvidos pelo UOL Tecnologia.

Atualmente, mais de 100 países --entre eles potências como Alemanha e França, assim como nações mais próximas à realidade brasileira como Uruguai, Argentina e Paraguai-- estão amparados legalmente em relação à proteção dos dados de seus habitantes, alguns deles desde a década de 1970.

O Brasil, em contrapartida, prolonga a fase de debate público por cerca de cinco anos e ainda parece estar longe de conseguir estabelecer as diretrizes sobre a coleta, o armazenamento e o tratamento tanto de dados pessoais --aqueles que podem identificar um indivíduo--, como de dados pessoais sensíveis, que são caracterizados pela possível discriminação do seu titular, ou seja, opção sexual, convicções religiosas, filosóficas ou morais.

O primeiro debate público do anteprojeto da lei foi aberto em 2010 e durou cerca de 90 dias. Mas, segundo Renato Leite Monteiro, advogado especialista em direito e tecnologia do escritório Opice Blum, o tema ficou esquecido nos últimos cinco anos e só voltou à tona diante dos frequentes escândalos de vazamento de dados, como o do caso Edward Snowden, ex-administrador de sistemas da NSA (agência de inteligência dos EUA). "Se houver um interesse político, os trâmites burocráticos podem ser mais rápidos e demorar o mesmo tempo do Marco Civil da Internet. Ou seja, cerca de quatro anos", apontou ele.

"Não sei se o tempo é o que mais interessa", contestou Juliana Pereira, secretária nacional do Consumidor do Ministério da Justiça. Na opinião de Juliana, o conceito de privacidade e a sensibilidade sobre o tema mudaram significativamente nos últimos anos. "Atualmente temos muito mais histórico acumulado para ajudar no enriquecimento do debate e na criação de uma lei muito mais adequada às necessidades atuais."

Embora reconheça o atraso do país, Carlos Affonso, diretor do ITSrio  (Instituto de Tecnologia e Sociedade) e professor da Uerj (Universidade Estadual do Rio de Janeiro), acredita que a criação tardia da lei pode acabar sendo favorável. "Enquanto muitos países europeus estão rediscutindo suas regras para readequá-las às atuais necessidades da sociedade, o Brasil tem a oportunidade de discutir uma lei que tende a ser mais durável, mais clara e, consequentemente, com maior aplicabilidade."

Mas, mesmo sem uma lei geral, Juliana disse acreditar que o Brasil manteve uma evolução no tratamento de dados pessoais com ações específicas. Para exemplificar sua afirmação, a secretária citou o próprio Marco Civil, que estabelece os princípios de proteção desse tipo de informação especificamente no mundo virtual.

Há ainda a lei de Cadastro Positivo, que aborda à questão no que diz respeito a concessão de crédito, bem como o Código de Defesa do Consumidor, que especifica as diretrizes nas relações comerciais.

"Há, porém, uma gama de situações que estão descobertas e desamparadas pela legislação brasileira", afirmou Marilia Maciel, professora do Centro Tecnologia e Sociedade da Faculdade de Direito da FGV (Fundação Getúlio Vargas), ao defender a necessidade de uma lei mais gerai para a proteção de dados pessoais, que não se restringem às informações que circulam na internet, mas a todos aqueles cadastros automatizados parcial ou totalmente de um dentista, de um contador ou até de uma loja de roupas.

"Em um cenário onde a quantidade de informações disponíveis, principalmente em meios eletrônicos, cresce exponencialmente ano a ano, surge a demanda por um diploma legal que tutele direitos fundamentais como a liberdade, igualdade e privacidade pessoal e familiar", acrescentou Eduardo Neger, presidente da Abranet (Associação Brasileira de Internet), que destacou a importância da consulta pública para o debate e o entendimento dos impactos da legislação proposta em todos os aspectos do cotidiano do cidadão e no desenvolvimento tecnológico das empresas. "O ordenamento jurídico deve buscar o equilíbrio de forma a não inibir a inovação, a competitividade internacional e o desenvolvimento em empresas de base tecnológica da área de tecnologia da informação, comunicação e internet."

Com duração de 30 dias, com a possibilidade de ser prorrogado, o segundo debate público do anteprojeto já recebeu mais de 300 contribuições em menos de uma semana, segundo Juliana. "Em 2010, nos 90 dias do debate recebemos 800 relatos. Achamos que 30 dias seja suficientes, mas já tivemos diversos pedidos de prorrogação", disse ela, que explicou que as considerações serão analisadas por um grupo de trabalho composto por especialistas de proteção ao consumidor, membros da sociedade civil, professores e representantes de órgãos públicos.

Essa mesma equipe ligada ao Ministério da Justiça também será responsável pela criação do texto-base do projeto de lei, que será apresentado o Congresso. "Nossa meta é entregar esse documento ao Poder Legislativo ainda em 2015. Não temos como prever, no entanto, quanto tempo vai durar para o projeto passar por todas as instâncias necessárias, antes da sanção presidencial", afirmou Juliana.

Pontos polêmicos podem arrastar discussão

Há alguns pontos polêmicos que podem causar divergências políticas e arrastar a discussão no Congresso Nacional. O principal deles, como apontou Monteiro, é a criação ou não de um Conselho Nacional de Proteção de Dados Pessoais. "Na segunda versão do anteprojeto apresentado pelo Ministro da Justiça, o termo Conselho Nacional de Proteção de Dados Pessoais foi substituído por órgão competente. Não sabe, portanto, quem será esse órgão, tampouco a autoridade que ele terá. Essa responsabilidade ficará a cargo do Ministério da Justiça? Ou seria uma agência independente?", questiona o advogado.

Das alterações da primeira para a segunda versão, Monteiro cita ainda outros nove pontos, que passam desde a ampliação do conceito de dado pessoal, pela permissão do tratamento dos dados sensíveis mediante consentimento [antes vedado] e a inclusão da possibilidade de negar o tratamento de dados pessoais, até a obrigatoriedade de um responsável pelas políticas de tratamento de dados (antes restrita a empresas com mais de 200 funcionários) e a inclusão de uma responsabilidade subjetiva diante do vazamento de informações.  O prazo para as empresas e órgãos públicos se adaptarem à lei, caso seja aprovada, também foi ampliado de 90 dias para 120 dias. 

Outra polêmica, segundo Affonso, está relacionada ao tratamento de grande volume de dados. "Se os dados forem anonimizados poderão ser divulgados sem a prévia autorização?", questiona o professor que lembra que nem sempre a empresa que coleta as informações é a mesma que trata os dados. "Nesses casos, como deverão ser definidos as políticas e os temos de privacidade."

Para o presidente da Abranet, a internet também será destaque nas discussões: "Até pela imensa quantidade de dados que nela circulam diariamente", justificou Neger. "As aplicações atuais e principalmente o desenvolvimento e inovação nas aplicações futuras na Internet, como Big Data e Internet das Coisas, poderão ser impactadas neste processo."