Por Leonardo Neri e Attílio Freitas
Vazamento de dados. Influências em eleições de potenciais globais. Incertezas sobre o real alcance e dos efeitos no tecido social. Depoimentos ao Congresso americano – amplamente divulgados, detalhadamente analisados. Sedes de empresas de micro-targeting sendo revistada pela polícia britânica. Ecos de Guerra-Fria. O escândalo Cambridge Analítica.
Com a guinada em importância que se deu em relação aos dados pessoais no meio econômico, sendo tratados propriamente como ativos – chegando a britânica The Economist a denominá-los “The world’s most valuable resource[1]” –, natural que o direito acompanhe a maior relevância dada a esse bem jurídico e evolua e atualize os regramentos nele incidentes. Diante desse cenário é feliz o timing de entrada em vigência do Novo Regulamento Geral de Proteção de Dados (General Data Protection Regulation – “GDPR”). De forma específica, a GDPR substituiu a Diretiva Europeia 95/46/CE, desde 25 de maio de 2018.
A GDPR, em linhas gerais, almeja maximizar o controle que os titulares possuem sobre seus dados, bem como tornar-se eficaz por meio de aplicação de multas que de fato impactem no orçamento das empresas. Falemos primeiros das sanções: o descumprimento das normas da GDPR acarretará penas que poderão alcançar 20 (vinte) milhões de euros ou 4% (quatro por cento) do faturamento global da companhia – o que vier a ser maior. Quanto ao aumento do controle dos titulares, esse se dará por meio de previsões que preveem a coleta e captura de dados somente por meio de consentimento inequívoco e para fins específicos, também por artigos que estabelecem que os titulares poderão requerer cópia de todos os dados mantidos sobre eles, requerer a correção de informações, e requerer também a exclusão dos dados.
A relevância do tema, para o Brasil, dá-se por algumas razões: em primeiro lugar, sua aplicação se dará ainda que o tratamento dos dados ocorra fora da União Europeia (“UE”) – se a entidade que o fizer possuir sede, filial ou representação UE, ou ainda se houver a oferta em massa a titulares de dados pessoais que se encontrem nos limites da UE -; em segundo lugar, em razão do fato de que tal abrangência poderá impactar em negócios entre sociedade brasileiras a UE; por fim, por haver lei a circular no Congresso Nacional que em muito se aproxima com o regramento da GDPR – em outras palavras, atentar-se para esse tema agora pode significar estar-se um passo à frente das exigências da legislação (e da concorrência).
Atualmente, no Brasil as normas existentes sobre a matéria estão condicionadas ao Marco Civil da Internet, a Lei de Acesso à Informação e ao Código de Defesa do Consumidor e, de modo geral, são demasiado superficiais e esparsas para regular um assunto que vem tomando tamanha especificidade e magnitude mundo afora.
Buscando endereçar-se exatamente a tais questões, foi aprovado na Câmara dos Deputados e, posteriormente, no Senado Federal, o Projeto de Lei nº 53/2018 (“PL”), mais conhecido como a Lei Geral de Proteção de Dados Pessoais; resultado da junção de outros dois projetos anteriores, o PL 4.060/2012 e o PL 5.276/2016.
O PL prevê a criação de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, o qual estará encarregado, dentre outras funções, em debater amplamente o tema, com liberdade de criação de propostas e estudos para ilustrar à sociedade sobre os impactos da norma no cotidiano das pessoas.
Em linhas gerais, o PL nº 53/2018 almeja maximizar o controle que os titulares possuem sobre os dados pessoais, bem como tornar-se eficaz por meio de aplicação de sanções que de fato impactem no orçamento das empresas. Ademais, o PL apresenta princípios e conceitos que devem ser seguidos por todos órgãos privados e públicos que mantenham, coletem, armazenem, vendem ou que tratem de alguma forma os dados pessoais adquiridos dentro do território nacional.
A relevância da novidade, para o Brasil, dá-se por algumas razões: em primeiro lugar, sua aplicação se dará ainda que o tratamento dos dados ocorra fora do Brasil – se a entidade que o fizer possuir sede, filial ou representação no país, ou ainda se houver a oferta em massa a titulares de dados pessoais que se encontrem nos limites do nosso território -; em segundo lugar, em razão do fato de que tal abrangência poderá impactar em negócios entre sociedades brasileiras e as da União Europeia, por exemplo, com o recentemente promulgado GDPR.
Na prática, a principal mudança envolve os consumidores que deverão informar expressamente às empresas quais dados autorizam que sejam armazenados e a forma com que podem ser utilizados. As empresas que descumprirem as regras poderão receber multa de 4% do faturamento anual, até um limite de R$ 50 milhões e ter seu banco de dados suspenso por seis meses, com prorrogação prevista até que o infrator regularize sua situação. Assim, enquanto se aguarda o sancionamento do Projeto de Lei pelo Presidente da República, para entrada em vigor, já que houve aprovação pelo Congresso – o Brasil, pela criação de legislação específica, diminuirá seu isolamento comercial e poderá minimizar os imbróglios na realização de transações comerciais ou mesmo no compartilhamento de dados de segurança com demais países que já tenham normas mais avançadas sobre o tema. Para uma acessibilidade ao mercado mundial é prudente para o país possuir um movimento de padronização em termos de proteção de dados, pois nenhuma nação com legislação moderna enviará dados ao Brasil, se não houvesse uma normatização adequada, como a qual foi aprovada recentemente.
[1] Cf. https://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-rules-worlds-most-valuable-resource, visitado em 27/04/2018.