Em manifesto divulgado nesta terça-feira, 25, o grupo de associações e representantes do mercado brasileiro digital e de Internet, que inclui a Abranet, Abes Software, ANBC, ABEMD, Assespro e Brasscom, defenderam a criação de um órgão independente para lidar com a futura lei de proteção de dados pessoais, assim como definições de conceitos e de atuação. Por trás das sugestões está a preocupação em não engessar o mercado digital no País com regras muito severas, que impeçam modelos de negócio adotados especialmente por companhias de Internet.
No manifesto, afirmam ser fundamental a criação de um órgão regulador independente "para interpretar, fiscalizar e fazer cumprir a futura norma", justificando que "quase todos os países" que já implantaram lei semelhante recorreram a uma autoridade federal específica para a competência. A ideia é ter um corpo com especializações técnicas e jurídicas sobre o tema, com "certeza regulatória e a independência necessária" para atuar no assunto. Em relação ao orçamento, ressalta que deve ser autônomo, "sem incluir eventuais multas impostas" – porque, de outra forma, haveria conflito de interesses e incentivo a distorções.
Ressaltam ainda que sanções previstas na futura lei não podem suspender ou proibir o tratamento de dados, mesmo por tempo determinado, por poder levar a "encerramento de atividades empresariais, abrindo espaço para possível violação dos direitos fundamentais dos titulares, como liberdade de expressão e comunicação. É uma tentativa de evitar movimentações como o bloqueio do WhatsApp em nível nacional após decisões da Justiça comum. As entidades alegam que essas possibilidades causam insegurança jurídica e desestímulo a investimentos.
Definições menos abrangentes
As entidades querem que a definição de dado pessoal seja bem delimitada como "qualquer dado que identifique de forma exata e precisa uma pessoa natural". A ideia é não deixar um conceito amplo demais, que inviabilizaria o desenvolvimento de economia e inovação baseados em dados.
A mesma abordagem taxativa é sugerida em relação aos dados pessoais sensíveis. A entidade quer que a definição seja de "dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados médicos, genéticos e referentes à orientação afetiva e de gênero". Isso exclui, por exemplo, dados coletados com aplicativos de estilos de vida e medidores, que as entidades não enxergam como "dados de saúde". No caso de disponibilidade voluntária dessas informações, eles passariam a ser tratados como dados pessoais.
No caso dos dados anônimos, o manifesto reforça que são a base para o modelo de negócios digital e que, portanto, não devem estar sujeitos às mesmas regras dos dados pessoais. As entidades recomendam que sejam dados relativos "a um titular que não seja identificado".
Pode ou não pode
Na visão das associações, o consentimento livre e inequívoco precisa ser uma declaração do titular, podendo ser "expressa por escrito, por meios eletrônicos, declarações orais, configurações técnicas para o processamento de dados e informações pessoais, ou qualquer outra forma de expressar a aceitação do titular quanto ao processamento e tratamento dos seus dados pessoais". O conceito parece ser mais amplo e aberto a interpretações, e as entidades não sugerem diretamente uma redação para evitar isso. Ressaltam, contudo, a necessidade de harmonizar o Marco Civil da Internet com a futura Lei dos Dados Pessoais.
Também aberto fica o ponto do "interesse legítimo", que implica em que dados podem ser regularmente tratados, sem a necessidade de obtenção de consentimento. O manifesto cita "balanceamento com interesses, direitos e liberdades fundamentais do titular dos dados e a necessidade do tratamento do dado", mas não define quais formas de tratamento e por que seriam necessárias. Alega ainda que o conceito tradicional do tema "não lida adequadamente" com tratamentos em larga escala, como big data e cenário de Internet das Coisas (IoT).
Prazo
Pedem assim que haja um período de adaptação para as empresas, permitindo à lei entrar em vigor somente três anos após a sanção. No caso dos dados coletados antes da lei, pedem irretroatividade, deixando-os submetidos à legislação vigente na época da coleta – inclusive a obtenção de consentimento, mas aplicando as operações de tratamento.