Uma futura lei de proteção de dados pessoais ainda não está consolidada, com aspectos e possíveis consequências, especialmente no tempo de transição, ainda sendo discutidos, conforme foi debatido nesta quarta-feira, 31, no 30º Seminário Internacional ABDTIC, evento organizado pela Associação Brasileira de Direito das Tecnologias da Informação e das Comunicações em parceria com a Converge. Em cheque, a exigência de prazo para adequação, instituição de autoridade responsável, definição dos dados pessoais e o consentimento no fornecimento.
A representante da Serasa Experian, Vanessa Butalla, defende mais prazo para a adequação de empresas. Ela reclama que o prazo atual seria de 180 dias para a implantação das novas regras, mas que, para um melhor entendimento jurídico e de demais setores, é necessário um tempo maior para a adequação. "Na União Europeia, são três anos", compara ela. "Então imagino que no Brasil é um cenário não menor do que três anos para garantir de fato que os cidadãos possam usufruir da proteção", declara. Butalla explica que as regras de transição são muito amplas, e que "cada uma dessas operações envolvidas é um momento diferente e merece tratamentos diferenciados". Considera ainda o envolvimento de terceiros que se relacionam com os dados, como bancos de dados de proteção ao crédito, que compilam informações que ajudam na tomada de decisão do negócio.
Há um problema de se considerar a diferença entre dados pessoais e dados anônimos – segundo os especialistas, não há como se distanciar claramente os dois conceitos uma vez que há mecanismos estatísticos e de cruzamento de informações que podem tornar o anônimo em algo identificável. O consultor e advogado Danilo Doneda enxerga a necessidade de uma autoridade na eventual Lei de Proteção de Dados por ser um facilitador, ficando responsável pela definição do que são os dados pessoais. "Se for mal executada, a (autoridade) pode ser ruim, mas a minha posição pessoal é que a lei só se justifica com uma autoridade confiável, tecnicamente com capacidade, para definir critérios de anonimidade de dados, se é um processo forte ou fraco (de reverter)", diz. Na opinião dele, a existência dessa autoridade também pode ser uma "resposta à sociedade".
O diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITSRio), Carlos Affonso Souza, alega que a legislação atual, com o Marco Civil da Internet, diferencia dados cadastrais de dados pessoais e esclarece que, para fins de acesso mediante autoridade investigativa, o MCI abre excessão para que estes não precisem de ordem judicial. Ele lembra que autoridades de investigação propuseram conceitos mais abrangentes, mas acredita que a lei 12.965/2014 já aborda a questão de maneira adequada. "Me parece que o MCI chega em um bom equilíbrio, mas fico preocupado na extensão dos deveres de guarda de dados, porque, quanto mais tempo são guardados, maior a vulnerabilidade; quanto menor o volume guardado obrigado por lei, melhor estamos."
Consentimento
Da mesma forma, a característica de consentimento de fornecimento de dados é um ponto que pode ser tratado caso a caso, para Vanessa Butalla, da Serasa Experian. O importante é não engessar na lei. "Se for muito específico, corre risco de brecar a informação e o desenvolvimento. Por outro lado, não posso só falar que vou ceder para parceiros com fins comerciais, porque é muito amplo", alega. Carlos Affonso Souza, do ITSRio, lembra que o consentimento é tratado de forma diferente nos projetos de lei, como o nº 5726/2016, e o Marco Civil, o que levará a um conflito de leis. "Resolveria de forma cronológica (o PL é mais recente), mas nem sempre é o melhor guia, então o critério de especialidade entre as leis acaba se preponderando", diz, embora questione que poderia haver dúvidas sobre qual das duas leis seria a mais especializada, gerando situação paradoxal. Souza propõe resgatar a questão de finalidade no artigo 422 do Código Civil. "É bom porque ela é genérica, principiológica, e é importante que práticas sejam desenvolvidas a partir dessa matriz principiológica."
Autorregulação
Para o gerente de políticas regulatórias da associação global de operadoras móveis GSMA, Phillipe Moura, é preciso haver três pilares para garantir a privacidade de dados: marco regulatório, padrões internacionais e autorregulação da indústria. Para tanto, afirma que é necessário que o marco seja flexível e neutro, para permitir um ecossistema dinâmico, e que consiga garantir economias de escala e redução de custos. Como representante do setor, acredita que é "fundamental garantir a liberdade de execução e de modelo de negócios para cada uma das empresas que atuam em diferentes setores, mas mexem com dados pessoais para que possam cumprir da melhor maneira possível a proteção dos dados dos clientes". Representando a associação, Moura diz que as teles se sentem "desencorajadas pelos custos de compliance com a lei vigente serem muito altos". "A autorregulação pode ser forma de preencher e achar esse meio termo (entre falta de lei e leis que engessam), permitir flexibilidade e garantir a experiência do usuário", justifica.