Nesta semana, o Congresso Nacional garantiu uma importante conquista ao povo brasileiro ao aprovar a Lei de Proteção de Dados Pessoais. A Lei afirma direitos e define medidas para impedir o abuso na coleta e tratamento de dados pessoais. São garantias fundamentais porque o uso de dados é cada vez mais presente na vida das pessoas, especialmente na Internet e ao lidar com tecnologias digitais. Para entrar em vigor, a lei precisa, ainda, ser sancionada pelo presidente Michel Temer. E é aí que mora o perigo. Informações publicadas nos últimos dias pela imprensa indicam que o governo pode vetar trechos, ameaçando direitos dos cidadãos, diminuindo responsabilidades das empresas e do Poder Público e colocando em xeque o principal pilar de garantia de efetividade da nova legislação: a criação de uma Autoridade Nacional de Proteção de Dados.
A Lei de Proteção de Dados Pessoais foi aprovada por unanimidade na Câmara e no Senado. Esse fato revela seu caráter suprapartidário, tendo o envolvimento de parlamentares das mais diferentes legendas. Mais do que isso, recebeu apoio de dezenas de entidades dos mais distintos setores, de empresas de tecnologia (incluindo plataformas como Facebook e Google), da Confederação Nacional da Indústria e do setor de mídia, além da Coalizão Direitos na Rede, que representa 31 organizações da sociedade civil, institutos de defesa do consumidor, coletivos e pesquisadores da área. Nunca antes uma lei sobre o tema teve tanto apoio na sociedade. Isso se deveu ao fato da redação equilibrar a proteção dos titulares com instrumentos para fomentar o desenvolvimento econômico, tecnológico e a inovação.
O consenso também foi resultado de um longo processo de discussão. Desde 2010, foram duas consultas públicas realizadas pelo Ministério da Justiça, com mais de 2500 contribuições, de atores nacionais e internacionais, resultando em um anteprojeto de lei. Desde que foi enviado à Câmara dos Deputados, em 2016, passou por um amplo debate, com a realização treze audiências públicas e dois seminários de grande porte, promovidos pela Comissão Especial designada para analisar a matéria. Houve ainda debates em outros fóruns, como no encontro anual promovido pelo Comitê Gestor da Internet no Brasil, e em eventos organizados por empresas, acadêmicos e pelo terceiro setor.
Depois de passar pela Câmara, no fim de maio, a matéria foi aprovada no Senado sem modificações de mérito e agora segue para a sanção presidencial. O texto final concilia a proteção de garantias e liberdades fundamentais com interesses econômicos. Cria um sistema de proteção individual e coletivo e explicita regras claras para o tratamento de dados pessoais. Estabelece princípios para a coleta e uso, afirma direitos, cria mecanismos de avaliação de riscos, define conceitos de forma precisa e orienta tanto o setor público quanto o privado em suas responsabilidades e deveres. Viabiliza uma dinâmica política da lei, sem descuidar da complexidade da vida real, ao criar uma Autoridade Nacional de Proteção de Dados Pessoais, a quem caberá, de maneira autônoma, acompanhar a aplicabilidade da lei, fiscalizar seu cumprimento pelos setores público e privado, e receber denúncias. Esta autoridade será um instrumento de efetivação da regulação, alinhada com as melhores práticas internacionais sobre o tema.
Vetar um dispositivo da lei pode comprometer a aplicalidade de todas as normas previstas. A lei é um conjunto de ordenamentos, onde os artigos dialogam entre si e são interdependentes. No caso da autoridade, o texto com 65 artigos menciona o órgão 56 vezes. Por todos estes motivos, é fundamental que a lei seja sancionada sem mudanças!
Riscos
Apesar de ter angariado esse apoio tão amplo, setores do governo acenam com a possibilidade de impor vetos ao texto, entre eles à criação da Autoridade Nacional de Proteção de Dados (ANPD). Circulam informações de que os motivos para o veto seriam o argumento de que a criação da ANPD por projeto de lei configuraria um vício formal de iniciativa, uma vez que o projeto aprovado não seria originário do Poder Executivo e só este teria a prerrogativa de fazê-lo, já que a criação da autoridade geraria despesas para a sua implementação e funcionamento. Outro argumento para o veto é o de que não seria necessária a criação de um órgão específico para cumprir o papel de regulador da proteção de dados pessoais.
Em relação ao primeiro motivo, o suposto “vício formal”, vale lembrar que a previsão da criação da autoridade estava no PL 5276/2016, de autoria do Poder Executivo, enviado à Câmara em 2016. A ele foi apensado o PL 4060/2012, por uma questão formal de antiguidade e por tratar do mesmo tema. Mas toda a tramitação e debate se deu com base no projeto do Executivo, que foi o guia para a produção do substitutivo aprovado na Câmara. Desta forma, o texto aprovado pelo Senado é diretamente oriundo do projeto enviado pelo Executivo em 2016, o que torna inconsistente a alegação de que haveria vício de origem a impedir a manutenção dos dispositivos que tratam da criação da Autoridade Nacional de Proteção de Dados.
No tocante a novos custos, a preocupação não justifica a derrubada da autoridade, pela sua pertinência e pelas fontes de receita instituídas. Ademais, a lei aprovada estabelece um período de 18 meses para entrar em vigor, tempo mais do que suficiente para equilibrar eventuais custos. Por fim, o argumento de que outros órgãos poderiam ser designados para a tarefa é alarmante. Nenhum ministério ou autarquia possui conhecimento especializado e capacidade técnica para realizar as ações de fiscalização e aplicação da lei, o que, ainda, poderia retirar seu caráter essencial de independência e autonomia.
Ao olharmos a experiência internacional, aprendemos que a grande maioria dos países que possuem leis gerais de proteção de dados pessoais só conseguiram uma aplicação eficiente das normas na medida em que estabeleceram uma Autoridade de Proteção de Dados Pessoais ou um Comissariado de Privacidade. No contexto Europeu, a supervisão dos direitos de proteção de dados por uma Autoridade autônoma e indepedente é considerada como direito fundamental, nos moldes do previsto no Art. 8º da Carta de Direitos Fundamentais da União Européia. Somente mediante a criação de tal mecanismo institucional é que foi possível alcançar uma tutela efetiva da privacidade dos cidadãos, ao mesmo tempo em que se propiciou a segurança jurídica na aplicação desta para os atores regulados, sejam eles do setor público ou privado. Vetar a criação da autoridade, ou repassar suas atribuições a um órgão já existente, pode, na prática, tornar a lei inócua, letra morta, já que não haveria quem garantisse efetivamente seu cumprimento.
Outro possível alvo de vetos seriam as obrigações do Poder Público. A Administração Pública coleta e trata tanto ou mais dados, inclusive dados sensíveis, do que entes privados. Basta ver os enormes bancos de informações pessoais de posse do setor público (como CPFs, carteiras de motorista, dados de eleitores, registros criminais, de saúde e educacionais, entre outros). A Lei aprovada já excepciona o Poder Público em uma série de situações, como na Segurança Pública, além de dar condições especiais no tratamento. Retirar todas as obrigações do Poder Público da legislação significa abrir espaço para abusos graves dessas instituições sobre os cidadãos.
Além dessas duas ameaças de vetos (autoridade e poder público), sempre há o risco de haver vetos em outros dispositivos, que retirem direitos dos cidadãos ou reduzam as obrigações, responsabilidades e clareza do ambiente jurídico para as empresas. O texto já cria um sistema extremamente equilibrado para a coleta e tratamento de dados pessoais, por isso mesmo é apoiado por um grande número de atores privados, entre os mais representativos de uma sociedade cada vez mais movida a dados. Num contexto em que o mau uso de dados se tornou uma preocupação mundial, seria grave tornar os cidadãos ainda mais vulneráveis e reféns de companhias em razão de seus interesses econômicos e alvo de potencial vigilantismo que viola o direito à privacidade e segurança, garantido na Constituição Federal.
Por isso, a Coalizão Direitos na Rede, que participou de todo o processo de discussão da Lei, reitera sua posição intransigente a favor da sanção integral do texto, sem qualquer mudança, e externa a necessidade de criação da Autoridade Nacional de Proteção de Dados nos moldes descritos no projeto aprovado pelo Congresso Nacional.
