Ilustração: Rodrigo Auada

Nesta terça-feira, 10 de julho, foi aprovado no Senado Federal o projeto de lei de proteção de dados pessoais. Concebido e deferido na Câmara de Deputados, o PL 53/2018 é muito parecido com a GDPR, lei europeia que entrou em vigor em maio deste ano para disciplinar a coleta, armazenamento e processamento de informações pessoais. As diretrizes tornarem-se urgentes diante da expansão dos meios digitais e da captura de dados de pessoas para constituição de acervos que indicam comportamentos e tendências — o chamado big data.

Assim como a prima europeia, a versão batizada de Lei Geral de Proteção de Dados Pessoais (LGPD) possui natureza extraterritorial. Tanto os dados brasileiros tratados no exterior como aqueles submetidos a empresas estrangeiras alocadas no País — e também os dados estrangeiros tratados por brasileiros — estão sujeitos à norma. Estão inclusos, ainda, padrões de fluxo de dados e a isenção de aplicabilidade para fins exclusivamente jornalísticos, artísticos e acadêmicos. A semelhança estende-se à nomenclatura de um dos órgãos de supervisão: Conselho Nacional de Proteção de Dados Pessoais e Privacidade (CNPD) é o termo adotado tanto no Brasil como em Portugal. Além do CNPD, que ditará as diretrizes da lei, o projeto prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), responsável pela aplicação e fiscalização.

Fabrício da Mota Alves, advogado especialista em direto digital e assessor legislativo no Senado, acredita que a legislação será benéfica para o mercado. “Seguramente, as mudanças somente prejudicarão as empresas que se recusam a agir em conformidade com os sistemas regulatórios. A história — e o exemplo europeu — revelam que as regras legais, quando ponderadas e justas, alavancam a atividade empresarial, agregando valor aos serviços e aumentando a confiança do consumidor”, afirma.

Entretanto, ele entende que alguns pontos cruciais para uma aplicação bem-sucedida foram deixados de fora. Entre eles está a ausência de uma norma expressa sobre a não aplicabilidade da lei aos dados anônimos — que não permitem identificar os indivíduos aos quais se referem — e aos dados de pessoas falecidas — a GDPR, ao contrário, deixa claro que, nesses casos, a lei não se aplica.

Outro ponto que ficou de fora da LGPD é a flexibilidade no tratamento e processamento de dados que recebem a chamada pseudomização. Nesse processo, as informações identificáveis, como nome, CPF e RG, são dissociadas de maneira segura do restante da base de dados que lhe atribui valor (como os comportamentos desses indivíduos, por exemplo). A GDPR oferece aos pseudomizados as mesmas regalias dos dados anônimos. A prerrogativa, entretanto, gera críticas lá fora — alguns autores afirmam que os dados apartados, se combinados de outras formas, podem identificar as pessoas.

Agora, o PL 53/2018 segue para a sanção do presidente Michel Temer, que deve fazer mudanças no projeto. “Há grande chance de trechos importantes da lei serem vetados”, afirma o advogado. Um dos principais, segundo Alves, é a criação da ANPD. Apenas o Poder Executivo pode criar novas administrações públicas e o aumento de despesas decorrente dele — a autoridade, no caso, foi desenhada pela Câmara dos Deputados. Para Alves, isso pode se tornar um grande problema. “Uma lei dessa natureza, sem uma definição clara sobre quem será a autoridade administrativa com a incumbência de exercer o poder de polícia e de implementação, será uma lei sem enforcement”. De outro lado, órgãos como Anatel, Bacen e Procon terão responsabilidades. Se uma empresa usar dados de ex-clientes para oferecer produtos de maneira indevida, o Procon poderá ser acionado, por exemplo.

Com a aprovação presidencial, a LGPD entrará em vigor 18 meses após sua publicação no Diário Oficial da União. Todos os dados pessoais tratados e recolhidos durante esse período não estarão submetidos à nova norma. Mais importante que as mudanças técnicas, a lei de proteção de dados irá modificar a cultura do consumidor brasileiro e das empresas. Os usuários que clicam em “aceitar” ou “permitir” a todo tempo em seus smartphones terão, finalmente, o direito de reclamar. Em jogo estará o insumo que atrai vultosas apostas dos investidores nos negócios digitais: os dados do que as pessoas querem e como se comportam.