Por: Patricia Fachin | 25 Abril 2018
Apesar de a Constituição Federal estabelecer normas gerais sobre privacidade, autonomia e transparência, o Brasil ainda não tem uma lei específica sobre proteção e tratamento de dados pessoais. Segundo Danilo Doneda, que trabalhou na elaboração do PL 5.276/2016, formulando uma proposta de legislação para a proteção de dados pessoais no Brasil, esse tipo de legislação é imprescindível nos dias de hoje para que usuários saibam que uso as empresas fazem dos seus dados particulares e também para gerar segurança para quem trata dados. “Se uma pessoa usa o Google Maps ligado, caso não tenha desativado essa função, ele fará o acompanhamento dos lugares por onde a pessoa passou. Além disso, temos muitos outros dados pessoais que são gerados, não porque fornecemos de forma consciente e literal, mas simplesmente porque vamos vivendo e utilizando objetos que captam nossos dados; isso ficará cada vez mais intenso com a ideia da internet das coisas e com os sensores em todos os lugares”, afirma.
Na entrevista a seguir, concedida por WhatsApp à IHU On-Line, Doneda comenta como essa discussão tem ocorrido no Brasil e nos Estados Unidos, após a divulgação do caso Facebook-Cambridge Analytica, e avalia a Lei Geral sobre Proteção de Dados Pessoais, que entrará em vigor na União Europeia no próximo mês. “A legislação serve para criar instrumentos para que o cidadão possa saber o que acontece com seus dados e para que ele possa negar o fornecimento de dados quando eles forem injustificados. De uma forma geral, o regulamento faz com que o processo seja mais transparente. Mas veja, o regulamento tem não só a finalidade de garantir o direito humano de proteção de dados, mas também serve para gerar segurança a quem trata dados. O pano de fundo do regulamento, como era da diretiva anterior, é fornecer regras claras para que haja a utilização de dados pessoais. Nenhuma dessas leis é uma lei de sigilo de dados. Ninguém está falando em sigilo, segredo e exclusão; fala-se em proteção de dados, e proteção de dados significa proteger os dados, mas permitir a circulação de dados”, esclarece.
Na avaliação dele, o que está em jogo na discussão sobre o uso de dados “cada vez menos é a privacidade”, e sim “a perda de controle sobre alguns aspectos da vida”. E adverte: “No momento em que a pessoa que não se importa com a sua privacidade descobrir que um plano de saúde nega a contratação porque obteve informações de que ela tem uma determinada condição genética que nem ela mesma sabia que tinha, ou seja, quando as consequências de tratamento de dados afetarem a vida dessa pessoa, possivelmente ela passará a pensar melhor sobre isso”.
Danilo Doneda | Foto: Research Gate
Danilo Doneda é advogado, bacharel em Direito pela Universidade Federal do Paraná - UFPR, mestre e doutor em Direito Civil pela Universidade Estadual do Rio de Janeiro – UERJ especialista em temas de proteção de dados e privacidade. Foi Coordenador-Geral de Estudos e Monitoramento de Mercado da Senacon/MJ e consultor pelo Programa das Nações Unidas para o Desenvolvimento na mesma Secretaria. É professor no Instituto Brasiliense de Direito Público e consultor do Comitê Gestor da Internet no Brasil.
Confira a entrevista.
IHU On-Line — Do ponto de vista jurídico, o que é mais preocupante diante do atual cenário da publicação de fake news e do uso de dados de usuários da Internet? No caso específico do uso de dados, em que circunstâncias o uso desses dados pode ser considerado invasão de privacidade?
Danilo Doneda — Essas são duas situações que se relacionam, mas são independentes. Em relação ao uso de dados, estamos diante de um problema que existe há muito tempo e que se intensificou com a Internet e com a informatização da nossa vida cotidiana em muitos aspectos. Isto é, nossos dados e nossas informações cada vez mais são utilizados para tomar decisões sobre nós e fazer com que tenhamos acesso a produtos, serviços e novidades, sem que precisemos ter a necessidade física de ter contato com alguém ou a necessidade de deslocamento. Então, várias das comodidades e benesses da modernidade são facilitadas ou possibilitadas graças ao tratamento de dados.
No entanto, o tratamento de dados é algo que acontece fora da vista das pessoas, ou seja, os dados são coletados, tratados e utilizados por alguém de forma que não é possível fiscalizar diretamente. Abre-se, teoricamente, uma possibilidade para que seja feito uso abusivo desses dados, que pode ser desde algo que afete a privacidade de alguém, como a revelação de informações que a pessoa não queria divulgar, até outros parâmetros e valores que não dizem respeito propriamente à privacidade. Por exemplo, uma pessoa pode estar sendo avaliada por um comércio eletrônico: uma loja poderá avaliar, se tiver acesso a aspectos da personalidade de uma pessoa, a própria pessoa e, com isso, poderá encontrar o momento certo para cobrar mais caro por um determinado bem, ou poderá induzir a pessoa a comprar algo que ela não precise. Enfim, há várias formulações de manipulação que podem ser feitas por quem conhece muitos dados a respeito de uma pessoa. Além disso, pode haver utilizações de dados que vão influenciar a segurança pessoal de alguém. Antevendo esse problema, há algumas décadas vários países começaram a estabelecer limites para o tratamento de dados, para que esse tratamento seja transparente, para que as pessoas tenham controle sobre ele e para que, em última análise, elas não fiquem sujeitas a um tratamento obscuro e abusivo dos seus dados. Isso vem sendo tratado como proteção de dados pessoais.
Agora, o problema das fake news, de certa forma, está ligado à questão de proteção de dados, mas aí entra por um outro flanco. O problema das fake news, eventualmente este que estamos assistindo a partir do escândalo do Facebook e da Cambridge Analytica, tem a ver diretamente com proteção de dados. Nesse caso o que parece ter acontecido é que vários dados dos eleitores obtidos através do Facebook foram utilizados para que a campanha política fosse direcionada diretamente a algumas pessoas, de forma a ter um resultado específico, talvez, até utilizando algum grau de manipulação e de características psicológicas dos usuários. Mas tudo isso só foi possível por haver um grande volume de dados pessoais dos usuários.
Talvez tenha sido mais fácil plantar uma notícia falsa para algumas pessoas, cujos dados a seu respeito pressupunham que elas fossem mais suscetíveis a acreditar ou a serem levadas a fazer algo. Esse tipo de manipulação é tão sútil que nem precisa uma notícia, a rigor, ser falsa. A notícia até pode ser verdadeira ou apontar para algum aspecto da realidade, que é colocado sob uma lente de aumento e é descontextualizado. Esse tipo de manipulação vai muito além da falsidade. Dentro desse grande guarda-chuva de notícias falsas, se encontram vários “sabores” da verdade e da mentira e todos são importantes na medida em que podem ser úteis para gerar algum tipo de utilidade para quem manipula esse fluxo de informação.
IHU On-Line — Juridicamente, qual é o entendimento sobre o uso de dados por empresas que têm acesso a eles?
Danilo Doneda — De uma forma muito genérica, no Brasil, é possível dizer que a utilização de dados que não seja transparente, que não seja de conhecimento ou autorizada pelo cidadão, não é legítima, porém, não temos uma legislação muito clara e específica nesse sentido. Temos algumas regras gerais da Constituição sobre privacidade, autonomia e transparência de órgãos públicos. Mas o que falta no Brasil, e existe em mais de 120 países, é uma legislação específica sobre proteção de dados. Isto é, uma legislação que deixe claro quais são os direitos dos cidadãos sobre os seus dados, ou seja, direito de acessar, corrigir e se opor ao tratamento e assim por diante; direitos que sirvam para que as pessoas exerçam controle real e saibam o que acontece com seus dados.
Essa legislação, além de estabelecer os direitos para o cidadão, estabelece vários limites para o tratamento de dados que empresas e governos devem observar. Por exemplo, os dados não podem ser tratados contrariamente à finalidade que é esperada pelo cidadão, não podem ser tratados de forma a criar uma discriminação injusta para o cidadão. Ou seja, por meio de vários instrumentos se procura “tornar mais civilizado” esse ambiente de tratamento de dados que, hoje em dia no Brasil, é um pouco desregrado.
O Marco Civil da Internet regula várias coisas, mas fora da Internet há em alguns setores uma lacuna muito grande, o que causa uma insegurança no cidadão em relação a quem recorrer e o que fazer quando seus dados são utilizados. Juridicamente, em uma resposta sintética, apesar de a nossa lei ter os direcionamentos certos na Constituição e em outras leis, não há um tratamento organizado da matéria, que é o que falta no momento.
IHU On-Line — Quando o usuário aceita o termo de uso e a política de privacidade de aplicativos e das redes sociais, isso pressupõe que as empresas podem usar os dados do usuário ou não? As empresas alegam que o usuário tem conhecimento das cláusulas do contrato. Como esse aspecto tem sido discutido juridicamente?
Danilo Doneda — Hoje em dia, os termos de uso e políticas de privacidade estão no pior momento da sua história em relação à sua moral e à sua respeitabilidade. Isso porque, por muitos anos, especialmente o setor privado se valeu dos termos de uso e das políticas de privacidade para dizer que tinha autorização das pessoas para usar os dados e, portanto, faria o que estivesse autorizado. Isto é, as empresas diziam que havia um contrato e que as pessoas que usam o serviço assinavam o contrato. Ainda hoje se diz isso, mas essa justificativa é cada dia mais fraca, e as próprias empresas são muito claras ao dizer que o usuário não deve passar nenhum dado, porque elas não estão conseguindo mais obter a confiança dos usuários.
O nível de críticas que várias empresas estão sofrendo em relação à utilização abusiva de dados chegou a um patamar muito agudo. Então a justificativa de que a empresa tem um contrato que foi assinado já não está sendo usado com muita seriedade, muito embora isso exista nos contratos. Porém, esses contratos, na prática, não são lidos, aliás, são feitos para não serem lidos na enorme maioria das vezes. Alguns pesquisadores já fizeram pesquisas para demonstrar quantas horas um usuário médio de serviços básicos da Internet demoraria para ler as políticas de privacidade. Então, se pegarmos o exemplo de uma pessoa que tem uma carteira básica de serviços, como Gmail, YouTube, Facebook e Instagram — uma pessoa no Brasil tem em média seis serviços e nos EUA, oito —, essa pessoa demoraria muitas horas da sua vida só para ler as políticas de uso e de privacidade. Entretanto, uma coisa é ler, outra é entender, e uma terceira coisa é concordar de fato com tudo aquilo que está no contrato.
Na verdade, temos contratos que são defesas judiciais prévias das empresas, que não podem ser, na minha opinião, vistos como uma real manifestação de que o usuário aceitou aquele serviço. Ainda mais porque hoje estamos numa situação em que se não aceitarmos alguns serviços, teremos problemas; é muito provável que tenhamos problemas pessoais, profissionais e familiares por não usar uma série desses serviços. Então as pessoas são induzidas — quase coagidas — a topar cláusulas de contrato que normalmente não topariam. Por exemplo, em algumas cláusulas — até é bom que as pessoas não leiam porque ficariam assustadas — como as do Instagram, se diz que toda a foto que é postada no Instagram passa a ser de propriedade da empresa e que pode ser utilizada para fins comerciais. Imagino que a empresa não se utilize dessa cláusula — tenho dúvida até da legalidade dela —, mas imagine confiar no serviço de uma empresa que pode usar a foto do usuário para fazer um outdoor. É complicadíssimo. Além disso, acho que os contratos não são representativos da vontade das pessoas.
No Brasil, esses contratos são regidos pelo Código de Defesa do Consumidor e tenho certeza de que várias cláusulas deles são nulas de pleno direito, pois não foram livremente pactuadas, interferem em direitos do cidadão, como é o caso da privacidade, e não poderiam estar ali no meio do contrato de adesão que a pessoa, muitas vezes, é levada a assinar sem sequer ter lido. Hoje em dia, para tentar dar um passo além, muitas empresas estão caminhando no sentido de não confiar só no contrato, mas fazer o que chamam de notes, ou seja, avisar por várias formas ao usuário o que está sendo feito com os dados, o que vai acontecer aqui e acolá. Nesse sentido, está havendo um processo de amadurecimento, porém ele é lento, não é completo e, pior ainda, não é espontâneo; é fruto de uma situação crítica, de uma resposta ao problema, não foi espontaneamente iniciado pela indústria.
IHU On-Line — Do ponto de vista do uso dos dados, o que muda quando as empresas passam a avisar os usuários sobre suas postagens?
Danilo Doneda — As empresas que são líderes nisso, como as redes sociais e empresas de internet que têm seus grandes ativos financeiros baseados em dados de usuários, serão as primeiras empresas que vão ter seu modelo de negócio criticado, são as primeiras que podem sofrer se houver uma mudança na lei que torne a vida delas mais dura. Essas empresas estão procurando uma forma de serem mais amigáveis e claras ao informar os usuários sobre o que é feito com os dados deles, sobre que opções eles terão de fato. Por exemplo, se hoje a pessoa faz um post no Facebook, o sistema pergunta se o usuário deseja que o post seja visto por todo mundo ou somente por seus amigos. Essas opções não somente existem, mas são rememoradas para a pessoas.
As pessoas normalmente usam um serviço e pronto, não começam por ler um manual, o guia e a política de privacidade, elas simplesmente vão usando. Se é isso que as pessoas fazem, nada mais razoável do que, no meio de uma utilização normal, a empresa se preocupar em educar as pessoas sobre as opções e as consequências dos seus atos. Algumas postagens podem ficar menos velozes e um pouco mais burocráticas, mas vejo essa como uma saída bastante viável para fazer com que as pessoas reflitam e tomem opções consistentes sobre a utilização dos seus dados. É claro que tudo isso é só um lado da questão, porque uma empresa pode fazer tudo isso e, ao mesmo tempo, a portas fechadas, utilizar dados para outros fins.
IHU On-Line — Você está dando um exemplo de como uma empresa pode sugerir que o usuário se comporte nas redes sociais, mas como as empresas têm criado mecanismos para informar o usuário sobre o uso de dados que elas podem fazer?
Danilo Doneda — Estamos falando sobre o pressuposto de que tudo aquilo que a empresa avisa, ela pratica. Agora, há muitas empresas que podem não fazer isso; existem várias situações. Podemos ter uma empresa que hoje faz isso, que depois muda de direção, que é comprada por outra e começa a fazer coisas erradas, ou uma empresa que vai à falência e cujos dados pessoais dos usuários são utilizados para outros fins. Existem várias situações em que isso pode dar errado.
Para evitar o uso indevido de dados, é necessária uma legislação que tenha um ente administrativo capaz de fiscalizar a empresa, verificar o que ela de fato faz com os dados e aplicar multas para empresas que utilizarem dados de forma abusiva. Essa é uma função necessária hoje em dia, porque o tratamento de dados não pode ser colocado completamente sob a supervisão do cidadão, uma vez que ele não consegue ver, não consegue entrar na empresa e saber o que aconteceu. Quando alguém mexe num dado nosso, não sentimos dor, não sentimos nada, por isso temos que ter algum meio para que o Estado possa realizar algum tipo de fiscalização, caso contrário, o incentivo para que seja feita alguma utilização abusiva será enorme.
IHU On-Line — Que tipo de dado dos usuários as empresas mais usam? São dados pessoais, comportamentais?
Danilo Doneda — Quando penso em dados pessoais, penso em qualquer informação sobre uma pessoa, desde seu nome até outras informações particulares. O meu nome é uma informação pessoal sobre a minha pessoa, e algumas informações pessoais não precisam ser protegidas; algumas são públicas, como nome, estado civil e altura. Entretanto, o fato de eu estar sentado em um sofá em algum lugar do mundo hoje, também é um dado pessoal meu, que revela uma questão comportamental, e também é um dado de geolocalização. O fato de eu estar falando com você com um telefone de tal marca também é um dado pessoal, ou seja, qualquer coisa que pode ser relacionado à minha pessoa, pode ser um dado pessoal meu.
Empresas e o Estado vão coletar muitos dados pessoais nossos, alguns deles vamos fornecer voluntariamente ao preencher um formulário com dados pessoais, e outros vamos fornecer em troca de alguma coisa. Porém, cada vez mais, o mero fato de viver e utilizar objetos e serviços cotidianos já implica que o usuário tenha dados pessoais catalogados. Por exemplo, quando levamos o telefone junto conosco, esse aparelho vai deixando um rastro virtual, que são os lugares por onde a pessoa passou. A companhia telefônica é capaz de saber onde você esteve em cada momento em que o seu telefone esteve ligado. Se uma pessoa usa o Google Maps ligado, caso não tenha desativado essa função, ele fará o acompanhamento dos lugares por onde a pessoa passou. Além disso, temos muitos outros dados pessoais que são gerados, não porque fornecemos de forma consciente e literal, mas simplesmente porque vamos vivendo e utilizando objetos que captam nossos dados; isso ficará cada vez mais intenso com a ideia da internet das coisas e com os sensores em todos os lugares.
Esses dados podem ter um valor imenso. Imagine isso caindo, por exemplo, nas mãos de pessoas com intenções criminosas: elas podem saber toda a localização e os hábitos de determinada pessoa. Esses problemas em torno da privacidade também estão ligados a várias outras questões, como segurança, liberdade e autodeterminação. Hoje é praticamente impossível contabilizar a quantidade de dados pessoais que os usuários geram pelo simples fato de viver ou usar certos objetos.
IHU On-Line — Algumas pessoas alegam não ter preocupação com a divulgação de seus dados porque, de outro lado, se beneficiam com o uso de aplicativos, com o uso de redes sociais etc. Em que medida as pessoas precisam se preocupar com o uso dos dados, mesmo sendo beneficiadas por aplicativos?
Danilo Doneda — Dizer que há um problema com o tratamento de dados não significa dizer que não haja vantagens e vários aspectos positivos. Não vejo um confronto entre essas duas visões. O Google Maps, por exemplo, é uma das coisas que eu mais uso no meu cotidiano, porque esse é um serviço maravilhoso. O que coloco não é que os dados não devam ser coletados ou usados, mas é necessário um pacto que permita que os dados não sejam utilizados de um modo que o usuário não espera. Por exemplo, veja os jogos de celular para crianças pequenas. Esses jogos são gratuitos, mas por quê? Porque não são jogos, são programas que acabam pedindo permissão para que a pessoa que o instalou forneça informações para a empresa que fez o jogo, e essa informação é vendida.
O que estou dizendo é que hoje existem vários meios de ludibriar as pessoas e submetê-las a vários tipos de vigilância que elas não sabem quem faz e por que está sendo feito. Isso é algo que deve ser reprimido, pois estamos vendo as consequências agora. Uma empresa como o Facebook está sofrendo uma crise grande e talvez tenha um problema conjuntural de utilização de dados. As consequências dessa desconfiança são sérias, e, se prestarmos atenção a isso, podemos gerar um problema que prejudique várias utilizações legítimas de dados.
Por outro lado, você mencionou casos de pessoas que não se importam com isso, mas hoje em dia não é fácil perceber as consequências do uso de dados pessoais. É relevante o fato de que muita gente pode não estar preocupada com a sua própria privacidade, mas, de outro lado, não é só a privacidade que está em jogo. Aliás, cada vez menos é a privacidade que está em jogo, e sim a perda de controle sobre alguns aspectos da vida. No momento em que a pessoa que não se importa com a sua privacidade descobrir que um plano de saúde nega a contratação porque obteve informações de que ela tem uma determinada condição genética que nem ela mesma sabia que tinha, ou seja, quando as consequências de tratamento de dados afetarem a vida dessa pessoa, possivelmente ela passará a pensar melhor sobre isso.
IHU On-Line - Como o senhor avalia o caso recente envolvendo as empresas Facebook e Cambridge Analytica? O que esse caso revela sobre o uso de dados?
Danilo Doneda — Essa discussão que explodiu nas últimas semanas não surpreendeu de forma alguma quem está acompanhando a área há muito tempo. Talvez o que tenha surpreendido foi o fato de ter demorado tanto tempo para algo acontecer. O Facebook, assim como tantas outras empresas, para se posicionar no mercado e crescer, tem que se mostrar interessante para seus clientes. Quem são os clientes do Facebook? Não sou eu nem você; nós somos usuários. Mas o cliente do Facebook é quem paga para o Facebook, ou seja, o anunciante. Esse acesso pode ser feito de várias formas, como a publicidade.
No caso da Cambridge Analytica, um conjunto de dados aparentemente foi enviado a um pesquisador para fins acadêmicos e acabou nas mãos de uma empresa. Provavelmente situações como essa aconteceram várias outras vezes, mas não sabemos. Esse modelo de negócio presume que as empresas, para serem valiosas, precisam se mostrar atrativas para seus clientes, e ser atrativo para o cliente implica ter dados sobre os usuários.
Então, há uma tensão nesse modelo que é complicada, porque se uma empresa quer entrar no mercado de redes sociais, não pode cobrar pelo acesso, pois ninguém vai pagar para entrar numa rede social hoje em dia. Então, para ter algum valor para seu cliente, a empresa tem que descobrir informações sobre as pessoas. Aqui há uma tensão muito forte: ao mesmo tempo que a empresa perde se desrespeitar os usuários — e é isso que está acontecendo com o Facebook —, se ela não for atrativa o suficiente, não terá clientes.
O Facebook é gigantesco, mas já pode ter havido situações muito semelhantes em várias empresas e os casos não terem ganhado tanta projeção. O Facebook é tomado como um teste do que pode vir a acontecer com toda a indústria. Então, dependendo do que vier a acontecer, ou se houver alguma regulação mais forte nos EUA para essas empresas, isso poderá servir de parâmetro para o mundo todo. Na Europa um novo regulamento sobre o tratamento de dados já vai fortalecer essa regulação de uma forma bastante intensa.
IHU On-Line – Como está se dando a discussão nos EUA, onde você está, sobre isso? A tendência é que haja uma regulação para o uso de dados, a partir do caso do Facebook?
Danilo Doneda — Na semana passada, Mark Zuckerberg prestou depoimento na Câmara dos Deputados e no Senado dos EUA. O que me pareceu um ponto quase unânime, e foi bastante mencionado pelos jornais, foi o fato de que há uma tendência forte de regular esse tipo de empresa. O próprio Zuckerberg disse que estamos no momento certo para regular as empresas. Agora, dizer isso é uma coisa, outra é topar de fato com um tipo de regulação; ninguém topou ainda. Ninguém sabe, em termos de parâmetros, em que vai consistir essa regulação. Na Europa já se sabe o que será essa regulação, e nos EUA tem uma tendência que é majoritária, mas não estou vendo propostas concretas nesse sentido. É provável que isso aconteça, porque a tendência é que esse tipo de problema continue a aparecer, já que existem muitas empresas que, se pararem de fazer isso, não terão o que fazer. Então, ou se reorganiza a indústria ou se toca assim até que um dia um regulador colocará uma baliza.
IHU On-Line — Em que consiste o Regulamento Geral de Proteção de Dados, que passará a vigorar na Europa a partir de maio? Como esse regulamento poderá evitar o vazamento de dados?
Danilo Doneda — A União Europeia tem uma regulamentação geral desde 1995, e desde os anos 1970 vários países já têm leis de regulamentação de dados, ou seja, já existe uma tradição histórica bem consolidada no território europeu sobre essa matéria. O Regulamento Geral de Proteção de Dados irá fazer duas coisas: primeiro, harmonizar a lei para todos os países da União Europeia, ou seja, cada país deixará de ter a sua própria lei como instrumento principal e vai obedecer às normas do Regulamento Geral; segundo, esse regulamento foi feito levando em conta as particularidades da Internet e chega a tratar de questões como direito ao esquecimento, direito à explicação, que é o direito de o cidadão saber quais foram os critérios que uma máquina utilizou para tomar uma decisão sobre ele.
Então, digamos que a pessoa não pode ter acesso a crédito porque a sua avaliação de crédito deu negativa. Mas quais critérios foram utilizados pela máquina para chegar a essa conclusão? A pessoa terá a possibilidade de ter acesso a esses critérios, porque do contrário ela poderá nunca saber o que fazer para melhorar a sua vida financeira. Também existem várias normas que tornam claro que o cidadão tem que ter acesso a informações claras sobre o que é feito com seus dados, estabelecem regras para vazamento de dados, determinam várias obrigações para as empresas. Por exemplo, quando as empresas forem implementar um serviço que usa vários dados pessoais, elas precisam fazer uma análise prévia de como esse sistema funciona. O fato é que o regulamento procura diminuir o abismo entre o cidadão e aqueles que tratam dos dados, porque o problema que existe é de assimetria entre o cidadão que fornece dados e aqueles que tratam os dados. Se não tiver nenhum meio de apoio, o usuário não consegue saber o que é feito com esses dados.
A legislação serve para criar instrumentos para que o cidadão possa saber o que acontece com seus dados e para que ele possa negar o fornecimento de dados quando eles forem injustificados. De uma forma geral, o regulamento faz com que o processo seja mais transparente. Mas veja, o regulamento tem não só a finalidade de garantir o direito humano de proteção de dados, mas também serve para gerar segurança a quem trata dados. O pano de fundo do regulamento, como era da diretiva anterior, é fornecer regras claras para que haja a utilização de dados pessoais. Nenhuma dessas leis é uma lei de sigilo de dados. Ninguém está falando em sigilo, segredo e exclusão; fala-se em proteção de dados, e proteção de dados significa proteger os dados, mas permitir a circulação de dados.
IHU On-Line - O senhor trabalhou na elaboração do PL 5.276/2016, formulando uma proposta de legislação para a proteção de dados pessoais no Brasil. Em que consiste sua proposta? Como tem se dado a discussão em torno da promulgação de uma Lei Geral sobre Proteção de Dados Pessoais no Brasil?
Danilo Doneda — Esse projeto está sendo redigido há praticamente dez anos e se trabalhou bastante nele no Ministério da Justiça, até que ele foi apresentado ao Congresso em 2016. Esse é um projeto de lei geral sobre a proteção de dados e se propõe a fazer com que todos esses pontos do regulamento da União Europeia que mencionei estejam presentes na lei brasileira. A ideia é fornecer instrumentos que aproximem os cidadãos do tratamento dos seus dados, estabelecer regras claras, limites, meios de fiscalização, supervisão e controle sobre os responsáveis por tratamentos de dados, para que seja feito esse grande pacto geral sobre o tratamento de dados e para que se gere confiança e segurança para que o Estado e o mercado possam usar esses dados de forma legal e lícita.
A discussão no Brasil historicamente foi lenta e truncada, mas nos últimos meses ela avançou bastante tanto em relação ao PL 5.276/2016 que está na Câmara quanto ao PLS 330 que está no Senado, que é outra lei de tratamento de dados. Ambas foram bastante aceleradas no processo de tramitação em razão do caso Facebook-Cambridge Analytica, mas também pelo fato de que o Brasil hoje postula ser um país membro da Organização para a Cooperação e Desenvolvimento Econômico - OCDE. Para ser membro da OCDE é preciso que o país tenha uma certa harmonia na legislação, em vários pontos. Um dos pontos necessários para que o Brasil possa postular com chances de sucesso seu ingresso na OCDE é justamente ter uma lei de proteção de dados. A OCDE tem um documento de 1980, revisado em 2013, com linhas e diretrizes de proteção de dados. Esse documento estabelece regras que os países membros têm de obedecer.
O Brasil, então, terá que ter regras para tratamento de dados, o cidadão terá que ter direitos ao acesso a esses dados, e as empresas e o Estado têm que ser responsáveis pelo mau uso de dados. Agora, o que vai acontecer, vamos ter de esperar para ver, porque este é um ano eleitoral.
O PL do Senado vai ter um substitutivo novo em duas semanas e já ouvimos falar em problemas potenciais, como propostas que surgem para excluir o setor público e o setor financeiro da aplicação do PL. São propostas que, além de absurdas, por tirar a proteção do cidadão em dois setores fundamentais da sua vida cotidiana, fariam com que o Brasil tivesse uma lei incompatível tanto com a da OCDE quanto com as regras gerais da União Europeia. E ter uma normativa compatível com a OCDE e a União Europeia é importante para que o Brasil tenha integração com mercados estrangeiros muito fortes. Os efeitos dessa lei, além da proteção de dados, seriam, por exemplo, a facilitação de trocas comerciais com reflexos na balança comercial. Hoje em dia o mundo todo se orienta para padrões mais fortes de proteção de dados, e o Brasil, se optar por manter padrões baixos ou retirar setores da aplicação da lei, corre o risco de não oferecer garantias ao cidadão e não obter nenhuma das vantagens, do ponto de vista comercial e financeiro, que uma legislação de proteção de dados é capaz de proporcionar.