A iniciativa de criar uma legislação nacional específica para regular a proteção e a privacidade dos dados pessoais tem provocado forte debate, o qual se intensificou ainda mais em outubro de 2015, após a divulgação da nova versão do anteprojeto de lei que “dispõe sobre o tratamento de dados pessoais para a garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural”.
Uma pequena parte dos especialistas afirma que a legislação vigente seria suficiente para regular o tema, haja vista que já existem dispositivos legais esparsos na Lei de Acesso à Informação, na Lei do Cadastro Positivo, no Código de Defesa do Consumidor, na Lei do Habeas Data, no Marco Civil da Internet e na própria Constituição Federal.
A verdade, entretanto, é que o assunto não foi ainda tratado com profundidade, o que provoca incertezas para o cidadão e - o que quase nunca é abordado - uma enorme insegurança jurídica para as empresas, especialmente as digitais, que coletam, armazenam, tratam, processam ou de qualquer forma usam dados pessoais.
Tais empresas muitas vezes não conseguem saber com exatidão se uma determinada atividade é considerada legal ou mesmo quais as cautelas que deveriam adotar para evitar que a elas sejam impostas determinadas penalidades. Exemplos concretos disso são a forma de obtenção de consentimento do usuário e a possibilidade de terceirizar o tratamento de dados pessoais, atividades que não encontram resposta na legislação vigente e acabam se convertendo em longas e complexas políticas de privacidade, as quais raramente são lidas e muitas vezes não garantem plena segurança ao empresário. O próprio conceito do termo “dados pessoais” não encontra ainda definição legal.
A ausência de norma específica está afetando a capacidade de sites, portais e aplicativos brasileiros de obterem investimento estrangeiro, haja vista que, na ausência de uma regulamentação específica, o financiador estrangeiro muitas vezes questiona a legalidade da operação dos nacionais e as restrições de exploração das bases de dados formadas por essas empresas, e decide não mais liberar os recursos. O mesmo obstáculo vem impactando o valor de mercado e até mesmo comprometendo aquisições de empresas digitais brasileiras por grupos internacionais.
Não é por outro motivo que mais de uma centena de países já conta com legislação específica para regulamentar a coleta e o uso de dados pessoais, tendência essa que o Brasil precisa acompanhar a fim de garantir segurança aos envolvidos, sejam eles cidadãos ou empresas, e estimular investimentos no segmento digital.
A atual versão do anteprojeto de lei deve ainda sofrer alterações antes de efetivamente ser aprovada e integrar o ordenamento jurídico brasileiro, mas o histórico de versões e alterações parece indicar, entre outras coisas, que será mantido o conceito de consentimento inequívoco - ao invés do consentimento expresso, originalmente previsto -, permitindo assim a manutenção da sistemática de opt in largamente utilizada por sites, portais e aplicativos, e que será implementada a exigência de consentimento específico, tornando nulas as disposições ou políticas de privacidade genéricas.
O texto tratará ainda de dados sensíveis, do uso compartilhado de dados pessoais, da responsabilidade dos agentes e da segurança e sigilo dos dados, culminando com a provável criação de uma entidade para fiscalizar o cumprimento da norma e aplicar penalidades em casos de descumprimento da lei.
Sites, portais e aplicativos que operam ou pretendam de alguma forma operar no Brasil devem também estar atentos para o fato de que a nova legislação será mais restritiva em relação à transferência internacional de dados pessoais, bem como demandará das empresas digitais a criação de funcionalidades que visem garantir ao usuário um maior controle sobre os dados pessoais coletados, além de um canal específico de comunicação.
Portanto, tão logo aprovada a legislação específica, duas são as certezas: políticas de privacidade detalhadas e específicas deverão ser criadas (ou deverão ser validadas juridicamente as políticas de privacidade até então adotadas) e deverão ser criadas funcionalidades que garantam ao usuário um maior controle dos respectivos dados.
As versões do anteprojeto de lei até hoje publicadas apresentam penalidades duras para aqueles que não seguirem as regras, as quais podem inclusive comprometer temporariamente a operação de sites, portais e aplicativos.
Diogo Dias Teixeira e Mariana Patané
Referências Legais:
Anteprojeto de lei sobre dados pessoais – versão divulgada em 20/10/2015
Lei de Acesso à Informação
Lei do Cadastro Positivo
Código de Defesa do Consumidor
Lei do Habeas Data
Marco Civil da Internet
Constituição Federal