O setor privado e os cidadãos clamam por uma lei de proteção de dados

Rafael Fernandes Maciel

Em meio às recentes notícias sobre a nova Carteira Nacional de Habilitação acessível pelo celular e sobre o compartilhamento de dados entre órgãos da administração pública federal, no viés do Decreto nº 9.094/17, a reflexão sobre o atual arcabouço jurídico de proteção de dados pessoais no Brasil é inevitável. Embora seja certo que no âmbito da administração pública federal, algumas regras já foram devidamente delineadas quanto à proteção dos dados, no setor privado o cenário é ainda bastante obscuro, permanecendo nosso país como um dos poucos que ainda não regulam de forma clara a coleta e o tratamento dos dados.

Atualmente há no mundo 110 países com leis específicas de proteção de dados pessoais, desses ao menos 100 contam com uma entidade específica para fiscalização . Na América Latina, o Brasil é o único grande que não possui norma específica. Ainda que tenhamos no Brasil o Código de Defesa do Consumidor e o Marco Civil da Internet, fato é que tais diplomas legais são insuficientes. O primeiro, posto que obsoleto à era digital; o MCI, além de ter aplicação limitada às relações celebradas via internet, pincela alguns direitos dos usuários e estabelece alguns requisitos de segurança pelo seu decreto regulamentador, remetendo a futura lei, detalhes específicos quanto a coleta e o tratamento de dados.

Regras claras sobre a forma de se obter o consentimento válido, bem como quanto à transferência de dados entre diferentes players é medida que se impõe para que o Brasil entre definitivamente na rota da inovação, garantindo segurança jurídica aos investidores. Para o cidadão, mais do que regras claras é fundamental que haja uma definição de competência quanto a quem caberá fiscalizar. Veja que no Marco Civil da Internet, pelo seu decreto regulamentador, a fiscalização do cumprimento de suas regras foi repartido entre Anatel, para questões de sua competência, Secretaria Nacional do Consumidor, no tocante a relações consumeristas e ao Sistema Brasileiro de Defesa da Concorrência, para infrações a ordem econômica. Nenhuma dessas entidades, a despeito de sua notória experiência em suas áreas de atuação majoritárias, têm histórico de análise técnico-informática de questões relativas à segurança da informação, notadamente sobre o cumprimento do artigo 13 do Decreto nº8.771/16, que traça as diretrizes sobre padrões de segurança. Ainda que uma vez ou outra tenham atuado nesse sentido, fato é que não é sua atuação principal o que implica em demora de apuração e ausência de resposta a contento. Nos principais projetos de lei em discussão no Congresso Nacional (PLS 330/2013, PL 5.276/2016 e 4.060/2012) não há presença de uma autoridade destinada a essa função, embora no projeto apresentado pelo executivo, em sua minuta levada à discussão pública prévia, havia a chamada Autoridade de Garantia, que cumpriria tal finalidade. A mudança do texto legal se deu em meio à crise econômica, quando então falar em criação de novos órgãos seria assunto indigesto.

Se não há recursos para criar um novo órgão ou dar recursos a órgãos existentes para terem equipes e departamentos especializados, pouco adiantará uma lei de proteção de dados pessoais, visto que seu cumprimento ficará mais sujeito a demandas judiciais, muitas vezes lentas e também conduzidas por um judiciário ainda não afeto a questões técnico-informáticas. O maior prejudicado é o cidadão e o ambiente de inovação no Brasil, que persistirá sem segurança jurídica.

[1] DONEDA, Danilo em https://www.nexojornal.com.br/expresso/2016/11/28/Qual-a-situa%C3%A7%C3%A3o-do-Brasil-no-mapa-de-prote%C3%A7%C3%A3o-de-dados-pessoais-no-mundo (acessado em 03 de agosto de 2017)

*Rafael Fernandes Maciel é advogado especialista em Direito Digital