Publicado originalmente em: Valor Econômico
por Rony Vainzof
Dado pessoal é a moeda da economia digital. Um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas. Não há dúvida sobre a importância do dado pessoal para o desenvolvimento econômico global.
As maiores potências mundiais estão se esforçando ativamente para desenvolver uma vibrante economia baseada em dados, como as estratégias digitais do Reino Unido e da Alemanha. Inclusive o Brasil, com o recentíssimo Decreto que estabeleceu a Estratégia brasileira para Transformação Digital.
Fato é que na era digital cada vez mais negócios são baseados em dados e isso não mudará. Muito pelo contrário, na era do Big Data, da Internet das Coisas e da Inteligência Artificial, é impossível pensar no oposto.
Se a discussão do problema é baseada exatamente no modelo de negócio da maioria das entidades que atuam no segmento digital e não há qualquer hipótese que se sustente juridicamente de impedir por completo uma economia baseada em dados, que são coletados, tratados e utilizados como contrapartida para excelentes serviços, é preciso haver freios e contrapesos para que tal exploração seja realizada de forma justa, transparente e proporcional.
No Brasil, mesmo diante da existência de ao menos trinta leis setoriais aplicáveis, há anos se discute um necessário marco legal de proteção de dados pessoais, principalmente para trazer maior segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e o fomento à economia digital, bem como visando, com um nível de legislação compatível com outros países, proporcionar a facilitação ao fluxo de transferência internacional de dados.
E finalmente poderemos ser brindados com a Lei Geral de Proteção de Dados brasileira (LGPD), com a esperada sanção presidencial ao Projeto de Lei n. 53/2018, que já foi votado e aprovado na Câmara dos Deputados e no Senado, o que ocorreu, nesta última Casa legislativa, ainda esta semana (dia 10).
O PL em questão conta com previsão de criação de uma Autoridade Nacional de Proteção de Dados e sanções administrativas de até dois por cento do faturamento da pessoa jurídica no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, independentemente de outras sanções administrativas, civis ou penais definidas em legislação específica.
A futura Lei, caso aprovada, aplicar-se-á a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Alguns dos mais relevantes princípios para tratamento de dados pessoais, são: finalidade, ou seja, para propósitos legítimos, específicos, explícitos e informados ao titular; necessidade, com limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; transparência, com informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; e segurança, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Entre outros, se destaca como requisito taxativo para o tratamento o consentimento, que é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Outro ponto relevante da futura Lei é o Relatório de impacto à proteção de dados pessoais, documentação do responsável que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação destes riscos.
Além disso, o responsável deverá comunicar ao órgão competente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, em prazo razoável.
Por fim, um cuidado que se deve ter, é que a Autoridade de Proteção de Dados, sob pena de ausência de confiança do mercado, priorize um engajamento construtivo com a indústria, promovendo, ao invés de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação. As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves.
Assim, finalmente o Brasil poderá contar com uma robusta legislação em termos de proteção de dados pessoais, o que possivelmente aprimorará o desenvolvimento tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo protegerá aos dados pessoais dos cidadãos em nosso país, trazendo um equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança.
