O vazamento de supostas mensagens trocadas entre Sergio Moro, atual ministro da Justiça, e procuradores trouxe à tona um tópico importante, mas que até pouco tempo não recebia a devida atenção por parte dos governantes. Porém, em 02 de julho deste ano, foi aprovada uma proposta que inclui a proteção de dados como uma das garantias individuais da Constituição Federal.  

A PEC 17/2019 é uma proposta do senador Eduardo Gomes (MDB-TO) e foi aprovada com 65 votos em primeiro turno e 62 no segundo, o texto agora seguirá para votação na Câmera dos Deputados. 

A PEC surge em um momento importante, em que o mercado, principalmente o tecnológico, está cada vez mais concorrido, o que leva muitas empresas a coletar o máximo de dados possível de seus clientes para criar uma base de conhecimento que os permita ganhar as corridas recorrentes do mercado. Sem leis e controles para que essa coleta de dados seja feita respeitando a privacidade dos clientes, muitos abusos podem surgir. 

Senadora Simone Tebet (MDB-MS), relatora da PEC 17/2019.

Para a senadora Simone Tebet (MDB-MS), que foi a relatora da PEC, é função do Estado legislar sobre a proteção de dados pessoais. Em seu pronunciamento, a senadora explicou:

“Constitucionalizar a questão significa o Estado dizer que reconhece a importância do tema, classificando esse direito à proteção de dados como fundamental. Ou seja, o Estado, a sociedade, o cidadão, podem ter direito, como regra geral, ao conhecimento do outro, desde que haja realmente necessidade. Do contrário, é preciso preservar ao máximo a intimidade e a privacidade dos dados.”

O texto da proposta traz preocupação com relação à privacidade e com a pluralidade que o conceito “dado pessoal” pode sofrer se o Estado não o constitucionalizar, conforme os parágrafos a seguir, retirados do texto da emenda: 

“De fato, a privacidade tem sido o ponto de partida de discussões e regulações dessa natureza, mas já se vislumbra, dadas as suas peculiaridades, uma autonomia valorativa em torno da proteção de dados pessoais, de maneira, inclusive, a merecer tornar-se um direito constitucionalmente assegurado.

Não há racionalização nisso: a fragmentação e pulverização de assunto tão caro à sociedade deve ser evitada. O ideal, tanto quanto se dá com outros direitos fundamentais e temas gerais relevantes, é que a União detenha a competência central legislativa. Do contrário, pode-se correr o risco de, inclusive de forma inconstitucional, haver dezenas – talvez milhares – de conceitos legais sobre o que é ‘dado pessoal’ ou sobre quem são os “agentes de tratamento’ sujeitos à norma legal.

Impõe-se, portanto, que o país apresente uma legislação uniforme quanto à proteção e tratamento de dados, tendo em vista ser praticamente impossível aos governos e empresas de todo o mundo se adaptarem a normas específicas de cada localidade. Além disso, a pluralidade normativa pode trazer problemas de compatibilidade e adequação dos dados, em especial nos serviços disponibilizados pela rede mundial de computadores, que utilizam os dados pessoais de formas cada vez mais abrangentes e inovadoras.”

Simone Tabet também mencionou que ao aprovar a PEC, o Brasil se aproximará das melhores legislações internacionais sobre o tema. 

Em países como os Estados Unidos e os membros parte da União Europeia, a preocupação com a proteção dos dados pessoais dos cidadãos já é algo tratado há algum tempo em suas constituições. O Brasil aprovou em 2018 a Lei Geral de Proteção de Dados – que adequa o Brasil às melhores práticas globais de gestão de dados – o que incentivou o amadurecimento do assunto no território nacional.

Em alguns sentidos, as leis do Brasil e desses países são diferentes, embora tenham o mesmo o objetivo de controlar e proteger as informações pessoais dos cidadãos. 

LGPD – Lei Geral de Proteção de Dados (Brasil)

Em 14 de agosto de 2018, foi aprovada a lei nº 13.709, inspirada na European General Data Protection Regulation (GDPR). Essa lei, sancionada pelo ex-presidente Michel Temer, tem como objetivo aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações nesse tema. 

A legislação adequa o Brasil às melhores práticas globais de gestão de dados e abrange todas as empresas estabelecidas em território nacional, bem como as organizações com sede no exterior que ofereçam serviços ou tenham operações no País envolvendo tratamento de dados.

Por natureza, a lei protege pessoas físicas e jurídicas, brasileiras ou não, presentes em território nacional durante a coleta e/ou tratamento de seus dados. Dados pessoais de crianças e adolescentes deverão ter consentimento de um dos pais ou responsáveis antes da coleta. 

Em conjunto com a lei foi criada a Autoridade Nacional de Proteção de Dados (ANPD), cujos objetivos centram-se em:

  • Fiscalizar e aplicar sanções. 
  • Promover conhecimento das normas e das políticas sobre proteção de dados à população.
  • Promover ações de cooperação entre autoridades de proteção de dados de outros países.

Com a criação do órgão, o prazo para a conformidade foi alterado para agosto de 2020, antes estabelecido para fevereiro do mesmo ano, além de trazer algumas alterações como: compartilhamento de dados de saúde; encarregados pela comunicação entre as organizações; e os titulares não necessariamente são pessoas jurídicas.

As multas por descumprimento da lei variam de 2% do faturamento bruto até 50 milhões de reais por infração. 

General Data Protection Regulation (GDPR) – Europa

A GDPR entrou em vigor em 2018 nos países da União Europeia, motivadas pelo “vazamento” de dados de milhões de usuários do Facebook através de um aplicativo que permitiu que a empresa Cambridge Analytica trabalhasse com os dados para influenciar as campanhas do presidente Donald Trump e do Brexit. 

A lei europeia estabelece que o indivíduo é o proprietário de seus dados, portanto, o consentimento para o uso destes deve ser dado por ele. 

É aplicável às empresas, independentemente da localização, que têm a intenção de oferecer bens ou serviços para europeus, mesmo que suas bases de dados não estejam na Europa. 

A GDPR é a versão atualizada de outra lei de privacidade da União Europeia, chamada “Data Protection Directive” (Diretriz de Proteção de Dados, em tradução livre), em vigência desde 1995. A GDPR tem proteção de lei e a Data Protection Directive é apenas um guia de boas práticas.

As obrigações incluem: meios para que o usuário solicite a exclusão de seus dados pessoais ou interrompa a coleta; o direito de saber quais dados estão sendo coletados; notificação de vazamento em até 72 horas; e muitas outras obrigações. 

As multas em caso de vazamento de dados podem chegar a até 20 milhões de euros ou 4% do faturamento da organização.

Recentemente, a agência de proteção de dados italiana multou o Facebook pelas violações cometidas pela empresa Cambridge Analytica em 1 milhão de euros. Segundo a agência, por volta de 214 mil usuários italianos foram afetados.

California Consumer Privacy Act (CCPA) – Estados Unidos

Em janeiro de 2020, entrará em vigor a lei californiana que também se inspirou na GDPR. As duas são bem parecidas e declaram obrigações semelhantes. A lei se aplica a empresas que fazem negócios no estado da Califórnia, estabelecidos ou não no estado, mas que se encaixam nos seguintes requerimentos:

  • Ganho anual acima de $25 milhões.
  • Compradores, receptores, vendedores ou aqueles que vendem por propósitos comerciais informações pessoais de 50 mil ou mais consumidores. 
  • Rendas derivam 50% ou mais da venda de informações pessoais.  

Da mesma maneira que a lei europeia, os cidadãos californianos têm o direito de requerer uma cópia de seus dados, de forma gratuita em um período específico, além da exclusão dos dados.

As multas variam de $100 a $750 por residente e incidente. 

A violação da proteção de dados é uma preocupação crescente, mas que vem recebendo medidas para a mitigação por meio da disposição que os Estados estão empenhando em proteger a privacidade de seus cidadãos, utilizando-se de leis e regulamentos.  

A união da PEC com leis nacionais e internacionais sobre proteção de dados é importante para o estabelecimento da privacidade e segurança, itens que devem ser uma preocupação constante, tanto para o Estado quanto para a população.