Com a aproximação do Dia Internacional da Proteção de Dados Pessoais, 28 de janeiro, a Coalizão Direitos na Rede ressalta a importância da aprovação de uma lei geral de proteção de dados, bem como a centralidade do Projeto de Lei 5276/2016 para o avanço democrático e o desenvolvimento econômico do país.
Mais do que restringir abusos à privacidade, o PL mencionado pretende garantir aos cidadãos e às cidadãs brasileiras a não discriminação pelo processamento indevido de suas informações, e, consequentemente, que possam exercer plenamente seus direitos fundamentais. Além disso, a aprovação deste Projeto traria segurança jurídica para a realização de uma série de transações empresariais. Em síntese: além da tutela dos usuários, é benéfica também para a economia.
Abaixo, elencamos seis principais pontos, com o intuito de ressaltar porque o PL 5276/2016 possui a redação mais adequada para tais fins e porque deve ser aprovado neste ano de 2017.
I – O Projeto de Lei 5276/2016 é um produto de toda a sociedade brasileira
O Projeto de Lei 5276/2016 é, antes de mais nada, o resultado de uma ampla e frutífera discussão com toda a sociedade brasileira. Seu texto foi construído de forma colaborativa, com amplo engajamento social.
Tudo isso ocorreu por meio de duas consultas públicas realizadas tanto no final do ano de 2010, quanto no começo do ano de 2015, a partir da iniciativa do Ministério de Justiça e Cidadania de colocar o texto do então Anteprojeto de Lei de Proteção de Dados Pessoais sob escrutínio público nas respectivas plataformas online, quais sejam: http://culturadigital.br/dadospessoais/ e http://pensando.mj.gov.br/dadospessoais/.
Ao longo dos meses de debate público, que gerou mais de 2.000 (duas mil) contribuições, todos tiveram voz ativa na elaboração do texto: o setor empresarial; a comunidade científica e acadêmica; organizações da sociedade civil; e cidadãos e cidadãs brasileiras. O texto foi então encaminhado em maio de 2016 ao Congresso Nacional. Isso significa que o PL 5276/2016 que aguarda votação também é nosso!
Conforme a maneira pela qual o texto foi consolidado, aponta se tratar de uma iniciativa resultante do consenso entre os diversos setores mencionados. As diferenças e modificações entre as versões pré e pós-consulta publicados, e o texto do anteprojeto, são claros indicadores de que se procurou chegar a uma redação equilibrada, a fim de salvaguardar a inovação e a proteção da privacidade dos cidadãos.
Como produto de toda a sociedade civil brasileira, o PL 5276/2016 é o mais apto a contrabalancear a proteção da privacidade dos cidadãos, e os interesses do Estado e setor privado, que dependem cada vez mais de dados considerados pessoais para o desenvolvimento de políticas públicas e modelos de negócio.
II – Fundamentos de uma Lei Geral de Proteção de Dados Pessoais e o Princípio da não discriminação
O artigo 2º do PL 5276/2016 determina quais são os fundamentos de uma lei de proteção de dados pessoais. Tal disposição é de extrema importância, pois orienta a interpretação e aplicação da futura lei. Além disso, busca assegurar a proteção da privacidade e facilitar o controle de fato das pessoas sobre seus dados e, ao mesmo tempo, o desenvolvimento econômico e tecnológico.
Outra particularidade do PL 5276/2016 é o princípio da não discriminação. Este é essencial no cenário em que muitas empresas baseiam seus modelos de negócios na criação de perfis e segmentação das pessoas, isto porque, tal tipo de prática, caso não regulada, pode acarretar práticas econômicas consideradas discriminatórias: por exemplo, diferenciação de preços segundo os hábitos de consumo de cada perfil; e também reforçar preconceitos sociais, como ocorre com certas soluções de sistemas preditivos de crimes. Esse tipo de situação já foi observada em outros países. Um caso que chama a atenção ocorreu com consumidores que tinham aparelhos Apple — tidos como detentores com alto poder aquisitivo — não recebiam ofertas e promoções visíveis para os demais consumidores. Revelou-se também que softwares de previsão de crimes os quais avaliavam pessoas negras como mais propensas a cometerem atos criminosos, como o caso que ocorreu em Fort Lauderdale, nos Estados Unidos.
Com a chegada das soluções “inteligentes” no Brasil, é fundamental que as pessoas estejam protegidas desses riscos, os quais podem aprofundar ainda mais as desigualdades estruturais do país e marginalizar segmentos inteiros da população.
III – Teste de proporcionalidade para a hipótese de legítimo interesse
Como em outros países, além do consentimento, outras hipóteses que legitimam o uso de dados pessoais estão presentes nos referidos projetos de lei. Uma delas é o interesse legítimo, permitindo o processamento sem o consentimento, desde que o responsável comprove legítimo interesse em fazê-lo. Trata-se de uma das exceções à regra geral de que o titular de dados deveria autorizar o processamento de suas informações.
Visando evitar abusos no uso da referida exceção, o PL 5276/2106 exige que: a) haja transparência para que o titular dos dados possa se opor ao tratamento; b) sejam implementados padrões de segurança para mitigar os riscos à privacidade e c) um órgão competente tenha o poder de auditar tais práticas e exigir a apresentação de relatórios de impacto à privacidade.
A partir da experiência de outros países, o PL 5276/2016 é singular por apresentar esse sistema de freios e contrapesos, de modo a impedir que o objetivo geral da futura lei — garantir aos usuários o controle de seus dados — seja deturpado.
IV – Dados anonimizados: padrões mínimos e quem deve fiscalizá-los
Além disso, o PL 5276/2016 define o conceito de dados anonimizados. Em linhas gerais, a anonimização é o processo que desvincula um determinado conjunto de dados dos indivíduos cujas informações estão ali presentes (impedindo que alguém consiga re-identificaresses indivíduos) enquanto permite o processamento dessas informações para diversos fins. A anonimização de dados pode ser usada por instituições de saúde em seus registros e prontuários, por exemplo, para que pesquisadores e analistas consigam estudar a incidência de doenças no país sem que possam saber qual pessoa especificamente teve determinada enfermidade.
Não apenas é vital que este conceito esteja presente na futura lei brasileira de proteção de dados pessoais, mas também que os critérios e as condições para sua aplicação estejam embasados no estado da arte do entendimento tanto das pesquisas científicas sobre o tema, quanto do direito. Isso porque com o avanço das ciências da computação, bases de dados aparentemente inócuas podem ser cruzadas.
Em suma, com a combinação de dados, é mais fácil extrair informações, sendo possível identificar uma pessoa, como mostrou um estudo clássico que conseguiu reidentificar pessoas a partir de dados de um Censo dos Estados Unidos, os quais eram aparentemente anônimos. Como a grande maioria dos cidadãos têm uma combinação única de data de nascimento, gênero e zip code (equivalente ao nosso CEP), esses dados podem ser usados para identificação, quando colocados em conjunto com outras bases que também contenham estes dados. Todo tipo de informação sobre indivíduos pode ser usada para a re identificação.
Há somente 6,6 bilhões de pessoas no mundo, então só são necessários 33 bits de informação sobre uma pessoa para determinar quem ela é”, diz Arvind Narayanan, pesquisador em privacidade e professor de computação na Universidade de Princeton.
Não há dúvida sobre o valor que o acesso a certos bancos de dados pessoais pode ter para a inovação científica e a implementação de políticas públicas. No entanto, é preciso conciliar esses benefícios com a inviolabilidade da intimidade e da vida privada e a própria segurança pessoal dos titulares.
Por conta disso, o PL 5276/2016 traz conceitos claros sobre dados pessoais e dados anonimizados e é singular por estabelecer que um dos papéis do órgão competente é fiscalizar e elaborar normas, diretrizes e padrões técnicos mínimos e recomendados para que um conjunto de dados seja considerado devidamente anonimizado.
V – Perfis comportamentais (profiling)
Além da anonimização, outro tipo de tratamento usado largamente na indústria é a técnica de análise conhecida como profiling, ou seja, a produção de perfis. Ela permite criar “personas” virtuais que não identificam ninguém individualmente, mas que são usadas para encaixar pessoas em categorias para fins de segmentação.
Essas categorias podem ser previamente determinadas por quem programa o algoritmo — uma abordagem de cima para baixo, top-down –; ou emergir de correlações feitas cruzando atributos de um ou mais bancos de dados e então interpretados por especialistas ou profissionais da área — de baixo para cima, bottom-up.
Um dos perigos do uso descontrolado do profiling, principalmente em países que lutam contra a desigualdade econômica e social como o Brasil, é que esses perfis tendem a perpetuar e reforçar a desigualdade social e a discriminação contra minorias raciais, étnicas, religiosas e outras. Por conta disso, tanto os resultados do profiling quanto seus algoritmos subjacentes deveriam ser diligentemente monitorados.
Em resumo, o PL 5276/2016 é o único em tramitação no Congresso que confere explicitamente proteção aos dados dissociados, anônimos, “utilizados para formação do perfil comportamental de uma pessoa natural, ainda que não identificada”. Como consequência prática, por exemplo, tais perfis comportamentais não poderiam gerar ou reforçar práticas discriminatórias em razão desse ser um dos princípios fundados do projeto de lei em questão.
VI – Assimetria regulatória entre o público e privado
Apesar do PL5276/2016 deixar claro no artigo 4º, inciso III, que o tratamento de dados pessoais “realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais” está fora do escopo de aplicação da norma, ele determina que os princípios gerais de proteção de dados pessoais — dentre eles a finalidade, necessidade e adequação — se estendem à atuação do poder público. Nesse sentido há todo um capítulo tratando do tema que regula, dentre outros, as formas de compartilhamento de dados entre entidades públicas e entre entidades públicas e privadas, listando obrigações tais como publicização de relatórios de transparência e impondo responsabilidades a agentes públicos por práticas de tratamento de dados pessoais que venham a causar danos aos seus titulares.
VII – Sistema de Fiscalização da Lei
Por ordem constitucional, a competência para a iniciativa legislativa para criar cargos, funções ou empregos públicos é do Poder Executivo, sendo estes necessários para a implementação de um órgão fiscalizador. Assim sendo, somente o PL 5276/2016 prevê a criação tal órgão de fiscalização, que é essencial para a efetividade da lei.
Além disso, o projeto propõe a criação de um Conselho Nacional de Proteção de Dados Pessoais. A sua composição seria multissetorial, o que significa que toda a sociedade seria ouvida e considerada no processo de fiscalização e implementação da lei. Desde representantes das três esferas do Poder até membros da academia, do setor empresarial e do terceiro setor. Garante-se, com isso, pluralidade ao ambiente regulatório da proteção de dados pessoais, inspirando-se no sistema bem-sucedido de Governança da Internet no Brasil. Este sistema pode contribuir com a instalação de processos de alfabetização e campanhas de conscientização a respeito da importância da proteção de dados pessoais de forma mais ampla, bem como possui relevância enquanto um local para se pensar na proteção dos dados pessoais como um elemento para a formulação de políticas públicas.
Com base nas questões destacadas, consideradas os principais pontos de relevância do PL5276/2016, dado seu rigor técnico-normativo, bem como seu caráter democrático, fruto de discussões entre diversos setores interessados da sociedade brasileira, é que se considera sua redação sofisticada e consensuada, garantindo um equilíbrio imprescindível: a proteção da privacidade de cidadãos e cidadãs e o desenvolvimento econômico por meio da inovação.
Espera-se que o parlamento brasileiro não só discuta este Projeto de Lei na maior brevidade possível, mas que possa aprová-lo com manutenção de sua essência ainda neste ano sem retrocessos em relação aos direitos fundamentais, os quais já estão fragilmente tutelados.
Publicado por Coalizão Direitos na Rede (Grupo de Trabalho de Privacidade)
