Com a disseminação da coleta massiva de informações das pessoas, os riscos de abusos e violação ao direito à privacidade (garantido no Brasil pela Constituição Federal) vêm crescendo, provocando o debate sobre a necessidade de legislações específicas. No Brasil, duas propostas tramitam no Congresso. Outros países já contam com suas normas. As violações e os abusos envolvem desde empresas privadas ao Poder Público, de equipamentos e grandes bancos de dados.

Ao reunir informações sobre o perfil das pessoas, suas preferências, seus medos e suas visões de mundo, marqueteiros e responsáveis por campanhas conseguiam produzir e disseminar conteúdos quase personalizados.

Os riscos da disseminação de informações pessoais estão no aumento da demanda pela coleta de dados na economia. Essas informações vêm sendo consideradas um insumo fundamental para diversos setores, apelidados de “novo petróleo” por empresas, organismos internacionais e analistas. Os dados são a base de processos da “indústria 4.0” ou “transformação digital”. Segundo o Fórum Econômico Mundial, a transformação digital pode gerar até US$ 10 trilhões anuais na próxima década (R$ 35,4 trilhões, ou 5,3 vezes o Produto Interno Bruto brasileiro registrado em 2017). A Europa projeta um crescimento da sua economia de dados de € 285 para € 739 bilhões entre 2015 e 2020.

Com isso, a coleta de dados tornou-se um negócio não apenas de empresas de tecnologia da informação, mas de uma gama variada de setores, provocando preocupações quanto a usos indevidos.

Atualmente, Câmara e Senado analisam proposições sobre o tema. As propostas disciplinam quais dados devem ser considerados pessoais, como pode ser feita a coleta, quais os parâmetros e limites do tratamento, quem deve estar submetido a exigências (pessoas, empresas, entes públicos), os direitos e as obrigações, as proibições, quais as sanções decorrentes da violação das normas e quem fica responsável por fiscalizar e aplicar sanções.

Na Câmara, tramita o Projeto de Lei (PL) 5276/2016, discutido desde 2010 e enviado pelo governo federal ainda na gestão Dilma Rousseff. Uma comissão especial foi montada para examinar a matéria. A previsão do relator, deputado Orlando Silva (PC do B-SP), é apresentar uma nova redação ainda em maio.

No Senado, o PL 330/2013, do senador Antônio Carlos Valadares (PSB-SE), está nas mãos de Ricardo Ferraço (PSDB-ES), que relata a matéria na Comissão de Assuntos Econômicos. O parlamentar apresentou nesta semana uma nova versão, denominada na linguagem do Legislativo de substitutivo.

Os dois projetos de lei dispõem sobre a regulação da coleta e do tratamento de dados. O projeto da Câmara define como objetivo “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa individual”.

Já o do Senado destaca como fundamentos a autodeterminação informativa, a liberdade de expressão, a inviolabilidade da intimidade e da honra, o desenvolvimento econômico e tecnológico, a livre concorrência, a livre iniciativa e a defesa do consumidor.

O consentimento é um elemento chave das regras para uso de dados. É por meio desse conceito que a lei vai obrigar empresas a pedir a autorização do usuário na coleta e uso dos dados.

Outra questão importante diz respeito ao tratamento de dados que deve se limitar ao mínimo necessário para atingir a finalidade. O texto define ainda obrigações de transparência.

Um dos maiores desafios das legislações sobre o tema é como disciplinar atividades que não se limitam pelas fronteiras nacionais. O texto do senador Ricardo Ferraço resolve a questão abrangendo “o uso e tratamento de dados pessoais realizados no todo ou em parte no território nacional ou que nele produza ou possa produzir efeito, qualquer que seja o mecanismo empregado”.

Isso inclui empresas com sede no exterior, mas que ofertem serviços a brasileiros ou que algum integrante do grupo econômico tenha sede no Brasil. A lei também alcançaria nações em que a legislação brasileira tem validade por força de convenção.

A proposta da Câmara também abrange outras duas possibilidades: empresas de fora do país que ofertem serviços e bens a brasileiros (como um site hospedado na China que vende produtos para o Brasil) e tratamento de dados de pessoas que estavam em território nacional no momento da coleta de dados.

As possíveis punições a quem comete abusos no tratamento de dados também estão entre as preocupações dos projetos. O PL 330, do Senado, prevê algumas hipóteses de sanções.

Quem realizar tratamento inadequado e causar dano será obrigado a ressarcir o prejudicado se não tiver cumprido as obrigações da Lei ou do órgão competente. Os gestores de bancos de dados também devem garantir a segurança, devendo comunicar ao órgão competente eventuais incidentes (como um roubo ou ataque) e podem ser responsabilizados por vazamentos ou acessos ilícitos às informações.

As autoridades administrativas, diz o texto, devem fiscalizar a comunicação e a interconexão de dados, podendo determinar o cancelamento dos dados e da interconexão, bem como outras medidas que garantam os direitos dos titulares. Também são estabelecidas obrigações de segurança e resguardo do sigilo das informações pelos responsáveis pelo tratamento de dados. As sanções previstas são advertência; alteração, retificação ou cancelamento do banco de dados; multa de 2% sobre faturamento da empresa ou do grupo econômico, em caso de reincidência; e suspensão ou proibição parciais ou totais da atividade de tratamento. Na definição da pena, devem ser consideradas a gravidade, a situação econômica do infrator, a vantagem obtida e a reincidência.

O projeto tramitando na Câmara estabelece a obrigação de reparação de danos decorrentes do tratamento de dado ou de reversão em caso de incidente de segurança. Entre as sanções elencadas estão multa; bloqueio de dados pessoais; suspensão do tratamento; e suspensão do banco de dados, sem prejuízos de sanções penais ou administrativas previstas em outras leis.

Associada à polêmica das medidas de fiscalização e sanções está a disputa sobre a criação de uma autoridade que ficaria responsável pela aplicação de multas e supervisão. Um primeiro problema diz respeito ao procedimento. A legislação exigiria um projeto de Lei do Executivo criando um órgão, embora haja avaliações distintas entre especialistas acerca de formas alternativas de implantação do órgão.

A saída do PL 330 foi estabelecer prerrogativas para uma autoridade responsável a ser criada, como: fiscalizar o tratamento de dados pessoais; estimular padrões que facilitem o controle dos dados pelos titulares; definir as formas de divulgação das operações de tratamento e editar normas complementares sobre a proteção de dados.

O projeto 5276 também fala genericamente em órgão competente. O texto atribui prerrogativas à autoridade, como fiscalizar; estabelecer medidas adicionais de proteção de dados sensíveis; cobrar relatórios de impacto à privacidade; normatizar aspectos diversos, como forma de registro da guarda de dados e dispor sobre padrões de segurança.