Lei de dados deve evitar jabuticabas


Folha de S.Paulo - 18/02/2019

Por Ronaldo Lemos, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro, na Folha de S.Paulo.

Um tema importante está em curso no Congresso Nacional: a definição da Lei Geral de Proteção de Dados Pessoais. Trata-se da legislação que protege a privacidade e cria direitos e deveres para entidades públicas e privadas que coletam dados, de empresas a governo.

Essa lei tem impacto internacional. Por exemplo, o Brasil quer ingressar na OCDE, o clube dos países desenvolvidos. Ter uma lei de dados bem-feita é requisito para isso.

O último capítulo dessa novela (que dura mais de oito anos) foi a edição de uma medida provisória no apagar das luzes do governo Michel Temer.

Essa MP foi bem-intencionada. Buscou suprir uma lacuna importante da lei original, aprovada em agosto de 2018: criou uma Autoridade Nacional de Proteção de Dados, que é o elemento central de qualquer legislação desse tipo.

A MP está agora em análise no Congresso. Mais de 175 emendas já foram propostas por parlamentares. O que fazer diante de todas essas propostas de mudanças? O melhor caminho é adotar um critério objetivo para apreciar as emendas.

Tudo aquilo que aproximar a lei brasileira do Regulamento Europeu de Proteção de Dados Pessoais (o chamado GDPR) deve ser aprovado.

Tudo o que distanciar a lei brasileira da GDPR deve ser visto como jabuticaba (mistura de jabuti com jabuticaba, práticas comuns nas legislaturas anteriores do Congresso Nacional).

Nesse sentido, há pelo menos duas jabuticabas que o Congresso vai precisar resolver, trazidas pela medida provisória. A primeira é que a Autoridade de Dados foi criada com 100% de subordinação à Presidência. Esse é um passo em falso. Ele afasta nossa lei da GDPR e a tornaria nossa incompatível com a Europa (e com a OCDE).

A solução, ao meu ver, seria criar uma secretaria no Ministério da Justiça, responsável pela investigação e pela instrução de processos de violação de dados, e um conselho deliberativo, esse sim independente do Executivo, com capacidade para julgar e normatizar o tema, com mandato fixo e sabatina pelo Senado.

Seria semelhante à estrutura anterior do Cade. Uma proposta nesse sentido foi feita pelo deputado Felipe Rigoni (PSB-ES).

A segunda jabuticaba do texto é também grave. Ela desmonta completamente a proteção dos dados que são coletados pelo próprio governo. A GDPR europeia aplica-se indistintamente ao setor privado e ao setor público.

Tem de ser assim. Permitir que o setor público fique desgovernado com relação aos dados que coleta é uma irresponsabilidade. É justamente assegurar a proteção de dados públicos que permite aos governos acelerar nos processos de digitalização, como a criação de uma identidade digital única ou cidades inteligentes.

Avançar nessas tecnologias sem ter uma proteção robusta dos dados coletados pelo governo seria desastroso e inconstitucional.

Apesar disso, a medida provisória permitiu que o governo possa ceder livremente dados públicos a entes privados, bastando para isso um “convênio”. Em suma, dados biométricos, genéticos e outros dados sensíveis públicos poderão ser vendidos ou cedidos —sem autorização— pelo próprio governo.

Corrigir esses dois pontos é o requisito para que a lei brasileira traga não só ônus mas também os bônus que uma lei de dados pode trazer.