O GDPR e a globalização da proteção de dados

Por Danilo Doneda*

A entrada em vigor do Regulamento Geral de Proteção de Dados na União Europeia (o GDPR, acrônimo em inglês) vem sendo recebida com certa apreensão e destaque que, em parte, chegam até a ser despropositados. Afinal, ele é em grande parte uma consolidação e atualização de regras que já estão em vigor na região há um bom tempo. O diagnóstico que lhe fundamenta, que é basicamente a importância capital da regulação do fluxo de informações pessoais tanto para a proteção da liberdade e privacidade quanto para o fortalecimento de fluxos comerciais e o interesse social, foi amadurecido há décadas.

O cenário que chama a atenção hoje é menos a novidade do regulamento europeu do que o ambiente de crescente convergência em torno tanto dos seus fundamentos quanto dos instrumentos de que lança mão para procurar equacionar a proteção da pessoa com o uso e fluxo de dados. As observações quanto aos alegados “efeitos extraterritoriais” do GDPR ou sobre seus eventuais efeitos para empresas brasileiras, que efetivamente são concretos, não são comparáveis aos efeitos que podemos chamar de culturais na “geopolítica” da proteção de dados que, se não vinculam diretamente, são determinantes para moldar um inteiro sistema de proteção de dados. Para o Brasil, onde no momento discutem-se intensamente propostas normativas para a regulação da proteção de dados, este é um vetor muito mais relevante.

As atuais leis de proteção de dados, que hoje existem em mais de 120 países, em grande parte possuem entre si uma impressionante homogeneidade quanto à sua estrutura e conteúdo. Os princípios fundamentais que se encontram em praticamente todas elas derivam diretamente de um estudo técnico promovido no início da década de 1970 pelo governo norte-americano; princípios estes que seguiram a rota transatlântica para se abrigarem nas legislações de proteção de dados que diversos países europeus passaram a adotar na mesma década e se consolidaram em documentos internacionais como a Convenção 108 do Conselho da Europa ou as Linhas-Guia sobre proteção de dados da OCDE, ambas no início da década de 1980.

Esta uniformidade não é de surpreender e deriva da própria natureza dos dados pessoais. Além de refletir o fenômeno da globalização de um direito fundamental como o da proteção de dados, também ocorre que a participação de dados pessoais em crescentes fluxos transnacionais de dados pessoais implica na necessidade de que leis de diferentes países possuam algum grau de compatibilidade, para que fluxos de dados legítimos não sejam prejudicados pela incompatibilidade entre regimes nacionais de proteção de dados.

Por conta disto, já se observou a vocação de convergência entre leis de proteção de dados de diversos países. E a este motivo de caráter quase técnico, nos últimos anos vem se somando um outro: uma conscientização cada vez mais generalizada quanto aos riscos potenciais derivados da utilização abusiva de dados pessoais, a ponto de podermos identificar uma verdadeira universalização da percepção dos riscos quanto ao tratamento abusivo de dados pessoais.

Este verdadeiro novo senso comum veio a superar a impressão de que o tratamento de dados pessoais poderia trazer riscos somente à privacidade de uma pessoa. Hoje, com a intensa utilização de dados pessoais nos mais diversos aspectos da vida cotidiana, problemas referentes ao seu tratamento podem ter resultados que vão muito além da privacidade: podem gerar discriminação e mesmo reduzir concretamente a liberdade e autonomia de um indivíduo, à medida que decisões que nos afetam diretamente passam a ser tomadas a partir de um tratamento de nossos dados que, eventualmente, pode ocorrer sem que o saibamos e sob critérios e utilizando dados que possam afetar concretamente as nossas liberdades.

Esta possibilidade deixou de ser abstrata para se configurar em diversos escândalos que vêm cada vez mais populando páginas de jornais. Casos recentes como uma eventual manipulação eleitoral perpetrada pela empresa Cambridge Analytica (através do recurso aos quase sinistros “psicográficos”), entre diversos outros estão levando o debate para um campo que passa a incluir mais até do que as liberdades pessoais, indo para as liberdades políticas e mesmo afetando a rigidez do sistema democrático.

O caráter transnacional deste cenário demanda soluções de idêntico porte – daí a busca por modelos e padrões internacionais de proteção de dados como forma de consolidar um verdadeiro “pacto global” sobre a utilização de dados pessoais. Tal uniformização, no entanto está muito longe de ocorrer através de instrumentos normativos formais, como acordos ou tratados de largo alcance, principalmente devido à desarmonia de visões regulatórias entre países e atores de grande importância.
No entanto, “os direitos nascem quando são necessários”, conforme observava Norberto Bobbio. E, neste sentido, a sinalização mais forte que resulta do GDPR é que ele desponta hoje como um marco não meramente jurídico como também cultural em matéria de proteção de dados, o que é perceptível, entre outros fatores, pelo fato de que países em todo o mundo recentemente tenham passado a adotar leis que, em alguma medida, refletissem em grande parte o modelo que viria a ser consolidado pelo GDPR.

A demanda atendida pelo modelo do GDPR, porém, não é somente por direitos individuais. Ao sintetizar a implementação madura de um modelo de proteção de dados, ele ao mesmo tempo responde a uma necessidade cada vez mais intensa de segurança jurídica para que os fluxos de dados ocorram sem risco de questionamento e sem que prejudiquem cidadãos de forma que venham a ocasionar uma crise de confiança derivada da sociedade da informação.

Muitos serviços da Sociedade da Informação – muitas vezes tremendamente úteis – foram construídos a partir de garantias tênues ou mesmo inexistentes em relação aos direitos do cidadão sobre seus dados pessoais, e diversos dos problemas que hoje enfrentamos são efeitos colaterais deste descaso. A natureza global de muitos destes serviços clama por soluções que, ainda que não sejam formalmente globais, partilhem dos mesmos princípios e valores para que se possa estender uma proteção isonômica aos seus usuários bem como segurança quanto aos fluxos de dados indispensáveis para o seu funcionamento. Neste sentido, o modelo do GDPR vem demonstrando grande potencial de induzir padrões globais, menos por conta de eventual efeito vinculante porém principalmente por representar um documento que sintetiza, hoje, esta tendência à convergência de normas de proteção de dados pessoais.

*Danilo Doneda é doutor em direito civil, advogado, especialista em privacidade e proteção de dados, e professor no Instituto Brasiliense de Direito Público (IDP).

Artigo originalmente publicado no site UOL no dia 25/05/2018.

CFP especial “La Vigilancia y el Dosier”

Posts relacionados

Artigo: Lei de proteção de dados não pode morrer na praia, por Laura Schertel Mendes e Danilo Doneda

Artigo: País precisa ser competitivo em uma economia de dados

De 2010 a 2018: a discussão brasileira sobre uma lei geral de proteção de dados