A campanha pela adoção de legislações locais de proteção de dados pessoais chega ao âmbito estadual com a entrada do tema na pauta da Assembleia Legislativa do Rio Grande do Sul. O projeto de lei estadual de proteção de dados pessoais foi formulado pelos pesquisadores Leonardo Ribeiro da Cruz (Unicamp) e Diego Carvalho Machado (UERJ) com articulação de Danilo Doneda (UERJ) e Fabrício Solagna (UFRS). A entrada do texto na pauta oficial do legislativo gaúcho ficou por conta da deputada Manuela D’Ávila (PCdoB).
O conteúdo do projeto de lei estadual de proteção de dados pessoais, por sua vez, foi baseado nas iniciativas legislativas municipais da campanha “Sua cidade, seus dados”, que começou em abril 2017. A versão estadual possui como principal objetivo assegurar ao titular dos dados o controle sobre as suas informações pessoais em posse do estado ao longo do fluxo informacional desencadeado a partir do cumprimento de suas obrigações cidadãs e da utilização de serviços públicos estaduais.
“É preciso que durante toda a circulação o titular tenha controle, então é assegurado [no projeto] o direito de acesso e o direito chamado de direito de oposição. Se o cidadão entende que o estado está abusando ou coletando informação fora do que está previsto em lei ele pode se opor”, diz Diego Machado, que é doutorando em direito civil pela UERJ. A lei também abrange o exercício da proteção de dados em uma dimensão coletiva, representada na figura da ouvidoria que trata especificamente da proteção de dados, também prevista no projeto de lei. O ouvidor é dotado de autoridade que pode ser exercida, por exemplo, nos casos de tratamentos de dados por parte do estado que – apesar de legítimos – possam passar despercebidos aos olhos da população.
Uma outra frente de promoção do controle cidadão sobre os dados em posse do poder público estadual contida no projeto 293/2017 é a previsão da criação do Conselho de Proteção de Dados Pessoais e da Privacidade. “Uma das funções do conselho é disseminar o conhecimento sobre a proteção de dados pessoais e privacidade. Dessa forma, o cidadão pode ter condições de saber o que são os dados pessoais, saber como ele pode negociar esses dados e estabelecer relações mais igualitárias”, diz Leonardo Ribeiro da Cruz, que desenvolve a sua pesquisa de pós-doutorado na Unicamp.
As principais diferenças entre o projeto de lei de proteção de dados estadual em relação ao municipal é a introdução da definição de pseudonimização e a inclusão de parâmetros e exigências para o relatório de impacto, que é um instrumento de avaliação dos riscos envolvidos nas operações que envolvem dados pessoais em poder do estado.
A pseudonimização é introduzida como uma possibilidade adicional, que se soma às classificações convencionais que dividem as informações entre dado pessoal e anônimo. Ainda que não seja dado anônimo, pois não torna completamente impossível a identificação do titular, esse procedimento inclui a retirada de identificadores diretos como CPF e nome. No entanto, o dado pseudonimizado permanece dentro da categoria de dado pessoal por permitir alguma forma de reidentificação, de modo que sua definição na lei aparece associada à previsão de finalidades para as quais essas informações podem ser usadas de modo a oferecer garantias também nesses casos.
Diego Machado ressalta que a adoção de uma lei estadual de proteção de dados pessoais não é exatamente uma novidade, pois em Hessen, um ente federado na Alemanha, uma legislação que incide sobre essas informações foi adotada em 1971. “Hoje a Alemanha tem uma lei federal, mas nos 16 estados também temos uma regulamentação, uma normativa, que se aplica à administração pública. Isso é um pouco o que a lei estadual procura fazer. Então acredito que seja salutar uma medida que se alastrasse e difundisse para outros estados. É algo compatível com a nossa federação, algo que atende e também observa a experiência de países estrangeiros.” O Brasil não tem uma legislação vigente de dados pessoais à nível federal, mas projetos como o 5276/2016 atualmente tramitam no Congresso Nacional apontando para o estabelecimento de garantias mais abrangentes que as competências legislativas locais – que não abrangem a proteção dos dados pessoais em poder do setor privado, por exemplo.
Semelhante aos projetos de lei municipais atualmente em tramitação – como o 297/2017 em Campinas e o 807/2017 na cidade São Paulo– o escopo legislativo do PL 293/2017 se concentra na regulação da relação do estado com outros entes públicos, com prestadores de serviços públicos (incluindo empresas que possuem contratos de prestação de serviços dessa natureza) e a população na medida em que essas relações geram dados e envolvem o tratamento dessas informações. A proposta legislativa também se integra ao contexto gaúcho ao fazer remissão à lei que estabelece que os órgãos da administração direta e indireta do Rio Grande do Sul devem utilizar preferencialmente software livre, de modo a prever a sua aplicação também na gestão de dados por parte do poder público estadual e empresas por ele contratadas.