Por Bruno Bioni*
Há mais de oito anos o Brasil discute uma Lei Geral de Proteção de Dados Pessoais. Após duas consultas públicas sobre o texto de um anteprojeto de lei, a realização de uma série de audiências, sessões temáticas e seminários nacionais e internacionais na Câmara dos Deputados, no Senado e em outros fóruns, nós testemunhamos finalmente a aprovação de um projeto de lei sobre o tema no Congresso na última semana.
Agora todas as atenções estão voltadas para o Planalto. Espera-se que o texto do projeto de lei, que contou com amplo apoio da sociedade brasileira, seja mantido, bem como haja a criação de um órgão regulador: a Autoridade Nacional de Proteção de Dados.
Com isso, o Brasil se juntará aos mais de 100 países que contam não só com uma infraestrutura legal, mas, também em sua grande maioria, institucional para regular o uso de dados pessoais. Essa é uma questão chave para o desenvolvimento econômico do país.
Hoje temos apenas leis setoriais sobre proteção de dados. É uma verdadeira colcha de retalhos que não cobre setores importantes da economia e, dentre aqueles cobertos, não há uniformidade em seu regramento. Essa assimetria gera insegurança para que os mais diversos setores produtivos troquem dados entre si com o objetivo de desenvolver novos modelos de negócios, bem como desestimula formulação de políticas públicas e parcerias público-privada.
Além disso, nenhuma das leis setoriais existentes foi desenhada e vocacionada para lidar com o fenômeno altamente complexo de uma economia e sociedade cada vez mais movida por dados. É essa lei geral que fornecerá organicamente o conjunto completo de direitos e deveres de todos os atores desse ecossistema, conferindo segurança jurídica tanto ao cidadão, como, também, ao setor estatal e privado sobre como deve se dar o fluxo desses dados. Tão importante quanto essa infraestrutura legal é a existência de uma infraestrutura institucional que lhe dê “vida”. Por isso, historicamente, sempre houve a criação de autoridades para a aplicação de tais leis, sendo elas a engrenagem principal de um sistema de governança eficiente.
No caso brasileiro, o texto da futura lei menciona mais de 50 vezes esse órgão regulador, de modo que ela seria praticamente inaplicável no caso de sua inexistência. Essa técnica é bastante difundida para que a legislação seja imune ao desenvolvimento tecnológico. Ao invés de fazer referência a um determinado padrão tecnológico, a grande maioria das leis traz conceitos abertos para que as autoridades os calibrem de acordo com o estado da arte da tecnologia de cada período histórico. Ao assim fazê-lo, tais autoridades garantem que a própria fiscalização da lei seja uniforme e previsível.
Diferentemente do cenário em que diversos setores, com diferentes instâncias regulatórias, fragmentariam a sua interpretação indo ao encontro da que se deseja com uma lei geral de proteção de dados. Ao se observar como o tema evoluiu na Organização para Cooperação e Desenvolvimento Econômico (OCDE) ao longo de mais de três décadas, nota-se justamente a preocupação em torno dessa interdependência legal e institucional. Quando consolidou e atualizou as suas recomendações em 2013, a OCDE orientou que seus países-membros deveriam ter autoridades “independentes” e com “recursos” e “expertise técnica”. A futura autoridade brasileira deve ter esse perfil – autônoma funcionalmente e financeiramente – para que aplique e fiscalize de forma efetiva a lei. São essas instituições que cooperaram entre si para a solução de problemas comuns entre os países-membros acerca da matéria e, com isso, permitir maior integração econômica.
Esse é o mesmo fio condutor para que o Brasil seja futuramente considerado como um país de nível adequado de proteção de dados para fins de transferência internacional, de acordo com o sistema da União Europeia e de outros países ao redor do mundo. Tal tipo de análise leva em consideração não apenas o texto da lei, mas, também, o seu sistema de fiscalização. Até hoje dos países que foram reconhecidos como tal pelo bloco econômico europeu, todos todos contam com uma autoridade. Se pensarmos que outros mecanismos de transferência internacional, como selos de certificação, cláusulas corporativas globais etc. têm um alto custo operacional por envolver a contratação de consultorias especializadas para destravá-los. Então, a ausência desse órgão consistirá em uma barreira de entrada para boa parte das empresas brasileiras.
Se pensarmos que outros mecanismos de transferência internacional, como selos de certificação, cláusulas corporativas globais etc. têm um alto custo operacional por envolver a contratação de consultorias especializadas para destravá-los. Então, a ausência desse órgão consistirá em uma barreira de entrada para boa parte das empresas brasileiras. Isto porque elas precisariam de um alto grau de investimento para estar na rota de transferência global de dados. Ao contrário de estarem automaticamente nela inseridas, caso o Brasil venha a ser considerado um país com nível adequado de proteção de dados. A futura lei de proteção de dados pessoais entrará em vigor 18 meses após a sanção presidencial. Até lá, a figura de uma autoridade é essencial para que empresas e o setor público se adaptem à nova lei. A exemplo do que se viu com o recente Regulamento Europeu de Proteção de Dados Pessoais, o papel do órgão regulador é também de auxiliar os atores regulados em identificar a quais obrigações estão sujeitos, o que inclui, até mesmo, o desenvolvimento de metodologias que auxiliem tal processo de conformidade (compliance).
A não criação de uma autoridade de proteção de dados pessoais com autonomia funcional e financeira sequer deveria ser ventilada a esta altura, ainda que se discuta a maneira pela qual ela será efetivamente instituída pelo Poder Executivo. O Brasil estaria novamente perdendo a chance de se tornar competitivo, na medida em que para estimulá-la não basta uma infraestrutura legal, mas, também, institucional. Somente com esse arranjo regulatório completo, o mercado interno brasileiro reagirá bem e as suas aspirações em se tornar membro da OCDE e um país com nível adequado de proteção de dados serão maximizadas. Em poucas palavras, o esforço de quase uma década na construção de um marco legal será perdido caso não haja a criação desse órgão. Isso não deve ser enxergado como um custo, mas como um investimento para a retomada da economia brasileira. Justamente, no momento em que os brasileiros mais precisam.
*Bruno R. Bioni é pesquisador da Lavits, doutorando e mestre em Direito pela USP.
Artigo originalmente publicado no site Valor Econômico, assim como na edição impressa do jornal, no dia 19/07/2018.