Em entrevista, o advogado Danilo Doneda fala sobre a importância da Lei Geral de Proteção de Dados e como ela está sendo implementada no governo Bolsonaro
No último dia 26, o Senado contrariou o governo ao estabelecer que a Lei Geral de Proteção de Dados (LGPD) passou a valer em agosto de 2020 — a Presidência havia proposto que fosse adiada para maio de 2021.
A Lei determina que os dados pessoais dos cidadãos brasileiros sejam tratados de forma segura tanto para o cidadão quanto para as empresas e foi inspirada em modelos internacionais. Ela garante, por exemplo, que você saiba o que acomete com seus dados quando você dá seu CPF na farmácia para comprar um remédio.
Danilo Doneda, advogado da área de proteção de dados, considera a lei “um novo pacto da sociedade sobre como a gente vai tratar os dados”, uma forma de garantir que “os dados sejam utilizados, mas dentro de um espírito de lealdade”. O especialista é um dos nomeados para compor o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, o órgão consultivo da Autoridade Nacional de Proteção de Dados (ANPD).
Porém, ele tem críticas à maneira como o governo está prevendo implementar a lei, como por exemplo o fato de que a ANPD está subordinado à Casa Civil, chefiada pelo general Walter Braga Netto. Para ele, os militares têm uma visão sobre dados mais voltada à cibersegurança do que à cidadania. “Proteção de dados é diferente, é uma lei que visa proteger o cidadão e ela não se resume à segurança. Além da informação segura você tem que dar os direitos do cidadão, transparência… Isso não faz parte do que eu tenho visto nos debates de proteção de dados quando militares vem falando do tema”, diz.
Leia a entrevista:
Qual a importância da LGPD para a proteção de dados pessoais no Brasil?
A importância da proteção da informação pessoal fica cada vez mais clara. As pessoas têm noção de que a partir dos próprios dados as empresas e o Estado podem saber sobre elas, sobre nós. E sabendo mais sobre nós eventualmente pode ser possível controlar as nossas vidas e alguns hábitos. Hoje em dia existem várias formas de restringir a liberdade e autonomia das pessoas através do uso não transparente dos dados: uma pessoa pode ser preterida em uma entrevista de emprego porque houve uma pesquisa nas coisas da sua vida que você não sabia, por exemplo. Ou, no futuro, podem negar que ela entre em um avião porque ela está em um banco de dados qualquer que a codifica erroneamente como de risco.
Por isso se faz necessário um novo pacto da sociedade sobre como a gente vai tratar os dados, porque os dados interessam para o Estado e para o mercado. Mas interessam também para as pessoas. As pessoas têm que ter noção mínima do que é feito com os próprios dados, têm que ter instrumentos de controle para evitar que sejam utilizados de uma forma que seja desleal, que as prejudique.
A LGPD não é uma lei sobre segredo, sobre sigilo, é uma lei que está aí para ajudar que os dados sejam utilizados, mas dentro de um espírito de lealdade.
A LGPD altera o cotidiano prático do cidadão? Como a lei protege o cidadão que usa seu CPF para fazer compras, por exemplo?
Há muitos ramos de comércio em que são solicitados dados para fazer compras, como farmácia, supermercados, programas de fidelidade… E as pessoas foram se acostumando a isso. Você não é levado a pensar o que significa você dar o teu CPF para a farmácia quando você compra um remédio para a pressão, por exemplo. Mas isso quer dizer várias coisas.
Quer dizer que o laboratório vai saber qual médico receitou, e você não sabe se o plano de saúde ou uma agência de empregos acessa seu histórico de medicamentos. Imagina se uma pessoa que passou uma crise de depressão ou outra patologia se vê alijada do mercado de trabalho por conta de um algoritmo qualquer que teve acesso a aqueles dados?
Com a LGPD a ideia não é que coisas como essa desapareçam, mas que elas consigam funcionar com um pouco mais de equilíbrio. Se você dá seus dados para a farmácia você tem que saber o que vai acontecer com aquela informação.
Eu tenho que poder perguntar até para o farmacêutico: eu quero saber com quem você vai compartilhar esses dados e o que acontece se eu não fornecer.
Com a LGPD então o cidadão pode saber para que os dados dele estão sendo usados?
Com a LGPD não é possível obter dados do cidadão sem que você tenha como explicar de uma forma clara como são usados, para que e por quem. Se alguém não consegue responder ele pode ser penalizado.
Qual é a importância da LGPD para a economia?
Hoje em dia a economia da informação é talvez o setor mais pujante do cenário internacional. Das cinco empresas que são as maiores do mundo, duas delas basicamente trabalham com dados pessoais: o Google, que é de busca e redes sociais, e outra que trabalha com varejo, mas usando intensamente dados pessoais, a Amazon. Outra fabrica produtos de informática, a Apple.
Ou seja, o tratamento de informação pessoal virou a ala mestra da fatia mais dinâmica da economia internacional. Isso porque os dados pessoais apresentam essa importância imensa no sentido de aproximar mercados, pessoas, criar novas formas de produtos e serviços.
A LGPD é muito importante porque ela protege a pessoa e a partir disso você conhece outro efeito, que é a regulação do mercado de tratamento de dados. Um efeito direto da LGPD para as empresas é fornecer segurança jurídica. É uma lei que proporciona condições para o fluxo de dados pessoais dentro de uma lealdade e de limites.
A LGPD poderia ter ajudado o Brasil a lidar com o uso de dados durante a pandemia? Como?
Obviamente. A LGPD não somente restringe potencialmente o uso de dados, em muitas situações ela é feita para facilitar o uso de dados quando você tem um bom motivo. Assim a lei facilita o uso de dados para fins de proteção da vida, tutela da saúde, pesquisa científica, pesquisa médica…
No último dia 26 o Senado decidiu que a lei entraria em vigor ainda este ano, rejeitando a proposta da Presidência de adiamento para maio de 2021. Como você avalia essa decisão?
É claro que a gente está em um momento complicadíssimo para qualquer coisa.
O Brasil entrou em recessão, qualquer empresa ou pessoa que tenha uma atividade que implique o tratamento de dados vai ter que se adequar mais a essa regulação, isso tem um custo, uma carga de trabalho.
Por outro lado, o que aconteceu é que a gente já tinha entrado em um ciclo vicioso no qual o governo federal por duas vezes já tinha editado uma MP adiando a entrada em vigor da LGPD. Essa votação no Senado foi muito importante no sentido de dar um recado claro de que já tinha passado a hora do Brasil trabalhar com a perspectiva dessa lei.
O que ficou resolvido é que a lei vai entrar agora, mas as sanções só em agosto do ano que vem. Como você avalia essa saída?
Foi uma solução de compromisso porque os custos de adequação eram vistos como despropositados neste momento. Com a lei em vigor você vai ter as vantagens como segurança jurídica e direitos pré-definidos, mas sem as sanções.
A LGPD também prevê a existência de uma Autoridade Nacional de Proteção de Dados, a ANPD, que deve ser criada no ano que vem. Qual é o papel dessa autoridade?
Desde que a lei começou a ser concebida se pensou na existência de uma autoridade pública para interpretar a lei e uniformizar o tratamento das sanções, porque é um tema com um grau de detalhamento técnico bastante elevado.
É um tema que depende de como funcionam os sistemas técnicos complexos, os computadores, coisas que a gente não vê a olho nu. Então é sempre útil que haja um ente público que tenha o poder de pedir para as empresas relatórios de como elas estão tratando dados, e possa processar isso tecnicamente.
Tanto isso é verdade que hoje em dia existem no mundo mais de 142 leis de proteção de dados de caráter geral; e dessas, mais de 110 têm sua própria autoridade.
Pro Brasil ingressar na OCDE, que é o sonho desses últimos governos, você tem que ter, entre outros requisitos, uma Lei de Proteção de Dados e uma autoridade independente. E sem autoridade fica muito difícil o cidadão se orientar também.
E quais são os problemas da LGPD entrar em vigor sem uma autoridade estruturada?
A LGPD tem vários pontos que dependem de regulamentos, especificação de detalhes, que somente a ANPD pode fazer, porque ela dá a palavra final técnica. A ANPD também tem uma função muito importante de uniformizar entendimentos que vão valer para o Brasil todo, então se um Tribunal for aplicar a LGPD aqui em São Paulo, outro em Brasília, outro no Acre e outro no Recife, cada um deles pode ter uma visão diferente.
A autoridade teria o poder de fazer interpretações técnicas que seriam mais rápidas e facilmente uniformizadas no Brasil todo. Além disso, a autoridade é um ente para o qual o cidadão pode recorrer quando há um problema.
Na proteção de dados você tem uma diferença de poder muito grande entre quem é dono dos dados, nós cidadãos, e quem trata os dados, então é necessário que haja alguma instituição, instrumentos que nos ajudem.
O modelo de autoridade criada pelo Brasil é o adequado?
No padrão internacional, além de haver autoridade, ela deve ser uma autoridade autônoma e independente, uma autoridade que não esteja vinculada hierarquicamente a outros órgãos públicos. Isso não é o caso da ANPD.
Da forma que foi criada, ela é subordinada hierarquicamente, é uma parte integrante da Presidência da República, e por isso mesmo alguns problemas podem acontecer. Se a autoridade for chamada a avaliar alguma situação referente a um órgão público o potencial de conflito de interesses acaba sendo bastante relevante. É um modelo que não é incentivado, não é nem sequer aceito.
Com a aprovação da LGPD, o governo acelerou a assinatura de um decreto para a criação da autoridade. Como você avalia esse decreto?
Duas coisas me preocupam. A primeira é que ele não garante de forma alguma que você tenha a autoridade de fato, porque ela só passa a valer com as nomeações.
E segundo é que ele literalmente estrangulou o órgão consultivo [da ANPD], que é o Conselho Nacional de Proteção de Dados.
O conselho consultivo foi pensado como órgão representativo multisetorial, que pudesse trazer para dentro da estrutura da autoridade as discussões, as vozes, as opiniões da sociedade. A filosofia por trás dele é ter essa representatividade. Mas com o decreto não há meios para de fato garantir que isso ocorra.
Tem três vagas para a sociedade civil, no sentido estrito, ONGs. Como vão ser escolhidas essas três representações? Quem vai escolher, pelo decreto, são os próprios diretores da autoridade, que por sua vez são escolhidos diretamente pelo Presidente da República.
Se não tem nenhum mecanismo de eleição dentro de cada setor para favorecer que os próprios setores escolham efetivamente seus membros, você não tem nenhum critério para poder orientar. Esse é um ponto gravíssimo e se torna pior porque o decreto também especifica que o presidente do Conselho é sempre o diretor indicado pela Casa Civil.
Pode-se dizer que esse decreto indica uma aproximação da autoridade com a ala militar, pela relação com a Casa Civil, hoje comandada por um general?
Esse decreto induz a pensar que há uma aproximação formal inclusive com a ala militar, agora tudo isso há de se confirmar ou não se tiver uma preponderância ou uma determinada porcentagem de servidores e diretores militares. Mas formalmente as condições existem.
Como você vê essa possível aproximação com a ala militar?
O que acontece com a formação militar é que você não tem propriamente uma incompatibilidade com o tema. Mas quando pessoas com formação militar vem tratar do tema, a tendência é que se enxergue a proteção de dados no sentido de estratégias de defesa cibernética e segurança da informação.
São aspectos técnicos, estratégicos, envolvem geopolítica, são todos muito importantes, mas eles não são propriamente proteção de dados.
Proteção de dados é diferente, é uma lei que visa proteger o cidadão e ela não se resume à segurança. Além da informação segura você tem que dar os direitos do cidadão, transparência… Isso não faz parte do que eu tenho visto nos debates de proteção de dados quando militares vem falando do tema.