Proteção de dados pessoais
Rosana Mendes
Os desafios jurídicos sobre a proteção de dados pessoais têm se tornado mais recorrentes e sofisticados. Diversos países buscam criar um ecossistema regulatório para a construção de salvaguardas, protocolos e remédios para proteção do usuário. A elaboração recente do General Data Protection Regulation (GDPR) no contexto da União Europeia é apenas uma das muitas iniciativas que buscam lidar com o fenômeno em uma perspectiva global.
O atual regime de proteção à privacidade no Brasil não conta ainda com uma lei de proteção de dados pessoais que atenda a princípios essenciais de proteção a direitos fundamentais relacionados à internet e ao fomento de atividades econômicas baseadas em análise de dados. A legislação brasileira sobre o tema está fragmentada em alguns diplomas normativos, que perpassam leis como o Marco Civil da Internet, a Lei de Acesso à Informação, Lei de Cadastro Positivo, entre outros diplomas, conferindo complexidade para a construção de soluções jurídicas adequadas ao contexto.
A falta de uma legislação específica sobre o assunto gera insegurança e incertezas. Além disso, diferentemente de outros países, não há no Brasil uma autoridade responsável por centralizar o tratamento dessa questão. Dentre as múltiplas entidades responsáveis pela regulamentação e fiscalização na área da proteção de dados encontram-se a Secretaria Nacional do Consumidor (Senacom), sediada no Ministério da Justiça, o Ministério Público Federal, os Ministérios Públicos Estaduais, as Procuradorias de Proteção e Defesa do Consumidor e as entidades de defesa do consumidor. Todos acabam tratando do tema de forma concomitante e difusa, porém, sem clareza sobre os papéis a serem desempenhados pelas diversas entidades. Isso leva à duplicidade (ou até triplicidade) de esforços em alguns casos, além de lacunas e omissões em vários outros.
Nesse panorama, um dos consensos que emergiram diz respeito à necessidade de edição de uma lei geral de proteção de dados, bem como do estabelecimento de uma autoridade específica capaz de lidar com a questão de maneira contínua. Essa autoridade deve estar preparada para opinar de forma técnica sobre a proteção da privacidade em diferentes segmentos de mercado, além de ter a capacidade de realizar operações de fiscalização unificadas.
Entretanto, enquanto não aprovada legislação específica para a proteção de dados pessoais e instituída autoridade competente em modelo de co-regulação, práticas transitórias de auto-regulação podem ser estimuladas para que o próprio setor privado proponha, por exemplo, códigos de conduta e regras setoriais. Caso o país caminhe para a adoção de uma autoridade de proteção de dados, esta deve ser multissetorial, como o modelo adotado pelo Parlamento Europeu. Válido observar que o Conselho Nacional de Proteção de Dados Pessoais previsto no PL nº 5.276/2016 não pode ser considerado uma iniciativa multissetorial, já que seus membros seriam majoritariamente representantes do governo, dispensando-se a exigência de conhecimentos técnicos específicos para lidar com tema tão complexo.
Rosana Mendes é advogada do escritório Murray – Advogados, de São Paulo.
