"Xerife de dados" vira ponto polêmico de lei nacional e pode ser vetado

O Brasil deve ganhar em breve uma lei de proteção de dados pessoais, que dará aos brasileiros maior controle sobre suas informações pessoais: antes de pedir RG, CPF, nome do pai e da mãe, ele terá que ser informado sobre quem vai usar esses dados, para que vai usar e de que forma. A legislação também cria uma espécie de “xerife da proteção dos dados”. Porém, esse órgão, responsável por vigiar se governo e empresas estão andando na linha, enfrenta restrições internas do governo e é sério candidato a ser vetado pelo presidente Michel Temer.

Batizado de Autoridade Nacional de Proteção de Dados (ANPD), o órgão poderá aplicar sanções a quem estiver infringindo a lei de dados - a mais pesada delas é multa de até 2% do faturamento, desde que não seja superior a R$ 50 milhões. Só que ele também é o ponto de maior discussão do projeto de lei aprovado pelo Senado no último dia de 10 de julho. 

VEJA MAIS:

• Senado aprova lei de proteção de dados brasileira
• GDPR torna mais difícil a cooperação entre Brasil e Europa
• Facebook cedeu dados de usuários a empresas como Apple e Samsung

Vetar ou não vetar?

Os argumentos para vetar a ANPD não são relacionados com a atuação do órgão e, sim, baseados em prerrogativas legais.

O mais forte deles é exposto por Marco Cesar de Oliveira Pinto, da área de Análise e Acompanhamento de Políticas Governamentais da Casa Civil

A ANPD é o ponto mais polêmico da lei, apesar de, no governo, todos os detalhes estarem sendo discutidos. Existem opiniões jurídicas de que o texto da inclusão da autoridade é inconstitucional. Nesse sentido, seria um veto quase que de ofício para preservar a constitucionalidade

Marco Cesar de Oliveira Pinto, da área de Análise e Acompanhamento de Políticas Governamentais da Casa Civil

Para ele, a criação do órgão feita desta forma é inconstitucional. A Constituição determina que a criação de despesas que onerem o orçamento parta apenas do Poder Executivo. Como a lei de proteção de dados veio do Congresso, ela não poderia criar a ANPD e, por isso, teria o chamado “vício de iniciativa”.

O outro argumento levantado pelos defensores do veto é que a Lei de Responsabilidade Fiscal impede a geração de novas despesas 180 dias antes da eleição. Como o pleito deste ano ocorre em outubro, a lei criaria um novo órgão menos de três meses antes de os brasileiros irem às urnas.

No Brasil, o veto à criação da ANPD é discutido juntamente com a análise de outros pontos do projeto de lei. A Casa Civil consultou cerca de dez ministérios sobre todos esses pontos - da Advocacia-Geral da União à Controladoria-Geral da União passando pele Ministério da Fazenda, Ministério da Ciência e Tecnologia e Ministério da Educação. O posicionamento deles é aguardado para esta sexta-feira (27).

Para especialistas, essas motivações de veto são "juridicamente fracas".

“Esse argumento não cabe para lei de proteção, porque um dos projetos de lei que é a base dela partiu do executivo”, diz Danilo Doneda, professor da Universidade Federal do Rio de Janeiro. Ele trabalhava no Ministério da Justiça quando a pasta enviou ao Congresso em 2012 um dos vários projetos que deu origem ao texto aprovado pelo Senado.

VEJA MAIS:

• Seu celular te escuta? Após um ano, pesquisadores têm a resposta
• Por que o Facebook não para de entregar nossos dados? Executiva explica
• Nova lei permite que EUA acessem dados de usuários fora do país

“Em tese, se a lei criasse cargo ou despesa, teria que ser vetada. Mas o que acontece é que ela não cria cargo ou estabelece a obrigatoriedade de nenhuma despesa”, diz. O documento finalizado pelo Senado estabelece que a lei entre em vigor 18 meses após a sanção.

O especialista argumenta que a implantação de regras de proteção à privacidade sem um “xerife dos dados” não afastaria a sensação de Velho Oeste que permeia o Brasil no quesito privacidade.

Essa autoridade precisa surgir senão a lei não funciona, o cidadão não consegue garantir seus direitos nem o Brasil consegue se equiparar às outras legislações. Ela tem que nascer forte para fiscalizar inclusive o governo

Danilo Doneda, professor da Universidade Federal do Rio de Janeiro

Para o professor, caso o Congresso avalie que o veto não foi suficientemente embasado, a decisão pode ser se derrubada. “O governo corre risco de o Congresso barrar o veto, o que é vergonhoso.”

Os caminhos depois do veto

Como o veto é uma possibilidade real, algumas hipóteses do que fazer para preencher o vácuo deixado pela ausência da ANPD já estão sendo desenhadas, ainda que informalmente.

O Executivo poderia enviar ao Congresso um novo projeto de lei para criar a autoridade. As funções da ANPD poderiam ser atribuídas a um órgão já existente, como a Secretaria do Consumidor do Ministério da Justiça (MJ). Essa é uma hipótese antiga e que até o governo admite ser passível de avivar ainda mais as críticas de que a autoridade pode nascer com sua independência comprometida.

Ou ainda: as articulações para regulamentação da lei e instituição de uma alternativa poderiam ser feitas pelo subcomitê de segurança jurídica criado pela Estratégia Brasileira de Transformação Digital, que entrou em vigor em abril de 2018. Os membros desse colegiado ainda não foram escolhidos, mas a Casa Civil aguarda o desfecho da lei de proteção de dados para apontar quem serão os integrantes.

VEJA MAIS:

• Alexa grava papo de casal 'sem querer' e envia a conhecido
• Quer saber tudo o que a Apple sabe sobre você? Espere sentado
• Empresas na China usam bonés para vigiar emoções de trabalhadores

Proteção de dados feita por espiões?

Ainda que a decisão pelo veto não esteja tomada, alguns dos órgãos consultados já assumiram que é isso que vão pedir. Exemplos disso são os ministérios da Justiça e da Ciência, Tecnologia, Inovação e Comunicação. Não sem controvérsia: a Secretaria do Consumidor, ligada ao MJ, emitiu parecer afirmando que vai recomendar aprovação integral da lei sem vetos.

A suspeita de que a ANPD será vetada suscitou a especulação do que poderia surgir no lugar dela. Uma delas é de que as prerrogativas da autoridade de proteção de dados seriam transferidas para o Gabinete de Segurança Institucional (GSI), pasta responsável pela Agência Brasileira de Informação (Abin).

A possibilidade, ainda que apenas ventilada, gerou revolta entre ativistas, pois estariam debaixo do mesmo teto o órgão que deveria proteger as informações pessoais dos cidadãos e a agência de espionagem no Brasil.

Proteção de dados x segurança da informação

Para a Casa Civil, porém, é muito claro dentro do governo que há uma distinção bem definida entre proteção de dados pessoais e a segurança da informação. O GSI tem planos de criar uma espécie de agência brasileira de segurança da informação do governo, que trataria apenas de violações de cibersegurança a bases de dados da administração pública, como vazamentos de dados e ataques de negação .

“Quando há um vazamento de dados, é possível que ele tenha sido provocado por um ataque ao sistema de informação. Os ataques de negação de serviço (DDoS, na sigla em inglês) são exemplo disso e não tem nada a ver, a princípio, com proteção de dados. É esse tipo assunto que vai interessar ao GSI. Se for criada uma agência de proteção de segurança de informação, ela vai focar nesses assuntos e só vai lidar com proteção quando um vazamento for provocado por um desses incidentes”, diz Oliveira.

Por exemplo, o caso da Cambridge Analytica e do Facebook, um dos casos mais emblemáticos do ano para a proteção de dados, não foi um vazamento baseado em alguma falha na segurança da informação. A consultoria política conseguiu extrair informações de 87 milhões de usuários da rede social apenas burlando as regras do Facebook em 2014.

Principais pontos da lei de proteção de dados pessoais

• Informações pessoais só podem ser tratadas por uma empresa se seu dono fornecer um consentimento;
• Toda e qualquer empresa recolha e processe dados pessoais no Brasil deve cumpri-la;
• Após o encerramento da relação de consumo, os dados devem ser excluídos;
• Os titulares dos dados podem ter acesso aos dados mantidos por um empresa sobre ele;
• Os donos das informações podem corrigir os dados em posse de uma empresa;
• Dados de crianças só podem ser tratados com consentimento dos pais ou do responsável legal;
• Vazamentos de dados devem ser comunicados assim que forem detectados;
• Informações pessoais podem ser transferidas apenas para países com tenham 'nível adequado' de proteção de dados ou caso a empresa responsável pelo envio possa assegurar os princípios da lei brasileira;
• Empresas serão responsabilizadas caso dados de seus bancos sejam vazados ou caso informações de suas fornecedoras sejam comprometidas;
• Companhias infratoras terão de arcar com multa de até 2% do faturamento, desde que não seja superior a R$ 50 milhões;