Com certo atraso, Brasil finalmente é inserido no rol de países com marco legal em proteção de dados, por Juliana Abrusio

em
Na tarde de terça-feira (14) o presidente Michel Temer sancionou a lei geral de proteção de dados (LGPD), que dispõe sobre a proteção de dados pessoais no Brasil. A lei recebeu o 13.709/18.
A lei aprovada é inspirada no sistema europeu e insere o Brasil, com certo atraso, no rol dos países mundiais que possuem marco legal na área de proteção de dados. Na Europa, desde o convênio 108, datado de 28 de janeiro de 1981, existe texto específico para a proteção dos cidadãos quanto ao tratamento automatizado de dados de caráter pessoal. Foi este convênio que serviu de base para a Diretiva do Parlamento Europeu e do Conselho de 1995, a qual, por sua vez, foi substituída, em 2016, pelo Regulamento Europeu 679, cujo texto entrou em vigor em 25 de maio de 2018.
A história se repete. Na América Latina, fomos o último país a adotar um Código Civil (o primeiro foi o Chile, em 1855). Incrivelmente, até 1916 eram as ordenações reais portuguesas que regulamentavam os atos civis dos brasileiros por aqui, não obstante já se distanciasse em muitos anos a data de nossa independência. Novamente estamos no final da fila. Somos um dos últimos países no cone sul da América a incorporar sistema legal de proteção de dados, e são os chilenos, outra vez, a começar (1999), seguidos pelos argentinos (2000) e vários outros na sequência (Uruguay, Mexico, Peru, Costa Rica, Nicaragua, Colombia, Republica Dominicana).
É inevitável que o direito caminhe a reboque da tecnologia, mas, no Brasil, a demora para aprovação de um sistema de proteção de dados pessoais já tinha esgotado o mais paciente dos virtuosos. Além disso, a aprovação da lei consiste em condição para o Brasil ingressar na OCDE (Organização para a Cooperação e Desenvolvimento Econômico).
A frase de efeito "dado é o novo petróleo", atribuída ao matemático inglês Clive Humby (Data is the new oil, 2013), denota a importância do assunto. Dados pessoais nunca tiveram tanto valor. Não à toa cerca de 70% do PIB dos países do G7 depende de mercadorias intangíveis relacionadas à informação. Dados pessoais permitem desenvolver psicometria para perfilamento de indivíduos, em aspectos que geram extremo valor, como hábitos de consumo e preferências políticas.
O Brasil, até agora, possuía previsão para proteção de dados em leis esparsas – a exemplo de breves disposições no Código Civil e Código de Defesa do Consumidor, dentre poucos outros textos legais - que não eram suficientes para a realidade do mercado de dados atual. É certo que a economia do big data, impulsionada pela internet das coisas, das cidades inteligentes e da inteligência artificial, não poderia resistir ao vácuo das regras jurídicas do jogo. A cultura atual dos algoritmos exige uma posição do Estado para regulamentar o assunto, sob pena de comprometer direitos fundamentais dos cidadãos (liberdade, privacidade, livre desenvolvimento da personalidade). E não apenas isso. A existência de lei específica traz mais segurança jurídica, o que acaba por fomentar a economia e atrair investidores ao país, uma vez que, agora, as regras são mais claras em relação ao tratamento de dados pessoais.
A lei sancionada empodera o cidadão brasileiro ao fundamentar as regras do tratamento de dados na autodeterminação informativa (inteligência jurídica criada na Alemanha, na década de 1970): o titular de dados terá maior controle sobre o processamento de seus dados pessoais. Além disso, o titular de dados passa a ter a garantia legal que suas informações serão utilizadas apenas para as finalidades específicas para as quais foram coletadas, devendo ser eliminadas após o propósito que gerou sua coleta e armazenamento. Ainda, o direito de portabilidade de dados é uma novidade conferida pela lei ao brasileiro.
Com previsão de multas de até 50 milhões de reais por infração, a lei prevê diversas obrigações ao controlador - figura criada pela nova norma, responsável pelas decisões referentes ao tratamento de dados, e por avaliar e fundamentar o ciclo de vida completo do tratamento de dados pessoais, por meio da elaboração de relatório de impacto contendo a descrição dos processos de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas para mitigação dos riscos relacionados. Além disso, a lei somará mais um officer às empresas: o DPO (Data Protection Officer), a ser indicado pelo controlador.

Com ou sem atraso, fato é que os departamentos jurídicos das empresas brasileiras já começaram a se movimentar. Apesar do veto de Temer quanto à previsão legal para criação de um órgão fiscalizador (aguarda-se a criação de uma autoridade nacional de proteção de dados por medida provisória ou por projeto de lei), o prazo para se adaptar às determinações legais é de 18 meses a contar de 15 de agosto, quando foi publicada no Diário Oficial da União.
__________