Lei de dados deve evitar jabuticabas
Um tema importante está em curso no Congresso Nacional: a definição da Lei Geral de Proteção de Dados Pessoais. Trata-se da legislação que protege a privacidade e cria direitos e deveres para entidades públicas e privadas que coletam dados, de empresas a governo.
Essa lei tem impacto internacional. Por exemplo, o Brasil quer ingressar na OCDE, o clube dos países desenvolvidos. Ter uma lei de dados bem-feita é requisito para isso.
O último capítulo dessa novela (que dura mais de oito anos) foi a edição de uma medida provisória no apagar das luzes do governo Michel Temer.
Essa MP foi bem-intencionada. Buscou suprir uma lacuna importante da lei original, aprovada em agosto de 2018: criou uma Autoridade Nacional de Proteção de Dados, que é o elemento central de qualquer legislação desse tipo.
A MP está agora em análise no Congresso. Mais de 175 emendas já foram propostas por parlamentares. O que fazer diante de todas essas propostas de mudanças? O melhor caminho é adotar um critério objetivo para apreciar as emendas.
Tudo aquilo que aproximar a lei brasileira do Regulamento Europeu de Proteção de Dados Pessoais (o chamado GDPR) deve ser aprovado.
Tudo o que distanciar a lei brasileira da GDPR deve ser visto como jabuticaba (mistura de jabuti com jabuticaba, práticas comuns nas legislaturas anteriores do Congresso Nacional).
Nesse sentido, há pelo menos duas jabuticabas que o Congresso vai precisar resolver, trazidas pela medida provisória. A primeira é que a Autoridade de Dados foi criada com 100% de subordinação à Presidência. Esse é um passo em falso. Ele afasta nossa lei da GDPR e a tornaria nossa incompatível com a Europa (e com a OCDE).
A solução, ao meu ver, seria criar uma secretaria no Ministério da Justiça, responsável pela investigação e pela instrução de processos de violação de dados, e um conselho deliberativo, esse sim independente do Executivo, com capacidade para julgar e normatizar o tema, com mandato fixo e sabatina pelo Senado.
Seria semelhante à estrutura anterior do Cade. Uma proposta nesse sentido foi feita pelo deputado Felipe Rigoni (PSB-ES).
A segunda jabuticaba do texto é também grave. Ela desmonta completamente a proteção dos dados que são coletados pelo próprio governo. A GDPR europeia aplica-se indistintamente ao setor privado e ao setor público.
Tem de ser assim. Permitir que o setor público fique desgovernado com relação aos dados que coleta é uma irresponsabilidade. É justamente assegurar a proteção de dados públicos que permite aos governos acelerar nos processos de digitalização, como a criação de uma identidade digital única ou cidades inteligentes.
Avançar nessas tecnologias sem ter uma proteção robusta dos dados coletados pelo governo seria desastroso e inconstitucional.
Apesar disso, a medida provisória permitiu que o governo possa ceder livremente dados públicos a entes privados, bastando para isso um “convênio”. Em suma, dados biométricos, genéticos e outros dados sensíveis públicos poderão ser vendidos ou cedidos —sem autorização— pelo próprio governo.
Corrigir esses dois pontos é o requisito para que a lei brasileira traga não só ônus mas também os bônus que uma lei de dados pode trazer.
Reader
Já era Laboratórios só em empresas e universidades
Já é Fablabs, laboratórios de fabricação abertos ao público
Já vem Biolabs, laboratórios de engenharia genética abertos ao público