A proteção de dados no Brasil

Com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD), que se aplica aos Estados-membros da União Europeia, o parlamento brasileiro priorizou a aprovação do Projeto de Lei nº 53/2018. A proposta, inspirada no RGPD, busca regulamentar o assunto em âmbito interno. Trata-se de legislação muito bem concebida e que coloca o Brasil em posição de destaque no cenário internacional.

Como ponto de partida, questiona-se: por que o legislador se preocupou em criar regras sobre a proteção de dados? A pergunta é complexa. Contudo, parece haver consenso sobre a necessidade de se instituir algum mecanismo de controle acerca da utilização dos respectivos, porque, não raras vezes, ocorrem desvirtuamentos, o que acarreta inúmeros prejuízos aos cidadãos. Exemplo: quando contratamos um serviço ou adquirimos um produto, via de regra, precisamos preencher um cadastro com informações pessoais. Nesse sentido, não esperamos que tais dados poderão ser utilizados para outra finalidade que não a da própria contratação. Porém, não raras vezes, tais informações são utilizadas com objetivos estranhos ao negócio realizado.

Justamente para regulamentar questões desse tipo, o legislador, seguindo tendência internacional, instituiu uma lei de proteção de dados. Tal como estruturada, ela possui ao menos duas premissas fundamentais: (i) consentimento do titular; e (ii) necessidade, transparência e finalidade do processamento e do uso de dados por terceiros. Além disso, o projeto de lei estabeleceu uma série de definições, precisando o que são dados pessoais, dados sensíveis e dados anonimizados, o que contribuirá para diminuição das controvérsias sobre o que está ou não abrangido pela legislação.

Como consequência da entrada em vigor da nova lei, as informações relacionadas à pessoa natural identificada ou identificável - tais como CPF, RG, título eleitoral, origem racial ou étnica, convicções religiosas, opiniões políticas, dados referentes à saúde, dados genéticos, entre outras tantas - estarão protegidas. Na prática, isso significa que elas somente poderão ser utilizadas para "os propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades". Outro aspecto importante foi a regulamentação específica criada para o poder público.

Para o cumprimento integral das novas regras, tanto empresas quanto órgãos públicos terão de readequar suas práticas. Por isso, estabeleceu-se que a lei somente produzirá efeitos após 18 meses da data de sua publicação. Finalmente, ressalta-se que a violação à proteção de dados, para além de gerar responsabilidade no plano administrativo (multas pesadas, que podem atingir o equivalente a 2% do faturamento anual da empresa, limitado ao valor de R$ 50 milhões, segundo a ideia de punição "eficaz, proporcional e dissuasiva"), poderá acarretar consequências desastrosas às empresas que violarem as regras instituídas. Em suma, como decorrência da nova legislação, os usuários tenderão a ficar mais atentos e protegidos.