A Lei Geral de Proteção de Dados Pessoais foi aprovada no Senado na semana passada. Fruto de oito anos de discussões, o projeto é a junção de outros três que surgiram na Câmara dos Deputados, no Senado e no Ministério da Justiça. Mas um impasse a portas fechadas no governo federal pode fazer com que, na prática, ele seja inviabilizada. E há a possibilidade de que o controle e a fiscalização sobre o uso de dados pessoais no país caia nas mãos dos militares. Mais especificamente, do Gabinete de Segurança Institucional, o GSI, responsável pela área de inteligência da Presidência, extinto por Dilma Rousseff e ressuscitado por Michel Temer em 2016.

Apesar das votações vitoriosas na Câmara e no Senado e da aprovação comemorada simultaneamente por setores historicamente opostos, como as telecoms e organizações de proteção ao consumidor, o governo não ficou feliz com a nova lei. E, embora o discurso oficial seja de que o Senado ainda não mandou o PL para a Presidência, uma intensa agenda de reuniões e declarações evidencia que as discussões internas estão a todo vapor. O texto deve chegar na mesa do presidente Michel Temer nos próximos dias, que pode sancioná-lo ou vetá-lo (total ou parcialmente).

Governo quer controlar quem controla os dados

O Brasil é um dos poucos países que ainda não têm uma lei geral de proteção de dados. Isso faz com que informações pessoais – do CPF cedido às farmácias ao histórico de compras, passando por informações nas redes sociais – possam ser coletadas, vendidas ou cedidas a terceiros sem consentimento dos usuários. Em geral, serviços como o Facebook só aceitam novos usuários depois que eles concordam com as cláusulas de um contrato, em geral chamado de “termos de uso”, que regulam a forma como as informações são usadas. Mas os contratos são longos e amplamente ignorados e, sem uma lei específica que garanta proteção – e punição para eventuais vazamentos –, não há nada que garanta o real sigilo dessas informações.

A Lei Geral de Dados Pessoais, o PLC 53/2018, quer estabelecer critérios claros para coleta e uso desses dados, tendo como base o consentimento: as pessoas devem autorizar para que empresas ou governos usem suas informações. E devem poder, por exemplo, pedir que elas sejam excluídas, ou se opor a determinado tipo de uso. O projeto prevê também a criação de um novo órgão público, a Autoridade Nacional de Proteção de Dados Pessoais, uma autarquia com poderes de sanção (nos moldes do Cade), para fiscalizar o uso e aplicar multas.

É aí que está o problema.

O governo não gostou da criação desse órgão. É o principal ponto de atrito e o que, na prática, pode inviabilizar todo o texto. Isso porque, em vários artigos, a lei menciona a Autoridade e esse órgão teria poder de fiscalizar – inclusive o próprio governo – casos de violação de privacidade.

O principal argumento é burocrático. O governo fala em “vício de iniciativa”: no Brasil, um PL que começou na Câmara não poderia criar uma órgão como a Autoridade. Isso só poderia ser feito pelo Executivo. A saída poderia ser vetar esse trecho e criar a autarquia por Medida Provisória ou lei. De novo, burocracia: qualquer uma das duas saídas dependeria de aprovação legislativa.

As duas desculpas têm sido questionadas juridicamente. E estão na frente de outras questões: o governo sugere que esse órgão seja apenas “consultivo” e, já trabalhando com a hipótese de derrubar a autoridade independente, tem discutido quem é que ficará a cargo dos dados pessoais dos brasileiros. Diante do impasse, quem vem agitando o tema dentro do governo é o GSI, que tem, entre suas atribuições, a Abin, a Agência Brasileira de Inteligência. Na quinta-feira, a pauta do ministro de Estado Chefe do Gabinete de Segurança Institucional, General Sergio Etchegoyen, foi essa:

Reprodução

Reprodução

Reprodução

Neste dia, representantes do governo falaram sobre a proteção de dados em diferentes áreas: direito do consumidor, transparência, tecnologia e segurança da informação. Este último ficou a cargo do capitão de corveta Ocimar Rangel, assessor militar do departamento de segurança da informação do GSI. O órgão tem interesse em capitanear o debate porque está tocando seu próprio Plano Nacional de Segurança da Informação, que também está em análise na Casa Civil.

“Sem poder de fato fiscalizar, você não vai conseguir tirar a lei do papel.” Laura  Mendes, professora da UnB.

Em uma reportagem publicada no Valor Econômico, uma fonte do governo chegou a insinuar que havia a possibilidade da Autoridade ser substituída pela Polícia Federal ou mesmo pela Abin. O argumento era que essas entidades teriam recursos para proteger as informações. Na prática, seria uma aberração como uma espécie de órgão de vigilância institucionalizado. Na reunião de quinta-feira não se falou abertamente sobre essa possibilidade. Mas ela não é descartada nem pelo governo e nem por membros da sociedade civil que acompanham o debate.

“Sobre esses órgãos, temos as suspeitas recentes de vigilância do estado, especialmente nesse período de eleições”, diz Bruna Martins dos Santos, consultora e pesquisadora da Coding Rights, que tem participado de reuniões representando a sociedade civil. “Então seria não só ignorar a necessidade de uma autoridade independente, como colocá-la sob as competências de órgãos que possivelmente não valorizam muito a privacidade.”

Há também a possibilidade de que a Autoridade seja substituída por uma diretoria na Secretaria Nacional de Relações do Consumidor, órgão vinculado ao Ministério da Justiça – o que também seria problemático. Para Danilo Doneda, professor de Direito Civil na Universidade Estadual do Rio de Janeiro e um dos autores do texto que deu origem ao PL aprovado, se o novo órgão de controle de dados pessoais ficar vinculado a um gabinete de governo, ele perde a sua função. “A autoridade deve ter funções de monitorar o próprio Estado. E quando você coloca um órgão nessa função, ele tem de estar em um status que o permita controlar outros órgãos. É necessário que haja o pressuposto de independência funcional. Se isso não acontecer, não funciona a fiscalização para o setor da administração pública”, diz Doneda.

“Sem esse poder sancionatório, e poder de fato fiscalizar, você não vai conseguir tirar a lei do papel e dar a proteção aos cidadãos e a segurança jurídica para as empresas”, diz Laura Schertel Mendes, professora na UnB e doutora em Direito privado. Vários acadêmicos, organizações e setores da indústria assinaram uma carta aberta em defesa da Autoridade.

Birra bancária

Com a aprovação no Senado, o presidente Michel Temer tem 15 dias para sancionar o projeto de lei. É a Casa Civil que faz a articulação entre os ministérios para viabilizar a sanção. Oficialmente, o órgão diz que o PL ainda não foi encaminhado à Presidência. Mas, na prática, ele tem sido debatido por vários assessores e virou motivo de preocupação e questionamentos.

No dia 2 de junho, a Casa Civil se reuniu com representantes da sociedade civil, pesquisadores e empresas como o Facebook e o Mercado Livre para aparar arestas em relação ao PL antes da votação no Senado. O governo mostrou preocupação com a possibilidade das pessoas se oporem à sua inclusão em um banco de dados do Estado ou do repasse de informações de um banco de dados privados ao Estado. No dia seguinte, quem se reuniu com a Casa Civil foi a Febraban, a federação que representa os bancos, para discutir o mesmo tema.

O setor bancário é o único, junto com a Casa Civil, que se opôs ao texto aprovado no Senado. A nova lei atrapalha os negócios: os bancos querem aprovar o Cadastro Positivo, um banco de dados de bons pagadores que inclui todos os brasileiros compulsoriamente. De cara, a Lei de Proteção de Dados pessoais poderia ser um entrave para a investida porque proíbe a inclusão de dados sem o consentimento da pessoa. Durante a tramitação, a Febraban escreveu uma nota contrária ao projeto alegando que a lei iria, na prática, “extinguir” os cadastro de crédito e reduzir a oferta de dinheiro no mercado:

Agora está com Michel Temer, que decidirá entre criar uma autoridade de proteção ou fazer o contrário: estabelecer que é o próprio governo que controla quem controla nosso dados.