Nova versão do Anteprojeto de Lei para a Proteção de Dados Pessoais (ALPDP) foi colocada em consulta pública, com prazo para manifestações até 30 de abril de 2015. O texto é baseado em primeira versão, aberta a consulta em 2011, e nas contribuições feitas pelo público na ocasião. Nesses quatro anos, foi dado início à discussão acerca do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014). O debate sobre esse texto foi mais rápido, inclusive em virtude de denúncias na imprensa de violação de dados de pessoas físicas e jurídicas brasileiras por governos estrangeiros. Como resultado, a publicação do Marco Civil da Internet se sobrepôs à da Lei de Proteção de Dados.
Era consenso que o Marco Civil deveria tratar sobre a proteção de dados. Há, por isso, em seu texto, seção intitulada “Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas”, dedicada ao assunto. Outros dispositivos esparsos da lei tratam do tema, como aqueles dos incisos VII, VIII, IX e X do artigo 7º. Entretanto, o artigo 10 dessa lei, com redação genérica, deixa claro que o regime de proteção nela estabelecido compreende não só os registros de conexão e de acesso a aplicações de internet, bem como de dados pessoais e do conteúdo das comunicações privadas.
Discutem-se, agora, pela segunda vez, os termos de uma lei de proteção de dados cujo texto, no artigo 5º, I, estabelece o principal objeto de sua proteção, o “dado pessoal”, definido como aquele “relacionado à pessoa natural identificada ou identificável, inclusive a partir de números identificativos, dados locacionais ou identificadores eletrônicos”. Claro está que essa definição inclui o endereço de protocolo de internet (endereço IP), os registros de conexão, os registros de acesso a aplicações de internet e outros dados protegidos pelo Marco Civil.
O tema da proteção de dados / privacidade é da maior importância e já é objeto de regulação na União Europeia por meio da Diretiva 95/46/CE, de 24 de outubro de 1995 e nos Estados Unidos, em leis esparsas. Mas o excesso normativo doméstico pode se mostrar prejudicial à efetiva regulação da matéria no Brasil, se não forem tomadas algumas cautelas.
Uma leitura do ALPDP à luz do Marco Civil da Internet traz à tona superposições normativas que podem comprometer a aplicação de ambas as leis quando da promulgação da ALPDP. Alguns exemplos são:
- o Marco Civil da Internet não diferencia “dados pessoais” de “dados sensíveis”, os quais de acordo com o ALPDP receberão maior proteção, seja pela exigência de consentimento especial para serem utilizados ou pela necessidade de prestação de informações adicionais ao titular;
- de acordo com o Marco Civil da Internet, três são as entidades que podem ser responsabilizadas pelo descumprimento da lei: (i) os administradores de sistema autônomo; (ii) os provedores de conexão e (iii) os provedores de aplicações de internet, enquanto que o ALPDP trata da responsabilidade dos “agentes do tratamento”, que são o “responsável” (aquele a quem competem as decisões referentes ao tratamento de dados pessoais) e o “operador” (aquele que realiza as operações de tratamento em nome do responsável);
- as penalidades previstas para o descumprimento do disposto no Marco Civil quanto à proteção de dados diferem das previstas no ALPDP. No primeiro, prevê-se advertência, multa de até 10% do faturamento do grupo econômico no Brasil, e suspensão temporária das atividades ou proibição do exercício das atividades. No ALPDP, é prevista multa diária ou simples, publicização (sic) da infração, suspensão do tratamento de dados pessoais por até dois anos, suspensão do tratamento de dados sensíveis por até dez anos, proibição de funcionamento de bancos de dados por até dez anos, e dissociação, bloqueio e cancelamento de dados; e
- o Marco Civil tem como critério de aplicação territorial estar ao menos um dos terminais envolvidos na coleta ou armazenamento dos dados no Brasil, desde que haja oferta dirigida ao público brasileiro, ou ao menos uma empresa integrante do grupo econômico ofertante tenha estabelecimento no Brasil. Já o ALPDP pretende ter aplicação independentemente do local em que ocorram as operações, bastando que o titular dos dados se encontre no território nacional no momento da coleta, ainda que em viagem de negócios ou turismo.
O anteprojeto não detalha o tempo de guarda dos dados pessoais, transferindo a incumbência para o regulamento. O Marco Civil estabelece que os registros de conexão devem ser guardados por um ano e os registros de acesso por seis meses (ambos sob sigilo). Diferentemente dos demais exemplos citados anteriormente, esse aparente conflito - se mantido no texto final da lei de proteção de dados – poderá ser resolvido com a aplicação do princípio de hermenêutica pelo qual a lei específica (Marco Civil da Internet) sobrepõe-se à lei geral. Nesse caso, os prazos a serem considerados para a guarda de dados ligados a tráfego na internet – registros de conexão e de acesso – seriam os previstos no Marco Civil, cabendo à lei geral tratar da guarda dos demais dados.
Quanto aos demais conflitos, espera-se que o legislador atente para o fato de que compatibilização entre as duas leis será necessária, introduzindo-se as alterações necessárias no ALPDP. Cabe também ao Executivo a cautela de não dispor no decreto presidencial que regulamentará o Marco Civil sobre matéria cujo tratamento seja mais apropriado no âmbito de uma lei geral de proteção de dados. Em outras palavras, o decreto que está por vir deveria se ater à regulação da proteção dos dados típicos do ambiente da Internet.
Mesmo com todas essas cautelas, a realidade é que quase todos os dados, pessoais ou sensíveis, para se utilizar a nomenclatura do ALPDP, se encontram hoje na internet e, portanto, o Marco Civil concebido inicialmente para ser específico poderá ser invocado na maioria dos casos concretos.