Nas últimas semanas, ganhou força no Congresso a ideia da aprovação de uma lei de proteção de dados pessoais. Duas propostas tramitam no Parlamento, uma na Câmara e outra no Senado. O tema mobiliza companhias de tecnologia, emissoras de radiodifusão, confederações empresariais, bancos, entidades de defesa do consumidor, pesquisadores e organizações de defesa dos direitos dos usuários.
Apesar do consenso sobre a necessidade da aprovação de uma lei, há diversas polêmicas sobre o conteúdo dessas normas. As divergências vão desde o conceito de dados pessoais até as hipóteses em que uma empresa possa utilizar as informações para uma finalidade diferente da explicada no momento da coleta. Enquanto empresas querem menos obrigações argumentando que podem dificultar a inovação, organizações da sociedade civil defendem uma norma com direitos amplos aos usuários e limites claros a quem realiza o tratamento.
Consentimento
Um ponto chave da divergência está no tema consentimento. Para entidades empresariais, ele deve ser mais flexível, não sendo necessário renová-lo toda vez em que um novo uso for feito da informação. Na avaliação dessas empresas, não seria necessário que o usuário desse uma permissão expressa. Uma pessoa que fornecesse o e-mail para uma lista de mensagens (newsletter), por exemplo, já estaria consentindo implicitamente com o fornecimento da informação, não necessitando uma autorização.
No entendimento de João Emílio Gonçalves, da Confederação Nacional da Indústria (CNI), a lei não deveria solicitar autorização a cada uso. “Faz muito mais sentido ter regras gerais sobre responsabilidade das empresas, do que você o tempo inteiro ficar submetendo o usuário a ler os mínimos detalhes sobre de que forma vai estar sendo tratado”, propõe.
Já para Bia Barbosa, do Intervozes – entidade que faz parte da Coalizão Direitos na Rede, organização que reúne dezenas de grupos da sociedade civil em defesa de direitos dos usuários, o consentimento precisaria ser expresso, informado e específico. Ou seja, para coletar os dados de uma pessoa, uma empresa precisaria pedir expressamente a autorização, informar o que seria feito com ela e assegurar que a permissão contemplaria aquele pedido específico, e não qualquer uso.
Legítimo interesse
Vinculado ao debate sobre o consentimento está o de legítimo interesse. Este termo designa as situações em que uma empresa ou ente pode usar dados mesmo que não tenha obtido consentimento para tal. Um banco, por exemplo, pode utilizar informações de um correntista para impedir uma fraude. Mas poderia para vender um serviço de seguro?
Entidades empresariais argumentam que o legítimo interesse deve ser amplo o suficiente para não impedir a atuação das firmas em um ambiente crescentemente conectado. “Teríamos uma dificuldade se a todo e qualquer momento empresas precisassem pedir consentimento sobre os dados. Legítimo interesse foi criado no ecossistema em que permanecem os direitos, mas há possibilidade de um incremento, de uma inovação que seja benéfica aos usuários”, afirmou Márcio Cots, da Associação Brasileira de Internet das Coisas em sessão temática no Senado sobre o tema, realizada no dia 17 de abril.
Na avaliação do pesquisador Bruno Bioni, da Rede Latinoamericana de Estudos sobre Vigilância, Tecnologia e Sociedade (Lavits), o interesse econômico não pode justificar uma liberação na lei para um uso amplo dos dados sem consentimento, devendo estas hipóteses serem restritas. “A nossa futura lei deve prever diretrizes para aplicação do conceito de interesse legítimo. Ela deve prever teste de proporcionalidade para este instituto aberto, pois isso vai se tornar um cheque em branco cujo uso pode não corresponder às expectativas do titular”, defende.
Dados “anonimizados”
Outra possibilidade defendida por entidades empresariais seria o caso de dados “anonimizados”. Esta técnica envolve um cruzamento de dados no qual a informação já não está mais vinculada à pessoa, sendo impossível identificá-la. O Projeto de Lei 330, que tramitando no Senado, prevê que as obrigações e garantias previstas na lei não valham para este tipo de tratamento.
Na opinião de Paulo Rená, integrante do Instituto Beta: Internet e Democracia, esta exceção é perigosa. “Não há anonimização completa. Pode ter dado que passou por este processo, mas qualquer dado permite rastrear quem é o titular. Mesmo sem indicar quem é a pessoa, é possível direcionar conteúdo, em ações relacionadas à definição de sensações e enviesamento político”, pondera.