Bloco Associe-se

Associe-se ao Idec

O Congresso vai decidir sobre seus dados pessoais

MP que muda a lei de proteção de dados foi aprovada ontem por comissão mista; parlamentares têm menos de um mês para encerrar a tramitação

separador

Outras Palavras

Atualizado: 

16/08/2019
O Congresso vai decidir sobre seus dados pessoais
O Congresso vai decidir sobre seus dados pessoais

Imagem: iStock Photo

Publicado originalmente por Outras Palavras

A Lei Geral de Proteção de Dados brasileira, publicada no ano passado e prevista para entrar em vigor em fevereiro de 2020, já nasceu um tanto capenga. Ela estabeleceu uma série de medidas protetivas mas, por conta de vetos do então presidente Michel Temer, não incluiu por exemplo a criação da Autoridade Nacional de Proteção de Dados, que havia sido aprovada pelo Congresso. Por isso, não há, na prática, ninguém responsável por fiscalizar e punir eventuais abusos ou desrespeitos em relação às regras.

Agora, uma Medida Provisória que altera o texto está na reta final de sua tramitação. Ontem, foi aprovada por uma comissão mista e vai seguir para o plenário da Câmara. O problema é que ela traz algumas mudanças preocupantes. Além disso, o texto pode continuar sendo modificado, e o lobby do setor privado para flexibilizar o controle é bem forte. Entre as áreas mais afetadas – e disputadas – está a saúde.

Por que isso é importante?

Em meados de 2018, quando o texto da Lei Geral ainda caminhava para o fim da sua tramitação, o Outra Saúde fez essa reportagem explicando por que era preciso atentar para o tema. E havia muito o que se pensar. 

A verdade é que todo mundo fornece dados pessoais a grandes empresas o tempo inteiro, mesmo sem se dar conta. Você passeia por sites na internet e suas informações de navegação ficam guardadas. Vai de um lado para o outro seguindo mapas no celular e gera um belo histórico de deslocamentos. Vai à farmácia ou ao supermercado e cadastra o CPF para ter descontos. Usa um relógio moderninho e seus exercícios e batimentos cardíacos ficam salvos em algum lugar. Conversa nas redes sociais, faz cadastro em banco e em posto de gasolina, dá entrada em benefícios do governo, compra coisas no cartão, enfim, não há muito como fugir.

A questão é que nos escapam todas as formas pelas quais essas informações podem ser usadas, com que objetivos e a que preço. Para ficar em um exemplo da saúde, os famosos descontos nas farmácias são bem suspeitos – podem servir para planos de saúde acessarem dados pessoais e, com um perfil em mãos, fazerem seleção de risco de seus beneficiários. Há empresas especializadas em cruzar e revender dados, e gigantes indústria farmacêutica investem hoje milhões de dólares todos os anos na compra das nossas informações. 

Depois dos escândalos do Facebook com a Cambridge Analytica, essa discussão ganhou força no Congresso brasileiro, e um projeto que já tramitava há alguns anos foi aprovado rapidamente, originando a Lei Geral. Segundo os especialistas com quem conversamos na época, o texto era satisfatório. O ponto principal era estabelecer que os dados pessoais só pudessem ser utilizados com consentimento, salvo em alguns casos, como quando o governo precisa trabalhar informações para gerar políticas públicas.

Os descaminhos da lei

Só que, ao sancionar a lei em dezembro, o então presidente Michel Temer vetou vários trechos. Um deles, como vimos, era a criação da Autoridade Nacional, que seria independente do governo. A justificativa para o veto foi que havia vício de iniciativa. “A lei que criava a Autoridade veio do Congresso, e só quem pode propor a criação de órgãos independentes é o Executivo”, explica Danilo Doneda, coautor da Lei, professor do Instituto Brasiliense de Direito Público e especialista em temas de proteção de dados e privacidade.

O fato é que, pouco tempo depois, o governo federal emitiu uma Medida Provisória alterando a lei e recriando esse ente. Mas com um perigoso detalhe: a Autoridade, dessa vez, não aparece mais independente, mas sim vinculada à Presidência da República. “Isso é grave, porque, entre outras coisas, ela precisa controlar o próprio setor público”, observa o professor.

A jornalista Marina Pita, do coletivo Intervozes, completa: “Os integrantes desse órgão seriam funcionários de carreira que teriam como atribuição enfrentar inclusive ministérios. Se o Ministério da Saúde decide coletar e compartilhar dados e a Autoridade entende que ele está equivocado, como seus integrantes – funcionários públicos – vão se contrapor a um ministro? É preciso que o órgão tenha autonomia, capacidade técnica e dirigentes em categorias mais altas”.

Havia outras alterações problemáticas. Por exemplo, a MP diminuía o poder da Autoridade, retirando atribuições e sanções, e flexibilizava o compartilhamento de dados pessoais pelo poder público.

Como toda MP, ela precisa ser votada pelo Congresso. E tem prazo para isso: o dia 3 de junho. Se não for a plenário até essa data, ou se for reprovada, cai. O primeiro passo para a sua tramitação foi o exame por uma comissão mista. Nela, o deputado Orlando Silva (PCdoB-SP) foi responsável por escrever o texto final, e foi este o relatório votado e aprovado ontem. Agora, ele vai ao plenário da Câmara, depois ao do Senado. Na Comissão de Constituição e Justiça da Câmara, que vai analisar a matéria, já foi aprovado um requerimento de audiência pública. “Ainda pode haver modificações”, observa Bárbara Simão, pesquisadora de direitos digitais do Instituto Brasileiro de Defesa do Consumidor (Idec). “E é possível mesmo que aconteçam – para pior. Há muitas entidades do setor privado pressionando diretamente os parlamentares”.

Motivos para se preocupar

Na comissão mista a MP recebeu nada menos do que 176 emendas propostas pelos parlamentares e foi possível perceber um pesado lobby de grandes empresas. Nas três audiências públicas realizadas para discutir o tema, elas marcaram presença e posição. “O setor da saúde e o financeiro são os mais envolvidos atualmente nisso”, nota Marina. 

O relator, Orlando Silva, tentou inicialmente aproximar seu texto do que dizia a Lei Geral antes dos vetos – a primeira versão do seu relatório, apresentada no dia 25 de abril, apontava nessa direção. Ontem, porém, apareceram novas alterações.

A mais problemática envolve, mais uma vez, a criação da Autoridade Nacional. Antes, o texto de Orlando Silva estabelecia que, apesar de vinculada à Presidência, ela deveria se transformar em uma autarquia – independente – após um período de, no máximo, dois anos. Esse trecho foi suavizado na versão final, embora Silva ainda acredite que ele seja importante. “Nós temos convicção de que seria necessário ter uma estrutura autônoma e com a máxima independência do governo”, disse o deputado ontem, em entrevista à Rádio Senado. Porém, de acordo com o relatório aprovado o órgão segue vinculado, mas com uma indicação de que esta deve ser uma situação “transitória” a ser “reavaliada” pelo Executivo em no máximo dois anos.

Ficou estabelecido também que o poder público não pode compartilhar dados com o setor privado. Mas há exceções: isso fica permitido em alguns casos, como “quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres”, e para evitar fraudes e irregularidades. “A lei original já trazia exceções, mas a MP e o relatório ampliam esse rol, incluindo o trecho sobre os ‘instrumentos congêneres’, o que é muito amplo. Como o poder público coleta muito mais dados do que o setor privado, e como não tem as mesmas obrigações que ele em relação à necessidade de consentimento, isso é muito grave”, avalia Marina. 

Comunicar ou compartilhar dados com objetivo de obter vantagem econômica fica proibido. Isso significa que seguros e planos de saúde não podem usar nossos dados para negar acesso nem fazer seleção de risco. Além disso, o relatório suprimiu um trecho preocupante que havia sido incluído pela MP. “Ela previa que o compartilhamento para obter vantagem econômica seria permitido para a ‘adequada prestação de serviços de saúde suplementar’”, diz Rodrigo Murtinho, diretor do Instituto de Comunicação e Informação Científica da Fiocruz (Icict).

Estas foram vitórias. O problema, novamente, pode estar nas exceções. Já na primeira versão do relatório, esse tipo de compartilhamento deixava de ser vetado para a “prestação de serviços” de saúde, incluindo diagnósticos e terapias. Na que foi aprovada, tem mais: Orlando Silva incluiu a possibilidade de compartilhamento, com vantagem econômica, para garantir a “assistência farmacêutica” do usuário. Segundo o texto, só pode ocorrer se for “exclusivamente para a tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária”.

Na avaliação de Bárbara, isso é ruim. “A redação ficou um pouco vaga e confusa em alguns pontos. Apesar de vedar a questão específica da precificação, há muitas pequenas exceções e ainda temos receio de que elas possam abrir brechas para que disputas em relação a isso aconteçam no judiciário, podendo levar a interpretações que prejudiquem os consumidores”.

Doneda chama a atenção para outro ponto do texto, que fala da criação de ambientes de conciliação entre as empresas e os portadores dos dados. Em suma, o relatório diz que, se não houver consenso ou acordo, então a autoridade pode atuar. “Essa novidade é complicada se esse ambiente de conciliação for visto como um requisito para que, só após a tentativa, o cidadão possa reclamar com a Autoridade. Nesse caso, o órgão ou empresa pode propositalmente tornar a fase conciliatória mais difícil, evitando que a pessoa chegue à Autoridade. Como está, a redação tem potencial para restringir a atenção às reclamações e demandas”.

O que tem de bom?

Há algumas mudanças positivas, no entanto. O relatório recuperou atribuições da Autoridade que haviam desaparecido no texto inicial da MP: entre outras funções, ela deve ficar responsável por zelar pela observância de segredos comerciais e industriais e realizar auditorias sobre o tratamento de dados pessoais. Ficaram mantidas outras, como requisitar informações e comunicar às autoridades sobre infrações penais ou descumprimento da Lei Geral. 

Outra retomada: o texto aprovado mantém a definição de órgão de pesquisa – que estava no projeto de lei original, foi vetado por Temer e reinserido pela MP – como órgão ou entidade “da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos” que atue em pesquisa. Isso esteve em risco com as emendas propostas na comissão mista. “Uma delas excluía o termo ‘sem fins lucrativos’. Parece uma mudança simples, mas o impacto disso era grande. Porque em outro trecho a lei permite que o tratamento de dados seja feito, sem consentimento, justamente para a realização de estudos por órgãos de pesquisa”, observa Rodrigo Murtinho. 

Também é importante a garantia de que se alguém for prejudicado por análises de dados feitas por computadores, poderá pedir que os resultados sejam revisados por pessoas de verdade. A lei original estabelecia tal direito, o que foi vetado por Temer. A MP não retomou a regra, mas o relatório sim. “Se eu peço para ser beneficiária de alguma política social, com seguro-desemprego, e o resultado da minha análise de dados indica que não tenho direito, eu posso pedir essa revisão”, explica Marina Pita. Essa prática, porém, vai depender de regulamentação pela Autoridade e vai precisar levar em conta “a natureza e o porte da entidade e o volume de operações de tratamento de dados. “É uma melhora em relação à MP, mas, por conta dessas condicionalidades, não é de fato a melhor redação possível”, avalia Bárbara. 

O texto aprovado também incluiu que os indicados para o conselho diretor da Autoridade vão precisar ser sabatinados pelos senadores, a exemplo do que acontece em agências como a Anvisa e a ANS. Por mais que isso possa ser problematizado – afinal, o aval do Senado também significa o aval dos grupos que apoiam os senadores –, Marina vê a mudança com bons olhos. “Não necessariamente um senador de oposição vai conseguir que a indicação seja reprovada, mas a sabatina pode trazer para o debate público elementos que constranjam aquela indicação e ampliem a discussão”.

O mandato fixo, que também era mencionado na lei original – mas foi vetado por Temer e não aparecia no primeiro texto da MP – reapareceu. Serão dois anos. Além disso, os conselheiros só vão poder ser afastados preventivamente pelo presidente da República quando após processo administrativo disciplinar. 

Bárbara está pessimista, pois não parece haver chances de boas mudanças agora, no Congresso. Ela espera, porém, que, caso a MP seja aprovada com uma Autoridade subordinada à Presidência, isso ainda venha a ser modificado. “Aconteceu algo assim na Argentina. A lei de proteção de dados lá foi aprovada no início dos anos 2000 e, como aqui, foi vetada a independência da autoridade naquele país. Cerca de dez anos depois eles perceberam que ela precisava ter independência e reformaram a lei. Espero que ao menos isso aconteça aqui, mas num intervalo de tempo menor”.

A probabilidade de o atual governo se empenhar na construção desse órgão independente é difícil de estimar, segundo Doneda. “O que percebemos é que não há uma posição única, há vários setores com avaliações divergentes. Em uma das audiências públicas que discutiram a MP, o representante da Casa Civil concordou com a tese de que a Autoridade deve ser independente. Mas outros órgãos se colocam contrários”, diz.

Caso a MP caia, a Lei entra em vigor em fevereiro, sem Autoridade alguma. “Até lá, poucas empresas vão estar preparadas. Além disso, sem a Autoridade, mais de metade da lei simplesmente deixa de fazer sentido”, observa ele, resumindo: “Em uma palavra, seria o caos”.

Publicado originalmente por Outras Palavras