4ª SESSÃO LEGISLATIVA ORDINÁRIA
55ª LEGISLATURA
Em 17 de abril de 2018
(terça-feira)
Às 11 horas
48ª SESSÃO
(Sessão de Debates Temáticos)

Horário

Texto com revisão

R
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Declaro aberta a sessão.
Sob a proteção de Deus iniciamos os nossos trabalhos.
A presente sessão de debate temático destina-se à discussão e ao diálogo que o Senado está fazendo acerca de um tema muito delicado e muito sensível, estratégico para o nosso País, porque diz respeito à proteção, ao tratamento e ao uso de dados pessoais, referente ao Projeto de Lei do Senado nº 330, de 2013, de autoria do eminente Senador Antonio Carlos Valadares.
R
Agradecendo a presença de todos, nós gostaríamos de convidar para que pudessem ter assento à mesa do Senado S. Exª o Sr. Embaixador da Delegação da União Europeia no Brasil, Sr. João Gomes Cravinho; S. Exª o Sr. Secretário de Tecnologia da Informação e Comunicação do Ministério do Planejamento, Desenvolvimento e Gestão, Sr. Luis Felipe Salin Monteiro; o Secretário de Desenvolvimento Tecnológico e Inovação do Ministério da Ciência, Tecnologia, Inovações e Comunicações e Conselheiro do Comitê Gestor da Internet no Brasil, Sr. Maximiliano Martinhão; o Diretor do Departamento de Defesa e Segurança da Federação das Indústrias do Estado de São Paulo, Sr. Rony Vainzof; o Gerente-Executivo de Política Industrial da Confederação Nacional da Indústria, Sr. João Emílio Padovani Gonçalves; o pesquisador da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade, Sr. Bruno Bioni; o advogado especialista em Direito dos Negócios Digitais, Sr. Márcio Cots; e o consultor e especialista em privacidade e proteção de dados pessoais, Sr. Mario Viola de Azevedo Cunha. Sejam V. Sªs bem-vindos. Desde já, o agradecimento, em nome do Senado, pela disponibilidade de todos os senhores e senhoras para que nós possamos iniciar o nosso trabalho.
O sentido desta audiência é recolher contribuições, informações e percepções acerca de um tema extremamente sensível e delicado. À medida em que a internet se impõe no mundo como evidência definitiva de revolução tecnológica e civilizatória, o mundo digital se respalda como extraordinária ferramenta de emancipação nas relações humanas no campo público e no campo privado.
Não sem outra razão, aprovamos, em março de 2017, aqui no plenário desta Casa, o projeto de lei de minha autoria que deixa a internet banda larga livre de custos adicionais e de controle de fluxos de dados. Hoje dependendo de apreciação da Câmara dos Deputados, a matéria veda qualquer restrição na utilização dos planos fixos. Na prática, proíbe as operadoras de limitar a transmissão de dados de seus usuários.
R
Também relatamos, aqui no Senado, o Marco Civil da Internet, que é considerado um avanço estratégico, reconhecido por todos como uma espécie de "Constituição" da internet, como um conjunto normativo de deveres, direitos e responsabilidades dos usuários da internet em nosso País.
Agora, Srªs e Srs. Senadores, especialistas convidados, brasileiros que nos acompanham pela TV Senado, pelos meios de comunicação, estamos diante de um novo desafio: estabelecer princípios e diretrizes para a proteção, o tratamento e o uso de dados pessoais na internet nas relações públicas e privadas.
Esse debate ora colocado, enriquecido por sessão temática, é fruto de proposta apresentada, ainda em 2013, pelo Senador Antonio Carlos Valadares, a quem saudamos e cuja presença registramos.
Em seguida, V. Exª fará uso da palavra, na condição de autor, antes que possamos ouvir, meu caro Senador Valadares, os nossos convidados, a academia, as autoridades e os especialistas no tema.
Portanto, o esforço legislativo para regular a proteção de dados pessoais antecede a conjuntura de vazamentos de informações de usuários, fato que, nas últimas semanas, ganhou dimensão e ganhou grande polêmica global envolvendo empresas de redes sociais digitais.
Nesse período, entre 2013 e esta data, houve uma impactante mudança de legislação sobre proteção de dados pessoais na União Europeia. Também estivemos atentos e continuamos atentos a um debate estendido há anos nos Estados Unidos da América sobre privacidade de dados dos cidadãos.
Agora, no próximo mês de maio, a União Europeia coloca em vigor um código geral a ser seguido em seus países-membros e, naturalmente, por todos aqueles países que se relacionam com a União Europeia. A nova lei de proteção de dados da União Europeia, a Regulamentação Geral de Proteção de Dados, entra em vigor em maio, exigindo o consentimento dos usuários para a coleta de dados.
Esse regramento por certo está servindo de inspiração para o nosso debate e para o encaminhamento deste tema em nosso País, até porque esta é a sessão temática derradeira para que nós possamos apresentar o nosso parecer na Comissão de Assuntos Econômicos. E, em seguida, o sentido e o objetivo é trazer este tema para que o Plenário do Senado possa deliberar.
Afinal, há coisas muito boas derivadas da tecnologia, mas também enfrentamos desdobramentos perigosos, que colocam em risco não só a nossa privacidade como pessoa humana, mas também a democracia, com todas as notícias falsas e manipulações que temos observado.
Caros colegas e especialistas, a privacidade digital é base para uma democracia livre e forte e deve ser protegida. Proteger os dados e as comunicações digitais é fundamental para garantir a democracia e o direito à livre escolha, a fim de evitar situações de manipulação, considerando por certo o papel que a internet tem nos dias atuais e que continuará tendo.
R
A privacidade é um direito fundamental, porque, se você não tem direito a proteger a sua privacidade, qualquer um pode controlá-lo ou manipulá-lo. A privacidade é uma condição fundamental, por exemplo, para que você tenha sua própria opinião, para que você expresse sua opinião e se certifique de que ninguém está lhe influenciando. É parte importante de uma democracia livre. Portanto, precisa ser protegida.
A relatora do projeto de proteção de dados no Parlamento Europeu, a Deputada Birgit Sippel faz uma importante comparação - aspas: "Se você manda uma carta a alguém, pelos correios, essa carta obviamente será confidencial. É a mesma coisa para ligações telefônicas, mensagens eletrônicas ou qualquer outra coisa. Para nós, é muito claro que, se queremos proteger a privacidade dos cidadãos, nós precisamos de regras rigorosas, mais do que apenas proteger os dados."
Nossa legislação precisa não apenas inibir e mitigar, mas também combater os desdobramentos perigosos da tecnologia digital - perigoso para o bem e para o mal. Para isso, o Brasil deve se valer do melhor da experiência internacional, enraizada em dois campos complementares pelo menos: trata-se de preservar e garantir direitos fundamentais à privacidade e à informação, além de dialogar com garantias legais que incentivem a inovação. Afinal, a inovação digital em negócios no poder público, nas relações pessoais, assim como na comunidade internacional como um todo, configura, por certo, uma facilitadora no dia a dia das pessoas.
Srªs e Srs. Parlamentares, convidadas e convidados, brasileiros que nos acompanham pela TV Senado, o atual regime de proteção à privacidade no País não conta ainda com uma lei de proteção de dados pessoais que atenda a dois princípios essenciais: a proteção a direitos fundamentais relacionados à internet e o necessário e adequado fomento a atividades econômicas baseadas em análises de dados. Nesse sentido, precisamos equilibrar os interesses econômicos e sociais e, assim, estimular o uso racional e eficaz das informações, sem que sejam violados os direitos e garantias fundamentais da pessoa humana, nem inviabilizada a atividade econômica.
Precisamos, em outras palavras, reforçar o equilíbrio entre privacidade e inovação. Nesse sentido, queremos conciliar os fundamentos das legislações europeia e norte-americana. A primeira tem evidente protagonismo pró-consumidor, enquanto a segunda tem destacado foco na inovação, pró-iniciativas de mercado. Os Estados Unidos abrem espaço para empresas de armazenamento e tratamento de dados, o que estimula a geração de empregos e de renda.
Diante da realidade do fluxo internacional de dados, a adoção dessa abordagem globalizada é fundamental para garantir e estimular a inovação. Na economia digital, as transações comerciais são suportadas por fluxos de dados internacionais. Daí que custos desnecessários ou restrições injustificadas podem limitar significativamente o potencial das tecnologias. O excesso de proteção a informações pessoais por meio da privacidade pode levar a efeitos indesejados, como a criação de obstáculos ao desenvolvimento econômico e tecnológico, à livre iniciativa e à livre concorrência.
R
Reconhecemos que a proteção à vida privada é um direito fundamental, sem o qual não há pleno desenvolvimento da personalidade. Ao mesmo tempo, defendemos o balanceamento de interesses constitucionais relevantes, como a livre iniciativa e a segurança jurídica, assim como a eficiência na Administração Pública, bem como a inovação.
Defendemos, portanto, uma calibragem, unindo as duas pontas desse modelo. E, para todos nós, será muito importante que nós possamos ouvir as percepções e aquilo que todas as senhoras e os senhores têm de experiência acumulada neste campo. Afinal, não podem ser ignorados os benefícios da inovação no dia a dia das pessoas e nos avanços civilizatórios.
Por outro lado, claro que a inovação precisa ter passagem, mas não a qualquer e todo custo. Uma internet sem ética é um retorno ao primitivismo, à guerra do todos contra todos, do mais forte contra o mais fraco. A internet, repito, não pode ser uma terra de ninguém. Vamos, portanto, devagar com o andor, pois o santo é de barro.
Srs. Parlamentares, autoridades e especialistas, é tarefa do Congresso Nacional, especificamente do Senado, legislar em defesa da sociedade, evitando dolo, prejuízo ou limitação no tráfego de informação por meio virtual. Precisamos assegurar que informações pessoais não sejam contrabandeadas num mercado paralelo e caiam na mão de terceiros.
A Constituição Federal, no seu art. 5°, inciso X, tratou de proteger a privacidade, assim assegurando: "são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação".
Sabemos, pois, que o acesso à internet não representa apenas diversão e entretenimento, mas propicia inclusão social, conhecimento e exercício da cidadania no dia a dia. É ferramenta, portanto, indutora de inovação e de avanço tecnológico. Não seria razoável permitir que esta fonte de informação, de transações econômicas, de relações pessoais e de serviço público seja alvo de limitação ou de uso inadequado.
Ora, a internet não é e não pode ser uma terra sem lei. Nesse sentido, nosso relatório pretende preservar a constituição desta rede como patrimônio coletivo e fundamental para a igualdade de oportunidades. É um serviço de utilidade pública que não pode ter interferências ilegais.
Em estudo, ainda em 2015, o Comitê Gestor da Internet no Brasil, com outras instituições, mostrou que 58% da população brasileira usam a rede mundial de computadores. Isso representa mais de 105, 108 milhões de brasileiros.
Além disso, diversos aspectos do exercício da cidadania dependem da internet, como acesso a processos judiciais, ensino a distância, declaração de Imposto de Renda e pagamento de obrigações tributárias. Tudo isso aponta para uma única direção: a legislação brasileira precisa garantir privacidade e correto tratamento de dados a esses usuários.
R
Ao fazer, portanto, a abertura, manifestando alguns princípios e alguns conceitos, nós gostaríamos, sem mais delongas, de convidar para fazer uso da palavra, S. Exª o Senador Antonio Carlos Valadares, que, ainda em 2013, apresentou proposta para a proteção de dados, que, portanto, durantes esses anos todos, estamos debatendo aqui no Senado.
Por certo, esta é uma sessão temática derradeira, para que nós possamos apresentar, na Comissão de Assuntos Econômicos, o nosso parecer, à luz, inclusive, das mudanças e das transformações que aconteceram de lá para cá, para que possamos oferecer à sociedade brasileira uma legislação adequada e equilibrada.
Com a palavra S. Exª o Senador Antonio Carlos Valadares.
O SR. ANTONIO CARLOS VALADARES (Bloco Parlamentar Democracia e Cidadania/PSB - SE. Pronuncia o seguinte discurso. Sem revisão do orador.) - Sr. Presidente desta sessão de debates temáticos, Senador Ricardo Ferraço, também Relator na CAE do PLS nº 330, de 2013, que dedicou um trabalho aprofundado e primoroso, durante dias e dias, de sua passagem aqui no Senado Federal, desde o momento em que recebeu a matéria.
Em nome de todos os eminentes integrantes desta Mesa, eu homenageio o Embaixador da Delegação da União Europeia do Brasil, Sr. João Cravinho. Minha saudação a todos aqueles homens e mulheres interessados neste assunto tão importante e atual que estão participando desta sessão temática.
Apresentei o Projeto de Lei nº 330, objeto de debate nesta sessão especial, em agosto de 2013. Já então, percebia a relevância da necessidade de regramento acerca da proteção de dados pessoais. A importância do tema cresceu enormemente desde então, tornando-se hoje imprescindível aprovarmos uma lei brasileira sobre o assunto, que deve ser precisa e equilibrada, de modo a garantir o direito fundamental da privacidade, sem prejudicar os efeitos positivos do mundo contemporâneo, digital e sem fronteiras. Para tal, é primordial ser clara em especificar conceitos, direitos e responsabilidades.
Sabemos todos que hoje um banco de dados com informações sobre hábitos, gostos, ocupação, renda, entre outros, é um ativo valioso, seja ele construído em ambiente digital ou mesmo a partir do preenchimento de um mero cadastro para obtenção de crediário.
Basta usar as redes sociais, o smartphone, acessar uma página na internet ou fazer uma pesquisa no Google, para dar início à produção de uma série de informações sobre o usuário, informações que podem valer dinheiro, mas também podem invadir a privacidade.
R
Quantas vezes um cidadão faz uma simples pesquisa sobre o preço de uma geladeira, por exemplo, e passa a ser bombardeado por publicidade do produto? E o indivíduo fica sem saber como tantas empresas conseguiram acesso a essa pesquisa despretensiosa.
E quantos, mesmo sem a informação oficial de que foram aposentados, passam a receber telefonemas de bancos e empresas querendo emprestar ou aplicar o dinheiro do benefício que nem sequer caiu na conta?
Sem falar no potencial dessas informações, coletadas e trabalhadas, de influenciar a sociedade, um povo e até o resultado das eleições. Basta lembramos o último pleito presidencial nos Estados Unidos e a saída do Reino Unido da União Europeia.
A lei de proteção de dados precisa, justamente, ser capaz de assegurar às pessoas instrumentos de maior controle sobre seus dados pessoais e proporcionar transparência às operações de coleta e tratamento desses dados, pelos operadores e pelos responsáveis, sejam eles públicos ou privados. Ou seja, o titular da informação não deve ter seus dados utilizados aleatoriamente, precisa ter conhecimento de quem maneja as informações e com que finalidade, deve poder suspender ou retificar as referências incluídas em bancos de dados e, sobretudo, precisa ter a segurança da punição em caso de uso indevido dessas informações, como referiu o nosso nobre Relator.
Em síntese, o marco regulatório deve prevenir abusos e coibir o uso ilícito desses dados pessoais sempre que o direito fundamental da privacidade esteja em jogo, esteja em questão.
Por outro lado, as empresas, as entidades, os gestores desses dados precisam, além de limites, de um ambiente seguro para seus modelos de negócio. É preciso haver regras claras que conduzam à estabilidade necessária para que possam crescer e desenvolver suas atividades e projetos.
Nesses cinco anos, o texto do projeto de lei recebeu a contribuição valiosa dos Relatores: o Senador Aloysio Nunes e, atualmente, o Senador Ricardo Ferraço, um verdadeiro guerreiro na defesa da proteção de dados e na apresentação de uma nova legislação que regule a matéria.
Todas as sugestões incorporadas visam a nos preparar para essa era inédita de superexposição, com todo o potencial positivo que ela traz, mas também de dano que pode representar ou causar.
Recentemente, tivemos um exemplo de repercussão mundial dos perigos do uso indevido de informações: a exposição de dados de 87 milhões de usuários do Facebook, a partir da empresa de consultoria política Cambridge Analytica.
Já citei a questão da venda de informações sigilosas sobre aposentados do INSS, um suposto esquema observado no Brasil, sob a mira de investigação da Polícia Federal.
Senhoras e senhores. Sr. Presidente, hoje vivemos uma situação de desequilíbrio em detrimento do cidadão, em situação de fragilidade nessa relação, resultado da inexistência de diploma legal específico, no nosso ordenamento jurídico, que trate do tema da proteção do usuário.
A nossa Constituição consagra uma série de princípios atinentes à proteção da intimidade e da vida privada e à inviolabilidade das comunicações, inclusive de dados. Mas uma grande fragmentação legislativa nessa matéria contribui para a multiplicação de lacunas.
A Lei 12.965, de 2014, que ficou conhecida como Marco Civil da Internet, não tratou de forma efetiva a questão da proteção de dados pessoais, deixando um vácuo, tampouco preenchido pelo decreto que a regulamentou.
R
Ademais, devemos nos manter atentos à nova realidade do mundo globalizado. Diversos países têm elaborado leis com o objetivo de conferir maior proteção a esses pleitos. Em maio, entrará em vigor, na União Europeia, o Regulamento Geral de Proteção de Dados, que exigirá das empresas, entre outros, a garantia de que seus bancos de dados não estejam vulneráveis a vazamentos e regras para conter eventuais rompimentos, porque os dados pessoais só podem ser processados para fins explícitos e legítimos especificados.
Precisamos estar alinhados com essa postura, sobretudo o Governo brasileiro, que não pode se eximir da responsabilidade de adotar e seguir as regras. O Congresso Nacional está dando a sua contribuição, e o Governo não pode se eximir, sob pena de enfraquecer relações comerciais e diplomáticas, com repercussões de ordem econômica.
Quero parabenizar, mais uma vez, o meu querido amigo, inteligente, competente, Senador pelo Espírito Santo, honra e glória daquele Estado, pela contribuição inestimável que ele tem dado ao debate, nesta Casa, sobre os mais variados segmentos da ação legislativa, que, em seu parecer, prevê a criação de uma autoridade nacional de proteção de dados - sim, uma autoridade nacional, que seja responsável para a proteção do cidadão brasileiro e que mantenha o setor público no âmbito da aplicação da norma.
Em um momento em que Parlamentos se movimentam pela aprovação de leis protetoras da vida privada, o Congresso brasileiro não pode permanecer inerte e deixar o cidadão do nosso País desprovido de mecanismos que façam valer o direito fundamental à privacidade.
Muito obrigado, e minha saudação para todos.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Muito obrigado, Senador Antonio Carlos Valadares.
Nós convidamos, para a sua manifestação, o Conselheiro do Comitê Gestor da Internet no Brasil, o Sr. Maximiliano Martinhão, que poderá fazer uso da tribuna ou da mesa, como desejar.
A palavra é de V. Sª.
O SR. MAXIMILIANO MARTINHÃO - Obrigado.
Muito bom dia, Senador Ferraço.
Eu gostaria, em nome do Comitê Gestor da Internet, do qual sou coordenador, de agradecer o convite para estarmos aqui hoje tratando desse tema, e de elogiar muito a iniciativa do senhor, do Paulo Bauer, do Ronaldo Caiado, do Lindbergh, da Lídice da Mata e do Armando Monteiro, de realizar esta sessão temática sobre proteção de dados.
Eu acho que se faz necessário, Senador, que eu trate um pouco sobre o que é o Comitê Gestor da Internet.
O Comitê Gestor da Internet é um fórum multissetorial, criado há mais de 20 anos, no qual estão representados diferentes setores da sociedade brasileira que atuam e dependem da internet. Então, nós temos lá o terceiro setor, representantes da sociedade civil, representantes do setor empresarial, representantes do setor acadêmico e representantes do Governo, dos órgãos públicos.
Essa composição multissetorial, que é elogiada mundialmente, pela forma com que o Comitê Gestor estabelece as diretrizes estratégicas para o funcionamento da internet brasileira, permite que as suas decisões, ao serem estabelecidas, tenham um condão de amarrar todos os setores.
R
Então, é um processo de criação de consensos e, à medida que esse consenso é estabelecido dentro do CGI, você consegue amarrar todos os setores.
Eu trouxe, Senador, uma apresentação. Não sei se a gente tem oportunidade de projetá-la aqui com os recursos da Casa, mas, se não houver esse recurso, eu sigo...
(Intervenção fora do microfone.)
O SR. MAXIMILIANO MARTINHÃO - O.k.
Eu já havia deixado à disposição da administração, mas eu vou adiantando.
Então, o CGI é esse comitê que tem essa composição plural, com representantes do Governo, da academia, do terceiro setor, o setor empresarial, e cuida de estabelecer diretrizes estratégicas relacionadas ao uso e ao desenvolvimento da internet no Brasil.
E esse tema da privacidade é um tema que, embora afete todos os setores... Hoje, você não pode dizer que a proteção de dados pessoais está afeta apenas ao setor de desenvolvimento das tecnologias digitais. Hoje, a atividade comercial, a atividade de ensino, a atividade de saúde, de segurança pública dependem de dados pessoais, mas é principalmente no ambiente das tecnologias digitais que a proteção de dados tem uma potencialização com amplo uso e disseminação.
Se lá no passado o mau uso de dados pessoais tinha um caráter restrito, com o desenvolvimento das tecnologias digitais, como já foi mencionado aqui até pelo Senador Antonio Carlos Valadares, a coleta de dados pessoais hoje ganha em escala muito grande e tem um impacto muito maior do que poderia ter no passado.
À medida que se desenvolvem novas tecnologias digitais, a privacidade e a proteção de dados pessoais num mundo em que nós teremos sensores, câmeras, dispositivos inteligentes, plataformas digitais de comércio eletrônico, redes sociais, o desafio da proteção de dados se torna ainda maior, e a questão, como muito bem o senhor mencionou na sua abertura, Senador Ferraço, é encontrar o equilíbrio necessário do marco jurídico de forma a defender a privacidade e, ao mesmo tempo, criar um ambiente propício à inovação e à criação de novos modelos de negócios e desenvolvimento da economia digital.
Aqui, no Brasil, eu tenho o entendimento de que nós já demos importantes passos no desenvolvimento da proteção de dados pessoais. Primeiro, a nossa Constituição estabelece a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas como um direito fundamental e também a nossa Constituição prevê que os nossos cidadãos tenham direito ao habeas data para assegurar acesso à informação e conhecimento de dados e registros que estão nos registros públicos da Administração Pública.
Em 2011, foi aprovada, pelo Congresso Nacional, a Lei de Acesso à Informação, e o seu decreto regulamentador trouxe um grande conjunto de regras de como a Administração Pública Federal deve tratar as informações pessoais, e esse documento enfatiza a necessidade de o governo respeitar a intimidade, a vida privada, a honra, a imagem das pessoas, bem como as liberdades e garantias individuais. E, mais do que isso, a Lei de Acesso à Informação traz a previsão de responsabilidade funcional para um agente público que divulgar ou fizer mau uso de informações pessoais.
R
Mais recentemente, em 2014, o Marco Civil da Internet e o seu decreto regulamentador, de 2016, passaram a exigir regras aplicáveis também ao setor privado. Então, houve uma grande evolução no setor público, mas também, com o Marco Civil, passaram a existir regras aplicáveis ao ambiente privado.
Portanto, de certa forma, existem algumas leis e normas que tratam da privacidade e da proteção de dados pessoais no Brasil.
Agora, a questão maior é que é necessário que, tal como em outras regiões do mundo, um marco jurídico seja criado, para aprofundar a questão da proteção de dados pessoais, para que algumas seguranças ao desenvolvimento de inovação e também à proteção do cidadão possam ser construídas, e essa é a importância da criação e da discussão dos projetos de lei que estão em curso.
No Comitê Gestor da Internet, nós temos feito um grande trabalho sobre o desenvolvimento da proteção de dados. E, desde 2010, o Comitê Gestor da Internet realiza anualmente um seminário sobre privacidade e proteção de dados.
Em 2011, o CGI, juntamente com o Ministério da Justiça, organizou conjuntamente um workshop sobre o anteprojeto de proteção de dados pessoais, e houve uma contribuição importante do CGI no projeto de lei do Executivo, o Projeto 5.276, de 2016.
O CGI também já expediu uma série de resoluções e notas, tratando da proteção de dados, enfatizando a questão de proteção de direitos humanos e reconhecendo também o fato de que no mundo há uma transformação digital e de que há necessidade de haver uma legislação equilibrada.
Recentemente, no dia 9 de março deste ano, o CGI emitiu uma nota pública sobre a proteção de dados, que é essa que estou projetando agora.
Então, nessa nota pública, o CGI...
Se puder voltar um eslaide para mim, por favor...
Então, nessa nota pública, nós fazemos uma série de considerações. A primeira consideração é a de que, para o uso da internet no Brasil, o CGI editou um decálogo, que são dez princípios para o uso da internet brasileira. E um dos princípios é a internet se guiar pela liberdade de expressão, pela privacidade e pelo respeito aos direitos humanos.
Também para emissão dessa nota pública...
(Soa a campainha.)
O SR. MAXIMILIANO MARTINHÃO - ...o CGI considera que a transformação digital é importante - e importante também para a competitividade do Brasil.
O CGI também registra que cerca de 120 países já contam com legislações gerais de proteção de dados e que é importante que o Brasil também tenha essa legislação.
O CGI registra que essa lacuna regulatória traz vulnerabilidade e insegurança jurídica para o empreendedor e para os cidadãos brasileiros.
Próximo eslaide.
Próximo eslaide.
R
E aí, em função desses considerandos, Senador Ferraço, o CGI vem a público dizer que recomenda que as discussões legislativas em torno dos projetos de lei em tramitação no Congresso, sobre a temática de proteção de dados, tenham o seu encaminhamento priorizado. E aqui nós elogiamos...
(Soa a campainha.)
O SR. MAXIMILIANO MARTINHÃO - ...a iniciativa do senhor em pautar essa discussão e, mais do que isso, pautar na CAE o desenvolvimento e o parecer sobre os projetos de lei que garantam os direitos dos cidadãos e incentive o empreendedorismo e a inovação.
Também sugere que a solução legislativa adote, aos titulares dos dados, princípios relacionados ao tratamento de dados nas esferas pública e privada. A legislação estabelece princípios de proteção para as esferas pública e privada.
E, num último ponto, sugere que a solução legislativa se caracterize por condicionantes principiológicos, minimizando a burocracia e concorrendo para um custo operacional racional.
A preocupação aqui, Senador Ferraço, vem dos membros do Comitê Gestor, que são do setor privado, preocupados com que a eventual criação de uma nova instituição pública para cuidar desse tema não gere...
(Soa a campainha.)
O SR. MAXIMILIANO MARTINHÃO - ...novos tributos e tampouco promova um aumento da burocracia estatal em um setor tão importante.
Por fim, Senador, só dizer que, do ponto de vista de um membro do Comitê Gestor governamental, essa nota pública do CGI está alinhada também com o recente documento editado pelo Governo Federal tratando da estratégia brasileira para a transformação digital.
Muito obrigado, Senador. Desculpa pelo avanço do tempo.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Eu que agradeço a V. Sª e gostaria que V. Sª pudesse deixar sobre a mesa as contribuições da entidade que V. Sª representa, para que nós possamos considerar no processo e no debate que nós faremos em relação ao relatório.
Agradeço a V. Sª.
Passo a palavra, para sua manifestação, a S. Exª, o Sr. João Gomes Cravinho, Embaixador da União Europeia no Brasil, que nos honra com a sua presença.
A tribuna está a sua disposição.
O SR. JOÃO TITTERNIGTON GOMES CRAVINHO - Muito obrigado, Sr. Senador Ricardo Ferraço.
Ilustres membros e colegas da mesa, minhas senhoras e meus senhores, eu quero, desde já, começar por agradecer a oportunidade que nos é oferecida de apresentar a tão ilustre audiência o ponto de vista da União Europeia sobre a importante problemática da proteção de dados.
Recentemente, num processo que foi muito sistemático, muito aprofundado, a União Europeia reviu todas as regras aplicáveis à proteção de dados em todos os Estados-membros. A nova legislação, que agora entra em vigor no dia 25 de maio, é o corolário de uma longa reflexão que envolveu um vasto leque de entidades, indústrias, incluindo as empresas e startups da economia de dados, governos, entidades governamentais, serviços públicos nas várias áreas, atores da sociedade civil e cidadãos a título individual. E essa legislação tem igualmente em consideração toda a experiência acumulada ao longo de mais de duas décadas, desde a promulgação da primeira diretiva sobre a proteção de dados.
Entre nós, entre o Brasil e a União Europeia, partilhamos um entendimento comum sobre a privacidade e a proteção de dados como um direito fundamental, um direito que é consagrado constitucionalmente. Este direito é um elemento essencial da dignidade humana e a sua preservação é essencial para assegurar o bom funcionamento de uma democracia plena.
R
As recentes notícias sobre a utilização abusiva de dados pessoais no caso Facebook e Cambridge Analytica ilustram de forma muito viva os desafios com que estamos confrontados e a importância de uma regulação clara sobre privacidade e proteção de dados, como foi, aliás, reconhecido pelo próprio Mark Zuckerberg no decurso das audiências com o Congresso dos Estados Unidos.
Para quem porventura tivesse dúvidas, tornou-se evidente que a proteção de dados pessoais não é um luxo, mas antes uma necessidade. Este caso, que para muitos é chocante, por aquilo que representa de tráfico de informações com o expresso propósito de debilitar e minar os nossos processos democráticos, tem pelo menos o mérito de chamar a atenção, com urgência, para a necessidade de nos defendermos adequadamente como sociedade.
Há quem critique a atenção dada às questões de proteção de dados como um obstáculo ao desenvolvimento da economia digital. Nós discordamos desta visão que nos parece, na melhor das possibilidades, ingênua ou, com uma leitura menos benévola, como uma visão interesseira. Pelo contrário, nós acreditamos que a existência de um quadro regulatório claro e previsível é uma garantia essencial para que os operadores econômicos possam operar de uma forma mais eficaz, sem riscos de litigância, que podem ter consequências econômicas difíceis de prever.
Num mundo onde os artefatos digitais estão cada vez mais presentes na gestão do cotidiano, nós devemos ter uma preocupação crescente com os dados e com os riscos de usurpação de identidade. Coloca-se aqui uma outra questão da maior relevância, que é a confiança dos consumidores e dos cidadãos em geral nos serviços digitais. Também neste domínio uma maior clareza do quadro regulatório é um desenvolvimento positivo.
Eu posso também partilhar que nós temos recebido muitas indicações de empresas que consideram que mais estritas medidas sobre proteção de dados não são um fardo, são antes uma vantagem competitiva, pois facultam uma garantia acrescida de confiança para os seus clientes e utilizadores num ambiente de saudável concorrência.
Um outro aspecto que eu gostaria de salientar é a dimensão internacional da proteção de dados. Com efeito, a economia digital é cada vez mais global e os dados circulam pelo mundo através dos continentes e oceanos, extravasando o conceito tradicional de fronteira. Isso significa que os nossos esforços neste domínio têm de estar acompanhados de um intenso diálogo com as outras partes do mundo que partilham conosco valores e preocupações em relação ao futuro.
A União Europeia está ativamente empenhada num diálogo com os seus principais parceiros, e o Brasil ocupa, neste contexto, um lugar de destaque. O objetivo desse diálogo é de assegurar que a legislação respectiva assegure um grau de proteção adequado dos dados pessoais dos seus cidadãos, e este objetivo, a ser atingido, colocaria o Brasil numa situação especialmente favorável para tirar partido do desenvolvimento da economia de dados, atraindo mais investimento, criando mais empregos qualificados.
É por isso que consideramos especialmente útil e proveitoso partilhar com o Brasil a nossa experiência sobre proteção de dados e, na medida do possível, promover a convergência dos aspectos basilares das nossas legislações.
R
Em termos da arquitetura da nossa legislação sobre proteção de dados, devo dizer que existe atualmente uma clara percepção de que é possível construir um círculo virtuoso entre proteção da privacidade enquanto direito fundamental, confiança do consumidor e desenvolvimento econômico e progresso social.
Os quatro pilares em que assenta a nossa legislação são os seguintes:
Em primeiro lugar, uma legislação única, uma legislação única sobre proteção de dados em vez de abordagens setoriais, que forçosamente seriam perfiladas e eventualmente também contraditórias. Um quadro legal comum é garantia de uma efetiva proteção dos dados dos cidadãos de forma coerente, independentemente do setor de atividade.
Em segundo lugar, núcleo de princípios de proteção de dados, que é bem definido e que inclui aspectos como a necessidade do consentimento prévio, uma proteção específica de dados especialmente sensíveis, como os que dizem respeito às crenças pessoais, à orientação sexual ou às condições de saúde.
Em terceiro lugar, cada um de nós deve ter controle sobre os seus próprios dados. Isso significa que os cidadãos devem ser claramente informados e esclarecidos sobre o que acontece com os seus dados pessoais: que dados serão processados, por quem e para que fim, incluindo casos de roubo ou de perda, porque tais incidentes podem ter consequências, especialmente gravosas, com o roubo de identidade, a fraude, etc. Obviamente que isso implica disponibilidade de mecanismos de verificação para que as regras sejam cumpridas.
Finalmente, em quarto lugar, a experiência da União Europeia mostra que a implementação de regras de privacidade eficazes depende em grande medida da existência de uma autoridade independente de supervisão, uma autoridade que garanta uma monitorização efetiva do cumprimento da lei e que seja salvaguarda contra os prevaricadores, quer sejam entidades privadas, quer sejam organismos públicos. Esse é um aspecto essencial para assegurar a proteção dos direitos dos cidadãos.
No desenvolvimento da legislação europeia foram considerados mecanismos que podem ser do interesse de um país com a dimensão do Brasil e com a sua forma de Governo Federal. Estou a pensar, por exemplo, na colaboração que há entre mecanismos com proximidade dos cidadãos. Cada Estado-membro da União Europeia, por exemplo, tem a sua própria autoridade de proteção de dados mais próxima dos cidadãos, com a necessidade de assegurar uma interpretação coerente das regras, através de uma estreita colaboração e coordenação entre todos os supervisores nacionais. Esse equilíbrio entre proximidade e coerência global parece-nos um elemento muito importante da nossa experiência e eventualmente pode ser interessante para o caso do Brasil.
(Soa a campainha.)
O SR. JOÃO TITTERNIGTON GOMES CRAVINHO - Fala-se, Sr. Senador, do pretenso fardo regulatório que é injustamente atribuído por alguns atores à legislação da União Europeia. Eu gostaria de esclarecer três pontos importantes a esse respeito.
Primeiro, a abordagem europeia tem por base um importante componente de responsabilidade individual dos operadores, tem mecanismos de penalização robusta em casos de não cumprimento.
R
Não se trata de obrigar as empresas e outras organizações a um complexo processo de verificação e autorização prévia que poderia redundar em obstáculos para a inovação num setor tão dinâmico como esse. Existem, inclusive, ferramentas como avaliações de impacto sobre proteção de dados que podem ajudar as organizações a desenvolver as suas estratégias de conformidade com a legislação.
Segundo, é importante também salientar que não se trata de uma abordagem monolítica aplicável a todas as organizações. Pelo contrário, foi uma preocupação dos legisladores encontrar um quadro flexível em que apenas os operadores que lidam com dados mais sensíveis e, portanto, com maiores riscos tenham obrigação de proteção de dados mais exigentes.
E, terceiro, há um conjunto de ferramentas, como códigos de conduta e metodologias, que permitem introduzir um elemento de corregulação e ajudam as empresas a demonstrar a conformidade das suas práticas com as regras junto dos supervisores.
Ora, é evidente que cada país tem de desenvolver o seu próprio conjunto de regras que correspondam a uma visão equilibrada das necessidades e da capacidade de implementação tendo em conta o seu contexto institucional e socioeconômico.
Ao mesmo tempo, não é demais repetir que nos parece altamente desejável que haja uma clara convergência à escala global ou, pelo menos, uma convergência entre aqueles que partilham os mesmos valores. Parece-nos ser uma tendência inexorável que resulta do caráter igualmente global de muitos operadores. E nós temos constatado essa orientação em vários países da América Latina, com quem trabalhamos, mas também em muitas outras partes do mundo, como é o caso de muitos países da região Ásia-Pacífico, que puseram em prática legislação sobre proteção de dados muito semelhante à legislação da União Europeia.
Por um lado, a adoção de um conjunto comum de regras torna mais fácil às empresas assegurar a conformidade com essas normas, quando trabalham internacionalmente, diminui os custos de contexto e torna as economias nacionais mais atrativas para o investimento externo. Por outro lado, a adoção de regras comuns por parte de países que têm perspectivas convergentes será tanto mais eficaz quanto mais alargada for a comunidade de nações envolvidas nesse processo de convergência.
Nós pensamos que é muito importante para o Brasil, com a sua dimensão continental, com a sua influência geopolítica, participar desse movimento. Ao dotar-se de uma moderna legislação de proteção de dados, alinhada com os princípios que nós apresentamos de forma sumária, que o Brasil partilha, o Brasil pode tornar-se um líder regional e influenciar as normas de privacidade e proteção de dados em toda a América Latina e por que não dizer também para além deste continente. Esse alinhamento permitiria um reforço da parceria estratégica com a União Europeia, com a qual o Brasil mantém importantes laços econômicos e afinidades culturais.
Assim, a União Europeia vê de forma muito positiva a perspectiva do atual processo de elaboração e de gestão no Brasil. O Brasil foi identificado por nós como um país prioritário no nosso documento de estratégia sobre "fluxos de dados internacionais", um documento de janeiro 2017. A convergência regulatória com base num entendimento comum sobre proteção de dados teria um impacto muito positivo nos fluxos de dados e nas trocas comerciais que estão associadas a esse fluxo, constituindo um complemento natural para o acordo de comércio livre que está em fase avançada de negociação entre a União Europeia e os países do Mercosul.
R
Nós poderíamos aprofundar ainda essa convergência no plano bilateral entre a União Europeia e o Brasil com um instrumento específico, aquilo que nós chamamos de adequacy finding, que permitiria ao Brasil beneficiar-se de garantias quanto ao fluxo de dados sem restrições com a União Europeia.
Sr. Senador, eu gostaria de terminar agradecendo, em nome da União Europeia, esta oportunidade de apresentar, em traços muito gerais, a nossa abordagem. E queria também dizer que a implementação do nosso Regulamento Geral Sobre a Proteção de Dados terá um conjunto de sessões de esclarecimento aqui no Brasil, que prevemos organizar a partir do próximo mês de maio, para o qual naturalmente convidaremos membros do Congresso e todas as entidades brasileiras envolvidas nesta temática.
Faço votos de um trabalho muito produtivo neste domínio que é tão oportuno.
Muito obrigado.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Muito obrigado, Sr. Embaixador, por sua manifestação e pelas contribuições de V. Exª.
Passo a palavra e peço a manifestação do Sr. Rony Vainzof, Diretor do Departamento de Segurança da Federação das Indústrias do Estado de São Paulo.
V. Exª dispõe de dez minutos, mas, naturalmente, a coordenação será flexível, para que nós possamos ter a contribuição de todos os nossos convidados.
O SR. RONY VAINZOF - Obrigado, Senador.
Bom dia a todos. Muito obrigado pelo convite, Senador Ricardo Ferraço. É uma satisfação estar aqui neste dia tão importante.
Senhoras e senhores, dado pessoal é a moeda da economia digital, um dos mais relevantes ativos para o exercício de qualquer atividade empresarial, pessoal ou social, assim como para a concretização de políticas públicas. As maiores potências mundiais estão se esforçando ativamente para desenvolver uma vibrante economia baseada em dados, inclusive o Brasil, com o recentíssimo decreto que estabeleceu a Estratégia Brasileira para Transformação Digital.
Senador Ferraço, se a discussão do problema é baseada exatamente no modelo de negócio da maioria das entidades que atuam no segmento digital e não há qualquer hipótese que se sustente juridicamente de impedir por completo uma economia baseada em dados, que são coletados, tratados e utilizados como contrapartida para excelentes serviços, é preciso haver freios e contrapesos para que tal exploração seja realizada de forma justa, transparente e proporcional.
Quando enviamos um e-mail e recebemos em diversos canais propagandas justamente com promoções do assunto tratado, aos poucos começamos a perceber que isso não é uma simples coincidência. Quando wearables coletam inúmeros dados da nossa saúde para termos uma visão completa do nosso corpo e buscarmos uma vida mais saudável, começamos a pensar e temer se forem utilizados para finalidades distintas. Quando disponibilizamos a nossa biometria digital para acessar uma academia de ginástica, começamos a pensar que talvez não seja necessário deixarmos ser coletado um dado sensível assim apenas para essa finalidade. Quando aplicativos publicam as rotas mais utilizadas por usuários para correr e pedalar e automaticamente mostram informações de usuários militares da plataforma em sua rotina de treinamento em bases secretas, começamos a ter uma ideia da sensibilidade desse assunto.
Lembro-me de exemplos interessantes de se buscar a transparência e a conscientização dos usuários acerca da contrapartida para a utilização de serviços gratuitos.
R
Em uma oportunidade, um site de games inseriu em sua política de privacidade que o usuário, ao aceitá-la, estaria vendendo a sua alma. E não era um contrato de adesão, pois era permitido alterar ou modificar a cláusula da venda da alma. Somente 4% alteraram ou retiraram a referida cláusula, e era uma campanha de conscientização para esses usuários. Em outro caso, em 2005, uma empresa de comércio eletrônico nos Estados Unidos inseriu em seus termos de uso uma cláusula que garantia um prêmio de US$1 mil para quem a estivesse lendo. Demorou cinco meses e três mil cadastros para que alguém reclamasse o prêmio. Talvez agora comece a ficar um pouco mais interessante lê-los.
Parece-me improvável, por maior esforço que haja, que os usuários possam ter controle total de seus dados. Apesar de ser de grande a importância de haver o princípio da autodeterminação informativa, acredito que uma lei de proteção de dados pessoais tenha que ir além da transparência e do consentimento, pois a grande maioria dos usuários não tem a menor noção da quantidade e tipos diferentes de dados que são coletados diariamente, assim como quais os seus respectivos usos futuros. Estabelecer que as empresas que desenvolvam modelo de negócios baseados em dados pessoais realizem relatórios prévios de impacto à privacidade dos projetos é só uma das sugestões iniciais.
No Brasil, como já foi dito, além da nossa Constituição Federal, temos ao menos 30 legislações setoriais que permeiam o tema. Não há um órgão especializado e focado apenas em proteção de dados, que é um assunto extremamente denso e complexo e, no meu ponto de vista, necessita ter uma visão multissetorial.
Mesmo diante de tantas leis setoriais, um marco legal em proteção de dados é necessário e muito relevante para o Brasil, pois trará segurança jurídica mediante a harmonização de conceitos, elevando a proteção aos direitos individuais das pessoas e ao fomento da economia digital. Ademais, também como já dito, com um nível de legislação compatível com outros países, facilitará o fluxo de transferência internacional de dados. Vejamos:
• Transparência e uso justo, para que o usuário possa avaliar se para ele vale abrir mão dos seus dados para aquele determinado propósito;
• Transparência sobre decisões automatizadas e algoritmos, contendo a lógica subjacente ao eventual tratamento automático dos dados pessoais e das suas possíveis consequências;
• Serviços baseados em Big Data, IoT e Inteligência artificial, acabam por utilizar dados para finalidades distintas daquelas originais. Assim, parece-me que o princípio da limitação da finalidade, chave na proteção de dados por muitos anos, atualmente, apesar de importante, pode estar desatualizado. Talvez a avaliação do legítimo interesse seja mais adequada na atual era digital, orientada por dados, do que se basear na finalidade inicial da coleta e se o processamento posterior é compatível com tal propósito inicial. Isso não significa que a limitação da finalidade ou a minimização de dados não sejam mais relevantes, mas somente que devem estar atrelados ao interesse legítimo e não ao objetivo original da coleta de dados;
• O consentimento expresso pode ser uma das formas, mas não a única de autorização, como o consentimento inequívoco e para determinadas finalidades, sob pena de inviabilizar novos negócios. Uma concepção coletiva da sociedade sobre privacidade torna-se cada vez mais importante até mesmo do que o consentimento individual;
• Dados anônimos não são dados pessoais. Inclusive, conforme o Relatório final do Plano Nacional de Internet das Coisas: "A alternativa é que os dados sejam coletados de forma anonimizada e agregada, o que desconfiguraria sua natureza de dados pessoais.";
Data minimization, ou seja, dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação aos fins para os quais esses dados são processados;
• Dados pessoais sensíveis: definição e possibilidades de coleta, tratamento e uso;
• Segurança da informação, Privacy by Design e Data Protection Impact Assesment. Explico: dados pessoais devem ser processados de maneira a garantir a segurança apropriada. A proteção deve estar incorporada desde o início do projeto e é preciso realizar uma análise do ciclo de vida dos dados para avaliar potenciais riscos, principalmente em empresas ou negócios baseados em dados.
R
Senador Ferraço, senhoras e senhores, caso essa legislação nasça sem uma autoridade de proteção de dados, ela será manca, provavelmente sem eficácia. Ainda, uma lei que estabeleça sanções administrativas sem identificar quem pode aplicá-las pode ser um convite para a imposição de multas injustas, por desconhecimento técnico ou parcialidade de determinado órgão diante da ausência de uma visão multissetorial, trazendo prejuízos para as empresas e para a sociedade.
A ausência da autoridade também impedirá o Brasil de ser considerado um País com grau de adequação às normas internacionais de mesma espécie.
Acredito que o modelo ideal para esta autoridade brasileira seja única, central, com independência financeira e decisória, e multissetorial, dotada de corpo especializado e continuamente atualizado, com conhecimento tecnológico, jurídico, econômico e de negócios.
Ser operacionalmente independente, principalmente com relação às investigações, interpretações e decisões sobre a aplicação da lei, é relevante, inclusive pensando na participação em outras organizações mundiais.
Quanto às funções: prover ações educativas e recomendações; indicar melhores práticas empresariais; ter uma agenda nacional, com detalhamento transparente dos resultados esperados e abordagens que serão realizadas; contribuir e conscientizar acerca da aplicação da lei; pensar em cada setor e na relação entre setores; ser um ponto único de contato com organizações regionais e internacionais, incluindo as autoridades internacionais, visando a harmonização do tema com outras nações, conforme foi dito pelo Embaixador.
Ademais, um cuidado que se deve ter é que a autoridade consiga proteger os direitos das pessoas mediante a atuação em questões estratégicas e casos relevantes, pois possivelmente não terá condições de absorver todas as demandas.
Senador Ferraço, talvez o ponto chave em um País que está intensificando agora sua cultura de proteção de dados, sob pena de ausência de confiança do mercado na referida autoridade, seja priorizar um engajamento construtivo com a indústria e com a Administração Pública:
- Ao invés de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação;
- Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei;
(Soa a campainha.)
O SR. RONY VAINZOF - Criação de ambientes para inovações responsáveis, como "Regulatory Sandboxes", ou seja, novos projetos são testados em atmosferas controladas, visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori;
- Empresas que se esforcem em agir de forma responsável sejam encorajadas a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability;
- As sanções devem ser a ultima ratio, principalmente e somente quando houver alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves;
- Sanções não devem ser a principal fonte de recursos dessa autoridade, sob pena de legitimar contestações éticas, políticas e legais. Os recursos podem ser oriundos de uma proposta anual no orçamento, serviços com auditoria, treinamento e/ou publicações.
Senador, senhoras e senhores, se é praticamente consenso sobre a necessidade de uma Lei Geral de Proteção de Dados no Brasil, acredito também que seja condição sine qua non buscar o equilíbrio entre interesses sociais e econômicos, entre o público e o privado, entre liberdade, proteção e segurança, que jamais podem se antagonizar - muito pelo contrário, devem ser indissociáveis, complementares e absolutamente compatíveis.
Tenho orgulho de lembrar que a Fiesp tem um histórico de contribuições para ambas as Casas deste Parlamento, desde o Marco Civil da Internet, o seu decreto regulamentador, assim como as recentes consultas sobre os projetos de lei de proteção de dados pessoais.
Parabenizo V. Exª, Senador Ricardo Ferraço, pela sensibilidade ao requerer a presente sessão temática e cumprimento todos os Parlamentares, colegas e profissionais aqui presentes, na sua pessoa.
É uma honra estar no Senado Federal, discutindo esse tema.
Muito obrigado! Fico à disposição.
R
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Nós, aqui, agradecemos a V. Sª, pelas contribuições, que solicito possam ser direcionadas à Mesa, para que possamos considerar.
Gostaria de registrar, com muita alegria, entre nós, a presença de S. Exª o Deputado Orlando Silva, que tem liderado, na Casa dos Deputados Federais, esse debate, considerando, como todos sabem, que o nosso Parlamento é constituído pelo Senado e pela Câmara, a quem convido para fazer uso da palavra, integrando os esforços do Parlamento brasileiro, na busca desse importante desafio contemporâneo para o nosso País.
Passo a palavra, portanto, ao Deputado Orlando Silva, que nos honra muito com sua presença aqui no Senado.
O SR. ORLANDO SILVA - Agradeço, querido amigo, Senador Ricardo Ferraço, a gentileza, primeiro, do convite, para que pudesse acompanhar essa iniciativa que considero extraordinária, por parte do Congresso Nacional, particularmente do Senado, num momento em que o tema está mais aceso do que nunca.
Diria que é muito oportuno que o Senado possa debruçar-se com mais intensidade, examinando essa matéria. Agradeço a gentileza, apesar de imprecisa, porque a liderança desse tema se dá na Câmara dos Deputados pela nossa querida Deputada Bruna Furlan, a quem reverencio o esforço de diálogo que faz, juntamente com os Deputados André Figueiredo, Milton Monti e Alessandro Molon, que são os colegas de mesa na Comissão Especial, constituída pelo Presidente Rodrigo Maia, para examinar essa matéria.
Na verdade, Senador, vim aqui para aprender um pouco mais. Tem sido um processo de aprendizagem muito intenso, que temos vivido lá na Câmara dos Deputados. Foram 13 audiências públicas, um seminário internacional, um sem-número de encontros bilaterais. Quero crer que este seminário, a meu juízo, se soma a esse esforço do Parlamento, de construir um processo, produzir o amadurecimento do processo legislativo, de modo que tenhamos uma lei adequada.
É muito comum que, no presente momento, que eu seja abordado sobre temas vinculados a Facebook, a OCDE, ou a fake news, e em que medida o debate sobre privacidade poderia intervir. A abordagem de temas que estão pautados na conjuntura são importantes, mas não devem ser a principal referência nossa.
A nossa determinação de produzir uma lei geral de proteção de dados pessoais que garanta a privacidade dos cidadãos brasileiros deve ter toda a sua energia colocada à disposição, porque é necessário, seja para a economia brasileira, seja para a privacidade dos nossos cidadãos.
Digo isso com muita clareza, porque talvez já estejamos passando da hora de produzir esse marco regulatório, mas esse processo, tal qual foi produzido, inclusive pela liderança do Senador Ricardo Ferraço - e permita-me também registrar o papel do Senador Aloysio Nunes, além do autor, Senador Antonio Carlos Valadares - de amadurecimento é que será fundamental, para que a lei produzida seja adequada, não correndo o risco de obsolescência - digamos assim - em função da inovação, que é um traço principal da matéria que versamos aqui.
Observada em duas manifestações aqui, por exemplo, a polêmica em torno da autoridade de proteção de dados já revela quão delicada é a matéria e quão precisos serão os próximos passos, já que nós temos uma dúvida, no mínimo, sobre a oportunidade da iniciativa legislativa, do Poder Legislativo, constituir uma autoridade.
R
Se há um debate jurídico - permitam-me a manifestação diferente de um dos expositores -, é uma necessidade que é absolutamente consensual. Aliás, esse projeto de lei tem poucos pontos que são tão consensuais quanto a criação de uma autoridade de proteção de dados.
É curioso. Eu creio que nós não podemos ser sequer pueris na abordagem desse tema, porque não se trata do recurso que irá sustentar uma instituição como essa. Nós falamos da economia digital, nós falamos de uma atividade que vai produzir - imagino eu - um estímulo importante para o desenvolvimento econômico do Brasil e merece ter o tratamento que essa dimensão produz.
Então quero, Senador, na verdade, cumprimentá-lo e dizer que a nossa expectativa é muito grande quanto ao trabalho que o Senado Federal vai produzir. Nós temos, no ambiente da Câmara, feito um diálogo com o Presidente da Casa, o Presidente Rodrigo Maia. A expectativa dele, inclusive, é o meu relato. Câmara e Senado, nessa matéria, estarão muito próximos, até porque a expectativa que eu pessoalmente guardo é de que o diálogo produza relatórios em que idealmente uma Casa ratifique o documento, o diploma apresentado pela outra, porque isso nos vai permitir ganhar tempo e recuperar, na verdade, um tempo na normatização dessa matéria tão importante.
Então, quero que o senhor conte com a nossa colaboração, conte com o nosso interesse, conte com o nosso diálogo. Falo em meu nome pessoal, seguramente em nome dos membros da Comissão Especial da Câmara dos Deputados e um pouco mais, em nome do Presidente da Câmara, Rodrigo Maia, que está interessado em que cheguemos a bom termo na elaboração dessa lei.
Um bom seminário para todos nós.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Muito obrigado, Deputado Orlando Silva. V. Exª honra o Senado e este debate com a sua presença.
Com certeza as duas Casas que compõem o Parlamento brasileiro estão atuando com absoluta identidade, absoluta convergência, para entregar à sociedade brasileira, em nome de quem atuamos na atividade pública e política, uma legislação que possa refletir todos esses princípios, conceitos, diretrizes. Por certo, as duas Casas estão atuando com muita convergência, com muita identidade. Nós vamos manter esse diálogo. Não temos o direito de não mantermos esse diálogo com esse nível de convergência, para que esse aperfeiçoamento e o compartilhamento dessas visões todas façam com que o Brasil tenha de fato uma legislação adequada, pertinente.
Como V. Exª mesmo disse, se tivermos um marco legal mas não tivermos uma autoridade que atue no cumprimento desse marco legal, estaremos aqui construindo uma letra fria. Então, temos de fato uma controvérsia estabelecida sobre se há ou não iniciativa constitucional de propor uma estrutura administrativa. Mas isso não é restrição, porque poderemos recomendar e por certo o Poder Executivo deverá adotar uma medida dessa natureza para a proteção de um bem fundamental que é a privacidade das pessoas, mas com muito equilíbrio, para que isso não represente o congelamento da inovação, da tecnologia, que também é bem coletivo que se traduz em elevados benefícios para o conjunto da sociedade.
Eu agradeço muito a participação de V. Exª. Se eu pudesse, eu o convocaria para continuar conosco. Mas já que não posso, eu o convido, porque V. Exª é motivo de alegria para todos nós.
Muito obrigado, portanto, ao Deputado Orlando Silva.
Passo a palavra ao Sr. Bruno Bioni, que é pesquisador da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade.
A palavra é de V. Sª.
R
O SR. BRUNO BIONI - Primeiramente, boa tarde a todos.
Eu gostaria muito de agradecer o convite e fazer um alerta de que hoje eu falo aqui na minha capacidade acadêmica, enquanto pesquisador e integrante da Rede Latino-Americana de Estudos sobre Vigilância, Tecnologia e Sociedade, a Lavits, que integra uma coalizão maior de entidades, centros de pesquisa, enfim, entidades do terceiro setor, e, dentre as várias iniciativas que nós temos, temos também uma campanha chamada "Seus Dados São Você", que visa a justamente trazer materiais que procuram conscientizar a população, de uma maneira geral, sobre essa pauta específica.
Por isso mesmo, eu acho que é de enorme responsabilidade fazer parte desta sessão temática histórica. É histórica, eu diria, porque, salvo engano, acho que é a primeira vez que um projeto de uma lei geral de proteção de dados pessoais alcança o Plenário de uma das Casas no Congresso Nacional. E eu acho que isso é muito simbólico, porque confirma uma transição muito importante no debate político e público sobre proteção de dados pessoais no Brasil, porque acho que hoje ninguém mais duvida da necessidade de o Brasil ter uma lei geral de proteção de dados pessoais. Acho que hoje em dia a atenção gira muito mais em torno de qual deve ser o desenho final dessa lei de proteção de dados pessoais, e é sobre isso que eu gostaria de me debruçar aqui, sobre seis pontos que seriam a espinha dorsal do que é uma boa lei geral de proteção dados pessoais. Sem esses seis componentes, Senador Ricardo Ferraço, eu acho que corremos o risco de ter uma futura lei geral de proteção de dados pessoais que não caminhará por suas próprias pernas e que não corresponderá às expectativas sociais e econômicas em jogo dessa pauta.
Primeiro ponto: por mais paradoxal que isso pareça ser, essa lei geral de proteção de dados pessoais deve ser, de fato, uma lei geral. Por que é que eu digo isso? No seu desenho não deve haver exceções a determinados setores específicos da economia, muito menos com relação ao setor público. E, aí, eu digo não só a respeito de eventuais exceções com relação ao escopo de aplicação da lei como um todo, mas eventuais privilégios setoriais embutidos no texto dessa lei, como por exemplo criação de bases legais que favoreçam determinado setor específico.
Com relação ao setor público, é necessário que seja arquitetado um capítulo próprio, que trate das particularidades próprias de produção de dados pessoais, com relação ao setor público, eventualmente dividido em seções, para que haja equivalência de regulação, tal como aquela disposta com relação ao setor privado.
Eu acho que somente se a gente alcançar esse tipo de simetria de regulação, a gente vai conseguir, ao mesmo tempo, franquear uma proteção integral do cidadão e uma regulação uniforme para todos os setores da economia. Em última análise, isso vai gerar segurança jurídica - segurança jurídica para fins de inovação, que é cada vez mais dependente desse fluxo transetorial de dados, e até mesmo para a própria gestão estatal, porque cada vez mais a gente tem apostado em parcerias público-privadas que dependem dessa troca de dados entre o próprio setor público e entre o próprio setor privado.
Segundo ponto, com relação ao conceito de dado pessoal. O conceito de dado pessoal deve ser aquele relacionado a uma pessoa identificada ou a uma pessoa identificável. Essa potencialidade, esse sufixo, demonstra uma estratégia normativa de a gente cavar um conceito o mais abrangente possível de dados pessoais, de modo que caiba e esteja sob o guarda-chuva dessa legislação o maior número de dados possível.
Dessa maneira, a gente não vai só franquear uma maior proteção para o cidadão, em torno de tratamento de informações que impactem diretamente ou indiretamente a sua vida, mas também, ao mesmo tempo, trazer segurança jurídica para fins de inovação, porque são justamente informações de uma pessoa identificada ou identificável extremamente necessárias para fins de formatação de novos modelos de negócio e para fins de formulação de políticas públicas.
R
Com relação ao terceiro ponto, um projeto de lei visa trazer hipóteses legais, bases autorizativas para o processamento de dados pessoais. E aí é muito importante a gente estar debatendo hoje uma lei geral de proteção de dados pessoais, porque hoje, no ordenamento jurídico, existem poucas bases legais. E uma das bases legais mais importantes de todo e qualquer sistema de proteção de dados pessoais é o consentimento do titular da informação. Nesse sentido, a gente deve caminhar para fins de fortalecer a adjetivação do consentimento como aquele sendo informado, livre, específico para dados pessoais triviais e expresso para dados sensíveis.
Isso faz parte de uma estratégia para que as pessoas retomem o controle das informações que elas detêm, de que elas são titulares, e isso, no final do dia, vai gerar mais eficiência sobre as próprias decisões que são tomadas com base nesses dados, porque, com as pessoas tendo uma maior participação no tratamento das suas informações, geram-se dados de mais qualidade, mais atuais, mais fidedignos. E, no final, a gente cria uma arquitetura que reforça a confiança desse ecossistema como um todo.
Quarto ponto, segunda base legal para fins de tratamento de dados pessoais, que já foi referenciada aqui, que é a chamada base dos interesses legítimos. A nossa futura lei de proteção de dados pessoais - e isto é essencial - deve prever diretrizes para a aplicação desse conceito equívoco, aberto e indeterminado. O que pode ser um legítimo interesse para mim, pode não ser para o Maximiliano Martinhão; e assim por diante. Por isso que é extremamente necessário que essa futura lei preveja um teste de proporcionalidade para a aplicação desse instituto totalmente aberto e vago, porque, caso contrário, isso vai se tornar um cheque em branco cujo preenchimento vai se dar à revelia das legítimas expectativas do titular. E, ao a gente estabelecer essas diretrizes, esse teste de proporcionalidade, a gente também vai alcançar um nível de previsibilidade da aplicação desse instituto e, no final do dia, a gente também alcança mais segurança jurídica para aquelas corporações, para o próprio setor privado, que vai se utilizar dessa base legal para legitimar os seus modelos de negócio.
Quinto ponto: a formação de uma autoridade garante de proteção de dados pessoais. Hoje em dia, dado o aumento exponencial do volume, da variedade de processamento de dados pessoais, faz-se virtualmente impossível para o cidadão, sozinho, fazer valerem os seus direitos e nas mais diferentes esferas. Por isso que é necessária a criação justamente de um órgão com expertise que possa equilibrar essa assimetria, esse desequilíbrio; e, sobretudo, para que ele possa coordenar o enforcement dessa lei entre diferentes setores com particularidades diferentes. Caso contrário, a gente vai ter aqui um comprometimento não só dessas liberdades individuais, mas também dessas atividades econômicas, não mais agora por falta de um arranjo normativo e legal, mas por falta de um arranjo institucional para aplicação dessa lei.
E aí eu entro no meu sexto ponto. É essencial que essa autoridade garante de proteção de dados pessoais seja aparelhada com poderes para ela poder fazer uma aplicação e fiscalização eficiente e eficaz dessa legislação. E, quando a gente vai pensar em poderes sancionatórios, é essencial que esses poderes sancionatórios reflitam, correspondam à própria capacidade econômico-financeira dos atores regulados. Não foi por outro motivo que o regulamento europeu previu que as autoridades podem multar os atores regulados em até 4% do faturamento global de um grupo econômico. Mas não só de poderes sancionatórios; também de poderes que possam premiar, estimular, promover bons comportamentos, como é o caso, por exemplo, de uma autoridade garante poder validar códigos de boas condutas, que vão servir até como mecanismos para fins de transferência internacional.
R
Acho, Senador, que esses seis pontos são as seis vértebras de uma espinha dorsal de uma boa lei geral de proteção de dados pessoais. E é isso que vai garantir ao Brasil um padrão interoperável, dialogável com os estandartes globais.
E por que isso é importante? E aqui já falo mais não só como acadêmico, mas como quem fez parte do Departamento de Proteção de Dados Pessoais do Conselho europeu, em que uma das minhas atividades era analisar as legislações de outros países que queriam ser signatários da Convenção de proteção de dados pessoais do Conselho da Europa. É sob esse tipo de crivo que o Brasil vai passar no futuro - eu diria até, talvez, mais rígido, porque, se a gente almeja um dia entrar como país-membro da Organização para Cooperação e Desenvolvimento Econômico (OCDE) e se quer ser considerado como um país de nível adequado de proteção de dados pessoais, essa espinha dorsal tem que ser afixada.
E aí acho que a gente vai conseguir se valer do atraso regulatório; a gente vai conseguir extrair coisas positivas desse atraso regulatório, para fixar essa espinha dorsal e gastar energia em outros debates, que vão dar avanço não só para uma boa lei geral de proteção de dados pessoais, mas para uma ótima e moderna lei geral de proteção de dados pessoais.
O convite que faço é: vamos gastar energia e esforços em pensar como sistematizar um capítulo para relatórios de impacto à privacidade, um instrumento supermoderno e que está presente em várias leis de proteção de dados pessoais. Apesar de todos os projetos de lei fazerem referência a esse instrumento de regulação, nenhum deles ainda sistematiza de modo apropriado.
Por que não também fazer o mesmo com outros instrumentos de regulação, como códigos de boas condutas, ou fazer uma definição clara do que seja perfil comportamental, que é um elemento essencial para a aplicação dessa legislação, e assim por diante?
Mas, obviamente, acho que a gente não pode demorar muito para fazer isso acontecer, para ter esse avanço. Isso, porque hoje a gente está vendo, em vários meios de escândalos de privacidade, que há um coro de todos os setores sobre esse tipo de regulação, não só de ativistas, acadêmicos, governos, mas também do próprio setor privado.
A gente tem visto declarações de CEO, como, por exemplo, da Apple, dizendo que é preciso uma regulação realmente equilibrada, inclusive no âmbito dos Estados Unidos; declarações como, por exemplo, as de Mark Zuckerberg, dizendo que a regulamentação europeia, que é considerada uma das mais protetivas, pode gerar externalidades e impacto positivo na própria economia.
E aí, então, acho que a gente vai conseguir eventualmente ser protagonista nesse debate como um todo, porque a gente vai poder dar um passo em que a gente não vai só olhar para essa espinha dorsal, mas para os outros membros desse corpo legislativo regulatório de proteção de dados pessoais; e, sobretudo, colocando, de maneira convergente, de forma equilibrada, a proteção do titular como indivíduo e a proteção de dados pessoais e a privacidade como um direito humano fundamental - e, sobretudo, de maneira equilibrada, pensando para fins de inovação, pensando para fins de fomento de uma economia cada vez mais dependente da coleta, processamento e compartilhamento desses dados.
Acho que é basicamente isso. Acho que a gente precisa pensar qual é essa espinha dorsal, consensuar a respeito desses seis pontos, dessas seis vértebras de uma boa lei geral de proteção de dados pessoais, para já poder avançar no debate desses outros membros desse corpo regulatório que vai nos propiciar uma lei de proteção de dados pessoais não só boa, mas ótima e moderna.
Obrigado.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Muito obrigado a V. Sª, Bruno Bioni, pelas contribuições.
Passo a palavra ao Sr. Márcio Cots, advogado e especialista, para a sua manifestação.
R
O SR. MÁRCIO COTS - Boa tarde.
Muito obrigado pelo convite, Senador.
Hoje estou aqui na condição de advogado especialista em negócios digitais, também representando a ABINC (Associação Brasileira de Internet das Coisas) e a ABComm (Associação Brasileira de Comércio Eletrônico), onde a gente vem desenvolvendo um trabalho muito forte para entender quais são os impactos que esse projeto de lei - ou essa futura lei - pode vir a trazer na economia digital brasileira.
Existem vários posicionamentos em favor da proteção à privacidade, o que não se discute como um direito fundamental e algo que, de fato, o Estado Brasileiro deve se ater e, com uma maior responsabilidade, regulamentar. Temos aqui até exemplos tragicômicos de situações em que pessoas se veem em situações em que sua privacidade é violada. Mas também seria um pouco infantil acharmos que qualquer tipo de restrição e limitação à livre iniciativa não seja algo que vá impactar o desenvolvimento dessa economia digital.
O desenvolvimento da economia digital, do ponto de vista econômico, é quase que autoexplicativo. Agora, a gente tem que entender também o impacto que essa limitação pode trazer do ponto de vista também político internacional.
Se formos pensar na filosofia do soft power, o que em português poderia ser nominado como poder brando ou poder de convencimento - que é uma expressão usada na teoria das relações internacionais -, basicamente é a influência que qualquer órgão político tem sobre outro Estado dentro daquilo que ele pode influenciar do ponto de vista cultural ou econômico, e sem a utilização daquilo que seria o uso da força na influência desses órgãos políticos que venham a ser influenciados.
Essa expressão foi usada inicialmente pelo Prof. Joseph Nye, de Harvard. Ele desenvolveu toda essa teoria do soft power em um livro que, em português, nós poderíamos intitular de Soft Power, os meios para o sucesso na política mundial. Há uma citação, para a qual eu abro aspas, em que ele diz:
O conceito básico de poder é a capacidade de influenciar os outros para que façam o que você quer. Basicamente, há três maneiras de se fazer isso: uma delas é ameaçá-los com porretes; a segunda é recompensá-los com cenouras; e a terceira é atrai-los ou cooptá-los para que queiram o mesmo que você. Se você conseguir atrair os outros, de modo que queiram o que você quer, vai ter que gastar muito menos com cenouras ou porretes.
Grosso modo, é o que a gente vem vivendo há anos, em que o Estado norte-americano, um Estado inovador, um Estado que busca o empreendedorismo, acaba influenciando, diante desse soft power, grande parte das outras nações. E é óbvio que nós esperamos a mesma coisa para com o Estado brasileiro. Nós temos que nos preocupar porque qualquer tipo de limitação à livre iniciativa também é uma limitação, quando a gente fala de uso de dados, a pesquisas na medicina, a estudos geográficos, a inovação quanto a locomoção e logística.
A inovação é fundamental e também é algo previsto na própria Constituição Federal. Se fizermos um raciocínio jurídico dos dispositivos legais que encontramos hoje em dia no arcabouço jurídico brasileiro, nós teríamos que citar, inicialmente, a questão da livre iniciativa.
R
A livre iniciativa é fundamento da República Federativa do Brasil, prevista no art. 1º da Constituição Federal. O mercado interno, que também seria impactado com uma lei de proteção de dados, também é patrimônio nacional, previsto no art. 219 da Constituição Federal. E há também um comando constitucional em que o Estado, por meio dos seus três Poderes, tem a obrigação de promover a inovação, algo que está previsto no art. 218 da Constituição Federal: "Art. 218. O Estado promoverá e incentivará o desenvolvimento científico, a pesquisa, a capacitação científica e tecnológica e a inovação."
Não é diferente quando o Marco Civil da Internet também trata do tema, no seu art. 4º, principalmente no inciso III, que diz que a disciplina do uso da internet no Brasil tem por objetivo a promoção da inovação e do fomento à ampla difusão das novas tecnologias e modelos de uso e acesso à internet.
Portanto, existe também um comando por parte da Constituição Federal para que venhamos a nos preocupar quanto à inovação. E, mais uma vez, eu digo que seria infantil imaginarmos que qualquer tipo de limitação quanto ao uso de dados não vai impactar esta economia digital, que se mostra cada vez mais importante dentro do cenário mundial. O desenvolvimento à livre iniciativa visa aumentar e qualificar o mercado interno e promover a inovação - que é interesse do Estado, como acabamos de ver.
Portanto, eu vou me ater, a partir de agora, a um único tema do projeto de lei, a um único ponto específico, que é a questão do legítimo interesse.
Em suma, o legítimo interesse é a possibilidade jurídica de tratamento de dados pessoais sem o consentimento imediato ou prévio do titular. Grosso modo, nós teríamos uma dificuldade quanto à inovação se a todo e qualquer momento as empresas precisassem pedir autorização quanto ao uso dos dados, razão pela qual existe, no projeto de lei, um dispositivo pelo qual as empresas poderiam utilizar os dados sem prévia autorização desde que fosse por um legítimo interesse.
Ao prever o legítimo interesse, o projeto de lei se aproximou da própria GDPR, que é a legislação europeia, que também prevê a possibilidade do legítimo interesse. O único ponto que achamos aqui interessante é, de repente, tratarmos um pouco melhor essa questão do legítimo interesse, porque, se ficar num campo muito subjetivo, teremos várias interpretações e traremos aí uma insegurança jurídica para todos os que vão ser impactados com essa legislação. E sabemos que os empresários são extremamente sensíveis quanto ao ponto de colocar algum tipo de investimento sem saberem exatamente qual é a regulamentação do negócio em que vão começar a atuar.
Portanto, o legítimo interesse foi criado em um ecossistema no qual permanecem vigentes os direitos e as liberdades fundamentais dos titulares. Ou seja, não se trata de um cheque em branco, mas da possibilidade de um incremento, de uma inovação que seja benéfica ao mercado e aos usuários. Não se deve a qualquer cópia e não se trata de qualquer cópia de uma legislação estrangeira sem considerar o cenário econômico nacional e a maturidade do mercado brasileiro. Por essa razão, o legítimo interesse deve ser regulado, prevendo-se, ainda, que o mesmo se dê por interesse meramente econômico, pois a livre iniciativa e a inovação que germinem no mercado nacional devem também ser preservadas desde que não infrinjam qualquer direito e garantia fundamental dos seus usuários.
R
Nós fizemos uma sugestão aqui do que acreditamos que poderia ser a melhor redação para regulamentar esse legítimo interesse. Ele está previsto no art. 12 do projeto de lei. O art. 12 prevê que o tratamento de dados pessoais somente pode ser realizado nas seguintes hipóteses... No seu inciso VIII, ele diz: "VIII - quando necessário para atender aos interesses legítimos [aqui o projeto trata como interesse legítimo, os projetos da Câmara tratam como legítimo interesse, mas estamos falando da mesma coisa] do responsável pelo tratamento ou do terceiro a quem os dados sejam comunicados, desde que não prevaleçam sobre os interesses ou os direitos e liberdades fundamentais [...]."
Portanto, a sugestão é que se coloque também que, em havendo um interesse meramente econômico, mas que também não infrinja os direitos e garantias fundamentais, passe a fazer parte da redação para que deixe mais claro que um interesse econômico também é interesse do Estado quando a gente fala de inovação. Mas não vai aqui, em hipótese alguma, qualquer tipo de restrição a direitos e garantias fundamentais dos usuários.
Há também uma redação que nós colocamos aqui, em que estamos propondo cinco parágrafos a esse artigo e em que deixaremos mais claro o que vem a ser esse interesse legítimo no uso dos dados sem autorização. "§1º O interesse legítimo do responsável ou terceiro somente poderá fundamentar um tratamento de dados pessoais quando necessário e baseado em uma situação concreta e desde que observem os direitos básicos do titular, estabelecidos no art. 6º deste projeto de lei [onde estão as garantias fundamentais dos usuários]." Portanto, aqui neste parágrafo, já trataríamos de uma certa regulamentação desse interesse legítimo, dizendo que nós precisamos de um fato concreto para que isso venha a ser analisado como algo legítimo ou não para ser utilizado em uma possível inovação.
"§2º A autoridade administrativa poderá estabelecer obrigações acessórias ao responsável ou terceiros no tratamento realizado por legítimo interesse relativas ao atendimento do titular, levando-se em conta aspectos objetivos, como poder econômico, quantidade e qualidade dos dados armazenados, abrangência dos serviços prestados, entre outros." Neste parágrafo, nós estamos dando a possibilidade de o órgão fiscalizador pedir qualquer tipo de fiscalização para verificar se esse legítimo interesse, de fato, é algo concreto e se porventura isso vai, de fato, impactar qualquer tipo de garantia fundamental dos usuários.
"§3º [É a proposta que estamos apresentando aqui.] Quando o tratamento for baseado no legítimo interesse do responsável ou de terceiros, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados." Portanto, quando do uso desse direito do legítimo interesse, nós vamos ter a preocupação de que os dados vão ser utilizados, única e exclusivamente, para aquela finalidade de inovação e que não podem ser utilizados para outras finalidades que não essas previstas em lei.
"§4º O órgão competente poderá solicitar ao responsável ou terceiro relatório de impacto à privacidade quando o tratamento tiver como fundamento o legítimo interesse." Ou seja, seria um dispositivo legal em que o órgão fiscalizador poderá pedir um plano de impacto que esses dados poderão ter para os usuários. Grosso modo, se eu for inovar numa nova tecnologia, numa nova solução, num novo modelo de negócio, eu teria que preparar um plano de impacto e apresentar a esse órgão, quando solicitado, para que eu consiga comprovar e verificar que, de fato, estou seguindo todas as disposições legais e não estou infringindo nenhum direito e garantia fundamental dos usuários.
R
Por último, em hipótese alguma será admitido o tratamento de dados mediante o legítimo interesse em detrimento do seu próprio titular. É dizer mais do mesmo, mas também é para deixar claro que o legítimo interesse não é um cheque em branco, em que as empresas poderão fazer o que bem entenderem. Senão, nós estaremos justamente voltando ao estado em que nos encontramos hoje em dia da ausência de uma regulamentação.
Em pouquíssimas palavras, é dar a possibilidade ao mercado de inovar, porque pedir a autorização prévia a todo momento certamente vai inviabilizar vários projetos de inovação. Falo de uma experiência que nós temos no escritório em que atuo, onde vários projetos foram inviabilizados diante de uma impossibilidade se porventura o projeto fosse aprovado sem nenhuma possibilidade de uso dos dados e sem a presença desse legítimo interesse.
O legítimo interesse, de certa forma, é propenso, facilita a inovação e é favorável à própria sociedade como um todo. Ele deve ser preservado. Acredito que deve ser mais bem regulamentado e ter uma maior clareza, digamos assim, quanto ao que venha a ser esse legítimo interesse, mas é algo que, tirando o trocadilho, é de interesse da sociedade como um todo e não só do meio empresarial e da economia digital.
Essa era a minha contribuição, o que trago aqui à Mesa hoje. Obviamente, cabe um debate um pouco maior sobre essa questão do legítimo interesse. Como eu disse no início da minha fala, existem vários posicionamentos pró-privacidade e proteção de dados, mas realmente precisamos nos preocupar, de um ponto de vista mais pragmático e não só conceitual, com o que, de fato, isso pode impactar nessa economia digital, que já é uma realidade. E, se pararmos para pensar, se porventura essa lei fosse aprovada sem o legítimo interesse, no que isso poderia representar no não uso de vários aplicativos e soluções tecnológicas. Talvez muitos dos senhores não gostariam de não estar utilizando determinados aplicativos que hoje resolvem grandes problemas do dia a dia no convívio em sociedade, nesta sociedade mais moderna.
Agradeço, mais uma vez, o convite e me coloco à disposição.
Obrigado.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Dr. Márcio, nós que agradecemos e gostaríamos de solicitar que V. Sª pudesse formalizar essas contribuições e essas sugestões que V. Sª trouxe para o debate para que nós pudéssemos considerar.
Passo a palavra ao Sr. Mario Viola de Azevedo Cunha, consultor e especialista em privacidade e proteção de dados pessoais.
A palavra é de V. Sª.
O SR. MARIO VIOLA DE AZEVEDO CUNHA - Exmo Sr. Senador Ricardo Ferraço, a quem agradeço o honroso convite de estar nesta Casa, uma das Casas de liderança dos Poderes do nosso País, em nome de quem também cumprimento os demais integrantes da Mesa e todos os presentes.
Hoje eu tenho uma tarefa triplamente complicada. Eu tenho o dever e o ônus de tentar manter a atenção de todos vocês depois de tantos brilhantes palestrantes. Eu acho que consegui trazer um pouco a atenção de vocês mudando de local. Enfim, passei para o outro lado da sala. Tenho também uma segunda tarefa igualmente difícil, que é manter o nível dos debates que foram conduzidos até agora. E acho que talvez a mais difícil de todas é falar alguma coisa diferente do que já foi dito. Tantos palestrantes, tantos especialistas, todos falando da necessidade, da premência de a gente adotar uma lei geral de proteção de dados.
R
Então, eu vou tentar executar esta tarefa da forma mais simplista possível. Eu vou falar especificamente de quatro temas que se aplicam a todos os setores, numa forma bastante ampla. Eu vou tentar pontuar o que realmente eu acho importante neste debate. Esses quatro temas deverão, enfim, acredito, na minha modesta opinião, ser trazidos para discussão e influenciarão, sim, como o Brasil se posicionará neste debate da proteção de dados pessoais.
O primeiro dos pontos é justamente o porquê da adoção de uma lei geral de dados pessoais. Muito já se falou aqui, e eu vou fazer referência às falas que já foram apresentadas até o momento.
O segundo é justamente o equilíbrio entre livre circulação de dados e proteção de dados pessoais. Vou fazer aqui algumas referências ao tão falado Regulamento Europeu de Proteção aos Dados Pessoais, o GDPR, porque, na minha perspectiva, ele não é esse bicho de sete cabeças que as pessoas vêm pintando. Enfim, eu acho que ele pode ser, sim, um importante benchmarking, uma importante fonte de inspiração para o nosso debate. Vou falar também o porquê.
Vou falar também da necessidade de aplicação em todos os setores - público e privado, sociedade civil, academia. Enfim, vou mostrar o que já foi de alguma forma sublinhado nesta discussão. Então, vou falar da importância de termos uma lei que seja horizontal e que não tenha especificidades para cada setor. Mas isso não quer dizer que a lei não tenha de reconhecer que setores distintos têm algumas necessidades distintas.
Aqui, mais uma vez, eu vou fazer menção ao próprio regulamento europeu. Mesmo sendo considerado uma lei geral da maior complexidade, da maior restritividade, como dizem muitos, com esse grau de protetividade que virou o modelo global de proteção de dados, ele reconhece que existem especificidades de setores e que elas devem ser, sim, flexibilizadas e tratadas de maneira especial.
Então, para a gente contextualizar o cenário que já foi trazido até pelo Senador Valadares na sua fala de que a gente hoje cede dados, transfere dados, comunica dados, na verdade, hoje a gente nem sequer tem consciência de que os nossos dados estão sendo coletados.
Neste ambiente da internet das coisas, o fato de você simplesmente trazer de casa um pacote de batata frita do supermercado ou chegar até a sua casa, muitas vezes aquele pacote de batata frita tem um smart chip, ele sabe que você chegou até a casa, ele monitora seu hábito de consumo; ou simplesmente, se você consumir energia elétrica, muitos dos contadores de energia elétrica hoje têm remessa das informações sem que o próprio funcionário da empresa de eletricidade venha coletar.
Ao simplesmente dirigir o seu carro ou usar um relógio, desses relógios smart que medem função cardíaca, que medem número de passos ao dia, enfim, todos esses aparatos tecnológicos, até bonecas, brinquedos de criança, os famosos smart toys, extraem informações pessoais sem que a gente sequer tenha essa percepção de que os nossos dados estão sendo coletados de forma maciça.
E a gente tem um ponto ainda maior, que é um ponto específico da proteção de dados pessoais, que é o fato de ela ser internacional. E aí a importância do que o ilustre Senador Ferraço falou logo na introdução desta sessão sobre a gente ter, sim, que se valer ou ter de olhar para a melhor experiência internacional.
Eu aqui vou discordar em alguma pequena medida da fala do ilustre Senador Ferraço simplesmente na medida em que necessariamente, para termos inovação e proteção, a gente teria que fazer uma combinação de modelos distintos. Mas eu acho que isso é algo que a gente pode falar um pouquinho mais à frente.
R
A proteção de dados pessoais é transfronteiriça. Então, nós vemos o mundo interconectado. Os dados vão de uma parte a outra do mundo sem a gente se dar conta. Hoje mesmo a gente está divulgando dados pessoais na internet com a transmissão desta sessão temática. Eu sei que há colegas na Itália, no Instituto Europeu, que estão vendo a sessão e estão vendo os meus dados pessoais, a minha foto, como eu estou vestido, os outros colegas de Mesa. Enfim, nossos dados pessoais são transmitidos a torto e a direito, e a gente não tem um marco normativo que regule esses tratamentos. E é algo de que a gente efetivamente necessita.
Vou acelerar um pouco o passo para a gente poder respeitar a prorrogação que já foi concedida com os precedentes anteriores à minha fala.
Para vocês terem uma ideia de como esse debate da proteção de dados vem sendo travado, se a gente olhar esse mapa que eu coloquei ali, que é um mapa de dezembro de 2016, a gente tem mais de cem países no mundo que adotaram leis gerais de proteção de dados. Aí a gente vai dizer: da OCDE, quase todos os países adotaram; das grandes economias, das 20 maiores economias do mundo, a gente tem quase todos os países. A gente vai excluir os Estados Unidos, que têm leis setoriais, o Brasil, a China. A Rússia já tem uma lei geral de proteção de dados pessoais; o Japão tem uma lei geral de proteção de dados pessoais; o Canadá tem uma lei geral de proteção de dados. Todos os países da África estão agora adotando uma lei geral de proteção de dados, inclusive virando signatários e ratificando a Convenção 108 do Conselho da Europa, de 1981. Desde 1981 e até anteriormente, os europeus já discutiram essa questão da proteção de dados. O Brasil ainda está um pouco fora dessa discussão. A gente teve um primeiro debate em 2010, mas já se foram oito anos daquele primeiro debate e a gente ainda não conseguiu se mover.
Então, esta sessão temática, como o Bruno Bioni falou muito bem, é um marco nessa mudança de atitude do Brasil. A gente agora quer e todas as Casas Legislativas estão nesse esforço para buscar um modelo de proteção de dados que realmente coloque o Brasil na vanguarda desse debate.
Contextualizando finalmente essa parte internacional, dentro do nosso próprio continente, do nosso subcontinente, praticamente todos os nossos principais vizinhos adotaram leis gerais de proteção de dados. Há a Argentina, o Uruguai, o Paraguai, o Chile, a Colômbia. Enfim, dos grandes pesos da região, apenas o Brasil, mesmo dentro do Mercosul e sendo um dos antigos fundadores do Mercosul, não tem uma lei geral de proteção de dados. E todos esses países, em alguma medida, têm buscado inspiração no modelo europeu de proteção de dados, até porque é o modelo, como foi dito aqui na fala do ilustre embaixador, de lei geral, de lei única diferente do modelo americano, que é um modelo setorializado, mas não por isso menos protetivo, porque, em alguns setores, o sistema americano é muito protetivo, inclusive com possibilidade de sanções que vão além do que o próprio regulamento europeu pode pensar.
E a gente vê que essa influência do modelo europeu de proteção de dados chegou até aos Estados Unidos, que se viram em uma situação de realmente vir a discutir um acordo internacional, compreensivo, bilateral com a União Europeia, para justamente possibilitar essa livre circulação de dados pessoais, que são tão importantes para a inovação e o desenvolvimento econômico. Até os Estados Unidos se viram nessa situação de ter que discutir termos e assegurar maior grau de proteção. E o Brasil, apesar de transferir e compartilhar dados com outros países, não tem esse marco normativo.
E, para fechar com chave de ouro esse marco, esse contexto internacional, o Brasil, na esfera internacional, tem sentido uma postura de promoção da proteção da privacidade no ambiente virtual. E, juntamente com a Alemanha, foi um dos grandes patrocinadores de uma resolução do Conselho da Assembleia Geral das Nações Unidas para proteção da privacidade e também para a criação de um mandato de um relator especial sobre o tema.
R
Então, a gente, no cenário internacional, tem adotado essa postura e, no cenário nacional, a gente ainda está, enfim, um pouco defasados em relação ao que acontece no resto do mundo.
Pois bem. Então, os pontos já fora dessa discussão da necessidade de aprovação de uma lei, de se ter uma lei: a ideia do equilíbrio entre livre circulação e proteção de dados pessoais. O que a gente imagina com essa ideia? O Márcio disse na fala dele; o ilustre Relator do projeto na Comissão que está discutindo o tema falou também da necessidade de se promover a inovação, e, lógico, essa preocupação está em todas as discussões sobre proteção de dados no mundo, inclusive, tanto na diretiva anterior como no regulamento europeu, que entra em vigor no próximo mês.
O regulamento europeu fala exatamente isto: que ele se propõe, no preâmbulo do regulamento, na primeira frase, logo no início, no nome do regulamento, que é relativo à proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados e à livre circulação desses mesmos dados.
Então, a livre circulação é um dos valores que são protegidos. Isso não quer dizer que seja uma livre circulação sem qualquer tipo de controle. É justamente o ponto de equilíbrio. Eu acho que o próprio regulamento europeu, de alguma forma, busca essa linha de equilíbrio entre inovação e proteção de direitos fundamentais. Tanto que, mais adiante, ele volta novamente a falar disso, no Considerando o nº 6:
"As novas tecnologias transformarão a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoas na União e a sua transferência para países terceiros e organizações internacionais[...]".
Então, o próprio regulamento europeu, mais uma vez, traz essa necessidade de achar um ponto de equilíbrio entre proteção da privacidade, proteção de direitos fundamentais, mas, de alguma forma, você também mantém um ambiente de circulação de informações, que é tão importante nessa economia da informação em que a informação pessoal virou a grande moeda de troca, a grande matéria-prima, hoje já substituindo um pouco petróleo e gás nessa nova sociedade em que vivemos.
Pois bem. O terceiro ponto, para a gente chegar ao final, ligado também ao quarto ponto, é a necessidade de ele cobrir todos os setores.
No Brasil, um dos pontos para se justificar uma lei geral de proteção de dados pessoais que também tenha impacto no setor público é justamente a vedação que o setor público - a tradicional ideia de privacidade - interfira indevidamente na vida privada.
Esses escândalos recentes de investigação de massa ou de monitoramento de massa na rede são só um exemplo da importância de você ter leis de proteção de dados que incluam o Poder Público. Mas eu acho que, no exemplo do Brasil, a questão da inovação acaba vindo também como um grande justificador para o Poder Público fazer parte de uma lei sobre o tema.
A gente tem um Plano de Dados Abertos nacional, que fomenta o uso de dados pessoais pelos distintos setores. Enfim, o próprio Decreto dos Dados Abertos fala: "...a promoção, o fomento e uso efetivo dos dados pessoais". Então, realmente tem uma política de governo, uma política de Estado no sentido de promover essa utilização. E a União Europeia, os Estados Unidos têm promovido esse uso de dados abertos.
Por outro lado, se você promove esse uso de dados, você tem que fazer com que esses dados tenham uma qualidade assegurada, que eles sejam confiáveis, que se tenha uma transparência para se poder controlar realmente a origem, a validade, a qualidade desses dados. Você também tem que ter segurança dessa informação. E nada disso será possível se você não ter normas jurídicas claras, que são normas inerentes às leis gerais de proteção de dados.
Então, a gente, para promover inovação, também precisa assegurar que o próprio Governo tenha os seus dados, as suas bases de dados... Aqui se falou - agora não me recordo qual dos colegas - dessa importância das parcerias público-privadas.
R
Imaginem o próprio governo, o INSS - vou usar alguns exemplos práticos... Existe a base de dados de óbitos. Imaginem se aquela base de dados não estiver sujeito às regras da proteção de dados e você não puder assegurar a qualidade. Como é que você vai ter certeza que determinada pessoa morreu? Que determinada pessoa faz jus a um benefício de pensão?
Ou, por exemplo, no setor de seguros, se você tem uma base de dados de automóveis, e aquela base de dados de automóveis, de motoristas não estão sujeitas ao regime de proteção de dados pessoais, como é que você vai confiar que aquele sujeito é proprietário do carro? Como é que você confiar que aquele sujeito recebe determinadas pontuações de multas? Guia num certo sentido?
Então, é importante que o governo também participe desse arcabouço normativo. Ele tem que ser um dos sujeitos submetidos a esse regime. Lógico, para a academia também; para a pesquisa científica. Não quer dizer que a pesquisa científica seja feita sem qualquer tipo de controle. É lógico que algumas especificidades, como eu vou falar na última parte da minha fala, têm essa importância.
Também, enfim, há a cooperação internacional em matéria penal. O Ministério Público, hoje, vem sofrendo muita dificuldade, enfrentando muita dificuldade, para ter acesso a informações de outras agências. Recentes leis adotadas na Alemanha e na Holanda estabeleceram como obrigação daquelas autoridades de inteligência que eles façam um acesso, uma avaliação prévia, do nível de proteção de dados das agências dos países com as quais eles querem transferir dados.
Então, ali, eles só vão poder transferir, cooperar, por exemplo, com a Polícia Federal brasileira ou com o Ministério Público Federal, em matéria de, por exemplo, lavagem de dinheiro ou matérias de cooperação de combate ao terrorismo, se eles avaliarem o Brasil com um nível adequado. Também para isso, o governo não só na área de dados abertos, mas na área própria de tratamento de dados, para fins de investigação criminal, de autoridade policial... Isso não quer dizer que as normas sejam iguais. Elas têm de ser tratadas com as suas especificidades, mas precisam, sim, serem endereçadas.
Pois bem. Vou chegar à última parte, para a gente depois discutir e passar aos próximos palestrantes. Enfim, como eu falei, há essa necessidade de você tratar dos distintos setores, mas também você tem de, sim, reconhecer especificidades de cada setor. E aí falo do setor público, privado, enfim, sociedade civil e academia.
O próprio diretor da Autoridade Europeia de Proteção de Dados, o Dr. Giovanni Buttarelli, num texto que ele publicou em 2016, falava justamente isto, que o objetivo do regulamento europeu é de consolidar a privacidade para o público em geral - enfim, uma tradução livre minha - e permitir que diferentes setores contribuam para novas normas e melhores práticas apropriadas às circunstâncias específicas.
Então, o grande guardião, dentro da União Europeia, da aplicação das normas de proteção de dados, ele mesmo, reconhece a necessidade de se estabelecer uma flexibilização para tratar as situações diferentes de forma diferente.
(Soa a campainha.)
O SR. MARIO VIOLA DE AZEVEDO CUNHA - A gente, aqui, não vai tratar banana como laranja. Então, a ideia é a de tratar laranja como laranja, e aqui ele adotou essa postura.
E, fechando já - são os dois últimos eslaides nesses 50 segundos a mais que me concederam -, o próprio regulamento europeu incentiva e reconhece essa necessidade de flexibilização ao incentivar a adoção de códigos de condutas em diversos setores, tendo em conta as características específicas desses distintos setores; ele reconhece, por exemplo, a possibilidade de tratamento de dados com essa ideia do legítimo interesse, falado pelo Márcio, para prevenção de fraude e controle da fraude por setores privados, enfim, a fraude empresarial, enfim, ele está reconhecendo essa flexibilização, que seria um tratamento de muita sensibilidade; ele também reconhece a possibilidade de que os Estados- membros da União Europeia tratem de forma diferenciada alguns setores. Que eles possam tratar ou possam derrogar algumas proibições, por exemplo, para o tratamento de dados sensíveis na área de direito laboral,...
R
(Soa a campainha.)
O SR. MARIO VIOLA DE AZEVEDO CUNHA - ...na área de seguros, de seguro-saúde, enfim. Então, a própria normativa europeia, que é considerada muito restritiva, muito protetiva, reconhece essa necessidade de flexibilização e de endereçar de maneira diferente os distintos setores.
Bom, agradeço.
Era o que eu tinha para falar hoje, e estou aberto ao debate sobre esses e outros temas relacionados à proteção de dados pessoais.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Muito obrigado, Dr. Mario Viola. Com certeza, as contribuições de V. Sª são muito importantes, e nós as estaremos incorporando ao nosso diálogo e a este debate.
Passo a palavra ao Sr. João Emílio Padovani Gonçalves, Gerente Executivo de Política Industrial da Confederação Nacional da Indústria. A palavra é de V. Sª.
O SR. JOÃO EMÍLIO PADOVANI GONÇALVES - Boa tarde, Senador Ricardo Ferraço. Agradeço pela oportunidade de falar em nome da CNI nesta importante sessão; agradeço também ao Presidente, Senador Eunício Oliveira, pelo convite à CNI para participar da sessão. Cumprimento demais Parlamentares, meus colegas da Mesa também, e o Senador Antonio Carlos Valadares, autor do Projeto 330 em questão.
O desenvolvimento de uma economia digital, baseada em dados, tem desafiado reguladores em todo o mundo. A CNI vem contribuindo para esse debate para a elaboração de uma lei de proteção de dados no Brasil que enfrenta um duplo desafio: além de balancear os interesses envolvidos, fazê-lo com agilidade, a fim de evitar que o gap de competitividade entre o País e alguns de seus principais competidores aumente, pois o desenvolvimento da economia baseada em dados será decisivo para a competitividade do Brasil e para o nosso desenvolvimento econômico e social.
Cito, a esse respeito, duas passagens curtas do relatório do Senador Ferraço, que são muito ilustrativas em relação a essa preocupação e à importância desse aspecto. O primeiro menciona:
não há dúvida quanto à importância do dado pessoal para o desenvolvimento econômico global. O progresso tecnológico, as novas relações de mercado e consumo, o redesenho da escala mundial de produção estão intimamente ligados ao tratamento de dados, inclusive pessoais.
Seguido de outro parágrafo igualmente fundamental que menciona: "O desafio (...) é precisamente equilibrar (...) os interesses sociais e os interesses econômicos, que de forma alguma podem se antagonizar. Pelo contrário, por definição, devem ser interesses absolutamente compatíveis e complementares entre si." (fecha aspas)
E entendemos que o são.
Desde os primeiros debates promovidos pelo Ministério da Justiça, que resultaram no anteprojeto de lei encaminhado ao Congresso, compreendemos o caráter transversal do tema, no sentido de que interessa a toda sociedade não só proteger o cidadão mas também e igualmente dar segurança jurídica para atuação das empresas e do próprio Estado, que é crescentemente um usuário de dados, além, inclusive, de ser uma forma de prestar melhores serviços à sociedade.
De lá para cá, promovemos diversos encontros entre os setores público e privado, com a presença de Parlamentares, representantes dos Poderes Executivo e Judiciário, além de especialistas brasileiros e internacionais.
No ano passado, realizamos o lançamento da versão brasileira da Publicação Em busca de soluções: Atributos de Autoridade de Proteção de Dados Eficazes.
R
Publicado originalmente em inglês, pela US Chamber of Commerce, nossa parceira nos Estados Unidos, o documento avalia práticas internacionais de autoridades de regulação de tratamento de dados e privacidade e identifica características capazes de garantir mais eficiência na atuação dessas instituições.
Ainda como demonstração da relevância do tema, a CNI inseriu o PLS 330, de 2013, na pauta mínima da agenda legislativa da CNI, no ano de 2017, documento que reúne cerca de dez a 15 projetos prioritários para o setor produtivo, em análise no Congresso Nacional. Essa agenda foi elaborada a partir do debate com as 27 federações de Estado e mais de 60 entidades setoriais.
Em 2018, o projeto foi novamente mantido na pauta mínima, demonstrando não só a importância, mas a transversalidade desse tema para todo o setor industrial.
Falei do histórico do envolvimento da CNI com o tema, para evidenciar também a maturidade desse processo legislativo. Até agora - e isso é um ponto muito importante, que deve ser ressaltado - não nos precipitamos e tampouco agimos motivados por impulsos externos.
É importante reconhecer, como já foi mencionado por alguns que me antecederam, que poucos países ainda não possuem uma legislação, mas isso também pode ser visto como uma grande oportunidade, para que a gente conheça as experiências dos outros países e possa incorporar as melhores práticas, já suficientemente testadas em alguns desses mercados.
A credibilidade das discussões tem permitido significativos avanços na compreensão do assunto pela sociedade. Além de termos compreendido que não se trata de um tema unicamente relacionado às redes sociais ou ao comércio eletrônico, compreendemos também que não se trata unicamente de uma relação de consumo, pois o titular de dados pessoais, antes de ser um consumidor, é um cidadão, que anseia por políticas públicas modernas, por melhores serviços públicos, pela eficiência administrativa e pelo respeito aos seus direitos individuais pelo Estado.
Portanto, parabenizo novamente o Senador Ricardo Ferraço por realizar esta sessão, um debate plural, envolvendo o Poder Executivo e representantes de diversos segmentos interessados no tema.
É fundamental a compreensão de que uma lei geral sobre proteção de dados deve incluir não só o cidadão e as empresas, mas também o Poder Público. E é igualmente fundamental que seja tratada em âmbito federal e não dispersa por Estados ou Municípios.
O avanço da digitalização tem o potencial de revolucionar o nosso cotidiano, oferecendo soluções para importantes desafios nacionais, em áreas como mobilidade urbana, com desenvolvimento de cidades inteligentes, na área de eficiência energética, com as redes elétricas inteligentes, com a implantação de novas tecnologias para o atendimento à saúde, que passam pelo desenvolvimento, por exemplo, de soluções de saúde a distância e o emprego da inteligência artificial e do big data, para diagnósticos precoces e mais precisos. E, obviamente, para a produtividade industrial, com o desenvolvimento da indústria 4.0.
O surgimento do que se convencionou chamar indústria 4.0 vem transformando a produção industrial com novos processos, produtos e modelos de negócios impensáveis há poucos anos. Esse fenômeno promete tornar os modelos convencionais de produção gradualmente ineficientes, e é exatamente por essa razão que a maioria dos países desenvolvidos e em desenvolvimento vem colocando essa agenda da indústria 4.0 no centro das suas políticas de desenvolvimento industrial, seja para preservar, seja para aumentar a sua competitividade.
A velocidade de disseminação das tecnologias habilitadoras dessa revolução certamente vai ser muito mais rápida do que ocorreu nas revoluções anteriores, e a capacidade de a indústria brasileira competir vai depender diretamente da capacidade de o Estado brasileiro acompanhar e dar velocidade para a incorporação dessas tecnologias. Isso acontecerá, obviamente, antes para alguns setores, mas certamente chegará para todos.
R
A competitividade do País, nesse contexto, passa, obrigatoriamente, por conectar toda a cadeia produtiva e de serviços, de smartphones a veículos, capazes de se comunicarem uns com os outros e gerar benefícios para a sociedade por meio do uso responsável de dados pessoais.
A utilidade dos dados pessoais é incontestável em diversas atividades, tanto no setor privado quanto no público, que se valem de informações pessoais para operar com maior eficiência. Essa utilização de dados pode tornar a atividade empresarial mais segura e previsível e, ao mesmo tempo, mais atrativa para os próprios consumidores, que terão acesso a melhores serviços e produtos, inclusive com melhores condições de crédito, em muitos casos decorrentes do tratamento responsável dos seus dados pessoais.
Para a indústria, os dados passam a ser encarados como insumos vitais para a tomada de decisão, num cenário em que a imensa quantidade de informação disponível permite que estejam conectados: a concepção de novos produtos, os testes com novos materiais, os protótipos, a própria arquitetura da fábrica, a organização da linha de produção e estoques.
Permite, também, a oferta de serviços combinada com a produção e a venda de bens, dando origem a novos modelos de negócios que, em muitos casos, serão decisivos para a competitividade e para a sobrevivência das empresas e, consequentemente, decisivos para a preservação de empregos e para o aumento da renda.
Para que as empresas brasileiras não fiquem isoladas e novos modelos de negócios baseados no uso responsável de dados consigam prosperar, a regulação deve atuar como indutora da inovação e da mudança tecnológica.
Aproximando-me da minha conclusão, Senador, no início da fala comentei sobre o duplo desafio que o Brasil tem de balancear os interesses envolvidos e de fazer isso com agilidade.
Reconhecemos que a reclusão à vida privada é um direito fundamental, uma vez que sem privacidade não há o pleno desenvolvimento da personalidade.
Ao mesmo tempo, defendemos o balanceamento de interesses constitucionais relevantes, por entender que o desequilíbrio pode levar a bloqueios indesejados do fluxo de informação, essencial para uma sociedade globalmente conectada em rede.
No momento em que o Brasil se esforça para se adaptar aos requisitos para acessão à OCDE, é fundamental que consigamos aprovar uma legislação sobre o tratamento de dados pessoais que promova o acesso aos dados e evite a criação de barreiras injustificadas à transferência de dados internacionais, como por exemplo, a discussão que envolve o modelo de adequação.
O ingresso na OCDE proporcionará ao Brasil uma posição estratégica no sistema internacional, sendo o único País a integrar simultaneamente a OCDE, o BRICS e o G20.
Nesse contexto, cabe à lei garantir bases gerais para as transferências internacionais de dados, de modo que não dependam de decisões da autoridade competente sobre a adequação dos regimes de outros países. É importante, portanto, que a legislação funcione como um elemento de integração, e não como um elemento de isolamento internacional.
Outro atributo chave dessas autoridades e de uma legislação sobre dados pessoais é sua razoabilidade. Afinal, há muito em jogo na fiscalização e no cumprimento dos direitos relativos à proteção de dados. O surgimento de tecnologias inovadoras pode ser sufocado, o comércio desencorajado e o bem-estar social reduzido pela aplicação ineficaz ou ineficiente que produz apenas benefícios escassos, se tanto.
Sanções que suspendam ou proíbam o tratamento de dados, ainda que por tempo determinado, podem acarretar o encerramento de atividades empresariais, prejudicando os próprios titulares de dados, além de representar um forte fator de desestímulo a investimentos à inovação e à prestação de serviços no Brasil.
R
As reformas em direção ao padrão da OCDE são objetivos que já perseguimos em várias áreas.
(Soa a campainha.)
O SR. JOÃO EMÍLIO PADOVANI GONÇALVES - É, essencialmente, uma pauta de interesse doméstico, voltada para o aumento da produtividade, da competitividade e da qualidade regulatória. Trata-se de uma excelente oportunidade de criar segurança e dar ritmo mais acelerado para as reformas necessárias à modernização institucional e ao desenvolvimento brasileiro.
Sem dúvida, a legislação resultante desse debate será fundamental para o sucesso e o desenvolvimento do Brasil.
Agradeço novamente a oportunidade e o parabenizo pela realização deste evento e pela condução desse projeto.
Muito obrigado.
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Muito obrigado ao Dr. João Emílio Padovani Gonçalves.
Passo a palavra ao nosso último convidado, o Dr. Luis Felipe Salin Monteiro, Secretário de Tecnologia da Informação e Comunicação do Ministério do Planejamento, Desenvolvimento e Gestão, que poderá, em nome do Governo Federal, fazer uma abordagem sobre as mais diversas controvérsias que foram estabelecidas, aqui, em relação a esse tema.
A palavra é de V. Sª.
O SR. LUIS FELIPE SALIN MONTEIRO - Muito obrigado.
Primeiro, queria cumprimentar o Senador Ricardo Ferraço pela iniciativa e pelo empenho em levar esse tema controverso, mas tão importante para que a gente consiga desenvolver a economia digital brasileira, que gera inúmeras oportunidades e a partir da qual o Governo também é parceiro para gerar melhores serviços, melhores condições para a população brasileira.
Cumprimento também os colegas do Poder Executivo Federal que aqui estão e os membros da Mesa, que foram brilhantes nas suas exposições.
Eu queria iniciar, comentando com os senhores qual é o papel do Ministério do Planejamento, especialmente da Secretaria de Tecnologia da Informação, da qual hoje estou Secretário, e quanto nos é caro esse tema.
O Ministério do Planejamento tem como uma das atribuições definir e normatizar as políticas de tecnologia da informação para os órgãos do Poder Executivo Federal. Nesse ínterim, é muito relevante perceber que o Poder Executivo Federal mantém, obviamente, registros da sua própria ação de entrega de políticas e serviços públicos, que são classificados como registros pessoais e que, portanto, devem ser protegidos da mesma forma.
A tecnologia traz diferentes oportunidades. Essas oportunidades foram extensamente aqui apresentadas na perspectiva do mercado, e eu gostaria de complementar essa discussão com as oportunidades que as tecnologias digitais apresentam para a eficiência do próprio Governo.
O Governo Federal mantém historicamente esses registros, mas, de certa forma, a partir das legislações atualmente em vigor, tem dificuldade em trabalhar o tema de cruzamento e interoperabilidade de dados para oferta do seu serviço e para maior eficiência.
É sabido de todos que a crise fiscal que se impõe ao Brasil e que demandou o teto do gasto que nós felizmente colocamos para os próximos anos faz com que o Governo brasileiro tenha que se reinventar, tenha que analisar formas, que são muito propiciadas pelo uso de tecnologia e pelo uso de dados, para se tornar mais eficiente, continuar promovendo seus serviços e por que não melhorando a qualidade dos serviços que oferece à população. Hoje, se analisarmos, exclusivamente, os gastos sociais do Governo brasileiro, veremos que 65% das despesas primárias estão destinadas exclusivamente a eles. Dessas despesas, uma grande parte está atrelada a programas que o Governo mantém, que são referenciados em informações autodeclaradas pelo cidadão brasileiro. Essas informações necessitam, obviamente, de serem analisadas a partir da concessão desses benefícios. Essa análise só é possível a partir de cruzamento de dados, dados classificados como dados pessoais.
R
O Governo Federal vem fazendo esse esforço constantemente. Ontem, estávamos, o Ministro do Planejamento e o Ministro do Desenvolvimento Social, em uma sessão justamente para apresentar alguns resultados recentes da análise de benefícios sociais a partir do cruzamento de dados. E é nesse contexto que eu gostaria de fazer uma exposição mais específica.
O Programa Bolsa Família, por exemplo, que foi ontem exposto pelo Ministro Beltrame, a partir da análise e cruzamento de dados, permitiu uma focalização e uma liberação de recursos, ou seja, uma redução de despesas em torno de R$2 bilhões entre 2016 e 2017. A projeção é de que esse cruzamento de dados - dados, ressalto, de registros administrativos mantidos pelo Governo - permitirá cancelar 5,2 milhões de benefícios que estavam sendo pagos para cidadãos que, em determinado momento, deixaram de atingir os requisitos de elegibilidade desse programa. E essa liberação de espaço permitiu que outros 4,8 milhões de famílias, de fato elegíveis, entrassem e fossem beneficiadas por essa política pública. Com isso, a fila de espera, por exemplo, do Bolsa Família foi zerada desde 2017, e hoje não há mais famílias que não tenham o benefício concedido.
Sobre um outro exemplo, Benefício de Prestação Continuada, que é concedido a idosos e portadores de deficiência em condição de carência financeira, nós identificamos 151 mil beneficiários com renda acima do critério de concessão. Essa economia potencial é de R$1 bilhão até o final de 2019. Além disso, 17 mil beneficiários tiveram o seu benefício cancelado por motivo simples de óbito; a partir do cruzamento com a base de dados que foi, inclusive, citada aqui, do cadastro de óbitos, foi possível identificar que essas pessoas deixaram de ter a condição de recebimento do benefício, com uma economia de mais de R$190 milhões.
Eu relato esses casos, são exemplos citados recentemente, noticiados hoje pela imprensa, porque o cruzamento de dados também é peça fundamental para a eficiência do próprio Governo.
R
O Governo reconhece por meio de legislações que já foram aqui citadas, como a Lei de Acesso à Informação, o Marco Civil da Internet, decretos lançados desde 2016, como o Decreto de Compartilhamento de Dados, 8.789, o Decreto da Política Nacional de Dados Abertos aqui citado, 8.777, o Decreto da Plataforma de Cidadania Digital e, recentemente, o Decreto que instituiu a Estratégia Brasileira de Transformação Digital, são todos regulamentos que já fazem parte do dia a dia do Governo, e todos contemplam, em diferentes medidas, a proteção de dados pessoais.
É importante que em uma lei geral, que se faz necessária, cuja motivação já foi extensamente aqui citada e com a qual a gente concorda, sejam equalizadas a eficiência e a inovação necessárias de mercado e a eficiência e inovação necessárias para o próprio Poder Público.
Faço destaque que o Poder Público não tem interesse, o Governo não tem por interesse análise de dados gerais, análise de dados que o cidadão produz na sua experiência como usuário dos canais digitais, como a internet. Mas é importante que a gente faça uma distinção de que parte desses dados são registros públicos: são dados que o cidadão apresenta ao próprio Governo, em troca, ou ao exercerem um direito, ou ao responderem a um dever que a legislação atual lhe imponha.
É importante que esses registros públicos sejam tratados de forma excepcional, e o excepcional é no sentido de que o próprio Governo tenha acesso a esses registros públicos para poder melhor focalizar as políticas. Nesses casos que eu citei, é notório que a população brasileira foi beneficiada. Além da redução de custos de determinados programas, outras famílias puderam ser inseridas nesse benefício a partir de um melhor cruzamento de dados.
(Soa a campainha.)
O SR. LUIS FELIPE SALIN MONTEIRO - Um outro aspecto que eu queria citar, para encerrar, é que não há nenhuma intenção do Governo brasileiro de se eximir das responsabilidades por eventual dano causado pelo próprio Governo ao manipular esses dados. Os agentes públicos são regidos por legislação específica e a manutenção do sigilo de dados é transferida para cada agente público que manipula determinado dado de característica pessoal.
O Governo tem ciência de que, se por determinada razão ocasionar dano a um determinado cidadão em função da manipulação desse dado, o Governo, então, deve ser responsabilizado e responder da mesma forma como o mercado privado e a sociedade fazem.
Então, eu faço esses destaques ao texto que foi muito bem conduzido pelo Senador. Apresento aqui, talvez, um complemento às informações já citadas, que é a necessidade de se tratar registros públicos e dados de propriedade do Governo ou de uso restrito do Governo como uma situação excepcional para melhor focalização e melhor entrega dos serviços à população brasileira e coloco o Poder Executivo e o Ministério do Planejamento à disposição para evolução desse debate.
Muito obrigado.
R
O SR. PRESIDENTE (Ricardo Ferraço. Bloco Social Democrata/PSDB - ES) - Nós é que agradecemos a V. Sª.
O nosso desejo era é que pudéssemos agora fazer um debate confrontando as mais diversas opiniões e manifestações, mas temos a obrigação regimental de encerrar esta sessão, porque às 14h terá início a sessão ordinária desta Casa.
Portanto, quero agradecer as riquíssimas e elevadas contribuições. Por certo. nós continuaremos conversando individualmente. O nosso planejamento é que, no máximo, em 15 dias, apresentaremos nosso parecer na Comissão de Assuntos Econômicos. Assim, em até 15 dias, estaremos dando domínio público a todas essas contribuições que recebemos aqui. Elas por certo serão acolhidas para que nós possamos evoluir nesse tema. Eu enfatizo que nós não estamos debatendo de forma derradeira esse tema em função dos últimos acontecimentos. Mas, desde 2013, nós estamos recebendo enormes contribuições. Chegou o momento de nós avançarmos, chegou o momento de nós decidirmos. Portanto, nós estaremos, no máximo, em até 15 dias, apresentando o nosso parecer, que será submetido à Comissão de Assuntos Econômicos e depois virá para o plenário desta Casa.
Agradeço muito a contribuição de cada um de V. Sªs.
Tendo considerada cumprida a finalidade desta sessão, mais uma vez agradecendo a todos, nós vamos dar por encerrada esta sessão.
Muito obrigado! Boa tarde a todos!
(Levanta-se a sessão às 13 horas e 42 minutos.)