Senado vota projeto que transforma Estado em caixa-preta de dados pessoais

Projeto de Lei deve ser votado na terça (08.05) no Senado Federal

O Senado Federal está a postos para votar o PLS nº 330/2013, que cria uma lei geral de dados pessoais (LGPD) no Brasil. Já não é sem tempo, tendo em vista que mais de cem países possuem uma lei sobre uma tema.

Vale até fazer a pergunta: o brasileiro não possui uma cultura de proteção de dados porque não temos uma legislação sobre o tema ou não temos uma legislação sobre o tema porque o brasileiro não possui uma cultura de proteção de dados?

O incidente de privacidade envolvendo a empresa Cambridge Analytica, somado a recentes casos de vazamento de dados pessoais por empresas e por governos, colocou o tema de vez sob os holofotes e parece que existe vontade em seguir adiante com a votação em Brasília.

O PLS nº 330 não é um estranho para esse blog. Em um texto passado nós alertávamos para o fato de que circulava entre os interessados uma minuta de parecer que excluía o Poder Público das proteções criadas pela Lei. De forma bem resumida, a LGPD iria pegar apenas a coleta, o armazenamento e o tratamento de dados pelas empresas, deixando de lado as mesmas atividades quando realizadas pelo Estado. Má ideia.

Então o que diz a versão do projeto que deve ir à votação no Senado Federal? Ela continua excluindo todo tratamento de dados pessoais pelo Estado? A boa notícia é que a redação que foi apresentada é diferente daquela que circulava entre os especialistas. O Estado está dentro, ma non troppo.

Enquanto existem prazos para que dados pessoais possam ser armazenados por empresas privadas, ou ainda a limitação de que os mesmos sejam preservados apenas enquanto cumprirem a finalidade que animou a sua coleta, órgãos e pessoas jurídicas de direito público poderão conservar dados pessoais para a eternidade, contanto que isso seja feito com finalidades históricas, estatísticas ou científicas.

O artigo 4º do PLS nº330/2013 afirma ao tratamento de dados pessoais são aplicados vários princípios, dentre os quais, a "(III) conservação dos dados e identificação dos seus titulares apenas pelo período necessário às finalidades do tratamento". O parágrafo único do mesmo artigo logo esclarece que: "Excetua-se do disposto no inciso III a conservação de dados por órgãos e pessoas jurídicas de direito público ou realizada para fins históricos, estatísticos e científicos."

O artigo 17 inaugura o capítulo dedicado ao tratamento de dados pessoais pelo setor público. Segundo a sua redação, "o tratamento de dados pessoais pelas pessoas jurídicas de direito público e deverá ser realizado para o atendimento de sua finalidade pública, na persecução de um interesse público, tendo por objetivo a execução de competências legais ou o cumprimento de atribuição legal pelo serviço público." Tem um typo ali no texto na parte do "e deverá". Talvez o legislador quisesse ter incluído mais algum sujeito na regra e depois voltou atrás.

Tudo certo até chegarmos no parágrafo segundo do mesmo artigo, que está assim redigido: "§ 2º O tratamento de dados pessoais pelas pessoas jurídicas de direito público deve levar em consideração os incisos I, II, IV, VI, VII, VIII, IX, X, XI e XII, do Art. 4º, e os incisos I, II, III, VIII, IX, X e XI, do art. 5º, desta lei."

Duas perguntas se impõem: primeiro, o que significa "levar em consideração"? Significa que esses incisos serão aplicados ou que bastaria ao Poder Público observá-los na medida do possível, não sendo responsável pelo eventual descumprimento? A preocupação aqui é que se crie uma desculpa para a não observância desses verdadeiros direitos dos titulares de dados pessoais. "Levar em consideração" parece uma versão mais tênue do que a escolha pela aplicação dos direitos.

Um exemplo: imagine que existiu um vazamento em um banco de dados administrado pelo Estado. Poderia o Poder Público evitar a responsabilização mostrando que criou rotinas de proteção de dados (que ao final se mostraram falhas)? A criação de rotinas e procedimentos parece já cumprir o requisito de se "levar em consideração". Ele só não se compromete com o resultado.

Em segundo lugar, o dispositivo comentado deixa de fora direitos fundamentais para o titular dos dados pessoais. São justamente os incisos que não foram incluídos na redação do parágrafo segundo que chamam mais a atenção. Eles não são meros acessórios.

Da forma como está redigido, o PLS nº 330/2013 retira de cada cidadão direitos relevantes sobre os nossos dados quando tratados pelo Poder Público. São eles: a conservação de dados e a sua identificação apenas enquanto cumprir a finalidade de sua coleta (art. 4º, III); a transparência no tratamento de dados (art. 4º, V); o consentimento (art. 5º, IV); a oposição ao tratamento (art. 5º, VII); e o direito de conhecer os principais elementos e critérios considerados para a tomada de decisão automatizadas a partir de seus dados pessoais (art. 5º, V).

Sobre esse último assunto, você conhece o caso do governo da Polônia, que classificava os seus desempregados de forma automatizada para decidir estratégias de recolocação no mercado? Não demorou para que pessoas que se sentiam discriminadas pelas decisões automatizadas começassem a se perguntar sobre os critérios de classificação. Com o projeto atual o governo brasileiro estaria livre de dar explicações caso um dia esse procedimento fosse adotado por aqui.

Dessa forma, apesar de seus avanços, o PLS nº 330/2013 ainda confere ao Poder Público um regime não apenas desequilibrado com relação ao que procura impor às empresas, como também falha ao proteger o cidadão quando concede ao Estado diversas exceções para tratar dados pessoais sem qualquer trava em nome da transparência, da finalidade e da proporcionalidade.

O Senado Federal ainda pode ajustar a redação do PLS nº 330/2013 para evitar essa situação. Não queremos que o Estado se torne uma caixa-preta na qual dados dos cidadãos são coletados, armazenados e tratados sem os devidos controles.

Update: na reunião de 08.05, após a leitura do relatório, houve pedido de vista coletiva. Os senadores José Serra, Airton Sandoval e Lídice da Mata argumentaram que seria necessário um prazo adicional para avaliar o novo parecer apresentado pelo Senador Ricardo Ferraço. Todos concordaram com o prazo adicional de 15 dias. A discussão do PL330 volta então no dia 22.05, como primeiro item da pauta da Comissão de Assuntos Econômicos.