Por Rafael A. F. Zanatta.
A aprovação da Lei de Dados Pessoais foi uma das maiores vitórias da sociedade brasileira nesse conturbado ano de 2018. No entanto, como resumiu Ronaldo Lemos, na Folha de S.Paulo, “a Lei de Dados Pessoais já nasceu desgovernada”.
A proposta original, construída com esforço coletivo de acadêmicos, ativistas, empreendedores e parlamentares, foi bruscamente impactada pela remoção de um dos pontos centrais da legislação: a criação de uma autoridade independente capaz defender os direitos dos cidadãos perante violações cometidas por empresas privadas e pelo próprio poder público.
Há motivos de sobra para desconfiar de empresas de tecnologia e do Estado. Somente nos últimos seis meses, fomos surpreendidos por casos extremamente graves de utilização antiética de nossas informações pessoais. Além do famosíssimo escândalo Facebook/Cambridge Analytica – que resultou no uso indevido de dados de 87 milhões de usuários da rede social e em técnicas avançadas de manipulação política –, dois casos envolvendo empresas públicas ganharam notoriedade.
Primeiro, a denúncia do Ministério Público do Distrito Federal de que o Serviço Federal de Processamento de Dados (Serpro) operava um negócio milionário de venda de dados pessoais de brasileiros, avalizado pelo próprio Ministério da Fazenda. Segundo, a tentativa do governo do Estado de São Paulo de vender serviço de autenticação de dados biométricos para lojas e bancos por meio de uma empresa pública que não teria essa função, a Imprensa Oficial do Estado de São Paulo (Imesp).
Além desses dois casos, há omissões por parte do poder público em seus contratos de concessão de serviços essenciais, como o transporte. É paradigmático o caso da Via Quatro, concessionária da linha amarela do metrô de São Paulo, que instalou “portas interativas” que coletam as emoções das pessoas diante de anúncios publicitários, em uma espécie de pesquisa de opinião forçada, a partir da leitura de vetores que calculam a distância de pontos e elementos que compõem o rosto de uma pessoa, bem ao estilo Black Mirror.
É evidente que, nesse assustador cenário de desproteção, novos direitos não bastam. É preciso uma estrutura institucional que coloque esses direitos em prática. Como dizem os juristas, é preciso um “arranjo regulatório” com capacidade de aplicação dessa lei.
As tensões sobre a autoridade: como torná-la autônoma?
Voltamos aqui ao problema da Autoridade Nacional de Proteção de Dados Pessoais (ANDP), vetada por Michel Temer.
Desde a sanção da Lei de Dados Pessoais no dia 14 de agosto, o governo tem prometido criar uma autoridade por meio de uma Medida Provisória. Nos últimos dias, no entanto, começaram debates sobre a possível vinculação direta dessa autoridade ao Ministério da Justiça ou ao Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC).
Apesar de parecer algo pouco relevante, esse detalhe de como a ANDP estará vinculada ao Estado importa substancialmente para a proteção de direitos.
As entidades civis defendem um modelo em que a autoridade integraria a administração pública federal indireta. Isso significa que o Ministério da Justiça seria apenas um “órgão supervisor” e não haveria subordinação hierárquica. No jargão do direito administrativo, a ANDP seria um autarquia em regime especial.
Na prática, para que isso aconteça, a Medida Provisória a ser criada por Temer deveria conter três pilares: (i) definir a autonomia administrativa da ANDP na própria norma (como é o caso da Lei que criou a Anatel e a Lei que reformulou o CADE), (ii) deixar clara a ausência de subordinação ao Ministério supervisor, e (iii) garantir a autonomia financeira da Autoridade, com recursos específicos e impossibilidade de gerar caixa para outras atividades estatais.
O contrário disso seria um pesadelo aos brasileiros. Uma das ideias cogitadas pela Casa Civil é que a ANDP seja uma secretaria do governo federal (algo como a Secretaria Nacional do Consumidor, que sofreu graves interferências do governo nos últimos dois anos) sem independência orçamentária. Nesse modelo de subordinação, os recursos obtidos pela aplicação de multas seriam destinados ao Tesouro Nacional, o que retroalimentaria um sistema perverso de “contingenciamento” e geração de caixa para o governo para outros fins.
A proposta de um “modelo Senacon” é absurda, considerando os protestos, dos próprios Procons e membros do Sistema Nacional de Defesa do Consumidor contra a constante fragilização do órgão pelo Ministério da Justiça. Sophia Vial, em carta aberta de abril de 2018, defendeu que “o que precisamos como defesa do consumidor, no que diz respeito em especial ao órgão de coordenação, é autonomia financeira e política”.
Um trabalho de conscientização
Uma pergunta que se coloca é: sem uma Autoridade Nacional de Dados Pessoais independente, quais seriam os incentivos para o próprio governo monitorar suas práticas de uso (ético e justo) de dados pessoais?
Danilo Doneda, em entrevista ao Jornal Nacional, foi bastante incisivo ao ser provocado sobre essa questão. Colocar o próprio governo nessa função – ou mesmo um “órgão de inteligência”, como já se cogitou no governo Temer –, afirmou Doneda, seria “algo muito parecido a formar um exército de raposas para cuidar de um galinheiro”.
É preciso disseminar essa ideia entre os cidadãos e seus representantes no Congresso. A Lei de Dados Pessoais é um tremendo avanço para todos, mas sem uma Autoridade Nacional de Proteção de Dados Pessoais independente e autônoma, tudo pode ir por água abaixo. De nada adiantaria uma lei avançada com uma autoridade capenga, submetida a conchavos políticos e refém de negociações orçamentárias.
A criação dessa Autoridade por Medida Provisória é assunto importantíssimo e pode impactar a vida de todos nós no futuro.
É crucial uma persistente mobilização civil para defesa de uma Autoridade fundada em cinco bases: (i) autonomia administrativa(autarquia em regime especial sem subordinação hierárquica ao governo), (ii) autonomia financeira (dotação orçamentária prevista no orçamento geral da União e impossibilidade de que recursos de multas sejam destinadas a uma conta única do Tesouro Nacional), (iii) autonomia política (indicação de membros do conselho diretor por capacidade técnica, mandatos estáveis e formação de quadros técnicos), (iv) participação social (criação do Conselho Nacional de Proteção de Dados Pessoais em formato multissetorial e participação de membros da sociedade civil, academia e empresas) e (v) transparência (publicação de relatórios de gestão, detalhamento de receitas e despesas, e mecanismos de controle social de gestão orçamentária).
Essa é a chance de “regovernarmos” a legislação que definirá os padrões legais e éticos de como nossos dados serão explorados e como nossos direitos serão defendidos.