O ambiente transnacional da internet, nesse universo digital cria o tempo todo novas figuras na produção e tratamento de dados, logo fica estabelecido um gigantesco desafio regulatório na uniformização das transmissões internacionais de dados, uma tarefa complexa na medida em que os países avançam na regulamentação ao tratamento de dados das pessoas.
Em 2020 a transferência de dados entre a UE e os Estados Unidos foi suspensa, quando o Tribunal de Justiça da UE anulou o acordo anterior, considerando que Washington não garantia a privacidade dos dados dos cidadãos europeus.
Agora no fim de março a União Europeia e os Estados Unidos chegaram a um acordo para poder transferir dados pessoais entre os dois blocos, o que para muitos representou um acordo sem precedentes sobre a proteção da privacidade de dados e a segurança dos cidadãos.
O acordo vai permitir o fluxo de dados entre a UE e os EUA de forma previsível e confiável, equilibrando a segurança, os direitos de privacidade e a proteção de dados.
Para o presidente, o fato de a UE permitir novamente a transferência de dados pessoais entre empresas de ambos os lados do Atlântico terá um impacto de US$7.1 trilhões, isso apenas para dar números e relevância ao acordo anunciado em Bruxelas.
Os EUA e a UE já vinham negociando um novo acordo há dois anos desde que o sistema de justiça europeu suspendeu o anterior, após a denúncia que o advogado austríaco Max Schrems apresentou contra o Facebook (agora Meta), alegando que as leis dos EUA não ofereciam a mesma proteção que o Regulamento Geral de Proteção de Dados da UE.
Ainda no primeiro trimestre de 2021 o Grupo de Zuckerberg, em seu relatório já havia ameaçado de deixar o mercado da UE se ambos os blocos não chegassem a um acordo para permitir a transferência de dados novamente.
O presidente dos EUA equiparou o acordo àqueles que Washington e Bruxelas já chegaram para acabar com a disputa entre a Boeing e a Airbus e a eliminação das tarifas sobre o metal e o aço, o que pode dar a dimensão da economia baseada nos dados.
A mobilidade informacional e transnacional da nova economia dá os números e a importância a esses e os demais acordos que ainda precisam ser celebrados, no que se refere ao tratamento de dados das pessoas.
Ao mesmo tempo indica o horizonte que precisa ser trilhado pelos países e o proveito no compartilhamento cada dia mais comum dos dados< Só para exemplificar imagine o compartilhamento online da movimentação de pessoas pelo mundo com base nos registros de trânsito no seu passaporte, dados que podem ser compartilhados pelas autoridades públicas de controle.
Imagine para efeitos fiscais o controle de trânsito compartilhado pelo registro dos passaportes?
Imagine o registro para efeitos de saúde pública da detecção de doenças e do trânsito dessas pessoas, com o compartilhamento, observando é claro a natureza sensível desses dados e o uso da anonimização para apuração estatística.
A Administração Pública, por força do Princípio Constitucional da Legalidade, segue estando vinculada as normas de conteúdo regulatório, logo o uso dos seus dados é restrito a essa finalidade, que ainda que possa parecer muito amplo e vago, opera sobre a característica de ato administrativo de natureza vinculada, e como tal deixa muito pouco espaço para o poder discricionário do intérprete, sob o risco de o uso, por parte do servidor, de uma interpretação alargada desse dispositivo, ser conduta prevista com a punição administrativa.
O fato é que com a publicação da lei Geral de Proteção de Dados, os dados sensíveis passaram a ter seu uso limitado nos termos da Lei, e o decreto que trata sobre a governança desses dados amplia esses limites.
Durante esse período de pandemia, assistimos diariamente os riscos da flexibilização de nossos dados, no que for além do previsto na lei, e que nela possa dar espaço para interpretações mais elásticas.
Logo é de se lembra que a história da relação da privacidade das pessoas com o Estado é também a progressão da evolução do Estado e dos Direitos dos seus cidadãos, se antes a privacidade era apenas para classes mais favorecidas, nos tempos atuais ela tem o mesmo peso para qualquer cidadão, independentemente de sua classe social.
Se antes o sigilo, bancário e fiscal eram as referências da guarda do sigilo funcional, hoje com a lei Geral de Proteção dos dados, o corte que precisa ser feito é bem distinto, pois nenhum dado que não esteja previsto em lei por decorrência da atividade administrativa, de natureza vinculante pode ser compartilhado, sem motivação e sem a manifestação expressa do titular dos dados.
Questões novas surgem como a “interoperabilidade” que é a capacidade de diversos sistemas e organizações trabalharem em conjunto, de modo a garantir que pessoas, organizações e sistemas computacionais troquem dados. Considerando as diversas áreas da Administração é um desafio de eficiência e governança estabelecer como dividir sem comprometer a integridade desses dados na maioria das vezes de natureza sensível.
No decreto que regulamenta o uso pela administração pública, encontramos alguns dos principais conceitos tratados necessários ao estabelecimento da aplicabilidade da norma já no seu artigo 2°, que nos permitem identificar os dados sensíveis:
Art. 2º Para fins deste Decreto, considera-se:
I – atributos biográficos – dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios;
II – atributos biométricos – características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar;
III – dados cadastrais – informações identificadoras perante os cadastros de órgãos públicos, tais como:
a) os atributos biográficos;
b) o número de inscrição no Cadastro de Pessoas Físicas – CPF;
c) o número de inscrição no Cadastro Nacional de Pessoas Jurídicas – CNPJ;
……
É o MCI é a lei que trata de aspectos gerais do uso da internet no Brasil, prevendo princípios e garantias, direitos e deveres para quem usa a rede e determinada diretrizes para a atuação do Estado. Seus principais reflexos têm sido sobre as obrigações dos provedores de acesso/conexão e de aplicações a guardarem os registros de acesso respectivamente por um ano (art. 13) e por seis meses (art. 15), a responsabilização dos provedores de aplicações caso fiquem inertes após serem notificados sobre a existência de materiais com cenas de nudez ou atos sexuais de caráter privado (art. 21) e a necessidade de ordem judicial para a remoção de conteúdo (art. 19). É por meio dessas normas que as empresas devem pensar em se estruturar para responder a ordens judiciais de remoção de conteúdo e de fornecimento de informações cadastrais e outros dados de navegação dos usuários de suas plataformas. Qualquer empresa que atue na internet pode vir a ser considerada um provedor de aplicações, motivo suficiente para que se lhe aplique o MCI, fixando-se dessa forma regras basilares da nossa governança digital.
A LGPD é o diploma normativo que regula o tratamento dos dados pessoais nos âmbitos físicos e digitais, com o objetivo de resguardar direitos fundamentais das pessoas físicas, buscando impedir que pessoas jurídicas tratem abusivamente dos dados, violando a privacidade e o livre desenvolvimento das pessoas naturais. Trata-se de um grande avanço legislativo, a exemplo do MCI, colocando o Brasil no rol de países que possuem lei específica para o tratamento de dados pessoais. Seu principal impacto será nos modelos de negócios, já que a obtenção do consentimento das pessoas para o tratamento de dados precisará ser mais detalhada, objetiva e transparente. É uma tentativa de empoderar as pessoas a poderem exercer sua autodeterminação quanto ao fornecimento de dados. Busca-se evitar que os dados sejam usados em prejuízo das pessoas físicas, com a imposição de multas e determinando-se que a existência de programas de compliance digital podem significar penalidades mais brandas.
Hoje qualquer empresa que pretenda vender um produto ou serviço a consumidores na internet estará, necessariamente, abrangida pelos diplomas acima mencionadas. Porém o compliance digital não significa apenas cumprir essas normas, até porque há outras que devem ser atendidas, inclusive internacionais, como é o caso do Regulamento Geral de Proteção de Dados (2016/679) da União Europeia (EU), no qual nossa LGPD foi inspirada.
A UE apresentou ao mundo, por meio de sua regulação, uma preocupação com essa evolução, que pede um plano de cooperação internacional, e não apenas local/regional. A ética e responsabilidade agora aparecem de forma mais específica no tratamento dos nossos dados que podem ocorrer em qualquer lugar do mundo. Um desafio igualmente gigantesco.