a sequência da série de artigos sobre a Internet das Coisas (“Internet of Things” ou “IoT”), fruto de parceria entre o Pereira Neto | Macedo Advogados e o JOTA, continuaremos a tratar de temas regulatórios que atingem transversalmente os diferentes setores que poderão se beneficiar da implementação de soluções de IoT. Nessa semana, trataremos da necessidade de ser instituída autoridade com competência para ações de proteção de dados pessoais. Esta série de artigos tem por objetivo divulgar as conclusões do estudo que deverá embasar o Plano Nacional de Internet das Coisas, realizado por nosso escritório, em conjunto com a McKinsey e o CPqD, e comissionado pelo BNDES e pelo MCTI.

Em momento no qual são constantemente criadas modalidades de dispositivos conectados à Internet com capacidade para coletar grandes volumes de dados (como é o caso das tecnologias de IoT) e a análise de dados é substrato para diversas atividades da vida contemporânea1, a proteção a eles está em pauta. Mais ainda considerando que são muitos os relatos de ataques a bases de dados e os episódios de vazamentos e usos indevidos de dados pessoais.

+JOTA: O Direito da Internet das Coisas – desafios e perspectivas de IoT no Brasil

O atual regime de proteção à privacidade no país não conta ainda com uma lei de proteção de dados pessoais que atenda a dois princípios essenciais: a proteção a direitos fundamentais relacionados à internet e o fomento a atividades econômicas baseadas em análises de dados. E a falta de uma legislação geral sobre o assunto gera insegurança e incertezas.

Mais do que isso, a observância (enforcement) quanto a questões de proteção de dados é também incerta, sendo de responsabilidade de múltiplos agentes simultaneamente. Diferentemente de outros países, não há no Brasil uma autoridade responsável por centralizar o tratamento dessa questão.2

+JOTA: Neutralidade da rede e Internet das Coisas no Brasil: uma relação harmônica

Dentre essas múltiplas entidades responsáveis pelo enforcement da proteção de dados encontram-se a SENACON, sediada no Ministério da Justiça, o Ministério Público Federal, os Ministérios Públicos Estaduais, os Procons e as entidades de defesa do consumidor. Todos acabam tratando do tema de forma concomitante e difusa, sem que haja clareza sobre quais papéis deve ser desempenhado por quais entidades. Isso leva à duplicidade (ou até triplicidade) de esforços em alguns casos, e lacunas e omissões em vários outros.

Nesse panorama, um dos consensos que emergiram do processo de consulta e elaboração do estudo do Plano Nacional de Internet das Coisas, inclusive com relação aos debates realizados na Câmara Setorial de IoT, diz respeito à necessidade de edição de uma lei geral de proteção de dados3, bem como do estabelecimento de uma autoridade específica capaz de lidar com a questão de forma contínua. Essa autoridade deve estar preparada para opinar de forma técnica sobre a proteção da privacidade em diferentes segmentos de mercado, atuar em regime multissetorial, além de ter a capacidade de realizar operações de enforcement unificadas.

+JOTA: Qual o conceito de M2M e por que isso importa para o desenvolvimento de IoT?

O que mostram as experiências internacionais. Os Estados Unidos e a União Europeia, exemplos de relevância em matéria de proteção à privacidade, possuem arranjos institucionais bastante diferentes entre si para lidar com o assunto.

O cenário regulatório dos Estados Unidos caracteriza-se por ser descentralizado: não há legislação federal específica. Quanto aos órgãos que possuem atuação em privacidade e proteção de dados, a autonomia dos estados (destaque para a Califórnia, que promulgou as primeiras e mais dinâmicas leis na área) convive com as atribuições federais. Apesar disso, há abertura para autorregulação, com a criação e adoção de códigos de conduta, regulamentos e certificações. No âmbito federal, quem exerce autoridade sobre questões de privacidade são instâncias independentes com competência para assegurar o cumprimento de normas setoriais (como aquelas de saúde, por parte do Department of Health and Human Services). Por fim, a Federal Trade Commissionparticipa ativamente da regulação e cumprimento das normas sobre privacidade, pois lhe cabe garantir a proteção do consumidor em situações injustas ou enganosas.4

Já na Europa foi adotado o modelo de Autoridade de Proteção de Dados5 centralizada em cada país, que congrega as competências de supervisão e consulta em matéria de proteção de dados, sendo responsável por assegurar que as instituições e órgãos de países da União Europeia respeitem as obrigações estabelecidas. Importante lembrar que a partir de maio de 2018 começa a vigorar no território europeu a General Data Protection Regulation (GDPR), que traz novas regras sobre proteção de dados pessoais com impacto para todas as organizações que atuem na coleta de dados envolvendo cidadãos da União Europeia, ainda que fora de seu território geográfico.

O Uruguai é destaque no contexto latino-americano. A Constituição do país garante aos seus cidadãos a proteção de dados pessoais como um direito humano. De forma semelhante ao modelo europeu, o Uruguai possui autoridade na área, a Unidad Reguladora y de Control de Datos Personales.6 A essa autoridade cabe também o cumprimento da Ley de Protección de Datos Personales y Acción de Habeas Data, estatuto específico que, dentre outras provisões, garante ao titular dos dados o direito de controlar o seu uso, estejam eles armazenados em meios físicos ou digitais.

+JOTA: A necessidade de investimentos na infraestrutura de telecomunicações

O que dizem os Projetos de Lei. No Brasil, modelos regulatórios vêm sendo examinados no Congresso Nacional por meio de três projetos de lei relacionados à proteção de dados pessoais, que buscam regulamentar a necessidade de consentimento para a coleta, tratamento e uso de dados, e estabelecer regras sobre o compartilhamento, exclusão e transferência de dados.

O PL nº 5.276/2016 faz referência a órgão competente para garantir a proteção de dados pessoais, sem especificar sua vinculação, composição e orçamento. A proposta estipula a criação de Conselho Nacional de Proteção de Dados Pessoais, de caráter consultivo e composto majoritariamente por representantes do governo – o que significa poucos assentos para representantes da sociedade civil e da iniciativa privada.

De forma similar, o PL nº 330/2013 prevê órgão com competências para a regulamentação, fiscalização e sanção relacionadas à coleta, tratamento e uso de dados pessoais, não delimitando, assim como o PL anterior, a estrutura dessa entidade.

Em sentido oposto, o PL nº 4.060/2012 não prevê qualquer autoridade central e reconhece a capacidade de “autoridades competentes” em editar normativos. O projeto também propõe a instituição de Conselho de Auto-Regulamentação, destinado a elaborar balizas para o tratamento de dados pessoais.

+JOTA: Principais desafios tributários do ambiente de Internet das Coisas

Qual modelo regulatório adotar? Com base nas contribuições apresentadas nas audiências públicas realizadas pelo Congresso Nacional e nas consultas públicas lançadas pelo Ministério da Justiça78, um dos modelos que vem sendo debatidos é a co-regulação, cujo desenho pressupõe o compartilhamento de responsabilidades entre governo e agentes privados e setoriais. Esse modelo mostra-se vantajoso pois, de um lado, instâncias puramente governamentais podem não possuir grau adequado de know-how técnico, e, de outro, regras advindas de modelo de auto-regulação não são cogentes, possuindo capacidade sancionamento limitadas.

Entretanto, enquanto não aprovada legislação específica para a proteção de dados pessoais e instituída autoridade competente em modelo de co-regulação, práticas transitórias de auto-regulação podem ser estimuladas para que o próprio setor privado proponha, por exemplo, códigos de conduta e regras setoriais.

Caso o país caminhe para a adoção de uma autoridade de proteção de dados, esta deve ser multissetorial. Esse é o modelo institucional do Grupo de Trabalho do Artigo 29 instituído pelo Parlamento Europeu.9 Válido observar que o Conselho Nacional de Proteção de Dados Pessoais previsto no PL nº 5.276/2016 não pode ser considerado uma iniciativa multissetorial, já que seus membros seriam majoritariamente representantes do governo, dispensada a exigência de conhecimentos técnicos específicos para lidar com tema tão complexo.

+JOTA: Segurança da informação e IoT no Brasil: prioridades, modelos e alternativas

Com relação às competências que essa autoridade deve possuir, consideramos que elas deverão girar em torno especialmente da capacidade de editar normas cogentes e da possibilidade de fiscalização e enforcement de regras. Os PLs em debate no Congresso Nacional preveem a possibilidade de a autoridade editar normas complementares à legislação federal, realizar auditoria no tratamento de dados pessoais, promover ações de educação sobre proteção de dados, adotar providências quanto a incidentes de segurança, gerir a transferência de dados pessoais para o exterior e, ainda, impor diferentes sanções.

Para além desse conjunto de competências, consideramos proveitosas as possibilidades de a autoridade brasileira de proteção de dados atuar como ombudsman ou ouvidoria, recebendo e investigando reclamações individuais contra a má-administração de dados pessoais por entidades públicas e privadas. Nesse ponto, é essencial que a proteção de dados se aplique tanto ao setor público quanto aos demais setores da sociedade. O poder público não deve ser dispensado das obrigações com relação ao tema, ainda que possa gozar de exceções, quando reguladas especificamente por meio de lei. A esse respeito, não há qualquer distinção na Constituição Federal entre atores públicos e privados quanto à proteção da privacidade.

Infelizmente, a situação atual no país é de incerteza regulatória relativa ao tema da proteção da privacidade. A prolongada indefinição do país quanto ao tema tem gerado muito mais custos do que benefícios.

No próximo artigo da série sobre Direito e Internet das Coisas, continuaremos a apresentar discussões regulatórias sobre soluções de IoT, dessa vez com relação à mobilidade urbana. Até lá!

——————————————

1 Em notório artigo publicado pelo The New York Times, discute-se o conceito de “data-driven society”, isto é, de sociedades nas quais as ações de seus membros são progressivamente orientadas por dados; e o impacto de big datano uso de redes sociais, nas decisões empresariais e nas questões de privacidade online. Artigo disponível em:https://bits.blogs.nytimes.com/2013/02/25/the-promise-and-peril-of-the-data-driven-society/?_r=0. Acesso em: 26 jan. 2018.

2 As principais determinações acerca da proteção à privacidade e dados pessoais se encontram consolidadas no Marco Civil da Internet (Lei nº 12.965/2014) e em seu Decreto regulamentador (Decreto nº 8.771/2016). A depender dos desdobramentos do tema, a jurisprudência também tem lançado mão de dispositivos do Código de Defesa do Consumidor e de legislação específica, tais como a Lei Geral de Telecomunicações, a Lei do Cadastro Positivo e a Lei de Acesso à Informação. Assim, o quadro legal aplicável ainda é fragmentado.

3 Até porque o Marco Civil da Internet, que oferece parâmetros mínimos de proteção de privacidade na Internet,prescreve em seu art. 3º a existência de norma específica sobre o tema.

4 Conforme a Section 5 do Federal Trade Commission Act, “unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful” [15 U.S.C. § 45(a)].

5 Em inglês, “European Data Protection Supervisor” (“EDPS”). Site oficial: https://edps.europa.eu/edps-homepage_en?lang=pt. Acesso em: 08 fev. 2018.

6 Site oficial: https://www.datospersonales.gub.uy/. Acesso em: 08 fev. 2018.

7 Corroboram para esta análise os relatórios: Artigo 19. Proteção de dados pessoais no Brasil. Análise dos projetos de lei em tramitação no Congresso Nacional. Nov. 2016; Internet Lab. O que está em jogo no debate sobre proteção de dados pessoais no Brasil? 2016. Disponíveis, respectivamente, em: http://artigo19.org/wp-content/blogs.dir/24/files/2017/01/Prote%C3%A7%C3%A3o-de-Dados-Pessoais-no-Brasil-ARTIGO-19.pdf ehttp://www.internetlab.org.br/wp-content/uploads/2016/05/reporta_apl_dados_pessoais_final.pdf. Acesso em: 08 fev. 2018.

8 Mais informações sobre consultas públicas em: http://pensando.mj.gov.br/dadospessoais/. Acesso em: 08 fev. 2018.

9 Mais informações em: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083. Acesso em: 08 fev. 2018.

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o País, sempre prestigiando a pluralidade de ideias.

 Fonte: JotaInfo