Mais uma edição do boletim do InternetLab sobre as consultas públicas sobre a regulamentação do Marco Civil da Internet e o anteprojeto de lei de Dados Pessoais.

Consulta sobre a regulamentação do Marco Civil

A consulta pública sobre o decreto de regulamentação do Marco Civil da Internet foi prorrogada até o dia 30 de abril. Ela estava prevista inicialmente até o dia 31 de março, e a decisão de prorrogação vinda do Ministério da Justiça levou em conta o enorme número de contribuições nos últimos dois dias de consulta (que foi maior que do que em todos os outros dias de consulta) e o interesse no debate e na contraposição de argumentos.

Na semana passada, optamos por aguardar o término da consulta sobre a regulamentação do Marco Civil, que teria ocorrido no dia 31/03, para  incluir também os dias finais em nosso relatório semanal. Diante da  prorrogação, daremos seguimento aos boletins semanais a partir do dia 10/04.

Essa nova leva de contribuições concentradas nos dias 30 e 31 de março foi diferente em vários aspectos das demais contribuições da plataforma.  As novas contribuições são bem mais extensas e bem fundamentadas. Além disso, a grande maioria dos comentários dos últimos dias foram feitas por pessoas jurídicas: empresas, associação representantes de grupos de interesse e organizações da sociedade civil.

Anteprojeto de lei de proteção de dados pessoais: transferência internacional de dados

A discussão sobre o anteprojeto de proteção de dados pessoais prossegue em menor dimensão. Ela continua também até o dia 30 de abril. Dentre os diversos temas discutido, a “transferência internacional de dados” despertou atenção dos participantes.

Mesmo dentro do território nacional, pensar em um modelo que estabeleça um equilíbrio entre a privacidade dos cidadãos e o potencial para inovação do uso de dados não é uma tarefa fácil. O desafio só se torna maior quando envolve transferências internacionais, entre entes que tratam dados dentro e fora do Brasil. A questão é especialmente desafiadora tendo em vista a diferença regulatória entre os países envolvidos nas transações.

Há quem argumente na plataforma de consulta (comentários ao artigo 5º, inciso XIII) que seja necessário limitar o tráfego de dados para dentro do território nacional, para que sempre haja possibilidade de controle das atividades de tratamento de dados por parte do Estado brasileiro. Essa alternativa mais radical vai de encontro à prática cotidiana na Internet. Ainda que armazenados no Brasil, dados trafegam com frequência para fora do país por razões técnicas relacionadas fortemente com a forma descentralizada que a Internet funciona.

A solução buscada pelo anteprojeto parece contemplar o funcionamento descentralizado da rede. O anteprojeto estabelece, em seu artigo 28, que transferências internacionais de dados pessoais serão permitadas desde de que sejam feitas para países que proporcionem nível de proteção de dados pessoais “equiparável ao desta lei”. O texto também permite exceções à esta regra, geralmente em casos para o cumprimento de deveres estabelecidos em lei ou tratados internacionais.

Proteção “equiparável à desta lei”

Qual seria o “nível de proteção” a que faz referência a lei. Segundo o participante névoa, o texto de lei passa “ao largo” da definição de um “nível de proteção”, não tendo determinado nenhum tipo de procedimento técnico para a proteção dos dados.

De fato, não parece ser um objetivo do anteprojeto estabelecer padrões técnicos para proteção de dados. Isso acontece porque esse tipo de padrão é normalmente criado através de regras mais específicas, o que permite atualização mais rápida das regras conforme avançam as tecnologias. O ideal seria consolidar princípios e regras mais gerais nas leis e deixar padrões técnicos e definições específicas para o regulamento, como ocorreu no caso do Marco Civil.

Ao que parece, o tipo de proteção a que se faz menção não é técnico, mas jurídico. O artigo, portanto, determina que transferências internacionais só serão permitidas para países que proporcionem remédios legais e garantias equivalentes àquelas proporcionadas pelo anteprojeto.

A regra da localização e as transferências internacionais

Uma outra questão foi levantada pela participante Giovanna Carloni. Segundo a participante, a diretiva européia sobre proteção de dados estabelece uma regra semelhante à do anteprojeto para transferências internacionais de dados: somente são permitidas transferências para países que proporcionam igual proteção.

Segundo a participante esta regra, chamada de “regra da localização”, vem sendo muito criticada na Europa. O uso crescente da computação em nuvem e de demais arranjos que não levam em consideração a separação territorial dos países estariam aos poucos esvaziando o sentido de vincular transferências de dados a um “nivel de proteção” de um determinado país, dentro de suas fronteiras.

Para a participante, uma nova abordagem do problema tem sido discutida na Europa. Ao invés de se manter o foco no país que receberá os dados, a ideia seria estabelecer garantias de segurança e transparência obrigatórias para aquele ente que está tratando aqueles dados. Sua participação foi concluída com o seguinte comentário:

“Obviamente, regras teriam que ser criadas para que o responsável provasse tal garantia perante o órgão competente e com certa frequência (já que as tecnologias mudam muito rápido). É algo a ser pensado e estudado e com certeza podemos nos valer dos debates que já ocorrem com a reforma da Diretiva Europeia.”

Por Francisco Brito Cruz e Jonas Coelho Marchezan.