Iniciamos este décimo sétimo InternetLab Reporta com a notícia de que a Oficina Antivigilância lançou essa essa semana um Guia para Contribuições à Consulta Pública do Anteprojeto de Lei de Proteção de Dados Pessoais. Neste Guia são apresentadas as diferentes formas de participar e uma explicação didática de cada eixo em discussão. 

Além disso, são colocados em destaque pontos especialmente delicados e de grande importância do anteprojeto. Temas como os limites da atividade jornalística, a abordagem dos dados anônimos, consentimento e procedimentos para vazamento de dados pessoais são problematizados de forma a direcionar o debate na plataforma.

Dados pessoias: consentimento é a solução para tudo?

No InternetLab Reporta dessa semana falaremos sobre uma contribuição de natureza diferente das outras abordadas até então.  Isso porque a plataforma de consulta pública sobre o anteprojeto de lei de proteção de dados pessoais contém um espaço em que são disponibilizadas contribuições enviadas em em formato “pdf”. Estas contribuições são, em geral, mais extensas e abrangentes, não se limitando a comentar um único dispositivo do anteprojeto separadamente.

Uma dessas contribuições foi enviada pelo Information Technology Industry Council (ITI). Este conselho congrega 60 grandes empresas de tecnologia cujos modelos de negócio estão relacionados com o tratamento de dados de usuários espalhados pelo mundo todo. Essas empresas estão, portanto, sujeitas ao cumprimento das diferentes legislações de proteção de dados dos países em que fornecem seus serviços.

 Dentre os pontos levantados pela ITI, uma questão se destaca como especialmente relevante e sensível, já que se relaciona com um dos pilares do anteprojeto de lei: o consentimento. No anteprojeto de lei em debate o consentimento é uma espécie de pilar para a legitimidade da coleta e tratamento de dados pessoais. Segundo o texto do anteprojeto de lei, sempre que um ente privado fizer este tipo de atividade com dados pessoais de alguém ele deverá coletar, também, o seu consentimento para tanto. Este consentimento precisará ser “livre, expresso, específico e informado” por parte do titular dos dados pessoais.

O ITI argumenta que o consentimento expresso não deveria ser sempre requisito para o tratamento de dados pessoias. Isso porque, segundo o conselho, a necessidade de consentimento expresso para todo tipo de tratamento de dados, tal como demanda o artigo 7º do anteprojeto, acabaria por gerar uma espécie de banalização do consentimento e, como consequência dessa banalização, práticas arriscadas de tratamento de dados se confundiriam com práticas que não trazem riscos. Em outras palavras, frente a um grande número de requisições de consentimento o usuário acabaria por não distinguir casos em que sua privacidade estivesse realmente em risco.

 Diante desse potencial problema, o conselho sugere o uso de consentimentos distintos para situações distintas:

 “Não é aconselhável a necessidade de um consentimento “expresso” em todas as circunstâncias. O consentimento, inclusive o momento do consentimento, será necessariamente distinto dependendo das circunstâncias e a redação deveria indicar que a forma de obtenção desse consentimento não será necessariamente a mesma para todas as finalidades. O consentimento deverá ser direcionado de acordo com o contexto – por exemplo, a sensibilidade dos dados que estejam sendo objeto de tratamento será um fator para a determinação do nível de consentimento apropriado.”

Mas, se então a necessidade de consentimento expresso ficar restrita a casos com grande potencialidade de dano aos direitos do usuários, como seriam controlados os casos em que o consentimento expresso não fosse demandado?

Segundo o conselho, uma das alternativas é que estes casos fossem analisados tendo em vista outro fundamento para o tratamento de dados: o “interesse legítimo” (dos operadores) para tratamento e uso de dados. Foi citada, inclusive, a diretiva da União Européia sobre tratamento de dados que incluí em seu artigo 7(f) esse fundamento como alternativa para legitimar o tratamento de dados. Um dos exemplos do uso de dados sob a exceção do “interesse legítimo” seria a prevenção de fraudes, por exemplo.

Mas como então funcionaria o uso desse fundamento como alternativa ao consentimento? A importação dessa exceção implica no desenho de como ela poderia funcionar no Brasil em termos de fiscalização (quem seria a autoridade que diria se é ou não “de legítimo interesse” do operador e se isso está de acordo com os direito do titular dos dados?) e de redação legislativa (que tipos de requisitos deveriam estar presentes na lei – e, portanto, na situação prevista – para que a exceção se justificasse?).

O uso desse tipo de juízo pode trazer maior flexibilidade aos operadores e aumentar as possibilidades de usos inovadores de dados, por um lado. No entanto, não há de se ignorar a insegurança que isso pode trazer para os usuários, dados de sua titularidade acabariam por sair de sua esfera de controle.

Por Francisco Brito Cruz e Jonas Coelho Marchezan