Artigos

Accountability e proteção de dados pessoais no Brasil

Incorporação da accountability à futura lei beneficiaria todos os interessados
André Zonaro Giacchetta
Ciro Torres Freitas
Mylena Pesso de Abreu
Pixabay
Aa Aa

Os projetos em andamento no Congresso Nacional visando à aprovação de uma lei geral de proteção de dados pessoais têm em comum, assim como as normas do gênero já vigentes em outros países, a previsão de um rol de direitos para os titulares dos dados e de obrigações impostas aos agentes que realizam a sua coleta, armazenamento, uso e demais modalidades de tratamento.

Adicionalmente ao estabelecimento do regime tradicional de responsabilidade aplicável nos casos de infração, leis de proteção de dados pessoais de diferentes países têm, cada vez mais, incorporado ao seu texto o princípio da accountability, como forma de incentivar a observância das obrigações impostas aos agentes de tratamento de dados pessoais e, ao mesmo tempo, conferir maior efetividade às normas protetivas dos direitos dos titulares desses dados.

O princípio da accountability requer dos agentes de tratamento de dados pessoais que implementem e sejam capazes de demonstrar à autoridade competente a adoção de programas de governança apropriados para o efetivo cumprimento das normas legais aplicáveis ao tratamento de dados. Assim como a violação da lei deve gerar a aplicação de sanções, a implementação de programas de governança que, embora não obrigatórios, contribuam de modo efetivo para assegurar seu cumprimento deve ensejar consequências jurídicas positivas aos agentes – sendo esta a lógica subjacente ao conceito de accountability.

No plano internacional, a incorporação do princípio da accountability a diplomas legais voltados à proteção de dados pessoais não é novidade. Em 1980, a Organisation for Economic Co-operation and Development (OECD), atenta ao fenômeno da transferência internacional de dados pessoais, implementou as Diretrizes sobre Proteção da Privacidade e Fluxos Transnacionais de Dados Pessoais, com o propósito de harmonizar as leis de privacidade dos seus países membros. Já em sua versão original de 1980, atualizada em 2013, as Diretrizes incluíam a accountability entre os princípios básicos a serem observados pelos países membros da OECD nas operações de tratamento de dados.

Especificamente na América Latina, a Colômbia tem se destacado na aplicação do princípio da accountability ao tratamento de dados pessoais. A legislação colombiana[i] prevê que a adoção de medidas e políticas específicas para o manejo adequado de dados pessoais pelo agente de tratamento, previstas em um guia aprovado pela autoridade de proteção de dados[ii], deve ser levada em conta no momento do cálculo da sanção que lhe seja aplicável em caso de violação dos deveres e obrigações estabelecidos nas normas relativas ao tratamento de dados pessoais.

O México é outro bom exemplo de aplicação do princípio da accountability ao tratamento de dados pessoais na América Latina. A legislação mexicana estabelece que os agentes de tratamento de dados pessoais podem cumprir as disposições legais aplicáveis à proteção da privacidade dos titulares e à segurança das informações mediante a implementação de diretrizes de organização interna. E a implementação dessas diretrizes é levada em consideração pela autoridade de proteção de dados mexicana no momento da aplicação de sanção por eventual violação da legislação[iii].

Receba as melhores notícias do JOTA no seu email!

Abordagem atual do tema nos projetos de lei do Brasil

Os projetos mais relevantes em andamento no Congresso Nacional visando à aprovação de uma lei geral de proteção de dados pessoais abordam de forma apenas incipiente o princípio da accountability, sem a mesma profundidade e potencial eficácia jurídica verificada na legislação dos países, por exemplo, que se encontram em posição de vanguarda quanto ao tema na América Latina.

O Projeto de Lei nº 5.276/2016 prevê que os responsáveis pelo tratamento de dados pessoais “poderão formular regras de boas práticas que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e outros aspectos relacionados ao tratamento de dados pessoais” (art. 50).

Embora indique certo avanço na matéria ao prever que as regras de boas práticas estabelecidas pelo responsável pelo tratamento de dados pessoais possam “ser reconhecidas e divulgadas pelo órgão competente”, o Projeto de Lei nº 5.276/2016 não incorpora em sua inteireza o princípio da accountability, de modo capaz de gerar efetivo benefício aos titulares de dados, aos agentes de tratamento e à autoridade de proteção, como verificado em diplomas de outros países.

O Projeto de Lei do Senado nº 330/2013 aponta de forma mais significativa para a incorporação do princípio da accountability, ao prever que o responsável pelo tratamento de dados deverá implementar programa de governança em privacidade que, além de outros elementos relevantes, demonstre seu comprometimento “em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais”, cuja efetividade possa ser demonstrada às autoridades e entidades competentes (art. 29).

No entanto, tanto quanto o Projeto de Lei nº 5.276/2016, o Projeto de Lei do Senado nº 330/2013 não estabelece incentivos práticos e tangíveis à implementação dos referidos programas de governança em privacidade por parte dos agentes de tratamento de dados pessoais, tais como a presunção de cumprimento da lei ou a consideração desse aspecto na aplicação de sanções por eventual violação.

Oportunidade para a adoção de um regime efetivo de proteção de dados

A criação de uma lei geral de proteção de dados pessoais representa uma oportunidade para a implementação, no Brasil, de um regime efetivo de proteção dos direitos assegurados aos titulares e que, ao mesmo tempo, estimule o cumprimento das respectivas normas assecuratórias pelos agentes de tratamento. A exemplo do que já fazem outros países, a incorporação do princípio da accountability à lei de proteção de dados é um importante avanço nessa direção.

Nesse sentido, a fim de se estabelecer um modelo regulatório moderno e eficaz em nosso país, em que titulares de dados pessoais, agentes de tratamento e autoridades de proteção sejam beneficiados, os projetos de lei em andamento no Congresso Nacional demandam incentivos mais claros para a adoção dos programas de accountability. Dentre esses incentivos deve estar o reconhecimento de que a implementação de programas de governança em privacidade:

  • gera a presunção de cumprimento das normas legais aplicáveis ao tratamento de dados pessoais pelo respectivo agente de tratamento, por exemplo, no contexto de auditorias ou investigações;
  • deve ser considerada pela autoridade competente dentre os demais critérios para a definição e o cálculo da sanção aplicável em caso de descumprimento da lei pelo respectivo agente de tratamento de dados; e
  • pode ser reconhecida como uma das bases legais aptas a autorizar transferências internacionais de dados.

Quanto à inclinação do Projeto de Lei nº 5.276/2016 e do Projeto de Lei do Senado nº 330/2013 a estabelecer que apenas a autoridade competente possa autorizar e individualmente reconhecer regras corporativas ou códigos de conduta que possam servir de base para as transferências internacionais de dados, recomenda-se que esse aspecto seja modificado de modo a estimular que a autoridade competente reconheça regras e códigos internacionalmente aceitos sem a necessidade de autorização específica ou duplicada, de maneira semelhante ao papel desempenhado pelos chamados Accountability Agents no sistema desenvolvido e adotado pelo Foro de Cooperação Econômica Ásia-Pacífico (APEC CBPR), evitando-se, assim, gargalos de aprovação no âmbito da autoridade competente.

Não é realista nem desejável impor à autoridade competente um volume desproporcional de processos administrativos para a aprovação específica de regras para as transferências internacionais de dados. Esses processos de aprovação prévia e específica devem, na verdade, ser reduzidos ao mínimo necessário e reservados aos casos excepcionais que efetivamente demandem a atenção da autoridade competente. Se assim não for, a autoridade competente precisará alocar um volume desproporcional de seu tempo produtivo para analisar pedidos e processos de aprovação de transferências de dados individualizados – o que, definitivamente, não resultaria em uma atuação mais estratégica da autoridade, tampouco em níveis de proteção significativamente maiores para os titulares dos dados.

Igualmente relevante é assegurar que o regime de proteção de dados, sem descuidar da adequada proteção e reparação integral dos danos sofridos pelos titulares, delineie de forma clara e equilibrada os pressupostos e limites da responsabilidade dos agentes de tratamento, de modo a evitar insegurança jurídica e a não desestimular a instalação, operação e crescimento de sociedades empresariais dos mais diversos ramos e portes, em solo brasileiro.

O regime de responsabilidade imputável aos agentes de tratamento de dados merece reflexão específica e mais aprofundada. Mas dada a sua relação com a questão da accountability, convém destacar, desde logo, como aperfeiçoamentos desejáveis a seu respeito nos projetos de lei de proteção de dados pessoais em andamento no Congresso Nacional:

  • o delineamento claro e expresso da modalidade de responsabilidade civil aplicável aos agentes de tratamento de dados pessoais, em linha com o regime já vigente no ordenamento jurídico brasileiro, que adota como regra geral a responsabilidade civil subjetiva e, para as hipóteses de defeito no serviço fornecido, impõe a responsabilidade civil objetiva;
  • a indicação expressa no texto da lei das causas excludentes da responsabilidade civil dos agentes de tratamento de dados pessoais, em especial quando se tratar de responsabilidade civil objetiva, em linha com o que já estabelece o Código de Defesa do Consumidor; e
  • a melhor delimitação da responsabilidade aplicável entre os agentes de tratamento de dados pessoais, estabelecendo-se como exceção ao regime de solidariedade a hipótese de inobservância, pelo cessionário, das condições expressamente pactuadas com o cedente para o tratamento.

Este parece o caminho a ser percorrido para que o Brasil tenha uma lei geral de proteção de dados que assegure de forma clara, equilibrada e efetiva os direitos de todas as partes envolvidas, elevando nosso país ao patamar de outras nações que hoje se encontram na vanguarda do tema.

 

———————————————

[i] Lei nº 1581 de 2012 e Decreto 1377 de 2013 (artigos 26 e 27)

[ii] https://iapp.org/media/pdf/resource_center/Colombian_Accountability_Guidelines.pdf

[iii] Ley Federal de Protección de Datos Personales en Posesión de los Particulares, de 5.7.2010, e Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, de 21.12.2011.

André Zonaro Giacchetta - Sócio da área contenciosa do escritório Pinheiro Neto Advogados, mestre em direito comercial pela USP, com especialização em processo civil pela PUC/SP.

Ciro Torres Freitas - Associado sênior de Pinheiro Neto Advogados, mestre em Direito Constitucional pela Pontifícia Universidade Católica de São Paulo – PUC-SP.

Mylena Pesso de Abreu - Associada pleno de Pinheiro Neto Advogados, master of laws (LL.M.) em Law and Technology pela Tilburg University, Holanda.

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o País, sempre prestigiando a pluralidade de ideias.

Aa Aa
COMENTÁRIOS

Comentários