Andriei Gutierrez
Gerente de Relações Governamentais e Assuntos Regulatórios @IBM

Depois da criação do Marco Civil da Internet, em 2013, o tema da criação de uma Lei Geral de Proteção de Dados Pessoais tem progressivamente ganhado evidência no Brasil. Hoje tramitam no Congresso, tanto na Câmara quanto no Senado, dois projetos de lei com tal finalidade.

E para contribuir com esse debate, compartilho abaixo alguns pontos que julgo centrais para que nossa sociedade avance em direção à proteção da privacidade no contexto da revolução digital e dos benefícios e riscos a ela associados.

Precisamos de um Sistema de Proteção à Privacidade no Brasil. Hoje mais de 100 países possuem mecanismos legais de proteção de dados pessoais. Com a velocidade da sensorização da economia e, consequentemente, da coleta de dados, acredito que o Brasil precisa ter um sistema robusto para a proteção da privacidade. Uso a palavra “sistema” pois penso que é preciso ir além da promulgação de uma Lei de Proteção de Dados Pessoais, com a criação de uma agência de proteção de dados que tenha autonomia política, administrativa e financeira. De modo similar, é preciso que nosso país tenha uma efetiva política nacional de segurança cibernética com estímulos para o investimento em tecnologia, em infraestrutura crítica e na qualificação de pessoal.

O necessário debate sobre proteção de dados pessoais deve ir além da privacidade.Parece haver um consenso público sobre a necessidade da proteção à privacidade. Hoje todos temos um smartphone e, mesmo que de uma maneira genérica, temos a ideia de que nossos dados pessoais podem eventualmente ficar expostos e nos prejudicar. Todavia, ainda não é evidente para a sociedade brasileira os benefícios gerados, individualmente ou coletivamente, por uma sociedade movida a dados. Os dados individuais, quando analisados em larga escala, são boa parte do alimento que nutre sistemas complexos, como as cidades inteligentes, que melhoram a vida das pessoas, otimizam tempo e recursos cada vez mais escassos. Nesse contexto, é pertinente e oportuna a campanha multisetorial liderada pela Associação Brasileira das Empresas de Software (ABES) para a divulgação dos benefícios dos dados para a sociedade brasileira, chamada Brasil, País Digital.

A futura Lei de Proteção de Dados Pessoais deve ser principiológica. Com o rápido avanço das tecnologias e seus padrões, entendo ser preciso que o sistema de proteção de dados pessoais seja composto por uma legislação baseada em princípios e não em prescrições e regulamentações descritivas. Dessa maneira, evitaremos que a lei caduque rapidamente, gerando insegurança jurídica e prejudicando a proteção à privacidade.

É necessário repensar o modelo tradicional de proteção de dados pessoais baseado no consentimento do titular dos dados. As primeiras legislações de proteção de dados pessoais, que datam dos anos 90, se construíram em torno da necessidade de um consentimento prévio e expresso do titular dos dados autorizando a coleta e o tratamento. Com a emergência do big data, dados pessoais passaram a ser um dos principais combustíveis para os insights gerados para as soluções inteligentes. É preciso reconhecer a importância do tratamento desses dados de maneira anônima para o progresso da sociedade e a geração de inovação. Cidades mais inteligentes e sustentáveis dependem do entendimento de como massas de indivíduos agem e pensam. A melhoria da mobilidade urbana ou o uso responsável dos recursos hídricos e energéticos são bons exemplos disso, na medida em que se consegue ter uma maior percepção de como os indivíduos estão usando os recursos de modo para propor políticas de otimização do seu uso. Nesse mesmo bojo, a emergência dos dispositivos móveis conectados e da chamada internet das coisas, com máquinas e dispositivos que se comunicam autonomamente, também colocam em questão a viabilidade do consentimento como único mecanismo para a coleta/tratamento de dados/transferência de dados.

Um sistema de proteção de dados pessoais precisa de uma Autoridade de Proteção de Dados Pessoais. A criação de uma Autoridade de Proteção de Dados Pessoais parece ser o melhor caminho para que se garanta que a futura legislação de proteção de dados pessoais seja cumprida e que o direito fundamental à privacidade seja respeitado, mesmo quando a coleta e o tratamento forem feitos pelo próprio governo. A existência de tal entidade também trás segurança jurídica para as empresas e organizações da sociedade, na medida em que se tenha total clareza de quem são seus interlocutores para a regulamentação e o cumprimento da futura lei. Autonomia técnica, administrativa e financeira seriam pilares fundamentais para garantir o funcionamento de tal agência, funcionando sob a orientação de um conselho multisetorial com participação do governo, da sociedade civil, das empresas e da academia.

A proteção de dados pessoais está indissoluvelmente ligada à segurança cibernética. Entendo que proteção de dados pessoais e segurança cibernética devem caminhar juntas. Governos, empresas e organizações que tratam dados pessoais precisam de constantes atenção e investimentos em segurança cibernética e no desenvolvimento de boas práticas de gestão e segurança da informação. Acredito ser necessária uma política de estímulos para que empresas e centros de pesquisas possam avançar na criação ou implantação de novas tecnologias para a segurança cibernética, a exemplo da criptografia. O aprimoramento e a capacitação de mão de obra especializada para tal também são outro aspecto essencial que merece atenção.

Os dados são cross-border by design e do seu livre fluxo depende a inovação global. É um equívoco acreditar que medidas unilaterais de localização forçada de dados em um território nacional sejam a maneira mais eficiente para garantir a sua segurança. Aprendemos com a própria arquitetura da internet, aberta e global, que o desenvolvimento no Século XXI está indissoluvelmente ligado ao livre fluxo dos dados. Grande parte dos serviços e do comércio global não seria possível sem essa livre movimentação dos dados. Defender sua manutenção significa seguir no caminho do desenvolvimento sustentável global baseado na economia de serviços, geradora de riqueza e prosperidade para os povos. Nesse contexto, o estímulo de boas práticas para a proteção de dados pessoais deve ser objeto de esforços multilaterais ou pluriregionais.

É preciso avançar na criação de uma cultura da privacidade. Com o rápido avanço da sensorização da nossa sociedade e, consequentemente, com a massificação da coleta de dados, entendo ser relevante que empresas, governos, organizações e os próprios cidadãos desenvolvam uma cultura da privacidade nas suas diferentes esferas de atuação. É importante, por exemplo, que desenvolvedores de produtos e serviços incorporem em suas práticas conceitos como o de “privacy by design” e de “security by design”, nos quais a privacidade e a segurança são elementos essenciais de todas as etapas e processos produtivos de produtos e serviços. Empresas deveriam ser estimuladas a terem a figura do diretor de privacidade, universidades a formarem profissionais especialistas na área, como o engenheiro de privacidade, por exemplo. No âmbito da sociedade civil, precisamos avançar na conscientização sobre os níveis (e riscos) de exposição e mecanismos existentes de proteção da privacidade na era digital.

A velocidade com que a digitalização tem avançado, conectando e melhorando o nosso dia a dia, coloca a relevância de um robusto sistema de proteção de dados pessoais. Governos, empresas, universidades, sociedade civil organizada e os próprios indivíduos devem fazer, cada um, a sua parte para que nosso país possa seguir fruindo os benefícios da era digital num ambiente de equilíbrio, transparência e respeito à privacidade dos cidadãos.

#BoraSeEngajar?

#BrasilPaisDigital