Com três projetos (PL) — PLS 330/13,  PL 4060/2012 e PL 5276/16 — em tramitação, ainda há muita discussão acerca de como deveria ser uma lei de proteção de dados. Mas em um ponto representantes de diversos setores parecem concordar: é preciso ter uma autoridade para vai regular, com um corpo técnico capaz de dar sentido à norma. “A ideia é ter conceitos jurídicos indeterminados, que estão na lei, mas vão precisar de interpretação. Não dá para esperar do poder judiciário uma avaliação técnica sem um estudo prévio, relatórios prévios ou normativas prévias de uma autoridade especializada e competente para tal”, defendeu Alexandre Pacheco, coordenador do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP, durante apresentação da pesquisa Um Novo Mundo de Dados, realizada pelo Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP.  Para Pacheco, a existência de um órgão técnico para dar conta do trabalho prévio, para dizer que já teve processo administrativo e que seja capaz de traduzir determinados temas para o judiciário permite que o sistema jurídico seja um pouco mais robusto e capaz de dar conta de uma complexidade de um setor que pouca gente domina. No entanto, ainda há empecilhos para vencer para se chegar a um modelo ideal para esta autoridade. Por exemplo: qual desenho e corpo técnico ela deveria ter; e mais quem financia este corpo técnico?  Para o diretor de políticas públicas do Google Brasil, Marcel Leonardi, é preciso analisar como se dará o modelo europeu de autoridade para entender os pontos positivos e negativos. Falando para uma plateia de advogados, Leonardi ressaltou que o advento de uma lei de tratamento de dados é uma “tremenda” oportunidade de negócios para os advogados e que as empresas de tecnologia já estão acostumadas com uma série de procedimentos — ficando o maior desafio de adequação para empresas de outros setores. “Qualquer empresa que queira operar internacionalmente terá de olhar para as regras, pois o alcance será extraterritorial”, disse, ao comentar a transferência internacional de dados.  Projeto mais adequado Para Alexandre Pacheco, da FGV Direito, ponto de vista da integralidade do projeto, o PL 5276/16 é, sem dúvida nenhuma, o mais sofisticado entre os três projetos apresentados. A opinião de Pacheco foi compartilhada entre outros membros da mesa de debate, principalmente, de Marília de Aguiar Monteiro, que atuou como coordenadora de consumo e sociedade da informação da Secretaria Nacional do Consumidor do Ministério da Justiça.  O PL 5276 contou com participação da sociedade para sua elaboração e construção; e o projeto tem, na visão de Pacheco, conceitos sofisticados como o de criação de perfil para fins de coibir determinados usos de dados e várias disposições, como a do interesse legítimo, a possibilidade de você ter autorizações para além do consentimento que permitem a utilização e o tratamento do dado. “Ele é um projeto mais complexo que o PL 330, mas o PL 330 tem disposições que podem ser mais interessantes em alguns temas, como a transferência internacional de dados e ele tem um sistema de responsabilização simples, mas talvez mais adequado à transferência internacional”, defendeu Pacheco.  Em entrevista à Abranet, Pacheco destacou a importância de se discutir mais a fundo a respeito da equiparação entre os países para transferência internacional de dados. “A ideia é, se eu vou transferir o meu dado porque, por exemplo, encontrei um servidor em um país que me dá um preço mais barato enquanto prestador de serviço, se tiver um nível de equiparação menor que a possível legislação brasileira, teria ou de ter uma autorização expressa e consentida do usuário, quem muito provavelmente não saberia avaliar este tipo de transferência, ou do órgão competente que não está previsto qual seria o desenho deste órgão”, detalhou.    Laura Juanes, diretora de políticas de privacidade no Facebook, defendeu que a política precisa acompanhar os costumes e tradições dos países. “Nenhum enfoque é melhor que outro; cada um se adapta à realidade de cada lugar”, enfatizou. “O que dá melhor resultado é a combinação de não transplantar (copiar ideia de outro lugar), ter uma normativa simples e fácil de entender e interpretar e não ficar na normativa, mas explorar alternativas que vão além da lei”, disse.   Pontos fundamentais  Alguns itens sempre voltam à pauta na discussão sobre proteção de dados. Um deles é a questão do consentimento. Carlos Affonso Souza, diretor do Instituto de Tecnologia e Sociedade (ITS) e professor da Universidade do Estado do Rio de Janeiro (UERJ), lembra que os projetos em análise falam em consentimento inequívoco enquanto o marco civil da internet fala em consentimento expresso. Se seguir assim, completou, teremos no Brasil um sistema com duas leis rivalizando sobre coleta e tratamento de dados pessoais.  Além disso, pontua Souza, na discussão sobre uma legislação sobre proteção de dados nem a definição do que é dado pessoal está certa. Esta definição é fundamental porque afeta diretamente o escopo de aplicação da lei, aumentando ou restringindo a incidência da norma em diferentes setores e a possibilidade de que determinados atores sejam vistos como entes regulados, sob seu regime jurídico.  No PL 5276/16, considera-se dado pessoal como dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa. Já o decreto nº 8.771/16 diz que é o dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa. E a lei 12.527/11 coloca que informação pessoal é aquela relacionada à pessoa natural identificada ou identificável.  >> O estudo completo pode ser acessado aqui