Mark Zuckerberg nunca foi dado ao papel de bom moço. O que talvez o CEO do Facebook não esperasse era ser o exemplo maior de persona non grata no universo da privacidade digital.

Os recentes escândalos de vazamento de dados da rede social – o mais famoso com o fornecimento de informações de milhares de usuários para a empresa britânica de big data e marketing político Cambridge Analytica – levaram diversos países a apressarem leis de proteção de informações pessoais. Uma corrida contra o tempo com rastros da União Europeia ao Brasil, que aprovou no Senado sua Lei de Proteção de Dados, na segunda semana de julho. O texto aguarda apenas a sanção presidencial.

Confira: Cinco pontos sobre a Lei de Proteção de Dados

A nova legislação estabelece pontos fundamentais para, em teoria, pôr ordem no Velho Oeste que são os dados pessoais na internet. Hoje, as empresas têm certa liberdade para coletar diversos dados dos usuários (como tempo gasto na internet, interesses, cadastros preenchidos) e usá-los para direcionar marketing ou revende-los a terceiro. Com o texto aprovado, a expectativa é que esta feira com as informações pessoais seja coibida – ou ao menos regulada.

“Mais de 100 países já colocaram de pé leis e diretrizes de proteção de dados no ambiente da internet. A internet não pode ser ambiente sem regras. A privacidade é um valor civilizatório”, disse Ricardo Ferraço (PSDB-ES), relator do projeto na Comissão de Assuntos Econômicos.

A nova legislação estabelece como as informações pessoais podem ser coletadas e tratadas (em ambiente off-line, mas principalmente online). Basicamente, o texto aponta que ninguém pode manipular os dados sem que os donos tenham completa ciência e concordem com a sua finalidade.

A lei traz também uma categoria de informações “sensíveis”, que devem ser ainda mais protegidas, como dados que revelem raça, opiniões políticas, crenças, condição de saúde e características genéticas. Além disso, estipula que informações de crianças e adolescentes só podem ser capturadas com a permissão dos pais. São apenas alguns dos pontos.

Leia também: Você aceitou os termos de uso do Facebook? Eles não são absolutos

O assunto, claro, foi recebido com bons olhos por analistas. Mas não sem receio. O problema é que a legislação corre o risco de ser tão superficial quanto um post corriqueiro nas redes sociais.

“[A lei] não é perfeita porque a própria dinâmica da internet não permite. O mundo digital se renova muito rapidamente. Mas ao menos dá um primeiro passo e abre a possibilidade de acertar e fazer alterações futuras. No geral, é muito produtivo, é uma satisfação ter uma legislação como essa”, define o advogado especialista em Direito Digital e Crimes Cibernéticos Fernando Peres.

“Ela vem um pouco tarde, mas em um momento ainda necessário. Temos que trabalhar na maneira de fazer o controle para que ela funcione”, pondera.

De acordo com Peres, uma preocupação clara é a sua efetividade, algo com que outros países também estão aprendendo a lidar. Na comunidade europeia, por exemplo, houve uma discussão a respeito do alcance da lei. Em maio, a União Europeia colocou em ação seu Regulamento Geral de Proteção de Dados, ou GDPR. Lá, a discussão foi sobre a incidência ou não da lei sobre empresas sediadas em outro país que tratam dados de cidadãos da união europeia

‘No Brasil, o Marco Civil da Internet [conjunto de leis regulamentado em 2014] tem essa previsão. A lei nova também. Mas não tem como obrigar pessoas de outros países a cumprirem nossa legislação. O princípio básico da aplicação da lei diz que para que a legislação alcance uma empresa, ela precisa ter uma sede no Brasil. Se você quiser entrar com uma ação contra o Facebook, manda direto para o escritório de representação do Facebook no Brasil. E quando não tem? Como a União Europeia resolveu isso: ela pode aplicar uma multa na empresa que está em desacordo com a lei local. Ela pode enviar uma multa para uma empresa aqui do Brasil. Mas e executar essa multa? Aí é uma outra questão, bem mais inviável’, exemplifica.

“Tudo bem que a empresa pode ser impedida de alguma forma de fazer negócio naquele país, ou ter dificuldade se quiser abrir uma sede lá. Ainda assim, o que importa é: será que todas as empresas que oferecem seus serviços no Brasil estão cumprindo a legislação do Brasil? E o que é o oferecimento do serviço em outro país? Quando eu compro algo no AliExpress [conglomerado chinês de varejo online] sou eu que estou indo até a China ou a China que está vindo até mim? No mundo digital, essa questão da fronteira se perde”, complementa.

Para outro advogado que atua na área de Direito Digital, Igor Resende, da Resende & Costa Advogados Associados, existir a premissa da legislação não é algo que vá garantir o cumprimento da lei.

“Há mais em jogo. Quando falamos das grandes empresas ou das grandes redes sociais, certamente elas vão cumprir para evitar problemas. Em relação às demais é que há preocupação”, destaca. Segundo ele, coibir a venda de dados é algo que exigirá esforço contínuo. “Hoje muitos negócios são dependentes dos dados. É um mercado que vai tentar se adaptar às lacunas das leis. Os dados são dinheiro. Muito dinheiro”, diz.

Leia: Suprema Corte dos EUA toma decisão histórica sobre monitoramento de dados

Entre essas lacunas estão o tipo de dado que pode ser colhido. Isso porque quando se fala em dados pessoais, a referência não é apenas aos dados fornecidos pelo usuário. Há dados obtidos tanto de forma direta quanto indireta. Quando se faz um cadastro em loja ou rede social, por exemplo, trata-se de uma forma direta.

“Agora, quando falamos no tempo que eu passo jogando videogame, o que também é dado pessoal, quanto tempo passo analisando determinada notícia, vendo uma foto, quais são as minhas curtida, por que eu passo mais tempo em uma informação do que na outra, tudo isso são formas indiretas. Essas informações são classificáveis e é incrivelmente fácil individualizar tais dados, criar o perfil de um indivíduo com base nisso. Você não tem controle sobre esse conjunto e não há legislação que vá regular de forma perfeita esse dossiê”, afirma Peres.

Mais um órgão

Mas não é apenas a barreira técnica que coloca a lei na berlinda. Muito antes de sua aplicação, a nova legislação pode esbarrar em um assunto orçamentário. É que o relatório final, do deputado Orlando Silva (PCdoB-SP), propõe a criação da Autoridade Nacional de Proteção de Dados, um órgão que ficaria responsável pela edição de normas complementares e pela fiscalização dos pontos previstos em lei. Basicamente, essa estrutura poderia pedir relatórios às empresas, exigir planos de ação, realizar auditoria e, claro, multar.

O projeto final, porém, indica que tal órgão seria custeado pelo orçamento da União – além do valor obtido com as multas aplicadas. Porém, o Ministério Público do Distrito Federal e Territórios (MPDFT) já se pronunciou indicando que isso seria inconstitucional, já que não cabe ao legislativo propor a criação de um órgão que gera despesas para o Poder Executivo – somente o Executivo poderia sugerir tal alteração. Um detalhe que pode atravancar o andamento da lei, na concepção de Igor Resende.

Veja: Blog com críticas ao Ministério Público não deve ser retirado do ar, decide ministro do STF

“É uma excelente iniciativa. Mas vemos o governo em um movimento de corte orçamentário e a criação de um novo órgão que geral despesa não contribui neste sentido. Vejo como improvável esta entidade fiscalizadora. Só que sem fiscalização, a lei se perde. Enquanto isso a farra com nossos dados continua”, critica. “Pela seriedade do assunto, esperamos que essa não seja uma daquelas leis que nunca pegam”, diz.

A lei em cinco pontos

1) Usuário deve saber: segundo a legislação, uma empresa só pode coletar dados de um internauta se ele permitir e souber a finalidade. Para isso, um site de uma loja, por exemplo, deverá deixar claro que aquele cadastro que está sendo preenchido resultará em e-mails de marketing direcionado. Caso o usuário aceite em um primeiro momento, pode revogar essa anuência a qualquer hora.

2) Exceções: a lei traz que o uso deses dados não precisa da anuência do dono se forem com fins de proteção da vida, cumprimento de obrigação legal ou procedimento de saúde. Um ponto polêmico é que se uma empresa quiser manipular determinadas informações para “legítimos interesses” (não há uma definição claro sobre o que são estes interesses), poderá pedir este direito.

3) Segurança: as empresas são responsáveis por garantir a segurança dos dados e pode ser multada por vazamentos. Se houver um, o dono dos dados deverá ser comunicado imediatamente.

4) Acompanhamento: o texto indica que qualquer pessoa pode solicitar a qualquer empresa quais de seus dados a companhia possui, qual é a finalidade da coleta e se as informações foram repassadas para terceiros. Algo inédito por aqui é a portabilidade de dados. O usuário de um serviço de e-mail pode pedir para que ele lhe forneça todas as mensagens se decidir migrar para outro provedor.

5) Dados sensíveis: informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual terão o uso ainda mais restrito. As empresas e organizações não poderão usar este tipo de informação para fins discriminatórios.