Na semana passada, foi sancionada nossa Lei de Proteção de Dados. Trata-se da lei que estabelece as regras do jogo sobre como dados pessoais podem ser coletados, processados e transferidos no país.



O impacto da lei é abrangente. Afeta não só empresas de tecnologia mas qualquer outra entidade ou organização que trabalhe com dados. Com a sanção, o Brasil torna-se o 127º país a ter uma legislação do tipo.



A inspiração para a lei brasileira veio diretamente do chamado GDPR, o modelo europeu de proteção de dados. A Europa, diga-se, vem se tornando uma espécie de “superpotência regulatória”. Um dos principais produtos de exportação do continente são modelos legais. Boa parte das leis globais de proteção de dados nos diversos países segue de algum modo o caminho europeu.



No entanto, a lei brasileira nasceu desgovernada. Diferentemente do modelo europeu, foi vetado o dispositivo da nossa legislação que criaria uma autoridade nacional de proteção de dados. Trata-se da entidade administrativa que seria responsável por implementar, fiscalizar e deliberar sobre a aplicação da nova lei.



Essa agência está presente em todos os países europeus, bem como nos países que seguiram o mesmo modelo (incluindo Argentina, Uruguai e outros vizinhos latino-americanos).

Lei de proteção de dados brasileira foi sancionada, mas com vetos - Danilo Verpa/Folhapress

Um dos papéis da agência é interpretar a lei, definindo seus parâmetros de aplicação e resolvendo suas muitas dúvidas e incertezas. Em outras palavras, leis de privacidade são desenhadas para funcionar necessariamente com uma autoridade, que funciona como o “centro de controle” essencial da lei.



Tanto é que o texto que foi aprovado menciona 49 vezes a palavra “autoridade nacional”. Só que, por causa do veto, ela não existe. O que acontecerá com esse texto fantasma? Ninguém sabe.



O resultado é a aprovação de uma lei que cria pesadas obrigações jurídicas, mas é acéfala. Em outras palavras, é uma lei morta-viva. Tal como um zumbi de seriado de televisão, suas normas serão colocadas em movimento.



Mas esse movimento será errático e imprevisível. Em vez de haver uma autoridade que uniformiza sua aplicação, a lei será interpretada de forma atomizada por cada um dos mais de 17 mil juízes de primeira instância do país.



Serão necessários três a quatro anos de vigência para que as decisões comecem a chegar aos tribunais superiores, quando só então começarão a se uniformizar. Até lá, valerá a incerteza.



Conceitos fundamentais da lei, como o chamado “legítimo interesse”, permanecerão indeterminados. O maior risco, no entanto, é a lei brasileira não ser reconhecida como compatível com a lei europeia justamente por falta da autoridade.



Esse seria o pior dos mundos. Teríamos todos os ônus de uma lei geral, sem o benefício de promover o livre fluxo internacional de dados para outros países com níveis de proteção compatíveis com a legislação europeia.



A informação do governo é que a autoridade será recriada por meio de medida provisória ou projeto de lei do Executivo. A ideia seria agir rapidamente, justamente para não deixar a lei desgovernada por muito tempo. Tendo em vista o início do período eleitoral e o contexto político nos próximos meses, é difícil acreditar que isso irá acontecer.

Reader



Já era

O Brasil sem uma lei de dados pessoais

Já é

18 meses para a entrada em vigor da lei brasileira

Já vem

Dois ou três anos para a autoridade de dados ser efetivamente criada