SEMINÁRIO DE PROTEÇÃO À PRIVACIDADE E AOS DADOS PESSOAIS – Dia 04

O último dia do Seminário teve como temas de exposição e debate: autoridades nacionais de proteção de dados e como a experiência internacional pode mostrar caminhos ao Brasil; a formação de uma cultura de proteção de dados pessoais no país; e, por fim, um balanço dos 11 anos do evento, com foco no aspecto da multissetorialidade. 

Confira os highlights do dia 04!

Keynote 4 – A autoridade e a lei: o que a experiência argentina pode oferecer ao Brasil

No último dia, a palestra foi proferida por Eduardo Bertoni, diretor da Agencia de Acceso a la Información Pública, autoridade de proteção de dados argentina. A moderação foi realizada por Luiz Fernando Martins Castro, do Martins Castro Monteiro Advogados.

Dando início à exposição, Bertoni explicou que a autoridade argentina tem duas funções e áreas temáticas: o acesso à informação e a proteção de dados pessoais. Passou, então, a descrever o quadro normativo argentino da proteção de dados pessoais. Na Argentina o direito à proteção de dados é algo oriundo da Constituição e subsequentes regulamentações:  o texto constitucional é de 1853. No entanto, em 1994 houve uma reforma constitucional que permitiu a inclusão ao direito de habeas data e, nesse contexto, passou-se a dispor sobre o direito a proteção de dados como um direito fundamental (Art. 43). 

Quanto à legislação específica de proteção de dados e a respectiva autoridade, Bertoni descreveu um cenário de idas e voltas: na aprovação da Lei argentina, em 2000, um órgão de aplicação da lei havia sido aprovado – uma divisão de dados pessoais com autonomia. No entanto, no ano seguinte à aprovação da lei, um decreto presidencial criou uma nova direção nacional de proteção de dados pessoais, dentro do Ministério da Justiça argentino. Enfim, em 2017 foi aprovada a legislação sobre acesso à informação, que dispunha sobre a criação de uma autoridade independente, oportunidade em que as competências de proteção de dados pessoais foram transferidas também para esta entidade. 

Em termos de estrutura, a autoridade é um ente autárquico, com autonomia funcional no âmbito da Administração pública argentina. Foi criada por uma lei, com mandato específico, orçamento exclusivo executado pela própria agência e com um diretor nomeado por meio de um processo público – sabatina congressional – que só pode ser removido por meio de uma comissão bicameral congressional e ante comprovada incompetência. As competências/características que conferem independência à Autoridade argentina são: capacidade de desenhar a estrutura da organização e estipular a competência dos seus agentes, preparar o orçamento anual, redigir regramentos próprios internos e a possibilidade/legitimidade de apresentar ao Congresso Nacional projetos de lei relacionados às competências e especificidades da DPA argentina.

Abordando o ano de 2019, fez referência ao processo de ingresso do país na Convenção 108+, do Conselho da Europa, bem como a uma série de investigações promovidas de ofício pela autoridade, em relação a empresas como Google, MiArgentina, Facebook, Yahoo, dentre outros. As investigações foram realizadas com base em parcerias com entidades da sociedade civil e outros atores, e resultaram na aplicação de sanções para agentes de tratamento de dados do setor público e privado.

Como conclusões, o diretor apontou os requisitos para a garantia do direito à privacidade e proteção de dados pessoais, que são, em resumo, uma lei de proteção de dados que seja capaz de garantir, ao mesmo tempo, o exercício dos direitos dos titulares e a instituição de uma autoridade de proteção de dados independente para a sua implementação; e cooperação internacional, por meio de convênios multilaterais e  meios para facilitar o fluxo internacional de dados. Sobre o Brasil, apontou que a lei em si é adequada às discussões atuais sobre proteção de dados pessoais, mas falta independência e autonomia à autoridade, o que exige uma revisão do modelo institucional. 

No momento de perguntas e respostas, discutiu-se a questão da cultura de privacidade e proteção de dados na Argentina e como isso se relaciona com a efetividade da proteção a esses direitos. 

O Keynote completo pode ser conferido aqui. 

Painel 7 – A construção de uma cultura de proteção de dados no Brasil: onde estamos e para onde vamos?

O primeiro painel do dia e sétimo do Seminário teve como tema uma avaliação do estado atual e do futuro de uma cultura de proteção de dados pessoais no Brasil. Os participantes foram Carlos Affonso Souza (ITS Rio), Fabrício da Mota Alves (Conselho Nacional de Proteção de Dados), Fernanda Campagnucci (Open Knowledge Brasil), Min. Ricardo Villas Bôas Cueva (STJ), com moderação de Thiago Tavares (SaferNet Brasil). O evento foi dividido em perguntas específicas para os painelistas.

Reagindo à pergunta sobre ‘’por onde a proteção de dados deve começar, se pelos centros de processamento de dados ou pelas salas de audiência’’, o Min. Ricardo Villas Bôas Cueva, do Superior Tribunal de Justiça, ressaltou que ataques como o do Tribunal Superior Eleitoral (TSE) ressaltam a importância de se entender a segurança da informação como uma outra dimensão da proteção de dados. Fez referência a normativas do Conselho Nacional de Justiça (CNJ), como a Recomendação 73/2020, que traz balizas para a criação de planos de ação que contemplem elementos básicos (ex: Mapeamento de atividades que envolvem proteção de dados, gestão de consentimento, contratos revisados com base na LGPD, planos de resposta à incidentes de segurança) e a Resolução 334/2020, também do CNJ, que cria o Comitê Consultivo de Dados Abertos e Proteção de Dados no âmbito do Poder Judiciário. Afirmou que o judiciário está se mobilizando para a criação de estruturas de governança de dados pessoais e que a cooperação, inclusive técnica, com outros atores é essencial nesse processo. 

Fernanda Campagnucci foi inquirida sobre os impactos da Lei Geral de Proteção de Dados sobre a Lei de Acesso à Informação, já que a LGPD tem sido utilizada, eventualmente, para negar acesso a informações de interesse público. Como resposta, ressaltou a necessidade de se olhar para os dois campos como irradiadores de direitos fundamentais complementares, de forma que a dicotomia criada entre eles é falsa. Propõe que não se discuta a partir de regras gerais, aplicáveis a todos os casos horizontalmente, mas de princípios que possam ser verticalizados em casos específicos, cujas particularidades podem levar a soluções diferentes. A pesquisadora também destacou a importância de colaboração entre diferentes setores, para que tanto acesso à informação quanto proteção de dados pessoais sejam maximizados. 

Carlos Affonso Souza deu continuidade ao debate sobre LGPD e LAI e partiu da premissa de que os participantes do Seminário e a comunidade que o acompanha fazem parte de uma ‘’bolha’’, o que gera dois efeitos: distanciamento de quem não está na ‘’bolha’’ e crença, dos que estão, de que o assunto, no caso a proteção de dados, será aplicada tal qual nas melhores práticas internacionais. Afirmou, então, que fora desse espaço, a LGPD será compreendida de formas distintas por diferentes atores, podendo ser vista, inclusive, como obstáculo para o acesso ao conhecimento ou fomentadora de intensa judicialização. Comparou, também, esse processo com o que ocorreu com o Código de Defesa do Consumidor nos anos 90, marcando as diferenças trazidas pelo avanço da tecnologia. Sobre a cultura de proteção de dados pessoais, destacou dois pontos: o primeiro, que a LGPD deve ser vista de um ponto de vista abrangente, em harmonia com outras leis e soluções jurídicas já consolidadas, e a importância de construir essa cultura a partir da garantia dos direitos dos titulares e formação de boas práticas adotadas pelos setores público e privado. 

Para Fabrício da Mota Alves, sobre o processo de aprendizado sobre a LGPD e se ele precisa ser traumático, o advogado e conselheiro afirmou que a via da troca de conhecimento e experiências é mais rica e efetiva do que a ‘’dor’’. Afirmou que deve haver uma convergência entre a perspectiva do titular de dados, que devem entender quais são seus direitos, e agentes de tratamento de dados, a quem cabe garantir esses direitos. Para ele, a Autoridade Nacional de Proteção de Dados tem um papel preponderante na propagação dessa cultura, inclusive por meio de eventos, seminários e sua própria atribuição de produzir orientações e materiais educativos, como fazem as autoridades ao redor do mundo. Apontou, também, que outros atores, como Câmara, Senado ou mesmo Tribunais de Contas, podem desempenhar uma função semelhante, propagando a cultura de proteção de dados pessoais em suas áreas. 

As perguntas aos convidados centraram-se nos seguintes tópicos: como incutir no usuário a consciência da proteção de dados pessoais, quando ele tem pouca ciência da sua própria cidadania? Como os participantes veem a influência de interpretações e teses produzidas no âmbito da GDPR sobre o cenário brasileiro e quais cuidados devem ser tomados para se realizar o ‘’transplante’’ de teses? Por fim, como deve ser o diálogo entre ANPD e o judiciário? Algumas das respostas foram a importância de um esforço amplo e horizontal, tanto por órgãos públicos, quanto por empresas de todos os tamanhos, além da criação de soluções visuais, de fácil acesso; a cooperação técnica entre órgãos públicos, como a autoridade e os órgãos do judiciário; e o cuidado na criação de métodos e parâmetros para a absorção de interpretações internacionais, que estão inseridas em outros contextos jurídicos, culturais e sociais. 

O painel completo pode ser conferido aqui.

Painel 8 – A multissetorialidade e o Seminário de Privacidade: uma década de debates

O painel de fechamento do Seminário teve como objetivo realizar um balanço dos 11 anos do evento, com foco na questão da multissetorialidade. Para isso, contou com a participação de atores que têm uma ligação histórica com o Seminário, seja por terem participado de sua criação, ou por terem sido conselheiras do próprio CGI. Foram elas: Bruno Bioni (Data Privacy Brasil), Demi Getschko (NIC.br), Flávia Lefèvre (Intervozes), Hartmut Richard Glaser (CGI.br), Luiz Costa (MPF/SP) e Raquel Gatto (Gatto Assessoria), com a moderação de Veridiana Alimonti (Electronic Frontier Foundation).

O primeiro a falar foi Bruno Bioni, representando a Associação Data Privacy Brasil de Pesquisa, que apresentou o projeto “Plantando sementes: o papel do Seminário do CGI.br na construção de uma cultura de privacidade e proteção de dados no Brasil (2010-2019)”. Inicialmente, explicou o porquê da pesquisa, destacando o consenso em torno da relevância do Seminário, tanto pela sua audiência, como pelos especialistas. Ao longo dos anos, o Seminário se constituiu como um ‘’policy space’’ e a pesquisa empreendida pela Associação busca trazer cientificidade a um senso comum sobre a sua importância. Sobre a metodologia da pesquisa, que buscou classificar as falas de todos os painéis dos 10 anos de Seminário em propositivas (no sentido de inéditas), ou reativas (não-inéditas) em relação à conjuntura do tema, foi explicado que, para medir esse contexto, os elementos analisados foram os seguintes: produção acadêmica; notas e atas do CGI.br; projetos de lei; consultas públicas; mídia jornalística.

Sobre os principais resultados, apresentou dados quantitativos que revelaram que, nos primeiros anos (2010 – 2014), o Seminário funcionou como um espaço de discussão de conceitos e ‘’nivelamento’’ da discussão sobre privacidade e proteção de dados, tanto que, nesse período, foi mais propositivo do que reativo. Posteriormente, em paralelo a eventos conjunturais como a segunda Consulta Pública sobre o Anteprojeto de lei de proteção de dados, promovida pelo Ministério da Justiça, as discussões do seminário passaram a se aprofundar e, como consequência, ser menos inéditas e mais reativas a um contexto mais amplo que também se tornava mais sofisticado. Assim, apesar de o Seminário ser, quantitativamente, mais reativo do que propositivo, o que desconfirmou a hipótese de pesquisa inicial, verificou-se uma complementaridade entre o novo e o velho, uma interdiscursividade entre as fases. A conclusão apresentada por Bioni foi, então, que, no melhor sentido da palavra ‘’seminário’’, o evento é um espaço onde não só sementes são plantadas, como também regadas para que o tema evolua cada vez mais. 

Na sequência, falou Demi Getschko, que abordou a evolução das discussões não apenas sobre proteção de dados, mas sobre a própria Internet, que partiram de uma infância e hoje atingem níveis de relativa maturidade. Apontou a importância do modelo multissetorial desde o início, mas também ressaltou que a abertura traz consigo ‘’cacofonias’’ – tensões, assimetrias – e que é preciso haver uma dosagem da participação de todos para que os temas possam caminhar em harmonia, o que considera ser uma das funções do Seminário. Sobre proteção de dados pessoais, acredita que a sociedade brasileira está caminhando no sentido correto e que a LGPD é um bom norte. 

Harmut Glaser, secretário executivo do CGI.br, destacou que a composição multissetorial leva a uma demora no processo decisório (citou o decálogo da Internet, que levou dois anos para ser lançado), espírito refletido no Seminário. Dedicou o restante de sua fala a uma retrospectiva dos principais temas de cada ano do evento: o primeiro evento procurou sedimentar conceitos de privacidade e proteção de dados, bem como parâmetros de outros países; em 2011, o foco foi em contribuições de modelos internacionais e, especificamente, na área da saúde; 2012 trouxe ênfase em novas tecnologias; 2013, ano histórico em razão das revelações de Snowden, foi focado na proteção de dados pessoais como direito fundamental e em questões de segurança da informação; em 2014, houve muitas discussões sobre direito ao esquecimento; já em 2015, por influência da segunda Consulta Pública, os debates centraram-se em questões como dados pessoais, dados anônimos, consentimento, IOT, criptografia, responsabilidade de agentes, etc. 2016, dando continuidade à discussão de uma lei de proteção de dados, trouxe perspectivas setoriais, como crédito e Internet, com foco nos impactos do decreto de regulamentação do Marco Civil da Internet; em 2017, discutiu-se os direitos dos titulares de dados e a relação entre proteção de dados e uma gestão pública eficiente; 2018 e 2019, por sua vez, já com a LGPD aprovada, discutiram aspectos como a legislação como um instrumento impulsionador da economia digital e os impactos e implementação da LGPD. 

Raquel Gatto, em seguida, ressaltou como o Seminário, ao longo dos anos, teve o espírito de agregar informações, articular modelos e referências internacionais e que seu sucesso se deve a dois fatores primordiais: o trabalho e organização de toda a equipe do NIC.br e CGI.br e a curadoria realizada pelo CGI.br em relação à governança e ao conteúdo do evento. Afirmou que o Seminário se constituiu como um espaço seguro e horizontal de debates, o que possibilitou que, mesmo diante de contextos que poderiam, eventualmente, afastar determinados atores, como grandes empresas, ele tenha continuado, ao longo dos anos, frequentado por uma composição amplamente multissetorial. O outro ponto trazido por Gatto foi o papel do Seminário como espaço de incidência, de ‘’polinização’’ das sementes mencionadas por Bioni em outros espaços, o que se reflete, inclusive, internacionalmente. 

Luiz Costa, um dos idealizadores do Seminário, destacou que, quando ele foi projetado, havia já uma urgência, não apenas de certos acadêmicos, como Danilo Doneda, mas também de membros de órgãos públicos. No Ministério Público Federal, especificamente, apontou que o trabalho é muito defensivo e que o espaço proporcionado pelo Seminário sempre foi de abertura e estímulo não apenas ao debate, mas também de potencial avanço de pautas dentro de empresas e do setor público. Concordou com Gatto quanto à superação, pelo Seminário, de obstáculos à multissetorialidade, como o possível afastamento de empresas em razão de fatos como as revelações de Snowden. Quanto ao consumidor, afirmou que houve bons frutos ao longo do tempo, tanto em termos de evolução de uma lei protetiva, quanto, principalmente, de colocá-lo em uma posição de maior autonomia, como um agente autônomo, que exige que seus direitos sejam respeitados. 

A última a falar foi Flávia Lefèvre, que dedicou parte de seu tempo ao CGI.br e NIC.br, como, respectivamente, braços político e executivo e pisos de sustentação para contribuições seminais ao debate da Internet no Brasil, como o Decálogo da Internet, que, em 2009, já falava de princípios como a liberdade de expressão, a privacidade e a neutralidade da rede, que vieram a ser os pilares do Marco Civil da Internet. Lembrou que, no caso da LGPD, houve não apenas uma coalizão de entidades do terceiro setor, mas de todos os setores, que isso se deu com grande contribuição do CGI.br e seu modelo multissetorial, e que se repetiu na disputa pelo momento de entrada em vigor da lei, diante de iniciativas para postergá-la ainda mais. Sobre o Seminário mais especificamente, destacou que ele serviu, ao longo dos anos, para qualificar os debates que vinham ocorrendo também em outros espaços, como nas mesas organizadas pelo deputado Orlando Silva (PCdoB – SP) para debater o projeto de lei. Concluiu tratando de uma questão que considera crítica, a militarização da ANPD, mas com um prognóstico de que a sociedade civil continuará defendendo direitos conquistados.

Algumas das questões discutidas nas considerações finais foram: os pontos que mais influenciaram o conteúdo da LGPD, o papel do Seminário em um momento completamente virtual, uma cultura de privacidade e proteção de dados pessoais, a estrutura da Autoridade Nacional de Proteção de Dados, dentre outros.

O painel completo pode ser conferido aqui. 

Por Bruna Martins dos Santos, Jaqueline Pigatto, Júlia Mendonça, Mariana Rielli e Thaís Aguiar