Nesta sexta-feira (25/5), entra em vigor uma das mais importantes e inovadoras regulamentações no campo do Direito e da política das últimas décadas. O novo Regulamento Geral sobre a Proteção de Dados da União Europeia redimensiona os direitos de empresas e dos cidadãos europeus quanto aos seus dados, especificamente quanto à coleta, ao processamento, à transmissão e ao armazenamento destes. Numa sociedade cada vez mais marcada pela inserção de todos os âmbitos da vida no meio digital, esse promete ser um importante passo experimental num campo até então marcado, por um lado, por escândalos como o da Cambridge Analitica e, por outro, pela completa falta de transparência.
Baseada na já longa tradição alemã de proteção de dados, essa nova regulamentação europeia é, à primeira vista, de difícil compreensão para o contexto brasileiro. Isso se dá pelo fato de que até o momento não há qualquer lei para regulamentar tal esfera social no Brasil. O que é regulado? O que é protegido? Qual a estrutura normativa? Essas são as primeiras perguntas de políticos e juristas brasileiros quando defrontados com o tema. De forma simplificada, pode-se dizer que o principal destinatário da regulamentação europeia de proteção de dados são as empresas, ao estabelecer limites para o coleta, o armazenamento e o processamento de dados pessoais.
De forma simplificada, pode-se resumir o novo Regulamento Geral sobre a Proteção de Dados da União Europeia nos seguintes pontos: a coleta e processamento de dados por empresas deve seguir o princípio geral da finalidade da coleta (“Zweckbindung”), ou seja, o dado coletado não pode ser utilizado para outro fim estranho ao da coleta.
Há, devido à coleta e processamento de dados, um dever de informação e documentação inerente à atividade: o de informar o afetado sobre quais dados estão sendo armazenados ou transmitidos para outras empresas, sejam nacionais, dentro do âmbito europeu, ou mesmo fora do âmbito europeu. Empresas que trabalham com dados sensíveis, ou tenham a atividade-fim no processamento de dados, são obrigadas a prestar contas dos dados às autoridades de proteção de dados.
O “direito ao esquecimento” ou “direito a ser esquecido” torna-se um dos pilares centrais da nova regulamentação, no qual fica estatuído a possibilidade de se requerer de empresas a informação sobre quais dados pessoais ela detém e, o mais importante, requerer diretamente da empresa a exclusão definitiva dos dados.
A certificação oficial de empresas também ganha proeminência na regulamentação, visando dar visibilidade às empresas que possuam um alto nível de comprometimento com a regulamentação de dados. Um direito à portabilidade de seus próprios dados também está previsto na regulamentação. E as sanções pecuniárias passam a ser representativas, podendo chegar até a 300 mil euros (cerca R$ 1,3 milhão).
Além das mudanças acima elencadas, há outras importantes, que por razões de formato editorial não serão aqui abordadas.
No jogo geopolítico global, a implementação de um pacote de normas visando a proteção dos dados dos cidadãos europeus apresenta-se como uma batalha em dois frontes distintos: o americano e o chinês. No primeiro fronte, visa-se delimitar com direitos e regulação nacional e europeia um território até então dominado de forma quase monopolista, fora do alcance das jurisdições nacionais, pelas plataformas digitais americanas como Google, Facebook, Twitter e Instagram, entre outras. No outro fronte, a nova regulamentação europeia visa contrapor-se de forma clara ao modelo chinês de “proteção de dados” já em teste e a ser implantado a partir de 2020 em todo território chinês. No chamado “sistema de crédito social”, o Estado armazena todos os dados possíveis dos cidadãos, conferindo-os a partir do processamento dos dados pontos aos cidadãos, os quais servem como porta de acesso (ou de exclusão) a diversas instituições sociais, como escolas, profissões, hospitais, financiamento, transporte etc.
A regulamentação europeia percorre um caminho distinto, no qual o direito sobre os dados pessoais não se encontra nem unicamente no mercado (modelo americano) nem no Estado (modelo chinês), mas numa arquitetura normativa onde o indivíduo é de fato, em última instância, o real titular dos seus próprios dados, vedando assim o abuso tanto do mercado quanto do Estado. Estado e mercado podem, sim, armazenar dados pessoais, respeitando porém os limites da regulamentação, que agora entra em vigor.
Um longa jornada de implementação encontra-se pela frente. Como se trata de uma regulamentação supranacional, os Estados-membros da União Europeia, que hoje somam 28, terão de adaptar, ao longo dos próximos meses, as legislações nacionais, adequando-se assim aos novos moldes da proteção de dados europeia. O objetivo é criar um ambiente dentro de União Europeia de maior proteção aos cidadãos, consumidores e eleitores, onde se veda o abuso da coleta e processamento de dados pessoais, assegurando-se assim um mercado interno mais saudável.
Espera-se, por último, que com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados da União Europeia o debate brasileiro em torno de importante tema, o qual afeta todas as camadas sociais, ganhe cada vez mais em importância. Certamente, os espaços universitários e de tribunais superiores, tidos como fórum plural da sociedade civil para debates sobre temas atuais e relevantes para o pais, serão importantes palcos para a discussão nacional em torno do presente tema.
Ricardo R. Campos é professor assistente na Goethe Universität Frankfurt am Main, na Alemanha.