Proteção de dados, perfilhamento e as confusões regulatórias no Projeto de Lei 2630/2020
O Projeto de Lei nº 2630/2020, que institui a “Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet”, ganhou sua mais recente – e última- versão em substitutivo do relator, Deputado Orlando Silva, no dia 31 de março de 2022. Ao longo de sua trajetória no Congresso, apesar de avanços meritórios, o Projeto não passou imune a polêmicas e incompreensões, com acertadas críticas por parte de especialistas, acadêmicos, empresas e organizações da sociedade civil. Se, de um lado, foram incontáveis as tentativas de alteração indireta da sistemática do Marco Civil da Internet, vocalizadas pelo rebaixamento de garantias materiais e processuais dos provedores e dos usuários, de outro, o Projeto foi também controverso em relação a padrões adequados de transparência e matérias abrangidas. De modo nada surpreendente, ele avança para outros campos, como privacidade e proteção de dados pessoais. Sobre esses aspectos, o presente artigo lança luz e abre um debate acadêmico e de ordem técnico-legislativa, particularmente pelas implicações do PL 2630 relacionadas a outras leis vigentes, como é o caso da Lei Geral de Proteção de Dados.
Em primeiro lugar, o ‘modus operandi’ para o PL 2630 – sem muita afeição a ritos e procedimentos indispensáveis para o Estado Democrático de Direito- pode ter ferido princípios caros ao processo legislativo e rotinas de publicações da tramitação na página web da Câmara. Basta verificarmos que a minuta do PL, nos termos de um substitutivo “aprovado” do dia 31 de março de 2022, circulava em grupos exclusivos de aplicativos de mensagens, mas não resultava em qualquer pesquisa pública de atos legislativos ou mesmo da respectiva Comissão na Câmara que cuidava da discussão do texto do Projeto de Lei. Quem quer que ousasse comentar com precisão o PL 2630 no final de março deste ano – não tendo solicitado espaço de fala na Comissão ou acesso ao texto do substitutivo-, teria grandes dificuldades. Não se trata aqui de uma rediscussão do que faltou para os congressistas e espaço de debate público, mas antes a necessária medida de que a tramitação legislativa esteja acessível para todos cidadãos em níveis de completude e integridade.
O mais gritante, igualmente, foi a premissa de aparente política legislativa inovadora nas duas últimas versões do PL 2630. Uma lei regulando certos aspectos relativos ao uso da internet e de serviços de tecnologia (por exemplo, redes sociais, mensageria interpessoal e buscadores) pareceria destinada a (re?)introduzir regras específicas relacionadas à disciplina da proteção de dados pessoais, com o que chamei de “deliberada confusão de regimes regulatórios”. A Lei Geral de Proteção de Dados, ainda em sua infância brasileira, passará a ser alvo de potenciais conflitos positivos se o PL 2630 for aprovado tal como se encontra, em especial quanto a regras que estabelecem definições normativas e categorias de obrigações aplicáveis à disciplina de proteção de dados pessoais e que já foram contempladas pela legislação vigente.
Nesse sentido, há um conjunto de dispositivos do Projeto que avançam em um terreno distinto daquele estritamente relacionado à “moderação de conteúdo” e usos da internet, mais uma vez sob o fundamento de obrigar empresas a entregar informações a respeito de seus modelos de negócios, dados de usuários e informações sobre comportamentos de usuários online para autoridades variadas. Há dois aspectos mais tensionados nesse caso. O primeiro é representado pelo próprio mérito legislativo, pois o legislador cruzou a fronteira da regulação da internet para alcançar áreas relacionadas à privacidade, desenvolvimento de inovação digital e proteção dos segredos empresariais, sem oferecer garantias para aplicação consistente da lei objetivada e sem precisar as distinções de escopo de política normativa, de um lado a regulação da internet, de outro a proteção de dados pessoais. O segundo é o de caráter institucional, porque, no caso de definições normativas, o PL avança desnecessariamente no conjunto de obrigações de agentes de tratamento de dados pessoais e das atribuições legais da Autoridade Nacional de Proteção de Dados, criando certo universo paralelo e dissociado da realidade das formas e mecanismos para proteção de dados pessoais de usuários brasileiros, recentemente incluído no rol de direitos e garantias do Art. 5º da Constituição da República no novo inciso LXXIX.
Desde sua apresentação, seus defensores e proponentes insistem na retórica de que o PL é sobre o combate à disseminação de conteúdo desinformativo. Entretanto, o PL não se limitou a esse objetivo, passando também a impactar áreas relacionadas ao tratamento de dados pessoais, que por sua vez já são disciplinas pela LGPD. Após a série de mudanças no texto do PL2630, a nova versão reserva dispositivos para: (i) a definição do que seria “perfilhamento” (art. 5º, VI); (ii) implicações decorrentes do tratamento automatizado pelos provedores de redes sociais e de serviços de mensageria instantânea (art. 18); e (iii) obrigações de informação por provedores ofertantes de serviços que eventualmente impulsionem “propaganda eleitoral ou conteúdos que mencionem candidato, coligação ou partido”, sobre as “técnicas e as categorias de perfilhamento” (art.19, inciso VI), em especial quando estiverem associadas a anúncios impulsionados.
A LGPD, dentre suas regras, já assegura a proteção de direitos de titulares de dados e contrapartes em obrigações legais destinadas aos agentes de tratamento. Uma definição normativa de perfilhamento, por sua vez, não poderia vir descolada dos objetivos e princípios da disciplina da proteção de dados pessoais no Brasil ou em modelos legislativos comparados, como é o caso do Regulamento Europeu de Proteção de Dados. A futura lei objetivada com o PL2630, além de uma expansão de escopo, resultaria inequivocamente em inovação legislativa capaz de alterar o equilíbrio normativo proporcionado por uma lei especial de regência, que é a LGPD. Igualmente, o tratamento automatizado de dados não necessariamente se encontra fundado em ações ou decisões automatizadas de moderação de conteúdo online nas redes sociais, serviços de mensagens ou motores de buscas, mas antes às atividades de tratamento de dados pessoais realizadas pelos agentes de tratamento de dados, nos exatos termos e sentidos atribuídos pela LGPD.
Trata-se de uma confusão nada profícua, que traz mais insegurança no contexto de aplicação das normas de proteção de dados. Seria necessário que qualquer debate em audiências sediadas na Câmara sobre o PL2630 acompanhasse o rigor técnico sobre categorias normativas, direitos e obrigações relacionados à internet e à proteção de dados, além de maior cautela a respeito das demandas do conjunto de atores interessados na regulação da proteção de dados pessoais no Brasil. Para tanto, os legisladores devem ser advertidos que moderação de conteúdo, de um lado, e perfilhamento e tratamento automatizado de dados, de outro, não podem ser confundidos, tal como tem ocorrido nos debates e no texto do PL2630. Tratar desse tema em um projeto de lei tecnicamente orientado para combate a ‘fake news’ significa contaminar a interpretação da LGPD sobre temas que cabem à ANPD – e não ao legislador – como é a definição técnico-normativa de perfilhamento.
Perfilhamento, vale destacar, é orientado a partir do tratamento de dados para traçar certos perfis de usuários e titulares de dados, como hábitos e preferências, e costuma ser utilizado para guiar agentes de tratamento no desenvolvimento de processos e personalização de entrega de produtos e serviços ao público consumidor, de pequenos negócios, como, por exemplo, o aperfeiçoamento de anúncios online. Muitos dos dados coletados para essa finalidade, contudo, são considerados dados pessoais, segundo a própria LGPD. Ela oferece ainda um conjunto de garantias institucionais para o titular de dados pessoais, como o direito de revisão relativamente ao tratamento com base em decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses dos titulares, conforme estabelecido no art.20 da LGPD, que também cria mecanismos de implementação por parte dos controladores e pela ANPD. No caso de controladores, quando demandados, devem apresentar informações claras e adequadas a respeito dos critérios e dos procedimentos empregados para a tomada de decisão automatizada, observados os segredos comercial e industrial (art.20, §1º, LGPD); e para a Autoridade, a prerrogativa de conduzir auditoria junto ao controlador de dados pessoais para verificar “aspectos discriminatórios em tratamento automatizado de dados pessoais”, ressalvados o segredo comercial e industrial, nos casos em que não forem apresentadas informações pelo controlador sob a justificativa de observância de segredo comercial e industrial (art.20, §2º).
O conjunto de mecanismos e procedimentos relativos ao direito de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses dos seus titulares, portanto, apresenta-se suficientemente delimitado na LGPD para fins de concretização do objetivo de proteção de dados pessoais no direito brasileiro. Não faria sentido o legislador duplicar ou repetir esforços novamente para cobrir essa matéria, que é de competência exclusiva da União, confundindo-a com obrigações relacionadas à moderação de conteúdo em plataformas. A definição proposta no art. 5º, inciso VI, do PL2630 apenas é trazida como elo para que o legislador avance o sinal e justifique sua intenção de obrigar duplamente agentes de tratamento – sobretudo quando controladores de dados e provedores de serviços de aplicações de internet simultaneamente forem a mesma pessoa. Da mesma forma, o Projeto parece caminhar para uma escolha estranha: vincular obrigações relativas a dados pessoais (que estariam no vasto âmbito de aplicação da LGPD) com obrigações de fornecimento de informações detalhadas sobre técnicas de perfilhamento, talvez de modo a atingir a oferta legítima de conteúdos impulsionados e publicitários nos mercados digitais. Mais uma vez aqui, a escolha de política ultrapassa os objetivos de moderação de conteúdo. Trata-se originalmente de uma lei sobre combate de conteúdo desinformativo, mas que passa a versar sobre regras de proteção de dados pessoais e regulação de condutas relacionadas a publicidade online.
A partir daí, as premissas de transparência objetivados pela futura lei cedem espaço para viés que, à primeira vista, desfavorece controladores de dados pessoais e determinados modelos de negócios da internet, com potencial para gerar conflitos em relação às suas obrigações relativas à proteção de dados, já disciplinadas pela LGPD. A própria definição normativa de perfilhamento no art. 5º, inc.VI, do PL 2630 sequer se alinha com a LGPD e com o Regulamento Europeu (a exemplo de seus arts. 4(4) e 22, n.ºs 1 e 4). E por essa razão, o mais coerente a fazer seria deixar apenas uma remissão direta à LGPD, ou alternativamente, adaptá-la dentro de definição legal mais próxima daquele já assentado no Regulamento Europeu, muito mais por uma questão de afinidade com a própria LGPD para esse caso específico.
O que aparentemente traduziria a preocupação com direito dos usuários de internet e transparência por parte dos provedores na verdade representa uma ameaça dupla. De um lado, como visto, porque existe uma interferência indevida do PL2630 em regimes regulatórios distintos daquele da própria governança de conteúdo online. Indo mais além, se aprovado e tornando-se lei da forma como está, serão criados conflitos com a LGPD sem necessidade. Compete à ANPD tratar de perfilhamento e suas interações com tratamento automatizado de dados pessoais. De outro lado, a iniciativa legislativa busca alterar a dinâmica da oferta de serviços online compatíveis com uma demanda legítima de mercados consumidores, de empresas de pequeno e médio porte, todos também estimulados por ferramentas inovadoras no ambiente digital. Elas passariam a ser demasiado e desnecessariamente oneradas nesse modelo anômalo pretendido pelo legislador.
Nada desse movimento é novidade, todavia. Certas leis no Congresso têm sido preparadas para avolumar repertórios legislativos no Brasil, sem que o próprio Legislativo e a sociedade se perguntem a respeito daquilo que o velho continente, por exemplo, tenderia a reconsiderar. Daí porque ainda existe o resquício de preocupação em torno do trinômio necessidade/oportunidade/viabilidade para qualquer nova lei que se pretenda criar ou reformar. Uma lei não pode ser aprovada a toque de caixa, por emoções e ressentimentos. Todas essas razões pendem para que o Congresso Nacional reveja o texto do PL2630 e a ele atribua um cuidado especial, pois também em jogo está o futuro da internet e da proteção da dados pessoais no Brasil.
* Fabricio Bertini Pasquot Polido– Professor Associado de Direito Internacional, Direito Comparado e Novas Tecnologias da Universidade Federal de Minas Gerais – UFMG. Doutor em Direito Internacional pela Universidade de São Paulo – USP. Advogado, Sócio de Inovação & Tecnologia e Solução de Disputas em L.O. Baptista.