EUA se preparam para aprovar lei sobre proteção de dados pessoais semelhante à europeia?


Por Demócrito Reinaldo Filho, desembargador do Tribunal de Justiça de Pernambuco.

A semana passada foi marcada por uma declaração do CEO da Apple, Tim Cook, proferida durante uma conferência sobre privacidade em Bruxelas, de que as grandes empresas de tecnologia estavam criando um “complexo industrial de dados”. Sem dar nomes a quem acusava (embora tenha ficado perceptível de que se referia às empresas concorrentes Google e Facebook), afirmou que essas empresas utilizam os dados das pessoas com “eficiência militar” e que, “levado ao extremo, esse processo cria um perfil digital duradouro que permite que as empresas o conheçam melhor do que você pode se conhecer”.

Tim Cook defendeu a edição de uma lei federal nos EUA que proteja as pessoas contra ameaças à privacidade, à semelhança do novo regulamento europeu de proteção de dados pessoais (o RGPD) .

Esse movimento do executivo da Apple apenas demonstra a mudança de estratégia das “Bigtech”, diante do movimento pela aprovação de leis de proteção à privacidade individual. A Apple, embora não tenha como modelo único de negócio a monetização dos dados pessoais dos usuários por meio da venda de publicidade dirigida, também não é nenhum exemplo quando se trata da defesa das liberdades individuais. Tem sido criticada por ceder à pressão do Governo chinês para remover de sua plataforma (a App Store) aplicativos que permitem a anonimização das pessoas, contribuindo dessa maneira para o vigilantismo exercido pela China sobre seus cidadãos.

A atitude do executivo revela que as empresas de tecnologia enxergam agora que a aprovação de leis robustas de proteção de dados pessoais é uma tendência irreversível e universal. Depois do escândalo da Cambridge Analytica, que levou Mark Zukerberg a depor perante o congresso dos EUA e do parlamento inglês, bem como do vazamento de dados na rede social Google+ - que permitiu o acesso a terceiros de dados pessoais - os congressistas norte-americanos acordaram para o problema.

Muitos agora já defendem medidas legislativas para prevenir abusos com a utilização de dados pessoais, daí a mudança de postura das empresas de tecnologia. Se antes mostravam-se contrárias a todo e qualquer tipo de legislação garantidora da privacidade individual, parece terem chegado à conclusão de que é melhor aceitar algum tipo de regulamento. Agora querem participar das discussões e influenciar no processo legislativo de modo a aprovar lei menos rigorosa.

Era previsível, assim, uma iniciativa legislativa no âmbito federal, que se concretizou esta semana. Na quinta (dia 01.11), o senador Ron Wyden (democrata do Oregon) apresentou um projeto de lei prevendo pesadas sanções para empresas que violarem a privacidade dos usuários de seus produtos e serviços. A lei, que recebeu o nome de Consumer Data Protection Act, somente vai se aplicável a empresas com faturamento superior a 50 milhões de dólares e com mais de 1 milhão de usuários.

Não se trata de uma lei geral de proteção de dados, pois não estabelece princípios gerais e regras sobre coleta e uso de informações pessoais, não havendo semelhança com o regulamento europeu (o RGPD), a não ser na parte em que prevê multas para coibir atos de coleta indevida de dados.

O projeto em essência cuida de ampliar os poderes da Federal Trade Comission (FTC), espécie de agência reguladora de defesa de interesses de consumidores, possibilitando a esse órgão servir como regulador de assuntos ligados à privacidade. Atualmente, a FTC não dispõe de poderes para aplicar multas por violação à privacidade dos consumidores.

O projeto impõe às empresas que coletam dados a apresentação de relatórios anuais, acompanhados de declaração do CPO (Chief Privacy Officer), que pode pagar multa ou sofrer pena de prisão se contiver informações inexatas. As multas por descumprimento aos preceitos da lei e regulamentos da FTC podem chegar a 4% do faturamento da empresa.

O que existe de mais original no projeto do senador Ron Wyden é a criação do cadastro “Do Not Track”, para permitir que a pessoa que não deseje ver seus dados sendo repassados a terceiros manifeste sua opção por ser deixado de fora (“opt out”). O projeto prevê que, num prazo de até dois anos após sua aprovação, a FTC deverá construir um website onde as pessoas possam manifestar sua opção por não terem seus dados transferidos.

A intenção é boa, mas de duvidosa eficácia prática, pois os escândalos de vazamento de dados e uso indevido de informações pessoais que têm surgido nos últimos tempos são decorrentes de falhas de segurança ou comportamento inadequado das empresas de tecnologia. Além do mais, o projeto prevê uma série de exceções ao impedimento da transferência de dados.

O senador Ron Wyden justificou que seu projeto traz finalmente uma significativa proteção à privacidade dos consumidores norte-americanos. O projeto, é certo, constitui uma resposta direta ao oceano de escândalos de invasão de privacidade e vazamento de dados pessoais que as grandes empresas de tecnologia norte-americanas se envolveram na última década. Todavia, é muito cedo para compartilhar do otimismo do senador.

O problema é que os Estados Unidos não têm um conjunto sistematizado de leis de proteção à privacidade, como ocorre na União Europeia. Diferentemente dos países do bloco europeu, lá não existe um regulamento geral, aplicável a todas as atividades de processamento de dados. A opção foi por regular cada setor de maneira estanque, daí que existe uma lei para o setor bancário, uma para o setor médico, outra para o setor de seguros e assim por diante.

O modelo europeu é considerado mais eficaz e tem servido como padrão universal, sendo copiado pela legislação de diversos outros países, como aconteceu recentemente no Brasil, que aprovou em julho deste ano sua Lei Geral de Proteção de Dados (LGPD).

A inexistência de uma lei geral de proteção de dados pessoais enfraquece a luta pela proteção da privacidade dos cidadãos norte-americanos. De qualquer maneira, o projeto do senador Wyden é um primeiro passo na direção certa, para combater a formação do “complexo industrial de dados” que mencionou Tim Cook.