As denúncias de que a agência nacional de segurança dos Estados Unidos (NSA) espionou ligações telefônicas e e-mails de brasileiros e acessou dados pessoais armazenados por grandes empresas de internet, como Google, Facebook e Microsoft, escancararam o tamanho do risco para os internautas que usam os serviços de empresas americanas.

Os usuários brasileiros estão desprotegidos diante da obrigatoriedade de colaboração dessas empresas para ações de espionagem e monitoramento feito pelo governo dos EUA. E o mais grave: o Brasil não tem legislação que proteja os usuários diante das regras a que as empresas americanas estão submetidas.

A falta de leis específicas reduz o poder do Brasil ao cobrar providências e tentar punir os envolvidos no esquema de monitoramento revelado por Edward Snowden , ex-técnico de redes de computação da NSA, a partir do início de junho.

“O Brasil está bastante atrasado e precisa de uma lei de proteção de dados pessoais. Estamos descobertos”, diz Renato Opice Blum, advogado especialista em direito digital e presidente do Conselho de Tecnologia de Informação da FecomercioSP. Atualmente, 101 países contam com leis de proteção a dados pessoais. Na América Latina, Argentina, Colômbia, Paraguai, Peru e Uruguai já aprovaram leis que garantem a privacidade de dados dos usuários.

Sem uma legislação de proteção de dados pessoais, as informações de brasileiros armazenadas em serviços de e-mail, redes sociais, ferramentas de backup de arquivos em nuvem, entre outros serviços baseados em web, ficam sujeitas aos termos de uso definidos pelas empresas de internet. Eles têm validade jurídica e estão alinhados com as leis americanas que, segundo organizações de proteção da privacidade, permitem que a NSA espione comunicações e dados pessoais de estrangeiros armazenados por empresas americanas.

Após as denúncias de espionagem dos Estados Unidos no Brasil, o ministro das Comunicações, Paulo Bernardo, defendeu mecanismos mais fortes de proteção da privacidade dos brasileiros. Segundo o ministro, integrantes de um grupo técnico interministerial estudam diversas propostas. "Temos que ter mecanismos de defesa do Estado, da soberania, e, sobretudo, para defender a privacidade e a inviolabilidade das comunicações dos cidadãos”, disse Bernardo, após reunião com a presidente Dilma Rousseff para tratar do assunto, na semana passada.

Por vias diplomáticas, o governo brasileiro cobra explicações do EUA sobre as denúncias de espionagem a brasileiros. Em paralelo, o Brasil leva a discussão também para a Organização das Nações Unidas (ONU), numa tentativa de criar normas internacionais para garantir a privacidade das informações dos brasileiros, estejam elas armazenadas em qualquer país.

“[A Constituição garante] o direito à privacidade, que é inviolável, direito ao sigilo das correspondências, das comunicações e ligações telefônicas, salvo sob autorização judicial”, disse o ministro das Relações Exteriores, Antonio Patriota, durante a audiência pública da Comissão de Relações Exteriores do Senado, realizada na quarta-feira da semana passada (10).

Corrida contra o tempo

Apesar do atraso em relação a outros países, o Brasil discute há cerca de dois anos um anteprojeto de lei de proteção de dados pessoais. O texto, que já passou por consulta pública para receber contribuições dos consumidores, foi criado pelo Ministério da Justiça em parceria com a Fundação Getulio Vargas (FGV) do Rio de Janeiro. O documento final já recebeu também contribuições de outros ministérios, como o das Comunicações, do Desenvolvimento, da Fazenda e da Ciência e Tecnologia.

Com as denúncias da espionagem americana, o anteprojeto ganhou força e a Secretaria Nacional do Consumidor (Senacon), órgão responsável pelo assunto no Ministério da Justiça, deve encaminhar o texto nos próximos dias à Casa Civil. A proposta poderá sofrer alterações e a expectativa é que o governo acelere o processo com o envio para o Congresso Nacional, que decidirá a proposta de aprovação de dados no Brasil. “Minha percepção é de que os últimos acontecimentos aumentaram a urgência de que nossos dados estejam protegidos”, diz Danilo Doneda, coordenador-geral de estudos e monitoramento de mercado da Senacon.

Em entrevista ao iG , Doneda explica que o projeto tem a intenção de devolver o controle sobre os dados coletados por empresas, inclusive as de internet, aos brasileiros. “O cidadão terá a última palavra sobre o que será feito com seus dados. O Estado, por outro lado, mostrará para as empresas que tratar de informações pessoais não é uma operação banal”, diz Doneda.

O anteprojeto de lei de proteção a dados pessoais, juntamente ao Marco Civil da internet, é considerado fundamental pelos especialistas para garantir a privacidade das informações de internautas brasileiros, muitas vezes armazenadas em servidores localizados no exterior. “Com a computação em nuvem, o conteúdo dos usuários ficou espalhado pela rede e não está acessível aos usuários e ao governo”, diz Demi Getschko, presidente do Comitê Gestor da Internet (CGI).

Proteção

Se passar pela Casa Civil e pelo Congresso, a lei brasileira garantirá a proteção dos dados do usuário em quaisquer comunicações realizadas no Brasil, ainda que os dados fiquem guardados em servidores localizados no exterior. “A lei facilitará a troca de dados com países que tiverem leis similares, mas as empresas precisarão obter autorização para armazenar dados em outros países”, explica Doneda, sobre a possibilidade de empresas armazenarem dados pessoais de brasileiros em datacenters construídos em países sem lei similares, como os EUA.

Outra determinação que consta do anteprojeto obriga as empresas, como Google e Facebook no caso da internet, a renovarem a permissão do uso dos dados do internauta periodicamente, além de permitir que o internauta revogue essa permissão a qualquer momento. Por meio dos termos de uso, as empresas terão de informar a finalidade do uso dos dados e permitir que o usuário possa baixar o conjunto de dados armazenados a seu respeito pela empresa em até cinco dias após a solicitação.

No quesito segurança, o anteprojeto obriga as empresas a adotar as medidas de segurança necessárias para evitar que os dados sejam acessados por terceiros sem autorização, quando houver uma tentativa de invasão do banco de dados. No caso das acusações de espionagem, isso garantiria ao Brasil a possibilidade de aplicar punições às empresas, mesmo que elas aleguem terem sido espionadas sem consentimento pelo governo dos EUA. O governo brasileiro poderá ainda exigir que as empresas adotem um conjunto mínimo de medidas de segurança.

De acordo com Victor Haikal, advogado especializado em direito digital e sócio do escritório Patrícia Peck Pinheiro Advogados, um dos principais pontos do anteprojeto é a criação do Conselho Nacional de Proteção de Dados Pessoais, que concentrará denúncias e estabelecerá multas e outras punições. Em caso de abusos, a empresa que infringir as regras e violar o direito de privacidade dos brasileiros poderá pagar multa no valor entre R$ 2 mil e R$ 6 milhões e até mesmo ter suas atividades suspensas.

Inspiração europeia

A proposta do Ministério da Justiça está alinhada com a política de proteção de dados pessoais adotada pelos países da União Europeia, apontada por especialistas em direito digital como a mais restrita em todo o mundo.

“O modelo de diretivas da União Europeia é muito bom e acho positivo servir de inspiração para o Brasil”, diz o especialista Opice Blum. Na União Europeia, o bloco criou normas para proteção de dados pessoais a partir de 1995 e foi pioneiro em criar uma instituição para fiscalizar o cumprimento das regras pelas empresas que obtêm e armazenam dados dos usuários.

“Países onde não há legislação específica sobre privacidade e proteção de dados pessoais estão certamente mais expostos a abusos. O Brasil tem uma grande oportunidade de aprender com a experiência de outros países para moldar uma regulação eficaz”, diz Paolo Balboni, advogado especialista em direito digital e diretor científico da Associação Europeia de Privacidade.

Outros projetos

Além do anteprojeto de lei criado pelo Ministério da Justiça e pela FGV-Rio, outros projetos de lei tentam estabelecer diretrizes para a proteção de dados pessoais. O projeto de lei 4.060, do deputado Milton Monti (PR-SP), estabelece regras básicas para o tratamento de dados pessoais Já o projeto de lei 3.558, do deputado Armando Vergílio (PSD-GO), aborda a proteção de dados obtidos por meio de biometria.

Contudo, o projeto de lei 4.060 pode ser arquivado em breve. O deputado Onofre Santo Agostini (PSD-SC), relator de ambos os projetos, entregou em abril seu parecer à Comissão de Ciência, Tecnologia, Comunicação e Informática em que pediu que o projeto de lei 3.558 siga para a Comissão de Constituição, Justiça e de Cidadania, mas que o projeto de lei sobre proteção de dados pessoais seja rejeitado. “Achamos o projeto sobre dados biométricos mais viável que o outro”, explica Agostini.