O projeto tem por objetivos resolver a deficiente proteção à privacidade das pessoas, terminar com os obstáculos ao fluxo internacional de dados e homologar a norma a partir de padrões internacionais. Não obstante, fracassa em todos eles.

Por Alberto Cerda, ONG Derechos Digitales.

Em 1999, o Chile se tornou o primeiro país da América Latina a dispor de uma lei geral sobre proteção da informação pessoal. Com os anos, a lei revelou sua ineficácia em proteger as pessoas, em facilitar a transferência internacional de dados e em adequar-se aos padrões internacionais. Isso levou a novos projetos de lei, como aquele apresentado em janeiro de 2011 pelo Executivo, após um obscuro processo de consulta pública.

Depois de ficar congelado por cerca de dois anos em função de críticas formuladas tanto por especialistas quanto pelos próprios parlamentares, em janeiro deste ano o Governo chegou a um acordo. Isso permitirá avançar na tramitação do projeto, fazendo com que parte da lei tenha eficácia somente por alguns anos. Depois desse período, o Executivo terá de avaliar se houve avanços, permitindo que o Congresso volte a discutir uma nova lei reguladora da matéria. Como veremos, a iniciativa, na verdade, retardará a adoção de uma solução efetiva e, nesse ínterim, serão sacrificados os direitos das pessoas e será posta em risco a competitividade da indústria local.

Em um contexto negativo, o projeto de lei acerta em determinados aspectos, como por exemplo, ao estabelecer que o objetivo da lei é proteger a informação das pessoas utilizada por entidades privadas ou públicas, a fim de assegurar o direito de proteção à privacidade. Também recepciona de forma expressa os princípios recomendados internacionalmente acerca da materia, além de introduzir melhorias quanto à informação e ao consentimento que as pessoas devem dar para autorizar a utilização de seus dados. Ademais, resolve a situação dos dados de pessoas falecidas e especifica a responsabilidade tanto dos profissionais quanto dos órgãos encarregados do tratamento de dados pessoais.

Contudo, muitos outros aspectos do projeto acabaram por suscitar preocupação, particularmente por causa de sua ambiguidade, o que pode prejudicar os direitos das pessoas e causar insegurança. Assim, o conceito de “dado pessoal” se diferencia de todos os instrumentos internacionais sobre a matéria e da legislação de outros país, obstaculizando a harmonização do panorama internacional, além de minar a proteção às pessoas vinculadas à informação e de criar entraves ainda maiores à transferência internacional de dados para o Chile. O mesmo acontece com o conceito ambíguo de “fonte acessível ao público”, que permite o tratamento de dados pessoais sem o conhecimento ou o consentimento das pessoas a quem tais dados se referem.

Embora o projeto assegure indenização para as pessoas afetadas pelo tratamento indevido de seus dados, elas devem provar a ilicitude de tal tratamento, algo que está fora da possibilidade da maior parte das pessoas e que claramente desconhece a assimetria de informação entre os indivíduos e as empresas que tratam dados. Isso faz com que a reparação dos prejuízos se torne impossível. A rigor, teria sido mais interessante estabelecer um sistema de responsabilidade objetivo ou, pelo menos, reverter o ônus da prova, obrigando todos os órgãos que tratam informações pessoais a provar se estão atuando de forma diligente.

O projeto encampa um sistema de “Listas Robinson”, permitindo que uma pessoa informe que não deseja receber informações através de seu telefone, de seu e-mail ou de qualquer outro meio. Todavia, a eficácia desse sistema não tem fundamentação empírica e se mostrou um verdadeiro fracasso nos países que tentaram adotá-lo. Portanto, não há razões para acreditar que isso poderá funcionar devidamente no Chile.

Com tudo que foi descrito até agora, os dois principais problemas do projeto de lei são, por um lado, o agravamento dos entraves ao fluxo internacional de dados até o Chile e, por outro, a carência de um sistema efetivo de fiscalização da lei no setor privado.

Uma limitação significativa imposta às empresas chilenas prestadoras de serviços online é que elas não podem fazer negócios com a União Europeia, uma vez que esta exige regras claras acerca de como e de onde deve ocorrer a transferência de dados pessoais. Regras similares têm sido adotadas também por países da região: Argentina (2000), Uruguai (2008), México e Colômbia (2010), Peru e Costa Rica (2011). O Brasil também já possui um projeto de lei que segue o padrão europeu. Isso significa que se o Chile não apresentar um nível de proteção adequado, em um futuro próximo o país não poderá celebrar negócios nem com a Europa nem com as principais economias da América Latina.

A lei tenta resolver o problema do fluxo transnacional de dados através de um oneroso e complexo mecanismo contratual. Já se tentara implementar essa solução em outros países, e os resultados foram limitados, questionáveis, além de ter criado custos desnecessários para os inventores e empresários locais. O ajuste devido só pode ser alcançado mediante um arranjo institucional apropriado (do qual o projeto, infelizmente, carece). Isso pressupõe o reconhecimento de direitos aos titulares e de obrigações aos responsáveis pelo tratamento de dados e a existência de mecanismos que garantam o cumprimento da norma. Este último tem se mostrado o ponto mais deficiente da iniciativa de lei.

A fiscalização da lei no setor privado é comprovadamente deficiente. De acordo com o projeto, a supervisão da lei no setor privado ocorreria de três formas. Primeiro, através de demandas judiciais, um mecanismo que vem se mostrando sistematicamente insuficiente e que não é garantia de adequação. Segundo, por reclamação ante à agencia de proteção ao consumidor, uma instituição que carece de faculdades fiscalizadoras, sancionadoras e processuais eficazes. E terceiro, através de mecanismos de autorregulação e de certificados que se provaram ser um fracasso nos EUA e no México. Eles também têm fracassado no Chile, onde tanto a Câmara Nacional de Comércio quanto a Câmara de Comércio de Santiago tentaram por mais de oito anos adotar um sistema parecido entre seus associados, com resultados insatisfatórios.

A maioria dos países tem instituído autoridades independentes que fiscalizam o cumprimento da lei, dotadas de amplas faculdades investigativas, sancionadoras e processuais. Infelizmente, elas estão ausentes nesta iniciativa (ou são precárias). Como resultado, a lei não melhorará a proteção dos direitos das pessoas vinculadas à informação, nem removerá os obstáculos ao fluxo transnacional de dados pessoais, que poderiam vir a potencializar a prestação de serviços ao exterior, assim como os investimentos estrangeiros.

Anos depois de 1999, com a experiência de outros países da região em matéria de dados pessoais e com mais de uma iniciativa local para melhorar o marco normativo do Chile, hoje a nação chilena se depara com um projeto de lei que, em termos gerais, não representa avanços no que tange á proteção de dados. Muito pelo contrario, ele implica um retrocesso que sacrificará os direitos das pessoas e colocará em risco a competitividade da indústria local.

Alberto Cerda Silva es director asuntos internacionales de ONG Derechos Digitales.
E-mail: alberto (at) derechosdigitales.org