O Brasil deu passos importantes com a promulgação da Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) e posterior Lei 13.853/2019 que converteu a MP 869/2018, fazendo algumas modificações profundas na primeira. Mas ainda falta um aspecto fundamental para que o País volte a figurar nas discussões internacionais a respeito do tema: a indicação dos Conselheiros-Diretores e dos Conselheiros da Autoridade Nacional de Proteção de Dados Pessoais e a elaboração da regulamentação da LGPD. 

 Essa é a impressão que saltou aos olhos no evento Redesigning Consent for Better Data Protection, realizado pelo Fórum Econômico Mundial e pela Universidade de Stanford nos dias 2 e 3 de outubro, no Vale do Silício, com a participação de grandes empresas do setor, como Google, Facebook e Salesforce, além de escritórios de advocacia como Latham & Watkins LLP dos EUA e PCPC Advogados, do Brasil e de órgãos regulatórios, como o próprio Federal Trade Commission – FTC.

 A realização do evento, com discussões e debates sobre como as empresas devem se adequar à nova realidade regulatória, pautou-se em especial nos desafios trazidos pela legislação européia (GDPR), pela nova legislação da Califórnia e pelas recentes atuações do FTC, dos Estados Unidos, que realizou acordo de 5 bilhões de dólares com o Facebook por conta do caso da Cambridge Analytica. 

 Dentre os temas discutidos, vale ressaltar as principais preocupações percebidas pelas empresas: 

 1. A dificuldade para se fazer com que os usuários leiam os termos de uso: usuários normalmente não têm nem conhecimento nem tempo para ler os termos de uso com todos os detalhamentos exigidos pela legislação, afetando assim seu consentimento a respeito do uso de dados pessoais;

2. O trade-off entre termos de usos detalhados e longos em contraposição a termos de uso mais objetivos, mas menos informativos: qual a melhor estratégia para obter consentimento dos usuários? Ser mais objetivo e menos informativo (popups, por exemplo) ou detalhar os usos atuais e futuros dos dados em termos de uso amplos e complexos;

 3. Como garantir que os usuários, para além de apenas consentir com os termos de uso, o façam de forma livre, informada e inequívoca, sabedores dos possíveis impactos que seus dados poderão causar em sua própria vida hoje e no futuro: realizar a prova de consentimento informado e inequívoco poderá ser impossível, em especial para usos futuros que poderão surgir com dados coletados no presente; 

4. Também discutiu-se como seria possível integrar diversos termos de usos de diferentes empresas, fenômeno que será especialmente importante com a popularização da IoT – Internet of Things: com a integração de termostatos, aparelhos de ar-condicionado, televisores, aspiradores de pó, assistentes domésticos, relógios, equipamentos de saúde, carros, além de muitos outros, como garantir, em termos de uso elaborados para a realidade de hoje, futuras integrações de dados talvez ainda não imaginadas, entre diversos fabricantes diferentes?

 Como comentamos acima, a legislação brasileira não foi objeto das discussões, provavelmente por ser muito recente e por ainda depender de regulação a ser elaborada pela Autoridade Nacional de Proteção de Dados Pessoais – ANDP, etapa que ainda depende da indicação de nomes pela Presidência da República e de posterior sabatina no Senado Federal.

 Ainda assim, podemos antever que um dos maiores desafios dos reguladores nacionais se dará em torno do termo “consentimento”. Citado 37 vezes na nossa Lei Geral de Proteção de Dados Pessoais, ele é assim definido no artigo 5º, XII: “consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

 Apesar da definição clara e objetiva, sua operacionalização será bastante complexa, como notamos nas discussões ocorridas no evento do começo deste mês: 

 1. Como garantir que o consentimento seja livre, se em muitos casos os usuários não tem condições de rejeitar ou discutir os termos de uso, sob pena de serem excluídos de serviços que atualmente integram as necessidades diárias de conexão de praticamente toda a sociedade?

2. Como garantir o consentimento informado, se muitas vezes isso implica em termos de uso extensos e complexos, e que com certeza não serão exaustivos, em especial diante de usos futuros ainda não imaginados para os dados pessoais;

3. Como garantir o consentimento inequívoco, considerando-se que os termos envolvidos são tecnicamente complexos e de difícil comunicação ao usuário leigo?

4. Como garantir o consentimento para uma finalidade determinada, se por vezes novas finalidades poderão surgir, seja por novas aplicações para os dados elaboradas por humanos, seja porque algoritmos eventualmente possam sugerir ações não previamente previstas, como decorrência de métodos de Deep Learning, por exemplo?

 Jared Ho, Advogado Sênior da Divisão de Privacidade e Proteção da Identidade da Federal Trade Commission/FTC, alertou para o fato de que não bastará que as empresas definam limites em seus termos de uso, se eles não poderão ser cumpridos. E é este um dos maiores desafios: como saber, desde já, todos os limites futuros para uso de dados, suas integrações, e como comunicar aos usuários de forma que estes possam consentir de forma livre, informada, inequívoca e para uma finalidade determinada?

O papel de regulamentar a LGPD e, consequentemente, como se compreenderá o “consentimento” no Brasil, a priori (nos termos de uso) e a posteriori (no julgamento de casos), caberá à ANDP. A nova agência deve enfrentar desafios semelhantes aos enfrentados pelo FTC nos EUA. Mas, considerando o histórico regulatório brasileiro, a forte demanda por intervenção nas relações de consumo, a dispersão de entendimentos por órgãos diferentes do Ministério Público e do Judiciário, e o quão aberta e abrangente é a LGPD, podemos prever uma atuação diferente. É de se esperar que a ANPD busque sanar diversos dos problemas debatidos no evento de forma verticalizada, voltada para a proteção dos usuários, e não para a defesa da concorrência, como ocorre nos EUA.

Alguns dos problemas aventados, como por exemplo a multitude de termos de uso diferentes, e a dificuldade de formação e de comprovação do consentimento livre, informado e inequívoco não são propriamente uma novidade no direito brasileiro. A título de exemplo, o setor de planos de saúde e o setor bancário já enfrentaram esse desafio, com a existência de longos e complexos contratos que impediam os consumidores de comparar serviços, de se informarem em detalhes com relação a seus termos e de estarem preparados para alterações contratuais futuras em decorrência da evolução dos serviços.
 
 A estratégia regulatória brasileira foi bastante diferente da normalmente aplicada nos EUA. Aqui a regulação optou pela criação de contratos ou pacotes de serviços padronizados por meio das agências reguladoras. São os contratos padronizados de planos de saúde, com coberturas pré-determinadas, ou os contratos padronizados de serviços bancários, com pacotes mínimos definidos pelo ente regulador.

 Historicamente, poderíamos esperar da ANDP modelo de ação semelhante, com a regulação brasileira buscando, através dessa estratégia, padronizar e sanar os desafios impostos pela LGPD. Mas só saberemos se esse será mesmo o caminho quando os Diretores da ANDP forem indicados e nomeados. A recente mudança de orientação do Governo Federal, buscando uma menor intervenção das agências e órgãos reguladores, poderá resultar em um modelo de regulação diferente do qual estamos acostumados.

 Por enquanto o momento é de clareza com relação a alguns dos principais desafios, mas de incerteza com relação às soluções que serão apresentadas. É preciso aguardar as indicações e a sabatina dos Diretores da ANDP. A única certeza que temos por enquanto é que, sem a composição da ANDP e sem a sinalização dos rumos regulatórios a serem tomados, muitas das maiores empresas do país permanecerão sem ter como tomar decisões importantes a respeito de seus modelos de negócio.