Michel Temer aprueba la ley de protección de datos personales | Imagen: Valter Campanato/Agência Brasil/CC.
Después de dos años de negociación con el Congreso Nacional, el 14 de agosto el presidente Michel Temer aprobó finalmente la ley de protección de datos personales de Brasil. El texto original fue aprobado en ambas cámaras del Congreso por votación unánime.
La ley, tal como la definen los congresistas, es un “marco de trabajo legal para la protección, uso y tratamiento de la información personal”. La ley tiene la intención [1] de dar a las personas mayor poder controlar sus datos, pues exige que las personas jurídicas obtengan el consentimiento de una persona antes de recopilar su información. Esta es una acción importante en Brasil, donde las farmacias [2], el transporte público [3] y otros servicios a menudo captan los datos sin si consentimiento explícito ni notificación previa.
Después de el mal uso de datos captados en Facebook se volvió una preocupación a nivel mundial con el escándalo de Cambridge Analytica [4] a comienzos de 2018, el Congreso aceleró el proceso [5] en la ley.
Pero hay una trampa. El texto suscrito por Temer no es exactamente el mismo que el que se aprobó en el Parlamento. Temer vetó algunos elementos del original.
Global Voices conversó con Bia Barbosa, activista integrante del colectivo Intervozes [6] e integrante de la Coalizão Direitos na Rede [7] (Coalición Derechos en la Red), para conocer qué le preocupa al grupo sobre la ley.
Barbosa explica que el texto tiene una serie de problemas, causados sobre todo por vetos de Temer. Destaca tres:
O primeiro o veto à criação de uma autoridade independente e de um conselho de proteção de dados pessoais, que estaria vinculado à essa autoridade, garantindo participação multissetorial. Hoje, isso deixa a lei sem condições e garantia de sua aplicabilidade. O governo tem declarado que vai enviar um projeto de lei ou uma medida provisória para o Congresso para criar essa autoridade, mas as informações que a gente tem é de que o modelo que vai ser enviado pelo Executivo não respeita o modelo de autoridade que foi negociado nesse texto no Parlamento. Esse é o principal problema para a gente, porque sem uma autoridade realmente independente, com autonomia administrativa e poder sancionatório, a lei corre sérios riscos de não sair do papel.
Outro risco que nos parece bastante preocupante é o veto ao artigo 28 que estabelece o dever do poder público informar, de maneira pró-ativa a sociedade quando ele compartilha dados pessoais com outros órgãos do poder público. Esse artigo foi vetado, de uma maneira, na nossa avaliação, sem justificativa e gera uma deficiência de transparência no tratamento de dados pelo poder público.
O terceiro aspecto, que para as organizações de defesa de liberdade de expressão também é significativo, é o veto dado ao artigo que garantia a proteção dos dados pessoais dos requerentes de informação via LAI. Ou seja, os dados das pessoas que pedem informação ao poder público, tinham uma previsão garantiste de proteção aos dados desses requerentes e isso também foi vetado. Na nossa avaliação, apesar da grande maioria da lei ter sido respeitada, esses vetos são preocupantes.
El primero es el veto a la creación de una autoridad independiente y de un consejo de protección de datos personales, que estaría vinculado a esa autoridad, lo que garantiza participación multisectorial. Hoy, eso deja a la ley sin condiciones ni garantía de aplicabilidad. El Gobierno ha declarado que va a enviar al Congreso un proyecto de ley o una medida provisional para crear esa autoridad, pero la información que hemos recibido indica que el modelo que enviará el Ejecutivo no respeta el modelo de autoridad que se negoció en ese texto en el Parlamento. Ese es el principal problema que vemos, porque sin una autoridad realmente independiente, con autonomía administrativa y sancionadora, la ley tiene serios riesgos de no ponerse en práctica.
Otro riesgo que nos parece bastante preocupante es el veto al artículo 28 que establece el deber público de informar a la sociedad, de manera proactiva, cuando se compartan datos personales con otros órganos del poder público. Ese artículo fue vetado, de manera no justificada a nuestro parecer, y genera una limitada transparencia en el tratamiento de datos por parte del poder público.
El tercer aspecto, que para las organizaciones de defensa de libertad de expresión también es significativo es el veto al artículo que garantizaba la protección a los datos personales de los solicitantes de información a través de la Ley de Acceso a la Información (LAI [8]). Es decir, también se vetó una disposición que garantizaba los datos de las personas que solicitan información al poder público. A nuestro parecer, aunque se respetó la gran mayoría de la ley, estos vetos son preocupantes.
El colectivo Coalición Derechos en la Red advirtió de la posibilidad de que el presidente vetara la creación de una Autoridad Nacional de Protección de Datos (ANDP) antes de firmar. El objetivo de la ANDP era trabajar como agencia regulatoria independiente. Según el Gobierno federal, sería «inconstitucional» que el Congreso creara esa autoridad, y por lo tanto, una entidad gubernamental debería supervisar el proceso, para garantizar su funcionalidad.
Más importante, el grupo señaló que el Ejército ha estado trabajando para incorporar al Gabinete de Seguridad a la política. La Agencia Brasileña de Inteligencia está bajo la autoridad del gabinete.
A possibilidade de deixar para um órgão do próprio governo a tarefa de garantir o respeito à lei pelo poder público coloca em total risco sua eficácia.
Por isso, o texto aprovado no Congresso prevê uma Autoridade independente administrativamente do Executivo. Este modelo de autoridade não é nenhuma novidade no Brasil e é o padrão da grande maioria dos países que têm leis gerais de proteção de dados pessoais.
La posibilidad de dejar a un órgano del propio Gobierno la tarea de garantizar el respeto de la ley pone su eficiencia en riesgo total.
Por lo tanto, el texto aprobado por el Congreso prevé una autoridad administrativamente independiente del Ejecutivo. Este modelo de autoridad no es ninguna novedad en Brasil, y es el patrón en una gran mayoría de países con leyes generales de protección de datos personales.
Los vetos también pueden afectar la aplicación del Marco Civil, la «Declaración de Derechos de Internet» de Brasil que se aprobó en 2014 [9]. Como expresa Barbosa, actualmente hay cerca de 200 propuestas en revisión en el Congreso que modificarían el Marco Civil. La mayoría de las propuestas están enfocadas en dos rubros. El primero es eliminar un punto de control por parte de las empresas a las entidades estatales que quieran acceder a datos personales –la actual legislación exige que los actores estatales obtengan una orden judicial antes de ese acceso, pero muchas propuestas pendientes eliminarían ese requisito.
Na nossa avaliação, isso abre um precedente muito perigoso, para risco de vigilantismo total do poder das forças de segurança, do poder investigativo para o cidadão comum, por isso a gente tem combatido esses projetos.
En nuestra evaluación, esto abre un precedente muy peligroso, y se corre el riesgo de un vigilantismo total por el poder de las fuerzas de seguridad, o del poder de investigación de un ciudadano común y corriente, por eso hemos estado en contra de estos proyectos.
La segunda línea de propuestas obligaría a los medios sociales y otras plataformas a retirar contenido inmediatamente después de recibir una solicitud, en vez de esperar una revisión judicial. Muchos usan como excusa la “ballena azul [10]”, desafío de internet que supuestamente lleva a los adolescentes al suicidio.
Para a gente isso também é perigoso, porque coloca nas mãos dessas plataformas a responsabilidade de avaliar esses conteúdos e, não necessariamente, isso vai ser feito de uma maneira equilibrada com a defesa do princípio de liberdade de expressão. Então, a gente tem combatido esses processos no sentido de manter o marco civil na sua integralidade, entendendo que é uma lei principiológica, bastante atual.
Consideramos que eso también es peligroso, porque coloca en manos de estas plataformas la responsabilidad de evaluar ese contenido, y no necesariamente se va a hacer de manera equilibrada con la defensa del principio de libertad de expresión. Por lo tanto, hemos estado en contra de esos procesos en el sentido de mantener el Marco Civil en su integralidad, pues entendemos que es una ley de principios, muy actual.
Bia Barbosa también señala el hecho de que recopilar datos a través aplicaciones, tarjetas de crédito, navegadores de internet es ahora una “práctica indiscriminada” de muchas empresas. Esto lleva a que los datos se filtren, comercialicen arbitrariamente y se difundan sin consentimiento. “Constantemente, se está tratando y recopilando nuestros datos, sin que sepamos ni se nos informe al respecto», dice.
También expresa que, aunque el Marco Civil tiene muchas disposiciones que garantizan la protección de la privacidad de los usuarios, el texto se ha dejado de lado o ignorado, lo que ha llevado a la sociedad civil a proponer una ley específica con el objetivo de proteger los datos personales.
A gente espera agora que com a aprovação dessa lei, o Brasil comece a mudar a cultura da coleta de dados porque a ideia da lei não é impedir o tratamento de dados, mas definir em que condições isso pode acontecer, que o usuário seja informado, que respeite direitos fundamentais, que haja limites para esse tratamento, que a comercialização não seja feita de uma maneira indiscriminada e massiva como é feita hoje.
Ahora, esperamos que con la aprobación de esta ley, Brasil empiece a cambiar la cultura de la recopilación de datos, porque el objetivo de la ley no es impedir el procesamiento de datos, sino definir en qué condiciones se puede llevar a cabo: que se informe al usuario, que se respeten derechos fundamentales, que haya límites en cómo se tratan esos datos, que no se comercialice de manera indiscriminada y masiva como se hace hoy.
Brasil se acerca sus elecciones presidenciales. Temer, que asumió el cargo como vicepresidente de la destituida Dilma Rousseff [11], dejará el puesto el 1 de enero de 2019.
Al aprobar la ley, ofreció remitir «pronto» otra ley para crear la agencia. Todavía se debe definir cómo funcionará la agencia, o si estará bajo la autoridad del Ministerio de Justicia.
El diario Valor [12] lo citó:
«Eu vou mandar logo, muito brevemente um projeto de lei, mais ou menos com os mesmos dizeres, mas sem vício de iniciativa», explicou o emedebista. (…) «Vou deixar mais ou menos como está», sinalizou.
Remitiré, muy pronto, un proyecto de ley, más o menos con la misma redacción, pero sin el vicio inicial (el hecho de que lo estaba creando el Legislativo y que podía convertirse en inconstitucional, según el Ejecutivo). Lo dejaré más o menos como está.