Festa para a proteção de dados na América do Sul

O 28 de janeiro celebra anualmente o Dia Internacional da Proteção de Dados Pessoais. A data assinala um marco importante nessa seara pois, há 40 anos, surgia a Convenção 108 do Conselho da Europa, primeiro documento internacional sobre o tema com efeitos vinculantes. A convenção nascida em 1981, que está aberta para assinatura e ratificação para qualquer país do mundo, mesmo que não seja membro dessa organização internacional, tem hoje como signatários países de todos os continentes, inclusive nossos vizinhos Argentina e Uruguai.

O Acordo sobre Comércio Eletrônico do Mercosul, além de trazer uma definição de dado ou informação pessoal que é idêntica àquela contida na nossa Lei Geral de Proteção de Dados (LGPD), apresenta regras específicas sobre a proteção de dados que criam obrigações para os Estados-partes.

O acordo, por exemplo, diz que "as Partes deverão adotar ou manter leis, regulamentos e medidas administrativas para a proteção da informação pessoal dos usuários envolvidos no comércio eletrônico". Para tais fins, os países do Mercosul levarão em consideração os padrões internacionais existentes nesta matéria e envidarão esforços para assegurar que o marco legal para a proteção dos dados pessoais dos usuários do comércio eletrônico não tenha caráter discriminatório.

A Decisão 15/20 também se refere ao estabelecimento de medidas comuns de proteção de dados e sua livre circulação no Mercosul, e abre espaço para a criação de uma área de livre circulação de dados no âmbito do Mercosul ao prever que "cada parte permitirá a transferência transfronteiriça de informações por meios eletrônicos, quando esta atividade tiver por objetivo a realização da atividade comercial de uma pessoa de uma parte". À clássica livre circulação de bens, serviços e fatores produtivos do Mercosul soma-se agora, portanto, a "livre circulação de dados".

Para o Brasil, em meio à implementação da LGPD, a sua primeira legislação de proteção de dados, a Decisão 15/20 é o primeiro documento oficial que cuida especificamente da transferência internacional de dados, matéria que, aliás, será abordada pela Autoridade Nacional de Proteção de Dados somente em 2022, de acordo com sua agenda regulatória recentemente divulgada.

E por que a Decisão 15/20 é um marco para a proteção de dados da nossa região? Porque essa é a primeira vez em que uma norma aprovada no âmbito regional estabelece regras para a proteção de dados que são de cumprimento obrigatório por seus Estados-partes, algo que vinha se discutindo há anos, mas que nunca tinha virado regra. Os reflexos disso sobre os direitos fundamentais, a começar pela privacidade, e os direitos internacionais do consumidor são enormes.

Neste 2021, o Tratado de Assunção, documento fundador do Mercosul, completa 30 anos. Até há pouco tempo, o Brasil era o único Estado-parte do Mercosul a não possuir uma lei geral de proteção de dados, o que, dados o tamanho e o peso do mercado brasileiro, acabava por retardar o avanço desse tema na agenda regional.

Com a nova Decisão 15/20, o Mercosul também consolida sua posição de instituição que fomenta desenvolvimentos normativos fundamentais no Brasil referentes à matéria. Em 2005, a Argentina propôs uma normativa sobre proteção de dados que resultou em documento aprovado pelos países em 2010, mas que nunca chegou a ser referendado como normativa do bloco. Esse documento foi a base em torno da qual se desenvolveu o anteprojeto de lei que, após seu trâmite, resultou na Lei Geral de Proteção de Dados. Parece que agora a relevante questão da proteção de dados pessoais chegou mesmo para ocupar um lugar de destaque na agenda do Mercado Comum do Sul.