Point sur la loi française

Atualização sobre a lei francesa

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO RGPD – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

As duas últimas linhas do RGPD, que revoga o artigo 94.º da Diretiva 95/46/CE, ou seja, o texto de referência anterior sobre proteção de dados, são as seguintes: "É aplicável a partir de 25 de maio de 2018. O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros." Portanto, não há necessidade de transposição para lei a nível nacional. No entanto, os Estados são convidados a fazê-lo, o que corresponde à prática de muitos deles. Onde vemos que a Europa ainda não é uma federação, longe disso.

A França elaborou, portanto, um projeto de lei (um texto submetido ao parlamento, único detentor do poder legislativo, mas proposto pelo governo) que incorpora as disposições do regulamento europeu sobre a proteção de dados pessoais (conhecido como "pacote europeu"). Este texto, apresentado em meados de dezembro de 2017 pela Ministra da Justiça, Nicole Belloubet, foi aprovado em 13 de fevereiro de 2018 pela Assembleia Nacional, com uma maioria muito ampla (505 votos a favor, 18 votos contra e 24 abstenções). Para entrar em vigor, ainda precisa ser aprovado pelo Senado, que o analisará a partir de 20 de março (portanto, não sabemos o resultado no momento da redação deste texto, no início de março, mas não há razão para que os senadores votem de forma diferente de seus colegas parlamentares neste ponto).

Ontem, era a Lei de Proteção de Dados de 1978 que estava em vigor. Essa longevidade demonstra a inteligência dos defensores dessa lei na época (a internet não existia), mesmo que ela esteja obsoleta. A nova lei, portanto, substitui a de 1978, assim como o GDPR substitui a diretiva de 1995 em nível europeu. Às disposições do regulamento que vimos, ele acrescenta as de uma diretiva aplicável a processos criminais (que abrangeriam, nomeadamente, o arquivo nacional de impressões digitais genéticas, o de proibições de estádios ou mesmo o processamento de antecedentes criminais).

"Isso envolve a simplificação das formalidades preliminares em favor de um processo de responsabilização das partes interessadas e o fortalecimento dos direitos individuais. Em troca, os poderes da CNIL são fortalecidos e as penalidades incorridas são consideravelmente aumentadas", disse a Sra. Belloubet, ecoando a filosofia da regulamentação europeia.

A lei vai ainda mais longe do que o GDPR em dois pontos: a idade da "maioridade digital" e as ações coletivas. Quanto ao primeiro ponto, lembramos que o GDPR a fixa em 16 anos, mas permite que os estados a reduzam para 13. A França optou por uma posição intermediária: "Um menor pode consentir sozinho com o tratamento de dados pessoais a partir dos 15 anos" (essa redução de um ano não partiu do governo, mas dos próprios deputados, na forma de uma emenda ao projeto inicial). Entre os 13 e os 15 anos, o consentimento dos pais é obrigatório. Abaixo dos 13 anos, toda coleta de dados é proibida. Mas como aplicar tais disposições quando sabemos que, de acordo com um estudo da CNIL de junho de 2017, 63% dos jovens de 11 a 14 anos estão registrados em uma rede social, que 4 em cada 10 mentem sobre sua idade e que as plataformas ou redes sociais definem suas próprias regras (é possível se registrar no Facebook sem autorização dos pais a partir dos 13 anos)?

O outro ponto forte da nova lei de proteção de dados é a possibilidade de ações coletivas, já iniciadas pelas leis de 2014 e 2016, mas que desta vez permitiriam a indenização por danos de "natureza material ou moral", enquanto até agora apenas danos econômicos eram considerados. Apesar da dificuldade de implementação de tal procedimento, trata-se de um meio adicional de pressão sobre as empresas, estabelecido pela nova lei francesa.

O texto francês, em conformidade com o GDPR, que prevê exceções para áreas relacionadas à segurança, mantém a autorização prévia para o processamento de "dados biométricos necessários à identificação ou verificação da identidade de indivíduos". Da mesma forma, a legislação europeia não se aplica a uma dúzia de arquivos chamados de "soberania", como o arquivo de alertas para a prevenção da radicalização de natureza terrorista (FSPRT).

Um aspecto surpreendente da lei parece ter recebido pouca atenção: o projeto de lei autoriza o governo a reescrever toda a Lei de Proteção de Dados no prazo de seis meses, na forma de uma portaria (artigo 38 da Constituição, o governo atua em uma área que é notavelmente a do Parlamento). Essa nova lei de proteção de dados teria, portanto, uma duração limitada? Isso não só parece surpreendente, dado que o conteúdo principal da lei é a transposição de uma importante regulamentação europeia, projetada para durar. Mas, além disso, questiona-se por que o Parlamento abriria mão de seu poder sobre uma questão tão fundamental. Finalmente, como podemos exigir que as empresas cumpram até 25 de maio de 2018, se as regras do jogo forem alteradas nos próximos meses?

O raro consenso em nosso país sobre as novas medidas em prol da proteção de dados não deve nos impedir de ouvir críticas, quando vindas de pessoas com inegável expertise no assunto. Mencionaremos apenas duas delas.

A primeira é de Yann Padova, ex-secretário-geral da CNIL, agora advogado da Baker McKenzie, que escreveu no Les Échos em 29 de janeiro: "Nosso mundo está vivenciando uma enxurrada de dados, cujo volume dobra a cada 24 meses. Facilitar sua análise, buscar novas correlações e incentivar o surgimento de serviços inovadores — este é o desafio do Big Data hoje e da inteligência artificial amanhã. Ao se recusar a explorar essa possibilidade, o projeto de lei está optando pelo conservadorismo. Dadas as forças da nossa indústria francesa e da nossa escola de matemática, essa escolha é lamentável. Ela demonstra mais uma vez a falta de consideração pela relação entre inovação, proteção de dados e desenvolvimento industrial."

A segunda é de Laurent Alexandre, especialista em inteligência artificial (entre outros), cujas análises esclarecedoras nos esclarecem há anos sobre o impacto das tecnologias NBIC (nano, bio, ciência da computação, ciência cognitiva) em nossas vidas. Em sua coluna de 24 de janeiro de 2018, intitulada "A CNIL deve ser abolida?", ele escreve: "... A IA encontra correlações inesperadas entre dados, que parecem, a priori, desinteressantes. Qualquer restrição à coleta de dados certamente prejudica todos os operadores, mas, acima de tudo, permite que empresas chinesas ou americanas prosperem sem a concorrência europeia." E ainda: "Em Bruxelas, precisamos de uma Thatcher dos dados para liderar a guerra tecnológica. Em escala francesa, precisamos revolucionar a CNIL, que é liderada por uma equipe notável, mas que persegue o objetivo errado. Precisamos enriquecer sua missão integrando os interesses tecnológicos do nosso país."

Este não é o lugar para abrir um debate. Mas essas duas perspectivas sensatas nos mostram que a legítima proteção de dados pessoais não deve ser exercida em detrimento da inovação e do desenvolvimento econômico, sob pena de sermos vassalados.


Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT