Entrevista Danilo Doneda - Caderno CGI.br


05 DEZ 2022



Advogado e professor do Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP). Membro do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) e do Conselho Diretor da International Association of Privacy Professionals [Associação Internacional de Profissionais de Privacidade; IAPP, na sigla original]. Participou de todas as edições do Seminário de Privacidade e Proteção de Dados Pessoais do CGI.br, seja enquanto acadêmico, seja enquanto representante do governo quando integrava o Ministério da Justiça.

Quais são suas impressões gerais a respeito do Seminário e da importância dele no contexto brasileiro?

Eu me lembro da primeira edição do evento. O tema da proteção de dados era algo bastante novo. Falava-se muito de spam, e o NIC.br já tinha um trabalho sobre isso, que talvez tenha sido o antecessor direto do trabalho do NIC.br em proteção de dados. Antes do Seminário, podem ter existido outros eventos sobre proteção de dados, mas todos eles eram esporádicos. Nenhum tinha a característica de continuidade que o Seminário tem.

Foi uma sensibilidade muito interessante por parte do CGI.br a decisão de incluir o Seminário no calendário e torná-lo um carro-chefe na sua linha de eventos. A aposta do CGI.br na viabilidade do Seminário ano após ano ajudou a gerar confiança de que esse tema daria frutos e iria para frente no Brasil. Foi uma jogada interessante, porque colocou o CGI.br como um player importante. O fato de o CGI.br ser a única entidade com assento fixo no CNPD é resultado de ações como essa.


Foto: Ricardo Matsukawa/Divulgação NIC.br


Quais são suas lembranças a respeito do contexto da época?

Em primeiro lugar, tivemos um estudo sobre combate ao spam que embasou, entre outras coisas, ações sobre a famigerada porta 25 e recomendações para uma possível legislação. Ao estudar o spam, muitos dos temas que vinham à tona eram sobre proteção de dados. E o CGI.br foi um dos primeiros espaços a dar vazão ao assunto.

Qual é, na sua visão, a função do Seminário?

A meu ver, desde o começo o CGI.br teve uma sensibilidade muito grande para embasar sua atuação em várias áreas. Inicialmente, tinha embasamento técnico para tratar o registro de domínios. Aí, o CGI.br aprendeu que precisava de um embasamento também regulatório e de uma discussão mais madura para questões relacionadas à regulação propriamente dita. Isso está presente na formulação de dados, pesquisas, estatísticas, nos quais o CGI.br baseia suas ações. Minha impressão é a de que o Seminário foi construído para formar massa crítica nesse tema, que o CGI.br teve sensibilidade de perceber se tratar do tema do futuro.

Quando foi realizado o primeiro evento, eu não imaginava que chegaríamos à décima primeira edição. Não por causa do assunto, mas porque não era óbvio que o CGI.br seria um ator fundamental nisso. A proteção de dados não é registro, não é Internet, não é propriamente nada disso. Por outro lado, é talvez o único tema dentro daquilo que chamamos de direito digital que é verdadeiramente do campo do Direito. Há leis e princípios sobre isso. Então, existia aí uma nova área que estava em plena ebulição e, nesse sentido, foi uma tacada bastante consistente do CGI.br.

Quais episódios conjunturais marcaram a última década na temática de privacidade e proteção de dados pessoais?

Além do combate ao spam, um caso bastante forte para o CGI.br como um todo foi o da empresa Phorm. Esse episódio foi importante para a cultura de proteção de dados ter se consolidado no CGI.br. Para além do debate no Seminário, o CGI.br pôde colaborar com o Ministério da Justiça, elaborando uma resolução.

Como o senhor avalia o formato multissetorial do Seminário? De que forma ele contribui para o papel exercido pelo evento?

O Seminário, no geral, não mudou muito seu formato ao longo do tempo. Quando olhamos para a frente, cabe até uma revitalização, porque hoje a "concorrência" é de outro nível. Temos agora um evento desses por semana, então é preciso ter um diferencial. Mas o CGI.br se consolidou como o ponto focal das discussões, atraindo as pessoas que têm algo a dizer sobre o tema.

Qualquer pessoa inserida no debate sobre privacidade e proteção de dados tinha de aparecer no evento. Ser convidado para palestrar contava muito – e ainda conta –, era uma espécie de investidura como voz na discussão. E foi legal porque o Seminário fez isso privilegiando o multissetorialismo, o que foi importante para colocar a discussão em pé de igualdade entre os vários setores envolvidos. O Seminário permitia até situações de cobranças incisivas entre os setores, típicas de um foro aberto para discussão.

Em que medida o formato multissetorial do Seminário ajuda a gerar o que o senhor chamou de massa crítica?

Durante muito tempo, falar do anteprojeto da Lei Geral de Proteção de Dados Pessoais (LGPD) foi falar do básico do básico, explicar mesmo o que era isso. Em uma escala de zero a dez, a profundidade nunca passava de três. E o Seminário refletia essa situação. O entendimento sobre o que é proteção de dados foi crescendo de um modo muito lento, porém constante. Com o passar dos anos, os temas foram deixando de ser tangenciados e se polarizaram para tratar de fato de privacidade e proteção de dados.

Na época, falar sobre o anteprojeto da LGPD era como uma missão. Não que ele fosse perfeito, longe disso. Mas dizia constantemente que essa discussão era importante porque a gente estava ficando para trás, porque precisava ter regulamentação etc. Era na base do advocacy, mesmo. Os primeiros anos no Seminário foram dessa forma. A minha tática, digamos assim, era a de ser um agente provocador. Enquanto membro do Ministério da Justiça, tudo o que eu podia revelar, eu revelava. Eu queria que as pessoas cobrassem o andamento do anteprojeto. Espero ter sido um elemento que contribuiu para isso dar certo.

Nesse sentido, o senhor vê no Seminário uma função de nivelamento da compreensão sobre o tema da privacidade e da proteção de dados pessoais?

Certamente, muitas pessoas que gravitam em torno da Internet e confiam no CGI.br foram introduzidas ao tema da proteção de dados no Seminário, tendo ali uma referência muito importante. Inclusive, hoje em dia está tudo on-line, mas houve uma época em que vinha gente de todo o Brasil para o Seminário, em São Paulo. Não era algo banal, uma discussão que você encontrava em qualquer lugar.

Como o senhor vê o papel do Seminário enquanto uma ponte entre a primeira consulta pública para o projeto de proteção de dados pessoais, em 2010, e a segunda consulta, em 2015?

Isso é muito importante. O processo foi o seguinte: o projeto andou, foi muito debatido dentro do governo, mas as discussões não podiam sair dali. Entrou em uma fase chata das políticas públicas em que tudo é sigiloso, até chegar o momento de chamar a sociedade para discutir. Só que esse tema da proteção de dados até hoje enfrenta obstáculos dentro da administração pública. E, sete anos atrás, as pessoas da administração pública que não gostavam dessa ideia eram maioria absoluta. Elas não queriam que o projeto saísse, porque no começo esse assunto foi visto como uma loucura da área da defesa do consumidor, algo que não daria certo.

Nesse momento, foros como o Seminário deram uma arejada no andamento do projeto. Eu estava tanto no Ministério da Justiça quanto no CGI.br. E acredito que o Seminário teve a importância de funcionar como uma válvula para amenizar essa pressão. É importante lembrar que as duas consultas públicas foram apoiadas pelo CGI.br. E o Seminário teve um papel muito relevante de formação das pessoas. Proteção de dados pessoais era um tema que não existia, e o evento ajudou a formar essa comunidade. Muitas pessoas cuja atuação na área foi moldada no Seminário contribuíram para as consultas públicas.

Considerando a proposta multissetorial do Seminário, na sua percepção, qual setor foi mais participativo no evento?

Um aspecto interessante é que talvez hoje a participação do terceiro setor seja mais forte do que nos primeiros anos do Seminário. A meu ver, no Brasil, uma parte do setor privado percebeu antes a importância da proteção de dados em comparação com a própria sociedade civil. Muitas empresas estavam inseridas em um contexto internacional, trocavam dados com a matriz ou com empresas de outros países. Elas viam que, em algum momento, esse tema chegaria aqui. Por isso, desde o início muitas empresas participaram do evento com muita propriedade.

O episódio envolvendo Edward Snowden, em 2013, trouxe várias pessoas para o tema. Mas, no geral, sendo injusto com muita gente, no começo a participação da sociedade civil foi aquém do que eu gostaria. Não havia especialização desse setor sobre o assunto. Depois, é claro, acertaram-se os ponteiros, e hoje a sociedade civil está na vanguarda. Se não estivesse, estaríamos perdidos, porque cada semana tem um problema novo.

Como o senhor compara a experiência do Brasil com a de outros países no que se refere à privacidade e à proteção de dados pessoais?

É difícil comparar a situação brasileira com qualquer outra. No Brasil, de forma geral, a sociedade civil tem um peso muito mais forte em questões referentes a políticas de Internet e de redes digitais. Não existem na Europa organizações com o peso e com o acesso a parlamentares no nível em que a gente tem aqui. Há uma ou outra experiência, mas são exceções. Os Estados Unidos têm uma sociedade civil forte em alguns temas; ainda assim, eles sequer sonham em ter peso político para ajudar a catapultar um assunto desses. Então, o poder que a sociedade civil brasileira tem é maior do que pode parecer. Comparado com a média, é algo impressionante.

Não vejo acontecer em países semelhantes ao Brasil a presença de pessoas que vão lá falar com parlamentares, que têm acesso a documentação, que contribuem em projetos de lei. Isso é muito importante. Nesse sentido, certamente o Seminário tem um papel em informar as pessoas. E ao contrário do que acontece em algumas universidades e centros de pesquisa pelo país, onde muitas discussões acadêmicas sobre proteção de dados nascem, crescem e ficam por lá, sem gerar insumos diretos para políticas públicas, o Seminário funciona como uma espécie de elemento galvanizador que atrai pessoas tanto da academia quanto da sociedade civil, sempre gerando resultados. As discussões do Seminário são muito práticas. Elas estão voltadas a resolver problemas que estão diante das pessoas.

O modelo multissetorial do CGI.br, que tem incidência sobre o próprio formato do Seminário, faz com que a discussão no evento corra no nível das propostas, e não tanto no nível das ideias. Mesmo quando ocorre em um plano mais teórico, alguém transforma isso em alguma coisa. É muito importante para os formuladores de políticas públicas ter esses elementos para ajudar na discussão. Existem hoje grupos de pesquisa sobre proteção de dados que estão fazendo trabalhos interessantes, mas que não se comunicam e, às vezes, até se fecham, tornando-se um fim em si mesmo. Isso não é uma crítica. Mas, se fosse sempre assim, não teríamos a contribuição dessas pessoas para as políticas públicas. O próprio multissetorialismo auxilia nesse sentido, porque cada um vai defender seu ponto de vista, mas o resultado final tende a ser uma contribuição.

O senhor acredita que o Seminário contribuiu para a formação da opinião pública a respeito da necessidade de ter um órgão independente no âmbito da LGPD, como no caso da Autoridade Nacional de Proteção de Dados (ANPD)?

Acredito que sim. Não foi o único fator para isso, mas contribuiu bastante. Esse tema da independência sempre foi muito caro para nós, que estávamos fazendo o anteprojeto. A gente sabia que era um tema difícil de emplacar e, ao mesmo tempo, algo com o qual não havia possibilidade de sermos condescendentes: ou o órgão seria independente, ou teríamos um esquema de segunda classe. Hoje, temos uma autoridade que, nominalmente, é o que foi possível fazer, mas é de segunda classe no sentido de que ela não tem a devida independência para ser autoridade. Isso foi colocado na pauta desde o começo, e foi muito importante. O debate esteve presente em várias edições do Seminário, e muitas pessoas foram doutrinadas no tema pelas discussões que tivemos lá.

O senhor enxerga uma correlação entre o formato multissetorial proposto pelo Seminário e a escolha por um conselho nacional multissetorial para auxiliar a ANPD?

Incidentalmente, sim. Mas a natureza do conselho é mais resultado da influência do próprio CGI.br do que do Seminário. Claro que ter painéis multissetoriais é fundamental para que essa visão seja assimilada e replicada. No entanto, o grande modelo, de forma consciente ou inconsciente, é o do CGI.br.

Há uma expectativa muito grande a respeito do trabalho do conselho. Não sabemos o que vai acontecer, mas será preciso utilizar formas criativas de se fazer ouvir, caso não haja uma agenda ativa de reuniões ou formas efetivas de atuação. E o próprio formato multissetorial do CGI.br explica seu assento no conselho. De um lado, há a “senioridade” do CGI.br em termos de multissetorialismo. De outro, ninguém sabe dizer se o CGI.br é sociedade civil, governo etc. Então, é melhor ser pragmático e dar um assento à parte.

Considerando o estímulo do Seminário à criação de um ambiente público e relevante de discussão sem assuntos tabu, incentivando a imaginar diferentes possibilidades de futuro, qual é, na sua visão, um possível futuro para o tema da privacidade e da proteção de dados pessoais no Brasil?

Estamos em um momento muito importante, mas há algumas armadilhas. Antes, a questão era programática, um pouco romântica, focada em discutir direitos. Hoje, a discussão está muito capturada por questões bastante concretas e pragmáticas, digamos assim. Como será a adequação disso, a regulamentação daquilo. Existe um risco, como aconteceu em vários países, de você começar a discutir os instrumentos práticos e esquecer os fundamentos, a razão de ser de tudo isso.

Nesse sentido, há um espaço muito importante a ser explorado, que é tentar projetar o futuro da temática não no sentido da implementação da lei, mas de quais serão os temas de privacidade nos próximos anos. Um exemplo é a privacidade cognitiva, que alguns chamam de privacidade mental. Há também assuntos relacionados ao livre arbítrio, que implicam na utilização de dados para eventualmente diminuir o espaço de escolha. Essas questões já estão sendo aplicadas em áreas como o marketing e estão passando completamente batidas por quem trabalha com proteção de dados pessoais sob o prisma da implementação e da adequação à lei.

Para continuar relevante, o Seminário terá de prospectar: quais são os novos caminhos daqui para frente? Algumas pistas estão aí. A proteção de dados foi reconhecida como direito fundamental e, enquanto tal, será reconhecida em qualquer instância, independentemente de a empresa estar adequada ou não. Se aquilo que ela está fazendo representa um problema ao cidadão, é um problema de proteção de dados. Infelizmente, a proteção de dados não é uma tabuleta de conformidade capaz de gerar uma segurança absoluta. Precisamos encontrar o novo tom e trabalhar tudo isso, sem que se torne uma discussão meramente acadêmica. Muito embora a discussão acadêmica seja fundamental para identificarmos os sistemas, ela deve estar voltada às demandas que estão surgindo para nós.