*A imagem utilizada nesse artigo foi criada por uma inteligência artificial generativa.

Em 27/11/2023, foi aprovado pelo Conselho da União Europeia o texto final do Data Act, regulamento sobre acesso e uso equitativos de dados que vinha sendo discutido desde fevereiro de 2022, quando foi proposto pela Comissão Europeia. No Brasil, o deputado federal Arlindo Chinaglia (PT) apresentou, em 01/11/2023, o Projeto de Lei Complementar 234/2023 (PLP 234/23), uma proposta aparentemente similar que visa a instituir a “Lei Geral de Empoderamento de Dados”. À primeira vista, o PLP 234/23 parece semelhante ao Data Act europeu, já que ambos versam sobre ampliação de acesso a dados por titulares e usuários. Contudo, uma análise das duas propostas revela importantes diferenças.

Os principais objetivos do Data Act são promover justiça na atribuição de valor dos dados entre os intermediários da economia digital; estimular um mercado de dados competitivo; tornar dados um ativo acessível; promover a inovação baseada em dados, com maior protagonismo da UE; e facilitar a mudança entre prestadores de serviços de tratamento de dados.[1] Para tanto, o Data Act estabelece, dentre outras, regras sobre a disponibilização de dados dos detentores a destinatários, sobretudo dados de produtos conectados (e.g. internet das coisas – IoT) e de serviços ao usuário do produto ou serviço conectado, já que os dados costumam ficar disponíveis somente aos fornecedores dos produtos ou serviços digitais. “Usuário” pode ser uma pessoa física ou jurídica[2] – diferente do conceito de “titular de dados pessoais” no Regulamento de Proteção de Dados Pessoais (GDPR)[3] – e os “dados” referidos no Data Act incluem tanto dados pessoais quanto não pessoais,[4] como dados gerados por veículos conectados, que com as regras do Data Act poderiam ser acessados pelos motoristas e compartilhados com seguradoras, por exemplo.[5]

Dessa forma, a relação do Data Act com o GDPR é de complementaridade, como notam Buttaboni, Casolari e Floridi (2023) a respeito do direito à portabilidade de dados, previsto nos Arts. 15 e 20 do GDPR e ampliado no Data Act.[6] Além disso, em caso de conflitos, o Data Act prevê a primazia do GDPR.[7]

Embora o Data Act estabeleça direitos dos usuários de produtos e serviços que gerem dados (e.g., os direitos dos usuários e titulares com relação ao acesso, uso e disponibilização de dados de produtos e serviços relacionados, no artigo 4º; e o direito do usuário de compartilhar os dados com terceiros, no artigo 5º), é notória a preocupação concorrencial do Regulamento, fazendo referência, inclusive, aos gatekeepers do Digital Markets Act (DMA) recém aprovado, restringindo o compartilhamento de dados por terceiros a esse determinado grupo de agentes econômicos.[8] Além do DMA, Buttaboni, Casolari e Floridi (2023) mostram que o Data Act se insere em um contexto amplo de estratégias da UE com relação à economia digital, com destaque para a Strategic Autonomy Doctrine introduzida em 2013, que consolidou a meta de soberania digital da UE e abriu caminho para a European Strategy for Data de 2020, e o Data Governance Act aprovado em 2022, que estabelece regras para o uso responsável de dados, e visa à promoção de um ambiente digital equitativo.[9]

O PLP 234/2023 brasileiro, por sua vez, tem o objetivo de criar um “Ecossistema Brasileiro de Monetização de Dados”, a fim de “assegura[r] a participação do titular dos dados nos resultados econômicos decorrentes da sua distribuição, agrupamento, compartilhamento, processamento ou disseminação pelas instituições detentoras de contas de dados, transmissoras de dados, receptoras de dados ou iniciadoras de transação de dados” (Art. 4º). Ou seja, o Projeto visa à monetização de dados pelos titulares, não apenas por empresas como plataformas digitais. A justificação do PLP 234/2023 explica o funcionamento dessa ideia a partir do exemplo da ferramenta dWallet da empresa DrumWave:

“Destaca-se, nesse contexto, a emergência de novas ferramentas e tecnologias para permitir a monetização de dados pessoais, que são relativamente recentes e ainda não são amplamente utilizadas, desenvolvidas por empresas estão atuando no sentido de viabilizar meios tecnológicos para controlar o fluxo de dados pessoais e mensurar o seu valor. [...] O ecossistema de monetização de dados proposto pela DrumWave permitirá ao usuário organizar, autenticar e vender seus dados a terceiros, e inclui a IBM como parceria que proverá a Inteligência Artificial, a hospedagem da plataforma na sua cloud híbrida, os agentes de dados, certificadores e os “aplicativos de dados”.

[...] Assim, uma vez certificados os dados de cada pessoa, atuando como uma espécie de cartório de registro dessas relações, e atribuídos valores de transação para que todos possam transformar dados em valor financeiro, os direitos de cada uma das partes estariam definidos contratualmente, protegendo o direito de propriedade e disciplinado essa exploração econômica.

[...] Assim, diversas companhias poderão atuar como agentes de dados e ter autorização dos seus clientes para poder transacionar esses dados e remunerar da forma correta esses titulares. [...] Para essa finalidade, o titular de dados irá “abrir uma conta” de dados, ou uma “carteira digital”, que a DrumWave identifica com o nome “Personal dWallet”. A dWallet é um aplicativo que poderá ser incorporado, como atualmente ocorre com o Pix, aos aplicativos de bancos, marketplaces, plataformas eletrônicas e outras formas de captação de dados utilizadas pelo titular dos dados. Essa ferramenta é que vai dar a possibilidade de a pessoa certificar os dados com quem ela se relaciona, que podem ser outras pessoas, empresas ou instituições.”[10] (grifamos)

Para tanto, o ponto central do PLP 234/2023 é a criação do direito de propriedade sobre dados, que embasaria os contratos de cessão de uso de dados, alterando a Lei Geral de Proteção de Dados, o Código Civil e o Código do Consumidor. Na LGPD e no Código do Consumidor, seriam introduzidos novos direitos relativos à propriedade, acesso e compartilhamento de dados dos titulares e consumidores, dentre outras alterações à LGPD para a introdução do Ecossistema de Monetização. No Código Civil, seriam introduzidos novos dispositivos para definir dados como “bens singulares” e viabilizar o direito à propriedade e os contratos de cessão de uso de dados.[11]

O PLP não define “dados” para os fins da norma. O foco da legislação proposta, contudo, são dados pessoais, especificados em diversas disposições. Por exemplo, a definição de “coleta de dados” menciona “informações pessoais” (Art. 2º, I) e o direito de propriedade é assegurado aos “titulares” sobre os “dados pessoais” (Art. 4º, I). O próprio Ecossistema de Monetização de Dados abrangeria, a priori, apenas o compartilhamento de diferentes tipos de “dados pessoais”, listados nos incisos do Art. 8º, e facultaria às instituições participantes “incluir outros tipos ou conjunto de dados no escopo do Ecossistema Brasileiro de Monetização de Dados, desde que observados os princípios, os requisitos para compartilhamento e as demais disposições desta Lei” (Art. 8º, §1º). Esse foco nos dados pessoais é presente também na justificação do Projeto, que objetiva a monetização de dados pessoais por usuários de aplicações da internet e de dispositivos conectados. Entretanto, a definição de “titular de dados” (Art. 2º, XVIII, do PLP 234/2023) inclui pessoas jurídicas, diferente da definição de titulares de dados pessoais na LGPD, limitada a pessoas naturais. [12]

Dessa forma, o Projeto de Lei se autodenomina “pioneiro”, já que o regime de propriedade sobre dados pessoais e o Ecossistema de Monetização de Dados não possuem equivalentes em legislações estrangeiras.[13] O Projeto possui pontos em comum com o Data Act europeu, já que ambos visam possibilitar que usuários de produtos e serviços conectados possam acessar seus dados e compartilhá-los com terceiros. No entanto, o Data Act o faz por meio de obrigações impostas aos fornecedores dos produtos ou serviços, garantindo o direito de acesso e compartilhamento aos usuários, mas não o de propriedade. Além disso, o Data Act não tem o objetivo de promover a monetização de dados pelos usuários, nem de “promover a geração de renda e poupança individual por meio do exercício de direitos de propriedade de dados pelo titular de dados” (como quer o Art. 5º, IV, do PLP 234/2023). A estratégia europeia foca não no ganho financeiro individual dentro da economia digital, mas sim na regulação econômica do mercado digital a partir do acesso a dados.

[1] Council of the European Union. Data Act: Council adopts new law on fair access to and use of data. Press release. 27 de novembro de 2023. Disponível em: https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/. Acesso em 04/12/2023.

[2] “Article 2 – Definitions

[…] (12) ‘user’ means a natural or legal person that owns a connected product or to whom temporary rights to use that connected product have been contractually transferred, or that receives related services;

(13) ‘data holder’ means a natural or legal person that has the right or obligation, in accordance with this Regulation, applicable Union law or national legislation adopted in accordance with Union law, to use and make available data, including, where contractually agreed, product data or related service data which it has retrieved or generated during the provision of a related service;

(14) ‘data recipient’ means a natural or legal person, acting for purposes which are related to that person’s trade, business, craft or profession, other than the user of a connected product or related service, to whom the data holder makes data available, including a third party following a request by the user to the data holder or in accordance with a legal obligation under Union law or national legislation adopted in accordance with Union law” Data Act. Disponível em: https://data.consilium.europa.eu/doc/document/PE-49-2023-INIT/en/pdf. Acesso em 04/12/2023.

[3] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (Texto relevante para efeitos do EEE), Art. 4 (1).

[4] Data Act (op. cit), Art. 1 (2).

[5] Cf. exemplo citado pelo Conselho da União Europeia (op. cit.).

[6] Casolari, Federico; Buttaboni, Carlotta; Floridi, Luciano. The EU Data Act in Context: A Legal Assessment. 26 de setembro de 2023. pp. 14-16. Disponível em: https://ssrn.com/abstract=4584781 ou http://dx.doi.org/10.2139/ssrn.4584781. Acesso em 04/12/2023.

[7] Data Act (op. cit.), Art. 1(5): “[…] Insofar as users are data subjects, the rights laid down in Chapter II of this Regulation shall complement the rights of access by data subjects and rights to data portability under Articles 15 and 20 of Regulation (EU) 2016/679. In the event of a conflict between this Regulation and Union law on the protection of personal data or privacy, or national legislation adopted in accordance with such Union law, the relevant Union or national law on the protection of personal data or privacy shall prevail.”

[8] Data Act (op. cit.), Recitals (passim) e Art. 6(2)(d): “[…] The third party shall not: […] (d) make the data it receives available to an undertaking designated as a gatekeeper pursuant to Article 3 of Regulation (EU) 2022/1925”.

Casolari, Federico; Buttaboni, Carlotta; Floridi, Luciano, op. cit., p. 14: “Recital 36 of the DA specifies that data cannot be made available to large providers designated as ‘gatekeepers’ under the Digital Markets Act. Finally, it has to be noted that the obligations flowing from Chapter II are not applicable to data generated by micro or small enterprises.”

[9] Casolari, Federico; Buttaboni, Carlotta; Floridi, Luciano. Op. cit. pp. 4-12.

[10] Projeto de Lei Complementar nº 234/2023, Justificação, p. 27-28. Disponível em: https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2401133. Acesso em 04/12/2023.

[11] Projeto de Lei Complementar nº 234/2023, Arts. 49 a 52 e Justificação, pp. 34-37.

[12] Lei nº 13.709/2018, Art. 5º, V. A definição da LGPD não seria alterada, já que o PLP 234/2023 não incluiu a alteração dessa definição dentre as alterações propostas à LGPD (Art. 49 do PLP 234/2023).

[13] Projeto de Lei Complementar nº 234/2023, Justificação, p. 27.