Imagem disponibilizada via Pexels por Mati Mango. Usada sob a permissão de Pexels.

O governo de Bangladesh está trabalhando em um projeto de lei de proteção de dados, conhecido como DPA, que será a primeira legislação do país com foco em privacidade e proteção de dados. Analistas apontam que o projeto contém brechas, incluindo a isenção de responsabilização de agências governamentais o que poderia permitir que o governo utilizasse a futura lei para suprimir os direitos dos cidadãos e críticos do governo da mesma forma que a Lei de Segurança Digital (Digital Security Act, DSA) de 2018 tem sido aplicada.

O projeto de lei foi disponibilizado ao público no site da Agência de Segurança Digital no início de 2021, mas aparentemente não estava disponível no momento da edição deste artigo. A norma define amplamente os direitos e obrigações dos titulares, controladores e processadores de dados, e descreve a fonte de dados e métodos de arquivamento, incluindo cláusulas para auditoria de dados e notificações em caso de violação de dados.

Até o surgimento do DPA, a principal legislação pertinente às atividades on-line era a Lei de Segurança Digital, que foi amplamente criticada por organizações de direitos humanos por ser utilizada como ferramenta de repressão da liberdade de expressão dos cidadãos. A Lei de Segurança Digital foi utilizada para justificar a prisão de mais de 400 pessoas desde a sua implementação em setembro de 2018, incluindo jornalistas, ativistas e cidadãos que postam nas redes sociais.

A empresa de consultoria estratégica BGA Asia afirma que a Lei de Proteção de Dados poderia entrar em vigor antes das eleições gerais de dezembro de 2023. Contudo, o projeto de lei ainda não foi finalizado.

As motivações do governo para a criação da lei não são claras. Embora leis de proteção de dados frequentemente tenham como objetivo proteger o direito de privacidade dos cidadãos, muitas das propostas desse projeto de lei, na verdade, aumentariam o acesso do governo aos dados pessoais e, em teoria, também elevariam a sua capacidade de vigilância. Embora tenha algumas semelhanças com o emblemático Regulamento Geral sobre a Proteção de Dados (RGPD), da União Europeia, a principal diferença é que certas agências estatais estarão isentas do cumprimento da lei, e funcionários da Agência de Segurança Digital e do Departamento de Proteção de Dados ficarão imunes a processos. Essas isenções eliminam a responsabilização e estabelecem precedentes para o governo utilizar a lei como arma política contra os críticos.

Outra grande diferença entre as duas propostas é o incentivo à localização de dados, ou soberania de dados, tendo em vista que a lei estabelece que os dados pessoais dos cidadãos de Bangladesh devem permanecer no país. Especificamente, o projeto diz que “todo controlador de dados deve armazenar pelo menos uma cópia dos dados dentro dos limites geográficos de Bangladesh”. Sob esta cláusula, o governo de Bangladesh poderia potencialmente exercer jurisdição investigatória para obter acesso a mais dados do que nunca. Conforme descrição da Human Rights Watch, de acordo com a emenda de 2006 à Lei de Telecomunicações, o governo de Bangladesh pode conceder a qualquer agente de segurança a autoridade para “proibir, registrar ou coletar informações” que seja “enviada por qualquer cliente que utilize qualquer serviço de telecomunicação” para fins de segurança nacional e ordem pública, o que já é uma determinação ampla. Isso, em conjunto com a Lei de Segurança Digital, e as exceções mencionadas anteriormente, cria um aparato de vigilância de privacidade invasivo e abrangente que é profundamente preocupante para os direitos de privacidade dos cidadãos de Bangladesh.

Protesto pela morte de Mushtaq Ahmed, preso em 25 de fevereiro de 2021 sob a Lei de Segurança Digital (Digital Security Act, DSA). Captura de tela do vídeo do YouTube por Nagorik News.

Esta lei também teria importantes consequências para as empresas e organizações internacionais que funcionam em Bangladesh, que poderiam utilizar servidores localizados em outros países para hospedar seus dados e que teriam que modificar grande parte de sua infraestrutura para garantir que os dados dos cidadãos de Bangladesh permaneçam dentro do país. Do ponto de vista operacional, para empresas internacionais de redes sociais que operam em Bangladesh, seria extremamente difícil implementar os requisitos da lei. Contudo, o projeto de lei do DPA supostamente se aplica a todas as empresas “independentemente de porte ou receita”, o que, presumidamente, poderia tornar quase impossível o cumprimento das exigências sem altos custos para pequenas empresas, o que significa que todas as empresas ou controladores de dados seriam afetados negativamente, independentemente do porte.

A Transparency International Bangladesh pediu ao governo para realizar uma consulta às partes interessadas e disponibilizar o projeto de lei novamente para o público, destacando que os receios das partes interessadas antes da implementação da Lei de Segurança Digital de 2018 se confirmaram. Cidadãos de Bangladesh expressaram preocupação ao escrever nas redes sociais sobre como o DSA já amordaçou a liberdade de expressão e temem que essa nova lei possa colocar usuários de redes sociais sob um risco ainda maior.

Md Saimum Reza Talukder, professor de legislação cibernética na Universidade Brac, observa que a cláusula de localização de dados provavelmente diminuiria a segurança dos dados dos cidadãos, considerando a pequena quantidade de servidores de dados que existem em Bangladesh. Ele também aponta que a privacidade de fontes jornalísticas e de defensores dos direitos humanos estaria particularmente em risco com essas cláusulas.

A notícia da lei surge em meio a relatos de que o partido governante Liga Awami iniciou o treinamento de “milhares de militantes para travar uma guerra propagandista nas redes sociais em preparação para a próxima eleição geral”. No contexto de como a Lei de Segurança Digital de 2018 foi usada para censurar e reprimir os críticos do governo, a proposta de um exército digital focado no monitoramento das redes sociais é profundamente preocupante.

A combinação do DSA, relatos do exército digital propagandista e deste projeto de lei de proteção dos dados sugerem que a Liga Awami está direcionando a sua atenção para o mundo digital antes das eleições de 2023, buscando aumentar sua capacidade de vigilância e controle de dados e da tecnologia de Bangladesh.