O executivo chefe para a privacidade – o modelo norte-americano para a autoridade supervisora da proteção de dados


A simples existência de leis que regulem o processamento de informações pessoais não é garantia absoluta do respeito à privacidade dos indivíduos. É necessário que os governos adotem políticas que tornem efetivas essas regras, criando toda uma estrutura de órgãos que tenham como função precípua a fiscalização da atividade de empresas privadas e também públicas que, de alguma forma ou por meio de qualquer processo, façam uso e manipulem dados de natureza pessoal. Essa é a linha seguida pela Diretiva Européia n. 95/46/EC[1], que, a par de estabelecer toda uma gama de princípios e regras que restringem a atuação de entidades que coletam e distribuem informações privadas, impôs que cada Estada membro da União Européia instituísse ao menos um órgão ou autoridade responsável pelo monitoramento de suas disposições, dentro dos respectivos territórios de cada um desses países (art. 28, item 01)[2].


Além de serem totalmente independentes do governo que as institui, pois exercem “com total independência as funções que lhes forem atribuídas” (parte final do dispositivo citado), as autoridades de proteção de dados são dotadas de “poder de inquérito” (art. 28, item 02), podendo instaurar procedimento para averiguar atividades que violem os direitos relativos à privacidade individual (art. 28, item 03); “poder de intervenção”, podendo bloquear ou impedir temporariamente as atividades de empresas (mesmo dispositivo); “poder de notificação”, através do qual podem dirigir uma comunicação ou advertência ao responsável pelo tratamento dos dados (mesmo dispositivo); “poder de intervenção em processos judiciais”, no caso de violação das disposições de caráter nacional adotadas na Diretiva (mesmo dispositivo); e poder de “recebimento de reclamações” para proteção dos direitos e liberdades ligadas a questões da privacidade, feitas por qualquer pessoa ou associação que a represente (art. 28, item 04).


Praticamente todos dos países da União Européia já criaram, em atenção ao mandamento da Diretiva, o cargo de “Comissário de Proteção de Dados”[3]. Existe até mesmo um “Supervisor Europeu para a Proteção de Dados”[4].


Esse modelo tem sido considerado de grande eficácia, no que diz respeito à fiscalização das atividades de processamento de informações pessoais. Por força dele, as empresas européias têm procurado adaptar suas atividades às exigências da Diretiva (e das leis nacionais que a incorporaram ao Direito interno de cada país membro[5]), pois não têm sido poucos os casos relatados de aplicação de multas e outras sanções (até mesmo intervenções) pelos órgãos e autoridades de proteção de dados. Mas se trata, poderíamos dizer, de um controle a posteriori, isto é, a autoridade de proteção de dados atua depois de uma atividade ter sido implementada, geralmente depois que recebe uma reclamação de alguém que alega violação a seus direitos individuais.


Para muitos especialistas, o problema na proteção à privacidade reside justamente aí. As autoridades somente são chamadas a atuar depois que ele já existe, depois de ocorrida a violação, o que, em certos casos, torna difícil a reparação ou a correção do problema. Para eles, uma das melhores maneiras de se garantir um bom nível de proteção à privacidade dos cidadãos é avaliar os riscos antes que uma atividade, programa ou sistema (público ou privado) tenha sido implementado. Levantar e sopesar as questões ligadas à privacidade logo no começo do desenvolvimento de um novo programa é o melhor meio de se evitar problemas futuros. Assim, para se assegurar que as questões relativas à privacidade sejam discutidas e resolvidas logo no nascedouro de um novo projeto, muitas empresas privadas americanas criaram a função do “Oficial Chefe para Privacidade” (Chief Privacy Officer). Trata-se de alguém de dentro da organização da empresa que pode ser consultado durante a fase de elaboração de um novo projeto que implique na coleta de informações pessoais. Obviamente que não é toda pequena empresa que tem em sua estrutura um cargo desses. Geralmente só grandes empresas ou aquelas que, pela própria natureza de suas atividades, atuam maciçamente na coleta, uso e armazenamento de informações pessoais[6]. O Oficial Chefe para a Privacidade (conhecido simplesmente pela sigla em inglês CPO) tornou-se uma função comum nas empresas que trabalham com e-commerce, prestam serviços bancários e operam planos privados de assistência à saúde[7].


Alguns grandes órgãos e secretarias do Governo americano adotaram o modelo privado e também incluíram em seus quadros a figura do Executivo para assuntos ligados à privacidade. O Departamento de Segurança da Pátria (DHSDepartment of Homeland Security)[8], órgão encarregado de centralizar as ações e definir as políticas de segurança pública nacional, com ênfase no combate ao terrorismo e ao crime organizado, é um dos que possuem cargo dessa natureza[9]. Na verdade, trata-se do único órgão federal cuja previsão desse tipo de cargo é uma obrigação legal[10]. A própria lei que criou esse departamento já incluiu em sua estrutura a função do Executivo para assuntos afetos à privacidade[11]. A criação desse órgão, como se sabe, foi idealizada e implementada durante o Governo do Presidente George Bush, depois dos ataques terroristas do 11 de setembro (de 2001). Sua criação atendeu à necessidade de estabelecer uma coordenação das atividades dos diversos órgãos policiais e de inteligência, federais e estaduais, que trabalhavam na repressão ao crime, mas de uma forma desarticulada. Uma coordenação central dessas atividades, aliada à elaboração de uma nova política de segurança pública de cunho nacional, tornara-se indispensável (na visão do Governo) para enfrentar a nova realidade do terrorismo.


Ainda que a título de promover a defesa de interesses públicos sensíveis, como é o caso do combate ao terrorismo e a garantia da segurança pública, o que legitima a coleta e o uso em larga escala de informações pessoais, a atividade governamental não pode ser ilimitada. Para combater o terrorismo, o Governo necessita levantar e rastrear (através dos seus serviços de inteligência) informações, valendo-se, nessa tarefa, de instrumentos e dispositivos tecnológicos. O uso das ferramentas da tecnologia da informação, que permitem a coleta e processamento de informações em larga escala, potencializam o risco à privacidade individual. Por isso, mesmo em se tratando de atividade de processamento de dados com fins tão valiosos para a população americana, os serviços de inteligência e órgãos de segurança pública não podem atuar indiscriminadamente, mas submetidos a certos limites quando coletam, fazem uso e armazenam informações pessoais[12]. O Oficial para assuntos da Privacidade (Privacy Officer) funciona justamente auxiliando o Governo a definir e respeitar esses limites. Serve como órgão de consulta interno, que pode realizar “Estudos de Impacto à Privacidade” (Privacy Impact Assessments ou simplesmente PIAs) antes que uma atividade ou sistema (que implique coleta ou uso de dados pessoais) seja implementado[13].


Uma organização não governamental que defende as liberdades civis, o Center for Democracy and Technology[14], publicou no dia 14 deste mês uma nota defendendo que o modelo do “Oficial da Privacidade” do Departamento de Proteção da Pátria seja implantado em todas as outras agências e órgãos governamentais federais. Além de ser um executivo de alto nível dentro dos órgãos públicos, que participa das principais deliberações e é responsável pela definição de políticas básicas, o CDT reclama que as decisões do Oficial da Privacidade sejam dotadas de obrigatoriedade.  


Da mesma forma que a segurança pública é um interesse social relevante, a garantia de proteção à privacidade também o é. As ações contra o terrorismo têm despertado o clamor de algumas entidades organizadas da sociedade civil, que reclamam a violação de garantias e liberdades individuais, particularmente o direito à privacidade. Uma estratégia inteligente para mitigar as preocupações governamentais relativas ao uso de informações pessoais é a criação de postos no serviço público com o objetivo específico de cuidar desses problemas. A criação desses cargos, no entanto, não resolve por completo os problemas associados ao processamento de dados pessoais. Uma constante atualização das leis protetivas, para fazer frente aos desafios que são cotidianamente criados pelas mudanças sociais, que as tecnologias da informação proporcionam, também é indispensável.



Notas:

[1] Diretiva 95/46/EC, do Parlamento e Conselho Europeus, de 24 de outubro de 1995, sobre proteção dos indivíduos com respeito ao processamento de dados pessoais. Pode ser encontrada no seguinte endereço: http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=en&type_doc=Directive&an_doc=1995&nu_doc=46

[2] Na verdade, a Diretiva trouxe um capítulo inteiro (Capítulo VI) sobre “a autoridade de controle e grupo de proteção das pessoas no que diz respeito ao tratamento de dados pessoais”, estabelecendo no item 01 do art. 28 que: “Cada Estado-membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adotadas pelos Estados-membros nos termos da presente diretiva”.

[3] Para quem se interesse, a relação dos Comissários Nacionais de Proteção de Dados (National Data Protection Commissioners) pode ser encontrada no seguinte endereço: http://europa.eu.int/comm/internal_market/privacy/links_en.htm .

[4] Ver a página do Supervisor Europeu para a Proteção de Dados (European Data Protection Supervisor): http://europa.eu.int/comm/internal_market/privacy/application_en.htm

[5] A Diretiva, em seu art. 32, item 01, exigiu que todos os países membros editassem leis e regulamentos em conformidade com suas disposições. Ela atribuiu o prazo de três anos após sua vigência para que os países membros incorporassem suas disposições ao Direito interno deles.

[6] A Double Click (www.doubleclick.com), empresa que se tornou famosa por desenvolver um novo sistema de marketing na Internet, é uma das que possuem cargo dessa natureza em seus quadros.

[7] Os executivos que trabalham nessa função, no setor público ou privado, já formaram inclusive uma associação de âmbito nacional, a International Association of Privacy Professionals (IAPP).


[9] Chief Privacy Officer of the Department of Homeland Security http://www.dhs.gov/dhspublic/display?theme=11&content=1315

[10] Cargos semelhantes já existiam na estrutura dos órgãos americanos do imposto de renda (Internal Revenue Service) e dos serviços de correios (US Postal Service), mas não em cumprimento de uma exigência legal.

[11] O Privacy Officer está previsto na Section 222 do Homeland Security Act of 2002, assinada pelo Presidente Bush no fim de 2002.

[12] Esses limites constituem o que se convencionou chamar de “práticas informacionais justas” (fair information practices), que justificam a imposição de limites ao governo quando se trata de coletar, fazer uso, armazenar ou revelar informações de caráter pessoal. Estão postos na Constituição e nas leis que garantem a proteção de dados pessoais.

[13] Uma lei federal, o E-Government Act of 2002, já exige que todo órgão ou agência federal realize o PIA antes de adquirir um novo sistema tecnológico de processamento de dados ou de iniciar a coleta de informações pessoais (Section 208). Um dos primeiros PIAs foi publicado pelo Executivo da Privacidade do DHS, a respeito do US-VISIT (United States Visitor and Immigrant Status Indicator Technology), o tão discutido sistema de vistos para imigração, que exige que todos os visitantes provenientes de alguns países sejam fotografados e tenham as impressões digitais coletadas antes de entrarem nos EUA.


Informações Sobre o Autor

Demócrito Reinaldo Filho

Magistrado em Pernambuco.


logo Âmbito Jurídico