Resumo: A questão de proteção de dados na internet é um desafio constante, o Brasil comparado com outras nações do mundo, ainda não possui um diploma efetivo de tutela desse tipo de direito, permitindo práticas abusivas por parte das empresas que realizam o tratamento desses dados. O objetivo desse artigo é demonstrar como está a legislação de proteção de dados pessoais nos Estados Unidos e na União Européia e elencar as principais iniciativas legislativas brasileiras para aprovar uma lei geral de proteção e tratamento de dados pessoais.
Palavras – chave: dados pessoais, direito digital, direito da personalidade, marco civil da internet, internet.
Abstract: The data protection issue on the internet is a constant challenge, Brazil compared to other nations of the world, does not have an effective degree of protection of such rights, allowing abusive practices by companies that carry out the processing of such data. The purpose of this article is to demonstrate how is the personal data protection legislation in the United States and the European Union and rank the main Brazilian legislative initiatives to pass a general law for the protection and processing of personal data.
Keywords: personal data, digital rights, personality rights, civil framework of the internet, internet
Sumário: Introdução. 1. Dados pessoais e seu tratamento. 2. A proteção dos dados pessoais nos Estados Unidos. 3. A proteção dos dados pessoais na Comunidade Européia. 4. A proteção dos dados pessoais no Brasil. Conclusão. Referências.
INTRODUÇÃO
A proteção da privacidade e dos dados pessoais cada vez mais ganha importância nos dias atuais, o viver em sociedade e a tutela do direito constantemente é desafiada por essas novas questões que se demonstram atuais e efetivas na sociedade da informação.
Episódios envolvendo vazamento de dados e informações não faltam, como exemplo, existem sites como Wikileaks, o episódio de vazamento de dados pessoais por conta da invasão da rede PSN da SONY em 2011 e o caso do vazamento de dados pessoais do site de relacionamentos Ashley Madison, evidenciam cada vez mais a importância de uma política de proteção e tratamento de dados pessoais.
Em busca de consolidar-se no mercado, bem como obter receitas atrativas, muitas empresas coletam e tratam dados pessoais da forma que querem no Brasil, haja vista não existir hoje, uma política efetiva de proteção e tutela desses dados pessoais, quando olhamos na esfera jurídica, sequer existe diploma legal que discipline efetivamente a proteção dos dados pessoais.
A lei 12.965/14 que ficou conhecida como Marco Civil da Internet, não tratou de forma efetiva a questão da proteção de dados pessoais e muito menos o decreto 8.771/ 15, que regulamenta o Marco Civil da Internet, tutelou a questão da proteção e do tratamento dos dados pessoais.
O Marco Civil da Internet trata de forma bem superficial a questão em seu art. 11 – “Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros” – ficando o dever de regulação e tutela, para uma legislação posterior, que ainda não existe.
Questões efetivas e atuais como a eficácia horizontal dos efeitos fundamentais, a proteção dos direitos da personalidade, principalmente a proteção à privacidade e intimidade, o direito ao esquecimento ligado como atributo relativo a direito da personalidade, trazem à baila a proteção dos dados pessoais com enfoque constitucional.
A proteção e regulamentação de uma política de tratamento dos dados pessoais é medida fundamental e se demonstra em consonância com as demais nações da comunidade internacional que possuem uma legislação de efetiva tutela dos dados pessoais, sua proteção e tratamento
1. OS DADOS PESSOAIS E O SEU TRATAMENTO
Qual seria o conceito de dados pessoais e como se daria o seu tratamento? Essa pergunta pode ser respondida com base na Diretiva Européia de Proteção de Dados Pessoais – Diretiva 95/46/CE de 1995, que define esses conceitos. A referida Diretiva influencia diretamente o Projeto de Lei no 5276/16, apensado ao projeto 4060/12 e os outros Projetos de Lei que tramitam no Senado Federal, como o 131/14, 181/ 14 e o 330/2013.
A Diretiva 95/46/CE define em seu art. 2o o conceito de dados pessoais como: “qualquer informação relativa a uma pessoa singular identificada ou identificável (pessoa em causa); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social”
Ainda em seu art. 2o conceitua tratamento de dados como sendo: “qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registro, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição”
É possível observar que a Diretiva define alguns conceitos importantes relacionados a dados pessoais e seu tratamento, influenciando e dando norte para os projetos de lei que visam tratar sobre dados pessoais, que estão em andamento em nas casas do Congresso Nacional.
Para exemplificar, o projeto de lei 5276/ 16 conceitua como dados pessoais: “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa”.
O mesmo projeto de lei, conceitua tratamento de dados como sendo: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Os dados pessoais e seu tratamento são efetivamente importantes nos dias atuais, pois se transformaram em moeda de troca na internet, o usuário não concorda em pagar com dinheiro pela experiência ou pelos serviços utilizados na rede mundial, mas aceita normalmente “pagar” com dados pessoais, esse trade off se demonstra injusto e em desequilíbrio, caso não seja tutelado pelo Estado.
As empresas se aproveitam dessa nova tendência e utilizam os dados pessoais da forma que desejam, pois ainda existe uma regulação tímida e que permite as empresas utilizarem tais dados, sob o pretexto de “melhoria contínua dos serviços” ou, ainda, “para melhorar a experiência do usuário”, dessa forma realizando práticas abusivas e sem o consentimento efetivo do usuário, ferindo direitos basilares da personalidade, como a privacidade, por exemplo.
Portanto fica evidente a influência da Diretiva 95/46/CE nos projetos de lei que estão em andamento no Brasil, servindo de direção na produção legislativa do país. Vale ressaltar que a referida Diretiva já foi alterada e passa a vigorar a partir de 2018 com maior rigor em relação ao tratamento de dados pessoais, tal assunto será visto com mais detalhes na parte que trata sobre o tratamento de dados pessoais na comunidade européia.
2. A PROTEÇÃO DE DADOS PESSOAIS NOS ESTADOS UNIDOS
Os Estados Unidos possuem a tradição de ser um país que preza extremamente pelas liberdades individuais em contrapartida às questões de mercado, lá o liberalismo caminha lado a lado com as questões constitucionais sensíveis, existem diplomas específicos para tipos de relações que envolvam direitos constitucionais sensíveis, como a privacidade e liberdade de expressão, por exemplo.
Não existe um diploma legal específico direcionado, que regule a questão da proteção e tratamento de dados pessoais, sendo necessário recorrer-se à legislação e codificações esparsas existentes pelo país.
Para entender a proteção de dados pessoais na legislação dos Estados Unidos é necessário entender alguns conceitos que envolvem as políticas de tratamento de dados pessoais.
Existe uma agência independente chamada FTC – Federal Trade Comission que tem papel fundamental na proteção do consumidor e de evitar a criação de monopólios e práticas anticompetitivas, conhecidas como unfair or deceptive acts.
A atuação desse órgão é efetiva e existem departamentos específicos dentro da FTC para cuidar de ramos críticos do mercado em geral, existindo o Bureau of Consumer Protection, Bureau of Competition e Bureau of Economics, cada um com atuação especializada e histórico de forte inserção no mercado.
A questão das práticas comerciais enganosas ou desleais (Deceptive or Unfair) são constantemente combatidas pela FTC, que trata em seu Federal Trade Comission Act, na seção 5, traçando e estabelecendo regras de como o órgão fiscaliza e atua nas questões das práticas de mercado consideradas abusivas. A FTC regula o mercado, fiscaliza e autua aqueles que infringem as disposições regulatórias existentes.
Empresas conhecidas como Data Brokers, que vendem e compram informações pessoais em grande escala no mercado, são constantemente alvo das investigações da FTC e do Senado americano, podemos citar empresas como a Experian e a Acxciom, que comercializam produtos que identificam consumidores, sob o aspecto financeiro, vulneráveis, devendo ser alvo de regulação e tutela por parte do Estado.
As práticas conhecidas como deceptive ou enganosas, consideradas pela FTC, podem ser definidas como aquelas que visam induzir o consumidor, o usuário ao erro, onde existe uma má fé em omitir informações, que mais a frente, vão levar o consumidor a erro, evidenciando uma prática daninha e de extrema periculosidade para o mercado e para o sistema de proteção de dados pessoais.
As práticas conhecidas como unfair ou desleais, são aquelas que ferem os consumidores, se a conduta ou prática de mercado fere disposições contidas em normas ou políticas públicas e se a prática fere a ética, sendo realizada de forma totalmente desleal para os consumidores.
Como os Estados Unidos é um país não membro da comunidade européia, se adéqua à regulação feita pela já mencionada Diretiva 95/46/CE no que tange ao ajuste mínimo estabelecido pela referida diretiva para a realização de operações envolvendo dados pessoais entre os países da União Européia e os EUA, dessa forma surge o conceito e a estrutura do Safe Harbor, que evidencia a adequação às determinações da diretiva, baseadas na proteção da privacidade e de dados pessoais, o conceito de Safe Harbor, baseia-se em sete princípios fundamentais, a saber: Aviso, Escolha, Acesso, Transferência Progressiva, Segurança, Integridade de Dados e Execução.
Além do Safe Harbor, em 12 de julho de 2016 a Comunidade Européia adotou o Escudo de Privacidade (Privacy Shield), que foi o resultado de importantes negociações que se iniciaram em 2013, onde o objetivo desse acordo é permitir o fluxo de dados pessoais entre e União Européia e os Estados Unidos, garantindo um nível adequado de proteção de dados dos cidadãos europeus e mecanismos e recursos para uma efetiva segurança jurídica.
Existem outras legislações esparsas que tratam da proteção de dados e seu tratamento, onde podemos citar o Children’s Online Privacy Protection Act, conhecido como COPPA, que regula as questões relativas à coleta e tratamento de dados de crianças menores de 13 anos, tal diploma possui grande efetividade no ordenamento jurídico americano, sendo fiscalizado pela FTC e impondo aos operadores de sites ou serviços online dirigidos para as crianças menores de 13 anos, uma série de obrigações, como por exemplo, exigir consentimento dos pais do menor, para o uso ou coleta de qualquer informação pessoal.
Podemos citar, ainda, o Health Insurance Portability and Accountability Act, conhecido como HIPPA, que busca tutela a questão da proteção dos dados pessoais e relacionados à saúde dos pacientes, estabelecendo preceitos para a tutela de informações de saúde protegidas, as unidades devem manter registro e cuidarem para a garantia no sigilo dos dados pessoais relativos à saúde dos pacientes, impondo uma série de exigências para as entidades de saúde.
Em suma é possível identificar que existe uma série de legislações esparsas, mas que buscam tutelar a questão da proteção dos dados pessoais e seu tratamento nos Estados Unidos, por óbvio que as normas existentes não se esgotam nos diplomas acima elencados, mas certamente servem de guia para entendimento de que forma o Estado americano trata a questão dos dados pessoais.
3. A PROTEÇÃO DE DADOS PESSOAIS NA COMUNIDADE EUROPÉIA
Sem sombra de dúvidas onde a questão da proteção de dados e seu tratamento possui maior regulação, é na Comunidade Européia, lá existe um diploma específico que serve de base para uma série de legislações nacionais da comunidade, bem como de outros países do mundo, especificando a questão da proteção dos dados pessoais, trata-se da Diretiva 95/46/CE.
O referido diploma legal busca regular as relações das empresas nas operações que visem o tratamento dos dados pessoais, bem como busca uniformizar a questão do tratamento de dados pessoais entre os países membros da União Européia, sendo que a questão da proteção das pessoas singulares em relação ao tratamento de dados pessoais é considerado um direito fundamental, segundo o artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Européia.
Em seu art. 1 a Diretiva 95/46/CE estabelece o seu objetivo, preceituando que: “Os Estados-membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais”, ou seja, leva em conta o tratamento dos dados pessoais relacionados com o direito à privacidade.
A diretiva busca tutelar as relações onde existam as empresas de um lado ou grandes grupos frente ao indivíduo, sendo que esses dados pessoais podem ser tratados por meios automatizados ou não automatizados, bastando apenas que seja realizado sob esse prisma, porém quando as relações de tratamento de dados pessoais forem tratadas entre particulares, exclusivamente, ou estejam envolvidos os interesses nacionais, como a segurança do Estado, por exemplo, ficam excluídas da proteção da referida norma.
Deve existir transparência no processo de tratamento dos dados pessoais, sendo especificadas as finalidades de forma explícita, com as suas finalidades e a forma que será utilizado aquele dado pessoal, não podendo existir desvio ou alteração no fim proposto para o usuário.
A diretiva inicial aceitava justificativas genéricas para o tratamento de dados sob argumentos como “melhoria contínua dos serviços” ou “em busca de melhorar a experiência dos usuários”, sendo que em abril de 2016 foi aprovada a revisão da referida diretiva, tornando a questão do tratamento de dados pessoais algo mais rígido, corrigindo algumas distorções que surgiram, não sendo mais permitidas operações genéricas e que admitem abuso no processo de tratamento dos dados pessoais obtidos.
O Regulamento 2016/679 de 27 de abril de 2016, busca tutelar as pessoas singulares em relação ao tratamento de dados pessoais e à livre circulação desses dados, revogando as disposições contidas na Diretiva 95/46/CE. Surgem princípios basilares dessa nova regulamentação, como licitude, lealdade e transparência, bem como, o consentimento que deve ser expresso, existindo questões específicas para operações de tratamento de dados pessoais de menores de 16 anos.
Em seu artigo 17 é tratado, especificamente do direito ao esquecimento (right to be alone ou right to be forgotten), preceituando que: “O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada”.
O novo codex busca tratar de forma mais efetiva e ampla, sob a questão do tratamento de dados pessoais, abrangendo a tutela antes realizada pela Diretiva 95/46/CE, não permitindo o abuso nesse tipo de operação, dando clara primazia pelo direito fundamental da proteção da privacidade, sendo que entrará em vigor na área de abrangência em 28 de maio de 2018, ate lá as empresas deverão se adequar ao novo mandamento legal.
Essa nova visão, atrelada à cultura européia de proteção de dados exerce forte influência no direito brasileiro, servindo de paradigma para os projetos de leis existentes, sendo de grande valia para o início da cultura de tutela estatal do processo de tratamento de dados pessoais no Brasil.
4. A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
Hoje em dia, no Brasil, não existe um diploma legal específico que trate a respeito da proteção de dados pessoais, bem como do seu tratamento efetivo, existindo um vácuo jurídico nesse campo importante da tutela de direitos na internet.
Na Constituição Federal logo em seu art. 1o, III, preceitua que um dos fundamentos do Estado Brasileiro é a dignidade da pessoa humana, para alguns doutrinadores, esse princípio é a guia para a tutela efetiva de todos os direitos fundamentais contidos na Carta Magna de 1988.
Mais a frente, no mesmo diploma legal, em seu art. 5o, X, preceitua que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”, ficando evidente a proteção dos direitos da personalidade, que também ficam claros no art. 21 do Código Civil, ao preceituar que “A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”, protegendo a intimidade e a vida privada, possuindo grande ligação com a questão da proteção dos dados pessoais sob a ótica européia, consubstanciada no art. 8, no 1 da Carta dos Direitos Fundamentais da União Européia.
A lei 8.078/90, Código de Defesa do Consumidor, em seu art. 43, trata da questão do acesso por parte do consumidor aos dados pessoais que estejam arquivados – “O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes”, mostrando uma preocupação do legislador com essa questão, sendo que o referido artigo do CDC possui forte ligação com o art. 5o LXXII, ao prever o remédio constitucional conhecido como habeas data, ao preceituar que: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.
O remédio constitucional do Habeas Data não se mostrou de grande efetividade e eficácia no ordenamento jurídico pátrio, sendo pouco utilizado, sendo questionado, por alguns doutrinadores sobre a sua real importância como tutela efetiva de proteção de dados pessoais.
Mais recentemente ocorreu a entrada em vigor da Lei 12.965/ 14, o Marco Civil da Internet, que poderia ter resolvido, de certa forma, esse vácuo legislativo existente no Brasil, já que o arcabouço jurídico pátrio não possui norma efetiva que tutele a proteção de dados pessoais e seu tratamento, porém limitou-se a tratar de forma tímida em seu art. 11 a questão da proteção dos dados pessoais, deixando, ainda, um campo aberto para regulação.
Verifica-se que mesmo com a entrada em vigor do Marco Civil da Internet, o legislador comete algumas impropriedades técnicas no art. 11, ao tratar coleta e armazenamento de dados pessoais separado do tratamento desses dados, sendo que a coleta e o armazenamento são uma forma de tratamento de dados pessoais, essa questão é corrigida em todos os projetos de lei que estão em pauta.
No segundo momento que seria possível a regulação específica de uma política de proteção e tratamento de dados pessoais ou de uma guia maior sobre o tema, com a edição do decreto 8.771/ 15 que regulamenta o Marco Civil da Internet, o legislador não foi muito efetivo e tratou da questão bem en passant, nos arts. 13, 14 e 15, deixando, ainda, uma lacuna sobre o assunto.
Existem, atualmente, vários projetos de lei, em ambas as casas do Congresso Nacional, que tratam especificamente de uma política nacional para a proteção dos dados pessoais, os projetos já mencionados no começo desse artigo são: Projeto de Lei no 5276/16, apensado ao projeto 4060/12 e os outros Projetos de Lei que tramitam no Senado Federal, como o 131/14 (dispõe sobre o fornecimento de dados de cidadãos ou empresas brasileiros a organismos estrangeiros), 181/ 14 (estabelece princípios, garantias, direitos e obrigações referentes à proteção de dados pessoais) e o 330/2014 (Dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências), que foram substituídos por um projeto de lei de autoria do Senador Aluízio Nunes.
Todas essas iniciativas legislativas buscam tutelar de forma efetiva a questão da proteção de dados pessoais e o seu tratamento, em sintonia com a Diretiva Européia que trata a questão desde 1995, vê-se um vácuo legislativo de mais de vinte anos para regular um assunto de extrema importância e que envolve direitos fundamentais dos usuários da internet no Brasil.
CONCLUSÃO
Como podemos observar, devido à constante evolução dos assuntos ligados à proteção e tratamento dados pessoais no mundo e a natureza desse tipo de relação, se faz imperioso criar mecanismos de regulação legal para evitar que ocorram abusos ou distorções, prejudicando os usuários.
O Brasil está em atraso, comparado a algumas nações do mundo que já dispõe de diplomas legais, quer sejam esparsos, quer sejam direcionados para a questão da proteção e do tratamento de dados pessoais.
Com base nessa evolução o Congresso Nacional, em ambas as casas, está em movimento em busca de editar uma norma que regule o tema e traga mais segurança jurídica para as relações que envolvam dados pessoais, sendo que existe forte participação popular, principalmente da comunidade que estuda o tema, na discussão dessas leis, nos moldes do que ocorreu com o projeto 2.126/11, que mais tarde deu origem à lei 12.965/14, conhecida como Marco Civil da Internet.
O assunto não se esgotará com a entrada em vigor da futura lei de proteção de dados, sendo que a sociedade e o entendimento dos tribunais é que trarão solidez e efetividade para os futuros preceitos, mas certamente será uma grande evolução para o assunto da proteção e tratamento de dados pessoais, deixando o Brasil em sintonia com o que ocorre em boa parte do mundo.
Advogado. Bacharel em direito FMU 2007. Especialista em direito imobiliário FMU 2007. Especialista em direito civil pela FMU 2015. Especialista em direito digital pela FGV. Extensão em direito digital FAAP. Extensão em Law and ecomomics of media platforms University of Chicago
Acidentes de trânsito podem resultar em diversos tipos de prejuízos, desde danos materiais até traumas…
Bloqueios de óbitos em veículos são uma medida administrativa aplicada quando o proprietário de um…
Acidentes de trânsito são situações que podem gerar consequências graves para os envolvidos, tanto no…
O Registro Nacional de Veículos Automotores Judicial (RENAJUD) é um sistema eletrônico que conecta o…
Manter o veículo em conformidade com as exigências legais é essencial para garantir a sua…
Os bloqueios veiculares são medidas administrativas ou judiciais aplicadas a veículos para restringir ou impedir…