Resumo: A sociedade brasileira finalmente está se despertando para a questão da proteção de dados pessoais. O debate público proposto pelo Ministério da Justiça é um primeiro passo na discussão de questões extremamente relevantes na sociedade contemporânea.
Sumário: Introdução; 1. A “novidade” acerca dos dados pessoais; 2. Dados pessoais – sua importância no mundo digital; 3. A informatização de dados e seu tratamento; 4. A história da proteção de dados; Conclusão; Referências.
Introdução
Infelizmente a sociedade se desperta para alguns temas apenas quando algo significativo acontece e atinge pessoas ou grupos determinados. Um desses temas é a proteção de dados pessoais, que vem sendo abordado aqui e ali por alguns estudiosos, mas ainda não havia ganho o cenário nacional.
Denúncias de violação de sigilo bancário, fiscal, assim como vazamento de dados passaram a ser mais freqüentes e a incomodar não só o cidadão comum como também as autoridades, de forma que o Ministério da Justiça iniciou em 2010 um processo de discussão acerca da futura lei brasileira de proteção de dados pessoais.
O presente trabalho objetiva, assim, colaborar com esse processo, trazendo algumas contribuições de cunho histórico, mas também destacando alguns aspectos conceituais de legislações comparadas, como a lei de proteção de dados pessoais de Portugal e da Alemanha.
1. A “novidade” acerca dos dados pessoais
É instigante quando uma temática nova surge no Direito. Mesmo que o tema seja um novo já velho para alguns. Exatamente sob este prisma é que a proteção de dados pessoais deve ser analisada.
No Brasil a discussão começa agora, com aproximadamente 40 anos de atraso em relação a países europeus e aos Estados Unidos, que têm legislação específica desde a década de 70.
No final de 2010, através de uma iniciativa do Ministério da Justiça em parceria com o Observatório Brasileiro de Políticas Digitais do Centro de Tecnologia e Sociedade da FGV, foi proposto um debate com a sociedade através do blog http://culturadigital.br/dadospessoais sobre o anteprojeto de lei de proteção de dados pessoais a ser encaminhado ao legislativo no segundo semestre de 2011.[i]
É uma pena que só agora o Brasil tenha se despertado para o grave problema acerca dos dados pessoais. Numa era em que a tecnologia permeia todos os setores, o titular dos dados encontra-se totalmente vulnerável, sem saber quais dados seus foram armazenados, disponibilizados, acessados sem consentimento, ou seja, tratados de alguma forma.
Porém, esse é o momento da sociedade se mobilizar, de conhecer esse projeto de lei que será encaminhado ao legislativo, de questionar práticas abusivas em relação ao tratamento dos dados pessoais, enfim, de discutir o futuro das relações informatizadas, ou seja, do próprio ser humano.
2. Dados pessoais – sua importância no mundo digital
Os dados pessoais sempre ocuparam lugar de destaque nas interações sociais. No entanto, a época atual, denominada por Castells como sociedade informacional[ii], reserva aos dados pessoais o papel de protagonista no cenário digital.[iii]
Tanto é verdade, que a atividade comercial já se encontra extremamente dependente das informações fornecidas por grandes bancos de dados de consumidores, disponíveis em serviços como o SCPC (Serviço Central de Proteção ao Crédito) no Brasil. Da mesma forma, o Poder Público e os serviços em geral, encontram-se informatizados e on line, oferecendo comodidade e agilidade ao usuário.
Segundo esclarece Stair, informação “é um conjunto de fatos organizados de tal forma que adquirem valor adicional além do valor do fato em si”. Daí a grande quantidade de dados que as pessoas são, diariamente, solicitadas a fornecer, pois quanto maior o número de dados pessoais, melhor a informação obtida e conseqüentemente mais valiosa.[iv]
Por sua vez, Stair completa definindo dados como “os fatos em sua forma primária, como por exemplo, o nome de um empregado e o número de horas trabalhadas em uma semana, números de peças em estoque, ou pedidos de venda”. Sendo fatos, os dados apenas terão valor se organizados ou arranjados de uma maneira significativa, a fim de se tornarem uma informação.[v]
Por isso a incessante busca pela coleta de dados pessoais, pois a informação obtida com o tratamento desses dados fornece inúmeras possibilidades ao seu detentor, tanto lícitas quanto ilícitas.
A versão de língua portuguesa da Diretiva[vi] 95/46/CE da União Européia[vii], em seu art. 2º, “a”, define dados pessoais como “qualquer informação relativa a uma pessoa singular identificada ou identificável[viii]”, trazendo como sinônimas as expressões dados e informações.[ix] No entanto, deve-se entender o sentido do termo informações de forma genérica, como fatos ou indicações, e não propriamente no sentido técnico, de produto final obtido pela organização e relação dos fatos, como anteriormente exposto.
Pode-se retirar desta definição – que por sinal é bastante abrangente, pois admite que qualquer informação deva ser considerada como um dado pessoal, desde que se refira a uma pessoa identificada ou passível de identificação – três elementos básicos, a saber, a admissibilidade de qualquer tipo de informação, o caráter personalíssimo dos dados e a identificabilidade/determinabilidade do titular dos dados.
A admissibilidade de qualquer tipo de informação, não importando sua natureza, se decorrente de circunstância objetiva ou subjetiva, bem como o suporte mediante o qual é coletada, garante que a proteção aos dados pessoais seja a mais ampla possível. O caráter personalíssimo dos dados está a indicar que se tratam de dados pessoais, ou seja, referente a um indivíduo, um ser humano, uma pessoa. A identificabilidade ou determinabilidade do titular dos dados revela a possibilidade, perfeitamente viável diante dos avanços tecnológicos, de se identificar uma pessoa através de um dado que a princípio não ensejaria sua identificação, como por exemplo, um número de telefone, uma placa de automóvel, um endereço de e-mail, o DNA ou a impressão digital.
A definição da lei alemã de proteção de dados (Bundesdatenschutzgesetz) vem colaborar com um contorno mais definido a respeito dos dados pessoais. Em seu art. 3º, 1, define os dados pessoais como “indicações individuais sobre circunstâncias subjetivas ou objetivas de uma pessoa física determinada ou determinável (titular de dados)[x]”.
Os dados pessoais ainda comportam uma espécie que é a dos dados pessoais sensíveis, prevista também nas legislações citadas. A Diretiva os enumera no n. 1, do art. 8º, como aqueles dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical e relativos à saúde e à vida sexual.
Sendo assim, dados pessoais são todo tipo de indicação, independentemente de sua natureza e do suporte mediante o qual é coletado, que possibilite a identificação de seu titular.
A conceituação que se propõe é propositadamente ampla, haja vista o grande “negócio” que se tornou o tratamento de dados na sociedade informacional e a vulnerabilidade do titular dos dados.
3. A informatização de dados e seu tratamento
O fenômeno da informatização vem ganhando cada vez mais espaço na sociedade atual, ao passo de ser inconcebível, hoje, uma empresa, um governo, uma escola, que não esteja informatizada, para citar apenas alguns exemplos. Informatizar virou sinônimo de eficiência gerencial, redução de custos, maior produtividade, maior e melhor controle sobre as operações desenvolvidas e maior precisão.
Alimentar, com dados, os milhares de computadores distribuídos pelo mundo é a grande prioridade do homem no momento, bem como transformar esses dados em informação diferenciada e conseqüentemente valiosa. Stair constata tal fenômeno assim consignando:
“Todos os dias somos solicitados a divulgar dados sobre nós mesmos. Na maioria das vezes, o fazemos sem pensar duas vezes. Aceitamos a solicitação como necessária, e, mais importante, os dados serão usados apenas para a finalidade para a qual foram fornecidos. O que não conseguimos perceber é que, atualmente, mais do que nunca, nossos dados estão sendo processados e compartilhados, muitos deles sem a nossa permissão ou conhecimento. As empresas descobriram que a venda de dados é um negócio lucrativo. Infelizmente, os dados que elas vendem são nossos. Dados demográficos, sobre tendências de compras e preferências pessoais tornaram-se valiosos para as organizações que tentam vender seus produtos em um mercado altamente competitivo. Por esta razão, a indústria de dados é muito lucrativa”.[xi]
Para tanto, a utilidade dos bancos de dados[xii] informatizados é notória. Através destes é possível recolher um grande número de informações, processá-las, agrupá-las e relacioná-las das mais diferentes formas e em tempo irrisório. Todas essas possibilidades traduzem-se na palavra tratamento.
A Diretiva 95/46/CE da União Européia define tratamento de dados pessoais como
Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registro, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição.[xiii]
Como se percebe a Diretiva optou por não diferenciar os meios pelos quais os dados são tratados, se automatizados ou não.[xiv] É, porém, com o tratamento informatizado de dados pessoais que, modernamente, a sociedade manifesta sua preocupação e tenta garantir total proteção aos dados de seus titulares.
4. A história da proteção de dados
Diante da importância crescente dos dados na sociedade contemporânea nada mais natural que haja, na mesma proporção, uma preocupação crescente em relação à proteção do seu titular.
Aliás, Garstka já enfatiza que quando se fala em “proteção de dados” não é a proteção dos dados em si que se almeja e sim a proteção da pessoa por trás do tratamento dos dados.[xv]
Lançar um olhar sobre a proteção do titular de dados é, na verdade, resgatar a própria história da utilização de dados para determinada finalidade em bancos de dados informatizados, pois infelizmente constata-se que a proteção sempre surge da necessidade de garantir ao titular um mínimo de controle sobre seus próprios dados.
Assim, Garstka afirma que a idéia de proteção de dados surge primeiramente nos Estados Unidos no início da década de 60 do século vinte, justamente como uma demanda da população no sentido de questionar a intervenção estatal na esfera privada. Isso porque, o governo americano em conjunto com seu departamento de estatística planejou organizar um banco de dados no qual todo cidadão americano deveria estar incluído. Em meio a este debate descobriu-se que as Forças Armadas americanas já tinham recolhido milhões de dados sobre pessoas politicamente suspeitas e informações em grande quantidade de dados de natureza pessoal como, por exemplo, sobre doenças e rendimento escolar. Como resposta aprovou-se o Privacy Act em 1974, obrigando o governo norte-americano a observar Princípios Fundamentais para a segurança da vida privada.[xvi]
A iniciativa norte-americana de regulamentar a coleta e tratamento de dados fez com que países industrializados se questionassem sobre a necessidade de regulamentação. Na Alemanha, o Estado de Hessen, elaborou uma lei em 1970 que acabou por introduzir o termo “proteção de dados” no vocabulário jurídico alemão.
Também retratando este momento histórico, mas enfocando mais a realidade européia Perez Luño afirma que a questão do fluxo internacional de dados (transborder data flow) acabou por gerar um aberto conflito de interesses entre países produtores e países consumidores de dados informáticos, pois os países tecnologicamente avançados se achavam no direito de recolher informações, armazená-las e distribui-las, ao passo que aos países subdesenvolvidos restava apenas receber e consumir informações, quando isto era possível, uma vez que às vezes o país nem ao menos detinha os meios técnicos necessários para aproveitá-las.[xvii]
Assim que em 1973, adeptos da livre circulação de dados se pronunciaram na Convenção Internacional das Telecomunicações em Torremolinos – Málaga, e por sua vez a Suécia, através da Lei denominada Datalagen (Lei n. 289), passou a exigir uma autorização especial para a transmissão de dados recolhidos na Suécia para o estrangeiro, dando o primeiro passo para se regulamentar o tratamento informatizado de dados pessoais, prevendo a proteção ao seu titular.
Ainda conforme leciona Perez Luño, no mesmo ano de 1973 e depois 1974, o Comitê de Ministros do Conselho da Europa, através de duas Resoluções[xviii], a primeira referente à proteção da vida privada das pessoas físicas frente aos bancos de dados eletrônicos no setor privado e a segunda sobre os bancos de dados no setor público, recomendava aos países membros a adoção de medidas legislativas que garantissem determinados princípios[xix].[xx]
Em 1978 a primeira lei federal de proteção de dados da Alemanha entrou em vigor, obrigando repartições públicas e empresas privadas a observância de regras materiais determinadas no tratamento de dados pessoais e instituiu um valioso sistema de direitos civis e mecanismos de controle.[xxi]
Assim como a Suécia e a Alemanha, França (1978), Noruega (1978), Dinamarca (1978), Áustria (1978), Luxemburgo (1978) e Islândia (1979), dentre outros, também elaboraram leis referentes à proteção de dados pessoais.[xxii]
Porém, foi a elaboração, pelo Conselho da Europa, da Convenção para a proteção das pessoas com respeito ao tratamento automatizado de dados de caráter pessoal, firmado pelos Estados-membros da então Comunidade Econômica Européia em 28.01.1981, que trouxe diretrizes claras a respeito da matéria.
A fim de tentar harmonizar a circulação de dados na Europa com a proteção dos dados pessoais foi elaborada, em 1995, a Diretiva 95/46/CE pela União Européia, que na sua exposição de motivos[xxiii] faz constar duas antigas ambições do projeto de integração européia, quais sejam, a realização de um mercado interno – auxiliado pela livre circulação de informações pessoais – e a proteção dos direitos e das liberdades fundamentais das pessoas.
Em suas disposições finais a Diretiva estipulou um prazo de três anos, a contar da data de sua adoção – portanto vencendo em 1998 -, para que os Estados-membros dessem cumprimento à Diretiva, elaborando sua legislação nacional[xxiv].
Finalmente, cumpre destacar que a questão da proteção dos dados pessoais ganhou a atenção da América Latina. Em 1999, o Chile inaugura a discussão entre os países latinos e publica sua lei de proteção de dados[xxv]. Em 2000 foi a vez da Argentina[xxvi] e em seguida Uruguai[xxvii], Paraguai[xxviii] e México[xxix]. A Colômbia teve seu projeto de lei aprovado em 16. 12.2010 pelo legislativo e agora caminha para sanção presidencial. Ainda o Peru também discute seu projeto de lei.
Agora parece ter chegado a hora do Brasil. O caminho é longo, mas precisa ser trilhado.
Conclusão
Diante desse resgate histórico tem-se a impressão que a elaboração de uma legislação específica para a proteção de dados pessoais é inevitável, pois sem uma norma o titular dos dados estaria extremamente vulnerável e não teria nenhuma base legal para se socorrer.
Não se discute aqui se essa premissa é verdadeira ou falsa, o fato é que a iniciativa em torno da elaboração de um projeto de lei sobre a proteção de dados pessoais vem possibilitar, ainda que tardiamente, o debate em torno do tema.
Ao caminhar para a edição de uma norma sobre proteção de dados pessoais, se coloca em pauta no Brasil uma série de questões que precisam ser ponderadas e definidas pela sociedade.
Talvez esse seja o grande mérito dessa iniciativa, pois ainda tratamos de um anteprojeto de lei que tem muito chão pela frente. A oportunidade agora é para tomarmos consciência da vulnerabilidade do titular de dados face a infinita possibilidade de tratamento desses, conhecer outras realidades e legislações, partilhar informações e participar ativamente do processo.
Informações Sobre o Autor
Patricia Eliane da Rosa Sardeto
Mestre em Direito pela Universidade Federal de Santa Catarina, professora de Direito Constitucional e advogada.
