Da proteção dos dados pessoais no Brasil

Resumo: Este artigo trata de temática atual envolvendo o tratamento conferido aos dados pessoais no Brasil. Para tanto, propõe-se uma definição do objeto deste estudo, esclarecendo-se a importância do tema. Após, são elencadas as espécies de regulação hoje existentes sobre o assunto, passando-se, então, à análise do quadro brasileiro de proteção aos dados pessoais. Ao final, conclui-se pela insuficiência do regime hoje existente no País, propondo-se a elaboração de legislação abrangente sobre o assunto. [1]

Palavras-chave: Proteção de Dados Pessoais; Constituição Federal; “Marco Civil da Internet”.

Abstract: This article deals with the current theme involving the treatment of personal data in Brazil. Therefore, it is proposed a definition of the object of this study, clarifying the importance of the theme. After that, the species of regulation that exist today on the subject are listed, and then the Brazilian framework for the protection of personal data is analysed. In the conclusion, it is pointed the insufficiency of the current regime in the country, proposing the elaboration of comprehensive legislation on the subject.

Keywords: Personal Data Protection; Federal Constitution; “Brazilian Civil Framework of the Internet”.

Sumário: Introdução. 1. Dados Pessoais – Conceito, importância e proteção. 1.1. Conceituação. 1.2. Relevância do Tema. 1.3. Níveis de proteção dos dados pessoais: uma abordagem comparada. 2. Da Proteção de Dados Pessoais no Brasil. 2.1. Tratamento Constitucional do tema. 2.2. Tratamento Infraconstitucional do assunto. Conclusão.

Introdução

O recente episódio envolvendo o vazamento de informações dos clientes de certa companhia de investimentos reacendeu o debate acerca da proteção conferida aos dados pessoais no Brasil. Conforme reportagem divulgada sobre o assunto[2], alguns clientes receberam um arquivo, via e-mail, contendo informações pessoais sensíveis, tais como, nome completo e telefone, bem como ameaças à corretora.

Pouco tempo antes, foi a vez do website Yahoo noticiar o vazamento de dados pessoais de mais de 500 milhões de usuários. De acordo com matéria jornalística sobre o tema, dentre as informações subtraídas estariam nomes, endereços, telefones, dentre outros dados pertencentes aos usuários.[3]

São fatos como tais, que têm se tornado cada vez mais rotineiros, que despertam os cidadãos para a necessidade de um marco legal, já que o Brasil, diferentemente da Europa e de alguns países da América Latina (Chile, Colômbia, Peru e Argentina)[4], possui tímidas menções à proteção de dados pessoais em legislações esparsas, não possuindo lei específica sobre o assunto, até o presente momento. Não à toa que, em 2010, o Ministério da Justiça iniciou um debate público a respeito da proteção de dados pessoais[5], visando à regulamentação do tema, sendo que a versão final do anteprojeto de lei foi, finalmente, apresentada em outubro de 2015[6].

Paralelamente, em 13 de junho de 2012, foi apresentado à Câmara dos Deputados o Projeto de Lei Federal n. 4060/12[7], projeto este que foi desarquivado e que, hoje, está no aguardo de realização de audiência pública para discussão do assunto. Da mesma forma, no Senado Federal tramita projeto de lei tratando do tema (Projeto de lei n. 330 de 2013), que, desde julho de 2016, está aguardando análise da Comissão de Assuntos Econômicos[8].

Mas, o que seriam dados pessoais e qual seria o motivo de tamanha preocupação?

1. Dados Pessoais – Conceito, importância e proteção.

1.1. Conceituação

Dados poderiam ser definidos como “um conjunto de registros sobre fatos, passíveis de serem ordenados, analisados e estudados para se alcançar conclusões”. Estes dados, quando “organizados e ordenados de forma coerente e significativa para fins de compreensão e análise”, são chamados de informação (LACOMBE, 2003, p. 490). E, quando se adiciona a palavra “pessoais” ao termo “dados” há uma personalização do conceito, de modo que, intuitivamente, os “dados pessoais” seriam um conjunto de registros referentes a um indivíduo.

Nos termos da Diretiva n. 2016/680 da União Europeia, que trata da proteção das pessoas no que diz respeito ao tratamento de dados pessoais, a expressão “dados pessoais” pode ser definida como “informações relativas a uma pessoa singular identificada ou identificável”, sendo considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a dados de identificação, dados de localização ou a um ou mais elementos específicos da sua identidade física, fisiológica, genética, mental, econômica, cultural ou social (artigo 3º, “1”).

Também, a citada Diretiva, em seu artigo 10º, cria uma subespécie de dados pessoais, os chamados dados sensíveis ou categorias especiais de dados pessoais, que são os “as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, o tratamento de dados genéticos, dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou à orientação sexual”.

Vale destacar que, no Brasil, não existe uma definição legal da expressão “dados pessoais”[9]. Até mesmo o Marco Civil, quando trata do assunto (artigo 3º, inciso III, da Lei n. 12.965 de 2014), relega a sua regulamentação à lei específica. E, neste aspecto, os mencionados projetos de lei que tratam do tema ofertaram definição para expressão “dados pessoais”, inclusive “dados sensíveis” (artigo 7º, incisos I e IV, do Projeto de Lei da Câmara dos Deputados n. 4060 de 2012 e artigo 3º, incisos I e II, do Projeto de Lei do Senado Federal de 2013), com nítida inspiração na diretiva europeia, sanando omissões e alinhando-se, assim, a uma tendência internacional.

Ainda, pela própria denominação da Diretiva (relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados) ou mesmo de acordo com os objetivos dos citados projetos de lei, é possível concluir que o objeto da proteção da legislação é o indivíduo e não os seus dados em si. Isso porque tais informações dizem respeito à intimidade e privacidade do ser humano, direitos estes de caráter fundamental no Brasil, inclusive amparados pela Constituição Federal. Daí a necessidade de regulamentação do tema, especialmente, quando considerada a importância dos dados pessoais na sociedade de informação.

1.2. Relevância do tema

Com efeito, a coleta e a análise de dados pessoais sempre permeou as relações intersociais, com o objetivo de melhorar a vida em sociedade, aprimorar o desenvolvimento econômico, resolver problemas etc.[10], sendo certo que, na atualidade, na sociedade informacional, os dados pessoais galgaram posição central, em especial, no universo digital[11].

De acordo com Manuel Castells (s.d., p. 51/54), o informacionismo seria um novo modelo de desenvolvimento, historicamente moldado pela reestruturação do capitalismo, no final do século XX. Para o autor, neste novo modelo de desenvolvimento,

“[a] fonte de produtividade acha-se na tecnologia de geração de conhecimentos, de processamento da informação e de comunicação de símbolos. Na verdade, o conhecimento e informação são elementos cruciais em todos os modos de desenvolvimento, visto que o processo produtivo sempre se baseia em algum grau de conhecimento e no processo de informação. Contudo, o que é específico ao modo informacional de desenvolvimento é a ação de conhecimento sobre os próprios conhecimentos como principal fonte de produtividade.”

Ainda, para Castells (2003, p. 7/8), a base tecnológica que dá forma organizacional à Era da Informação é a Internet.  Para o sociólogo,

“[a] influência das redes baseadas na Internet vai além do número de seus usuários: diz respeito também à qualidade do uso. Atividades econômicas, sociais, políticas, e culturais essenciais por todos o planeta estão sendo estruturadas pela Internet e em torno dela, como por outras redes de computadores.”

Conhecimento e informação, portanto, são vitais para a sociedade informacional e sua utilização mostra-se potencializada pelo uso da Internet, que, hoje em dia, permeia todo o tipo de atividade, em especial a econômica e social.

Pode-se dizer, assim, que a informação seria a principal commodity e instrumento de poder na sociedade informacional e, por outra via, como a informação nada mais é do que o processamento de dados, é possível concluir que a utilização de tais dados, também, é essencial à Era da Informação.

Vale ressaltar, como apontado no estudo realizado pela Presidência dos Estados Unidos da América, de maio de 2014[12], que a coleta, o armazenamento e a análise de dados estão em uma trajetória ascendente e, aparentemente, sem limites, alimentados por um aumento no poder de transformação, pela redução dos custos de computação e de armazenamento, e pelo número crescente de tecnologias de sensor incorporadas em todos os tipos de aparelhos. E a esse universo, que reflete a capacidade tecnológica de capturar, agregar e processar um número e variedade cada vez maior de dados, é conferido o nome de “big data[13].

Sobre o prisma governamental, de acordo com o citado estudo, enquanto o “big data” aumenta o potencial de poder do governo; por outro lado, também, aumenta a responsabilidade deste, diante da necessidade de proteção da privacidade e demais direitos do cidadão[14].

O mesmo raciocínio se aplica às organizações empresariais. Nos dias de hoje, em que as mudanças ocorrem numa velocidade cada vez maior[15], a sobrevivência da atividade empresarial está ligada à criação de vantagens competitivas, sendo certo que o conhecimento e as informações são os principais exemplos destas vantagens, formando o chamado capital intelectual.

É sensível a dependência da atividade empresarial em relação a informações, pois quanto maior o volume de dados pessoais coletados, maiores serão as condições de competitividade, ou seja, quanto mais se conhece o consumidor, maiores são as possibilidades de venda de um produto ou serviço.

Como exemplo de prática que incrementa as condições de competitividade, pode-se citar o profiling, que se consubstancia na metodologia que cria um perfil do usuário da rede mundial de computadores, com base nos registros eletrônicos de hábitos de navegação associados a outra fontes de informação (MONTEIRO, 2014, p. 141).

“Ainda, o modelo de negócio de alguns provedores de serviços

depende quase que exclusivamente da monetização de dados de seus usuários. Dados estes que na sua maioria são pessoais. Uma vez que a receita das empresas se origina principalmente da publicidade oferecida através de suas plataformas, e a eficiência dessas propagandas está diretamente ligada à análise do comportamento do usuário, caso estas empresas não coletassem dados, elas simplesmente não existiriam”[16].

Além destas organizações que auferem lucros principalmente em decorrência da publicidade on-line, existem os chamados “serviços de dados” ou, ainda, “data brokers”, que englobam uma classe de empresas que coletam dados através de muitas fontes, agregando-os, analisando-os, e, então, compartilhando essas informações. Muitas dessas empresas não têm relação direta com os consumidores cujos dados são coletados, fornecendo serviços a outras organizações, incluindo comercialização.

Existem, também, alguns bancos de dados que fornecem informações sobre consumidores, para fins de realização de operações financeiras, de crédito etc. No Brasil, tais agências possuem caráter público, por imposição do parágrafo 4º do artigo 43 do Código de Defesa do Consumidor[17].

Insta salientar que a proteção aos dados pessoais não se restringe ao âmbito digital; porém, como visto, foi a Internet[18] a responsável pelo aumento do uso de dados pessoais, pois ínsito às atividades, sejam empresariais ou governamentais, na atualidade.

Na era informacional, o valor agregado da informação, ainda que personalíssima, maximizou-se. De acordo com Monteiro, “com regulação estatal ou não, dados continuarão a ser coletados e armazenados, pois o atual modelo de negócio das empresas de Internet depende dessa prática” (MONTEIRO, 2014, p. 141).

Assim, na medida em que a Internet[19] potencializou a coleta, análise, utilização e transferência de dados pessoais de forma simples e pouco custosa, também, cresceu a preocupação a respeito do nível de proteção conferido a tais dados por aquele que os possui, seja pessoa física ou mesmo pessoa jurídica de direito privado ou público.

Portanto, surge a necessidade de proteção do titular dos dados, principalmente porque o tratamento inadequado aos dados pessoais, no que se incluem os dados sensíveis (aqueles que traduzem informações relativas à origem social e étnica, à genética, à orientação sexual e às convicções políticas, religiosas e filosóficas do titular), pode violar a privacidade, intimidade e outros direitos fundamentais do indivíduo.

Desta feita, impõe-se perquirir sobre a melhor forma de controlar e restringir os potenciais efeitos nocivos do uso de dados pessoais. Isso porque, quem mais se beneficia com a regulamentação e o estabelecimento de regras claras a respeito da questão, é o cidadão.

Assim sendo, considerando a importância do tema, este trabalho terá por objetivo a análise da perspectiva brasileira a respeito da proteção de dados pessoais, bem como abordará a necessidade de estabelecimento de um marco legal compreensivo sobre assunto.

Iniciemos, então, pela análise dos modelos de legislação existentes, tendo em conta os níveis de proteção conferidos aos dados pessoais.

1.3. Níveis de proteção dos dados pessoais: uma abordagem comparada.

Existem quatro modelos para a regulamentação em termos de proteção de dados pessoais. De acordo com Moshell, tais modelos não são exclusivos, mas às vezes são complementares ou até contraditórios a depender da aplicação dada a eles.

Assim, para o autor, a) o modelo compreensivo estabelece leis gerais de proteção aos dados pessoais, aplicáveis tanto aos setores privado e público; b) o modelo setorial tem por alvo setores específicos que demonstraram ser lesivos à privacidade do cidadão; c) o modelo de autorregulação prevê o estabelecimento de condutas e fiscalização mútuas pelas empresas e indústrias; e d) o modelo de uso de tecnologias para proteção da privacidade pelo próprio indivíduo, permite ao cidadão gerenciar a cessão e distribuição de seus próprios dados pessoais[20].

Neste aspecto, pode-se afirmar que a União Europeia optou pela regulamentação compreensiva, sendo que a citada Diretiva n. 2016/680 seria um exemplo de adesão estrita a este modelo. Por outro lado, nos Estados Unidos da América optou-se por um modelo híbrido, possuindo um aspecto setorial e outro autorregulatório[21].

Para Fromholz, na União Europeia, estados-membros foram impulsionados a regular o uso de dados pessoais de forma exaustiva. Nos Estados Unidos, por outro lado, o governo absteve-se desta forma de regulação, permitindo que empresas e associações utilizassem a autorregulação, com exceção de um pequeno número de normas estritamente concebidas para determinados setores da indústria[22].

A divergência nas abordagens americana e europeia está intimamente ligada às diferenças culturais, já que os americanos, ao contrário dos europeus, possuem maior desconfiança do governo, e maior estima ao mercado e tecnologia[23]. Além disso, Europa e Estados Unidos conferem enfoques distintos à privacidade em geral, direito do qual deriva a proteção aos dados pessoais[24].

Vale destacar que no direito europeu, o direito à vida privada possui caráter de direito fundamental e, além de estar disposto na Declaração Universal de Direitos Humanos de 1948 (artigo 12) e na Convenção Europeia dos Direitos Humanos  de 1950 (artigo 8º), também está expresso na Carta dos Direitos Fundamentais da União Europeia (artigo 7º), a qual, ainda, dispõe, especificamente, a respeito do direito à proteção de dados pessoais (artigo 8º), que assim passou a gozar de hierarquia normativa priveligiada no ordenamento jurídico da União Européia.

Nos Estados Unidos, por seu turno, o direito à privacidade (right to privacy), não está explicitamente previsto na Constituição e decorre de interpretação jurisprudencial, possuindo, basicamente, três aspectos:

a) o direito de não interferência, ou seja, de ser deixado em paz (right to be left alone), desenvolvido por Warren e Brandeis[25], não possuindo status constitucional, que protege o cidadão da “obtenção e disseminação não autorizadas de informações pessoais (…). Também se inclui nessa modalidade a vedação ao uso comercial não autorizado de aspectos da personalidade, como a imagem e o nome pessoal” (SAMPAIO, 2013, p. 276);

b) o direito fundamental previsto na quarta emenda Constitucional, que garante ao cidadão a inviolabilidade de sua residência, de seus bens e objetos pessoais em face do Estado; e,

c) “o direito de tomar decisões de caráter pessoal ou íntimo (intimate ou fundamental decisions privacy) – a defender o indivíduo e a família contra a intromissão estatal nas opções e decisões de natureza reservada ou personalíssima (…)”[26] (eg. aborto[27]).

Esta abordagem fragmentada do direito à privacidade nos Estados Unidos é atribuída à falta de previsão expressa do direito à privacidade na Constituição norte-americana. Tal enfoque, de acordo com Moshell, culmina na inexistência de uma legislação compreensiva a respeito da proteção de dados pessoais, demonstrando a falta de apreço dos Estados Unidos pela regulação abrangente do tema[28].

Assim, muito embora a afeição pela proteção da privacidade esteja ligada aos regimes liberais, que regra geral optam pela regulação exaustiva da proteção aos dados pessoais derivada do direito à privacidade, nos Estados Unidos da América – forte pelos ideais liberais – a proteção legal aos dados pessoais mostra-se insuficiente, quando comparada à proteção conferida pela União Europeia, por exemplo, o que parece ser contraditório.[29]

Para Bygrave, esta variação reflete as diferenças em relação ao quanto cada pessoa, nos respectivos países, leva a privacidade em consideração, independentemente de leis sobre o assunto, bem como as percepções das pessoas a respeito do grau de ameaça à privacidade. Segundo o autor, a natureza exaustiva da proteção aos dados pessoais na Europa estaria ligada aos traumas causados pelos relativamente recentes regimes totalitaristas que dominaram alguns de seus países, o que não ocorreu nos Estados Unidos[30].

Por outro lado, continua o autor, afirmando que outra diferenciação interessante a respeito dos dois regimes, diz respeito à percepção do nível dos interesses que competem com a privacidade, tais como segurança pública e nacional, o que pode ser notado pela política regulatória norte-americana após os ataques terroristas de 11 de setembro de 2001[31].

Ainda, o direito à privacidade na Europa mostra-se mais amplo em escopo do que nos Estados Unidos, pois reflete a necessidade de se assegurar condições necessárias para participação do cidadão na vida pública e na ordem democrática[32].

Além disso, diferentemente dos Estados Unidos, em que o direito à privacidade é estritamente negativo, reconhece-se na Europa, também, um aspecto positivo a tal direito, de modo que o Estado tem não só o dever se abster de intervir na privacidade do indivíduo, mas também a obrigação de assegurar tal direito na sociedade[33].

A despeito de tais diferenciações, inegável que privacidade e proteção de dados são essenciais não apenas para os indivíduos, mas para a manutenção da sociedade civilizada, do pluralismo e da própria democracia.

Contudo, tais diferenças culturais ganham relevo quando se constata que para a União Europeia o direito fundamental à privacidade e à proteção de dados pessoais estaria mais bem protegido por meio de legislação e fiscalização abrangentes, e para os Estados Unidos, em que tais direitos não gozam de caráter fundamental expresso, a regulação setorial e a autorregulação, precipuamente, seriam utilizadas para proteção da privacidade e dos dados pessoais de seus cidadãos[34].

Portanto, feita a análise comparativa de tais regimes regulatórios opostos, passa-se a avaliar a realidade brasileira, com o objetivo, também, de se extrair qual espécie de regulação se amoldaria mais adequadamente ao País.

2. Da proteção de dados pessoais no Brasil.

Como apontado, o Brasil não possui uma lei específica regulamentando a proteção de dados pessoais, porém, na legislação há menções esparsas sobre o assunto, sendo certo que, de forma genérica, tal proteção pode ser extraída da nossa Lei Maior. Isso porque é inegável que a proteção aos dados pessoais está intimamente ligada ao direito à privacidade, que encontra guarida no rol dos direitos fundamentais da Constituição da República.

2.1. Tratamento constitucional do tema

A Constituição Federal prevê o direito à privacidade (art. 5º, inciso X), incluindo a inviolabilidade do sigilo de comunicações, de dados e comunicações telefônicas (art. 5º, inciso XII), bem como a garantia de acesso a informações pessoais, e de retificação de dados, constantes de bancos de dados públicos por meio do Habeas Data (art. 5º, inciso LXXII), este regulado pela Lei n. 9.507 de 1997.

Insta salientar, contudo, que a interpretação conferida ao inciso XII da Constituição Federal, extraída da Lei n. 9.296 de 1996 não abrangeria os dados estáticos[35], ou seja, apenas o fluxo de informações estaria protegido pelo mencionado dispositivo constitucional, de modo que a proteção aos dados pessoais estaria abarcada pela previsão genérica constante do inciso X da Constituição Federal.

De rigor mencionar, também, que o citado remédio constitucional (Habeas Data), pode ser impetrado somente em face de órgãos públicos e instituições privadas que prestem serviço para o público ou de interesse público (SILVA, 2002, p. 454). Ainda, na atualidade, tal garantia tem por escopo a preservação da “privacidade e dos dados sensíveis da coletividade, pois com o desenvolvimento de modernos aparelhos tecnológicos e a disseminação da internet abrem-se múltiplas possibilidades de ocorrência de abusos” (AGRA, 2013, p. 486).

Assim, embora de caráter restrito, o referido remédio não deixa de ter relação com a proteção da privacidade e dos dados pessoais, desde que, constantes de bancos de dados governamentais ou de caráter público.  É de se dizer que tal garantia seria um desdobramento do princípio insculpido no mencionado inciso X da Constituição Federal, que ora se analisa.

No Brasil, o direito à privacidade, engloba a proteção à vida privada, intimidade, honra e imagem das pessoas (art. 5º, inciso X, da Constituição Federal), sendo considerado direito conexo ao direito à vida (SILVA, 2002, p. 205). Assim como na Europa, o direito à privacidade no Brasil comporta interpretação ampla.

Ainda, de rigor mencionar que a Constituição faz distinção entre intimidade e vida privada, sendo a primeira de conteúdo menos abrangente, pois ligada às relações subjetivas da pessoa, no âmbito familiar e de amizades; a segunda abarcaria o conceito da primeira, incluindo, também, todos os relacionamentos objetivos (e.g. relações comerciais etc.) (MORAES, 2011, p. 138).

De acordo com José Adércio Leite Sampaio,

“[o] direito geral à vida privada desafia uma compreensão muito mais ampla, assentada na própria ideia de autonomia privada e da noção de livre desenvolvimento da personalidade, sem embargo, contida em certos desdobramentos materializantes, como a seguir veremos. Há de se ter presente que tais desdobramentos são produto de uma dada realidade social, econômica e política, percebível pelo pensamento jurídico contemporâneo e, por ele, revelado” (SAMPAIO, 2013, p. 277).

Como visto na primeira parte deste estudo, não restam dúvidas de que a privacidade de um indivíduo pode ser afetada diretamente pelo tipo de tratamento conferido aos seus dados pessoais, o que corrobora a necessidade de regulação da matéria, pois o cidadão tem o direito de ter acesso aos seus dados pessoais, o direito de retificá-los ou excluí-los, de decidir a respeito de seu destino e finalidade etc.

Assim, é possível afirmar que a sociedade da informação impôs uma nova realidade percebível pelo pensamento jurídico contemporâneo, seja do aspecto social, econômico e, inclusive, cultural, de forma que a interpretação alargada do direito à vida privada se mostra necessária, a fim de abarcar a proteção aos dados pessoais, não apenas na esfera governamental, mas também na esfera privada.

2.2. Tratamento infraconstitucional do assunto

A despeito da ausência de previsão específica, é certo que a preocupação com a proteção de dados pessoais no Brasil remonta à década de 80, quando aprovada a Lei n. 7.232/84, que estabeleceu a política nacional de informática.

Referida lei, conquanto limitada ao ambiente informático, em seu artigo 2º, incisos VIII e IX, estabelece como princípios da citada política: a) o “estabelecimento de mecanismos e instrumentos legais e técnicos para a proteção do sigilo dos dados armazenados, processados e veiculados, do interesse da privacidade e de segurança das pessoas físicas e jurídicas, privadas e públicas”; b) o “estabelecimento de mecanismos e instrumentos para assegurar a todo cidadão o direito ao acesso e à retificação de informações sobre ele existentes em bases de dados públicas ou privadas”.

Contudo, após o estabelecimento de tais princípios, não há notícias de progresso legislativo no que toca ao assunto, até mais recentemente, como será visto.

Cumpre mencionar que, em 1990, o Código de Defesa do Consumidor trouxe previsão específica sobre o direito de acesso e de retificação de dados pessoais, em seu artigo 43 e seus parágrafos. Ainda, o Decreto n. 7962 de 2013 que regulamenta o citado diploma legal, para dispor sobre o comércio eletrônico, prevê em seu artigo 4º, inciso VI, que o fornecedor deverá utilizar mecanismos de segurança eficazes para tratamento de dados do consumidor.

O avanço mais significativo, todavia, se deu com entrada em vigor do Marco Civil da Internet (Lei n. 12.965), em 23 de abril de 2014, vinte anos após a previsão principiológica contida na Lei n. 7.232/84.

A finalidade do Marco Civil da Internet foi de estabelecer princípios, garantias, deveres e direitos dos usuários de Internet, dos prestadores de serviços e do poder público, o que configurava antiga preocupação legislativa, como se extrai dos inúmeros projetos de lei que tramitavam nas duas casas do Congresso Nacional desde meados da década de 1990. E, exatamente pelo seu conteúdo principiológico, delimitador de diretrizes gerais para a regulação das questões decorrentes da relação entre o direito e a internet, que, atualmente, é conhecido como a “Constituição da internet”.

De acordo com a exposição de motivos do Projeto de Lei que deu origem ao Marco Civil, ele teve inspirações no texto constitucional e no conjunto de recomendações apresentadas pelo Comitê Gestor da Internet no Brasil – CGI.br – no documento “Princípios para a governança e uso da Internet” (Resolução CGI.br/RES/2009/003/P).

Diz-se que o Marco Civil é uma lei “pró-inovação” e “pró-direitos”, porque, em sua redação original, traz um rol de princípios destinados à proteção de usuários, empreendedores e a própria característica de abertura da internet. Exemplo disso são os seus dispositivos sobre a privacidade, estabelecendo regra universal no sentido de que nenhum dado do usuário pode ser acessado sem ordem judicial prévia, bem como delimitando critérios para que juízes possam autorizar ou não o acesso aos dados pessoais (LEMOS, 2014, p. 8).

De acordo com o Ministro da Justiça José Eduardo Cardozo (CARDOZO, 2014, prefácio), que participou da elaboração do projeto de lei, o Marco Civil é formado por três pilares: neutralidade de rede, liberdade de expressão e privacidade, sendo certo que, no presente estudo, o que nos interessa, em especial, é o último pilar. Nesse tocante, acrescenta o Ministro que o tema da proteção de dados pessoais na internet foi abordado pelo Marco Civil, que, partindo da premissa de que as pessoas são titulares de seus próprios dados pessoais, estabelece regras para o consentimento na coleta de dados, exigindo que sejam coletados apenas para a finalidade das atividades prestadas, bem como ressalta a importância da transparência nas políticas de privacidade, dentre outras medidas.

Feitas essas considerações, verifica-se que a proteção à privacidade é tratada nos seguintes dispositivos legais da Lei n. 12.965/14: artigo 3º, incisos II e III; artigo 7º, incisos I, II, III, VI, VII, VIII, IX, X; artigo 8º; artigos 10 ao 12; artigo 16, inciso II; e, artigo 23.

O Marco Civil, em seu artigo 3º, incisos II e III prevê expressamente e de forma separada que a disciplina do uso da Internet no Brasil tem por princípios a proteção da privacidade e a proteção dos dados pessoais, que se dará na forma da lei específica.

Conforme leciona Doneda[36], apesar das similaridades, a menção em separado a tais princípios sugere que a proteção de dados pessoais seria diversa, em termos de objetivos, daquela conferida à privacidade, seguindo a abordagem conferida pela Carta de Direitos Fundamentais da União Europeia, já estudada.

Ainda, o inciso III do artigo 3º, já sinalizando o âmbito limitado de aplicação do Marco Civil da Internet em termos de proteção de dados pessoais, além de não ofertar definição terminológica a respeito do assunto, relegou à lei específica a regulação exaustiva do tema.

Por outro lado, o artigo 7º do citado diploma legal elenca os direitos dos usuários a internet. Alguns destes direitos, por estarem diretamente ligados ao tema deste estudo, merecem menção específica.

O inciso I assegura aos usuários de internet a inviolabilidade da intimidade e da vida privada, prevendo expressamente direito à indenização pelo dano material ou moral decorrente de sua violação.

O inciso II prevê a inviolabilidade e sigilo do fluxo das comunicações realizadas pela internet, salvo por ordem judicial, na forma da lei.

O inciso III, reforçando a previsão constitucional, estabelece a “inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial”. Considerada a extensão conferida pelo artigo 10, parágrafo 2º, da lei, tal disposição elucida a divergência relativa à possibilidade de interceptação do conteúdo da comunicação e não dos dados estáticos, como estudado anteriormente. Isso porque o inciso confere à proteção aos dados armazenados o mesmo grau de proteção outrora conferido à comunicação.

O inciso VI dita que é assegurado o direito a “informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade”. De acordo com Doneda[37] tal inciso, que tem aplicação aos regulamentos de privacidade que regem os serviços ofertados pela internet, deve ser interpretado conjuntamente com o inciso VIII, de forma que as políticas de privacidade ou qualquer termo de uso aplicável a dados pessoais devem ser claros e compreensíveis.  Ainda, para Monteiro (2014, p. 146) citado inciso deve ser interpretado em consonância com o inciso XIII, que confirma o entendimento já em vigor de que as normas para a defesa do consumidor aplicam-se às relações de consumo estabelecidas por meio da rede mundial de computadores.

O inciso VII estabelece uma garantia de “não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei”. Interessante notar que o inciso separa registros de conexão dos dados pessoais, conferindo-lhes âmbitos de proteção distintos, portanto. Ainda, o consentimento é apresentado como um instrumento que o indivíduo pode utilizar para decidir sobre a divulgação ou transmissão de seus dados pessoais a terceiros. Para Monteiro (2014, p. 149),

“o consentimento livre, expresso e informado, será aquele em que o usuário não é forçado a concordar com os termos do contrato, e as cláusulas que discorrem sobre qualquer tipo de tratamento de dados – inclusive fornecimento a terceiros – deverão ser redigidas de forma destacada, e se possível, separadas das demais.”

O inciso VIII assegura ao indivíduo o direito a “informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet”. Segundo Doneda, esta disposição indica a adoção de dois princípios, o da transparência e o da finalidade. Assim, há necessidade de que as informações sejam claras e compreensíveis e, ainda, fica vedado o uso dos dados pessoais para outros fins que não aquele previamente autorizado e especificado[38].

Por sua vez, o inciso IX dispõe a respeito da “necessidade de consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais”. Assim, como já apontado o consentimento é imprescindível para o tratamento de dados pessoais e deve ser obtido de forma separada, a fim de facilitar o entendimento do indivíduo.

O inciso X prevê o direito do indivíduo de “exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei”.

Para Vancim e Neves (2015, p. 69/70), o artigo ora estudado deve ser objeto de interpretação ampliativa favorável aos usuários, constituindo “números abertos” de hipóteses inseridas aos direitos dos usuários, o que permite afirmar que outros direitos, não expressamente previstos, mas admitidos pela sistemática da norma, devem ser protegidos e preservados”.

De acordo com Ulisses Schwarz Viana (2014, p. 135), os direitos estabelecidos no artigo 7º, em seu aspecto deontológico, podem ser traduzidos como deveres recíprocos entre usuários e provedores do sistema, representando a consagração, no plano infraconstitucional, dos princípios-garantias dos incisos X e XII do artigo 5º da Constituição Federal, que se revelam como potencial fonte de conflito com o direito à liberdade de expressão, mormente diante das características da internet, em que a disseminação de informações e de opiniões ocorre de maneira veloz e abrangente, não se limitando nem mesmo ao território nacional. Acrescenta que, diante do conflito entre o direito à privacidade e à liberdade de expressão na internet, para solucioná-lo, deve se valer da teoria constitucional da ponderação. Por fim, sustenta que tem se percebido tendência no Supremo Tribunal Federal, à adoção da doutrina preferred position que reconhece à liberdade de expressão posição de vantagem quando em conflito com outros direitos fundamentais[39].

O artigo 8º estabelece em seu caput que “a garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet”. Em seu parágrafo único, estabelece-se, de maneira ampla, que são nulas de pleno direito as cláusulas contratuais que violem os direitos garantidos no caput, tais como aquelas estabelecidas nos incisos (“que: I – impliquem ofensa à inviolabilidade e ao sigilo das comunicações privadas, pela internet; ou II – em contrato de adesão, não ofereçam como alternativa ao contratante a adoção do foro brasileiro para solução de controvérsias decorrentes de serviços prestados no Brasil”).

Obtempere-se, portanto, que o parágrafo único traz cláusula aberta quanto às hipóteses de nulidade de cláusulas inseridas em contratos relacionados ao acesso à internet, que sejam violadoras do direito à privacidade dos seus usuários, trazendo rol meramente exemplificativo em seus incisos, oportunizando, assim, a declaração de nulidade de outras cláusulas contratuais ofensivas à privacidade.

Os artigos 10 a 12 do Marco Civil da Internet estabelecem meios para proteção dos dados pessoais, dispondo que a guarda e disponibilização destes deve atender à preservação da vida privada, intimidade, honra e imagem das partes direta ou indiretamente envolvidas, bem como que a lei brasileira será aplicável às hipóteses em que o tratamento de dados ocorra em território nacional ou, mesmo em casos de pessoa jurídica sediada no exterior, quando o serviço é prestado ao público brasileiro. Ainda, foram previstas sanções em caso de violação às suas disposições, sem menção, todavia, a respeito da autoridade competente para aplicá-las.

O artigo 16, por sua vez, nas relações de usuários com provedores de aplicações de internet, seja ela onerosa ou gratuita, veda expressamente a guarda: (i) dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º, e; (ii) de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.

Assim, sem prejuízo do consentimento do usuário para manutenção de seus dados pelo provedor de internet, não pode haver a guarda de dados além daqueles necessários à finalidade para o qual foram coletados.

Por fim, o artigo 23 estabelece que nos processos de requisição judicial de registros, compete ao juiz tomar as providências necessárias à garantia do sigilo das informações recebidas e à preservação da intimidade, da vida privada, da honra e da imagem do usuário, podendo determinar, se for o caso, segredo de justiça, inclusive quanto aos pedidos de guarda de registro.

Tais disposições inovaram no ordenamento jurídico nacional, mas ainda não esgotam o tema, principalmente porque se mostraram lacunosas, demandando regulamentação específica, que até o momento não foi objeto de elaboração pelo Poder Legislativo.

Especialmente, quando comparado com a atual e a antiga diretiva europeia de 1995, que o antecedeu em quase vinte anos, o Marco Civil da Internet mostra-se tímido, deixando, por exemplo, de definir o que seriam dados pessoais e sequer distinguindo tal expressão de dados sensíveis. Nem mesmo faz menção aos princípios relativos à qualidade dos dados, previstos na diretiva europeia. Além disso, o citado diploma legal não prevê direito de acesso ou de retificação de dados pessoais, não tratando das transferências internacionais de tais dados, nem dispondo a respeito da criação de uma autoridade supervisora, esta essencial para a efetivação fiscalização e aplicação do direito fundamental à privacidade.

Também, o Marco Civil da Internet deixa de elencar a totalidade dos “Fair Information Principles”[40], que formam um rol de questões que devem ser objeto de análise por um ordenamento jurídico no que tange à proteção dos dados pessoais. Vale elencar os princípios, tais como citados pelo autor:

a) Princípio da publicidade (ou da transparência), pelo qual a existência de um banco de dados com dados pessoais deve ser de conhecimento público, seja por meio da exigência de autorização prévia para funcionar, da noti­ficação a uma autoridade sobre sua existência, ou do envio de relatórios periódicos”; b) Princípio da exatidão: os dados armazenados devem ser fiéis à realidade, o que compreende a necessidade de que sua coleta e seu tratamento se­jam feitos com cuidado e correção, e de que sejam realizadas atualizações periódicas conforme a necessidade; c) Princípio da finalidade, pelo qual qualquer utilização dos dados pesso­ais deve obedecer à finalidade comunicada ao interessado antes da coleta de seus dados. Este princípio possui grande relevância prática: com base nele fundamenta-se a restrição da transferência de dados pessoais a ter­ceiros, além do que se pode, a partir dele, estruturar-se um critério para valorar a razoabilidade da utilização de determinados dados para certa finalidade (fora da qual haveria abusividade); d) Princípio do livre acesso, pelo qual o indivíduo tem acesso ao banco de dados no qual suas informações estão armazenadas, podendo obter có­pias desses registros, com a consequente possibilidade de controle desses dados; após este acesso e de acordo com o princípio da exatidão, as infor­mações incorretas poderão ser corrigidas e aquelas obsoletas ou imperti­nentes poderão ser suprimidas, ou mesmo pode-se proceder a eventuais acréscimos; e) Princípio da segurança física e lógica, pelo qual os dados devem ser pro­tegidos contra os riscos de seu extravio, destruição, modificação, trans­missão ou acesso não autorizado.

Com efeito, o citado diploma legal foi omisso em relação ao princípio da publicidade, pois não regulou a criação de bancos que tratem de dados pessoais na internet. Da mesma forma, embora contenha previsão a respeito da exclusão dos dados pessoais de bancos de dados, com o término da relação negocial (artigo 7º, inciso X), o Marco Civil da Internet foi lacunoso no que toca ao princípio da exatidão e do livre acesso dos usuários aos ditos bancos de dados. Ainda, conquanto o artigo 10, parágrafo 4º, do Marco Civil faça menção a procedimentos de segurança na guarda e disponibilização de dados pessoais, o fato de o artigo condicionar tal proteção à observância de um regulamento, implica em não atendimento do princípio da segurança. Enfim, pode-se afirmar que o único “Fair Information Principle” suficientemente observado pela Lei n. 12.965/14 foi o princípio da finalidade, disposto no seu artigo 7º, inciso VIII, da mencionada lei.

Como se nota, a despeito do avanço decorrente da elaboração do Marco Civil da Internet, é possível afirmar que a lei é falha e obscura em diversos aspectos relativos à proteção de dados pessoais, não sendo suficiente à ampla proteção do direito fundamental à vida privada, no que se inclui o direito à proteção dos dados pessoais.

Em verdade, contraditoriamente, o quadro legislativo atual não permite ao Brasil sequer dar cumprimento ao estabelecido no artigo 4º da Resolução n. 68/167, proposta pelo próprio País à ONU.

Assim sendo, o simples conceito alargado de privacidade somado a uma legislação esparsa e lacunosa sobre o assunto não se mostra suficiente para evitar abusos e nem supre a expectativa dos brasileiros em relação à proteção de seus dados pessoais.

Com efeito, as recentes violações de dados pessoais noticiadas pela imprensa brasileira despertaram na sociedade a consciência a respeito da importância da proteção de dados pessoais e o cidadão brasileiro tem se mostrado preocupado com a insegurança gerada pela ausência de regulação do assunto, demonstrando possuir alto grau de consideração por sua privacidade diante de eventual ameaça.

Neste aspecto, em 2015, foi divulgada pesquisa envolvendo doze países, apontando que o brasileiro, ao lado dos alemães e holandeses possui grande preocupação com a segurança conferida a seus dados pessoais[41].

De acordo com o estudo, 53% dos consumidores brasileiros afirmaram ter receio de eventual violação de seus dados pessoais, demonstrando a sensação de vulnerabilidade do cidadão e, bem assim, a necessidade de regulamentação do assunto.

A ausência de regulamentação específica e compreensiva sobre o tema gera insegurança jurídica – tanto para os usuários, quanto para as pessoas jurídicas que, de algum modo, utilizam dados pessoais em suas atividades – inconsistente com o atual estágio da tecnologia e com o volume de coleta e tratamento de dados dos indivíduos.

Vale ressaltar, ainda, que houve tentativa de autorregulamentação do uso de dados pessoais no Brasil. Como exemplo, a Associação Brasileira de Marketing de Dados e associações signatárias desenvolveram o texto do Código Brasileiro de Autorregulamentação para Proteção de Dados Pessoais; mas, não há notícias a respeito da efetiva aplicação das normas criadas[42].

De qualquer modo, a despeito da já abordada vantagem da autorregulação – que possibilita melhor adequação à realidade social e é também adotada nos Estados Unidos da América, é certo que as similitudes no tratamento do direito à privacidade entre Brasil e União Europeia, dão conta de que se deve legislar de forma específica e abrangente a respeito do tema, sem prejuízo da convivência entre dois sistemas regulatórios, garantindo aos cidadãos brasileiros o mesmo nível de proteção de que gozam os cidadãos europeus, principalmente, quando se têm em conta os avanços tecnológicos das últimas décadas, que maximizam as possibilidades de violação de direitos individuais garantidos pela Constituição.

Cumpre destacar que, como na Europa, o Brasil atribui expressamente o caráter de “fundamental” ao direito à vida privada (que, numa interpretação ampla, abarca também a proteção dos dados pessoais), conferindo-lhe, ainda, hierarquia constitucional, diferentemente dos Estados Unidos, que aborda tal direito de forma fragmentada.

De outro lado, o brasileiro tem demonstrado mais apreço à privacidade e mais preocupação com o grau de ameaça a este direito, na era informacional, em especial após o incidente de vigilância em massa envolvendo o governo norte-americano.

Além disso, no Brasil, assim como na Europa, o direto à privacidade possui um caráter positivo, ou seja, além do dever de se abster de intervir na privacidade (aspecto negativo), o Estado também tem o dever de assegurar tal direito.

Em verdade, a semelhança de tratamento conferido à privacidade no Brasil e na Europa, permite a constatação de que tal direito fundamental, no que se inclui a proteção de dados pessoais, estaria mais bem protegido por meio de legislação e fiscalização abrangentes.

Em síntese, pode-se dizer que a proteção alargada dos dados pessoais no Brasil permitirá o resgate da segurança do cidadão quanto ao uso de seus dados pessoais, promovendo, ainda, o comércio eletrônico, por meio de criação de regras uniformes, tais como as previstas na Diretiva Europeia, que se mostrou de vanguarda.

Nesse sentido, observa-se que, no geral, os projetos de lei em trâmite basearam-se nos nortes ditados pela antiga diretiva europeia de 1995.

O projeto em trâmite pela Câmara dos Deputados parece ser uma versão resumida da diretiva, sendo omisso em relação à transferência internacional de dados, à autoridade competente e a diversos direitos que estão previstos nos outros dois projetos.

Já os projetos de lei apresentados pelo Senado Federal e pelo Ministério da Justiça mostram-se mais completos e mais fiéis ao conceito de legislação compreensiva. Em verdade, ao que parece tais projetos de lei são os mais aptos a sanar as lacunas legislativas existentes no Brasil, trazendo previsões muito semelhantes àquelas contidas na atual diretiva europeia.

Contudo, nenhum dos projetos mencionados cria efetivamente uma autoridade competente para fiscalização do uso de dados pessoais, o que seria essencial para efetiva inspeção e aplicação do direito fundamental à privacidade, nos termos do compromisso assumido pelo Brasil junto à ONU (artigo 4º, “d”, da Resolução n. 68/167). Segundo o parecer da Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática do Senado Federal, a criação da autoridade nacional supervisora seria de competência da Presidência da República, nos termos do art. 61, paragrafo 1º, inciso II, “e”, da Constituição Federal[43].

Enfim, cumpre citar que o projeto do Ministério da Justiça, em seu artigo 50, deixa margem para a autorregulação, quando prevê a possibilidade de criação de regras de boas práticas pelos responsáveis pelo tratamento de dados, demonstrando a possibilidade de convivência do modelo compreensivo e do modelo de autorregulação, com vistas ao aprimoramento da proteção da privacidade do cidadão.

Conclusão

O surgimento de novas tecnologias para coleta e tratamento de dados pessoais provocou, paralela e paulatinamente, uma tentativa de resgate à privacidade, o que gerou a necessidade de estabelecimento de um marco regulatório sobre o assunto.

Em muitos países, como no Brasil, por exemplo, as leis não acompanharam a tecnologia, deixando lacunas significativas em termos de proteção de dados pessoais. Assim, com atraso vintenário em relação aos países europeus, o País ainda não possui lei específica que trate do assunto, não atingindo o grau de adequação necessário, como aquele garantido, por exemplo, pela União Europeia e pela Argentina.

Ainda, embora se reconheça a importância do Marco Civil da Internet, por certo, tal lei não confere nível de proteção suficientemente abrangente aos dados pessoais, máxime quando considerada a importância do tema para a sociedade atual.

Vale destacar que o Brasil não dispõe de uma autoridade específica para a proteção de dados pessoais, o que dificulta a fiscalização e aplicação das provisões legais, em especial em caráter preventivo, relegando tal tarefa ao Poder Judiciário, que atua de forma repressiva.

Por essa razão, somada ao fato de a legislação sobre o assunto ser esparsa e não específica, o Brasil ganhou nota mínima em termos de proteção aos dados pessoais e fez jus à classificação “limitada”, numa escala que parte da proteção “pesada”, para a “robusta”, seguindo para a “moderada” e, enfim, para a “limitada”, de acordo com o grupo “DLA Piper´s Global Data Protection and Privacy[44], o que demonstra que o tema merece ser tratado com seriedade.

Assim, com foco no desenvolvimento tecnológico e regulatório da proteção de dados, este trabalho tentou demonstrar que os quadros legislativos de proteção de dados no Brasil, nos Estados Unidos e na União Europeia são deveras distintos e representam, respectivamente, uma esfera de proteção fraca, esparsa (porém, considerada pesada), e abrangente.

Ainda, este estudo, distinguindo os sistemas regulatórios opostos utilizados pela União Europeia e pelos Estados Unidos, tentou apontar as vantagens de uma regulamentação compreensiva, que confere, por meio da harmonização, proteção para o cidadão e estímulo às atividades empresariais ou governamentais que fazem uso de dados pessoais.

Com efeito, uma lei específica e abrangente sobre proteção de dados afigura-se necessária para a proteção da privacidade do cidadão brasileiro e para estabelecimento de segurança jurídica não apenas para os indivíduos, mas também para aquelas pessoas jurídicas que utilizam o tratamento de dados em suas atividades.

Em suma, a elaboração de uma legislação específica para a proteção dos dados pessoais, bem como a criação de uma autoridade autônoma para tratar do assunto, é essencial e inevitável na era informacional, pois, sem a regulamentação e respectiva fiscalização, o titular dos dados estaria vulnerável e não disporia de remédios legais para sanar eventuais danos.

Enfim, analisando-se os projetos de lei em trâmite no País sobre o tema, em geral, foi possível notar que as normas e princípios adotados pela União Europeia são o norte da legislação que está por vir, confirmando o papel vanguardista do velho mundo, e demonstrando a opção do legislador nacional pela regulamentação abrangente e uma tendência à harmonização global do assunto, com base na diretiva europeia, suprindo as lacunas atualmente existentes, conferindo um nível de proteção mais elevado aos dados pessoais e resguardando o comércio transnacional.

Como reconhecido pelo próprio Senado Federal no parecer aprovado pela Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática, relativo ao projeto de lei sobre o assunto,

“[n]ote-se, nesse ponto, o quão defasado está o Estado brasileiro na temática de proteção de dados pessoais. A Europa discute, de forma propositiva, a questão há mais de duas décadas, pelo menos. O Brasil, portanto, não pode mais tardar em editar uma lei que disponha sobre o tratamento dos dados pessoais, assegurando proteção aos cidadãos e oferecendo segurança jurídica às corporações públicas e privadas”[45].

Nesse sentido, espera-se que o legislativo brasileiro, compreendendo a importância e relevância do tema para o cidadão brasileiro, priorize e acelere a tramitação dos projetos de lei que tratam sobre o assunto, em especial, atualizando-os e incorporando, inclusive, os avanços recentes da legislação europeia, na qual se espelham.

Somente uma legislação abrangente protegeria suficientemente o direito fundamental à privacidade, no que se inclui a proteção aos dados pessoais.

Quem ganha é o cidadão, mas não só, pois o estabelecimento de um marco legal compreensivo gera segurança jurídica, alinhando o ordenamento jurídico brasileiro a uma tendência internacional, e os reflexos financeiros são inegáveis.

 

Referências
CASTELLS, Manuel, A sociedade em rede, v. I, 8 ed., Paz e Terra, Trad. Roneide Venancio Majer.
CASTELLS, Manuel, A galáxia da internet: reflexoes sobre a internet, os negócios e a sociedade, trad. Maria Luiza X. de A. Borges, Rigo de Janeiro, Jorge Zahar Ed., 2003.
BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES, p. 1-2, Relatório “Big Data Privacy”, disponibilizado pelo Governo Norte-Americano, de maio de 2014.
KLEE, Antonia Espíndola Longoni, Comércio Eletrônico, São Paulo: Revista dos Tribunais, 2014.
MONTEIRO, Renato Leite, Da Proteção aos Registros, aos dados pessoais e às comunicações privadas, in MASSO, Fabiano del et. al. (coord.), Marco Civil Da Internet, São Paulo: Revista dos Tribunais, 2014.
Ryan Moshell, And there was one: the outlook for a self-regulatory United States amidst a global trend toward comprehensive data protection, Texas Tech Law Review, v. 37, 2005.
Julia M. Fromholz, The European Union Data Privacy Directive, in Berkeley Technology Law Journal, v. 15, 2000.
John C. O´Quinn, None of Your Business, Harvard Journal of Law & Technology, v. 12, n. 3, 1999.
SAMPAIO, José Adércio Leite, in SARLET, Ingo Wolfgang, J.J. Gomes Canotilho et. al. Comentários à Constituição do Brasil. São Paulo: Saraiva, 2013.
Samuel D. Warren Louis D. Brandeis, The Right to Privacy, Harvard Law Review, v. 4, n. 193. 1890.
Lee A. Bygrave, Privacy and Data Protection in an International Perspective, 2010, disponível em HeinOnline.
Ronald J. Krotoszynski, Reconciling privacy and speech in the era of big data: a comparative legal analysis, William & Mary Law Review, v. 56, n. 1279, 2015.
Domingo R. Tan, Personal Privacy in the Information Age: Comparison of Internet Data Protection Regulations in the United States and the European Union. Loy. L.A. Int´l & Comp. L. J., v. 21, 1999.
SILVA, José Afonso, Curso de Direito Constitucional Positivo. São Paulo: Malheiros, 2002.
AGRA, Walber de Moura, in SARLET, Ingo Wolfgang, J.J. Gomes Canotilho et. al. Comentários à Constituição do Brasil. São Paulo: Saraiva, 2013.
MORAES, Alexandre. Direitos Humanos Fundamentais – Teoria Geral. São Paulo: Atlas, 2011.
LEMOS, Ronaldo, Marco Civil da Internet, Coord. Por George Salomão Leite e Ronaldo Lemos, São Paulo: Atlas, 2014.
CARDOZO, José Eduardo Martins, Marco Civil da Internet, Coord. Por George Salomão Leite e Ronaldo Lemos, São Paulo: Atlas, 2014.
DONEDA, Danilo, Privacy and data protection in the Marco Civil da Internet, disponível em Scribd, acessado em 05/06/17.
VANCIM, Adriano Roberto, et. al., Marco Civil da Internet, 2ª ed., São Paulo: Mundo Jurídico, 2015.
VIANA, Ulisses Schwarz, Marco Civil da Internet, Coord. Por George Salomão Leite e Ronaldo Lemos, São Paulo: Atlas, 2014.
DONEDA, Danilo, A proteção dos dados pessoais como um direito fundamental, Espaço Jurídico Joaçaba, v. 12, n. 2, 2011.
LACOMBE, Francisco José Masset et. al., Administração Princípios e Tendências, São Paulo: Saraiva, 2003.
Notas
[1] Este artigo foi atualizado, parcialmente modificado e reduzido, a partir de sua versão original publicada nos Cadernos Jurídicos da Escola Paulista da Magistratura.
[2] Disponível em http://link.estadao.com.br/noticias/empresas,xp-investiga-vazamento-apos-dados-de-clientes-serem-divulgados-pela-internet,70001639008, acessado em 12/04/2017.
[4] DATA PROTECTION LAWS OF THE WORLD, disponível em http://dlapiperdataprotection.com/#handbook/world-map-section, acessado em 12/04/2017.
[5] Disponível em http://participacao.mj.gov.br/dadospessoais/, acessado em 05/06/2017.
[9] Vale destacar que a Lei de Acesso à Informação (Lei n. 12.527 de 2011), conquanto não oferte definição à expressão “dados pessoais”, define a expressão “informações pessoais”, como aquela relacionada à pessoa natural identificada ou identificável.
[10] Cf. o “Big Data Privacy Report”, de maio de 2014, produzido pelo Governo Norte-Americano.
[11] “No fim do segundo milênio da Era Cristã, vários acontecimentos de importância histórica transformaram o cenário social da vida humana. Uma revolução tecnológica concentrada nas tecnologias de informação começou a remodelar a base material da sociedade em ritmo acelerado” (CASTELLS, Manuel, A sociedade em rede, v. I, 8 ed., Paz e Terra, Trad. Roneide Venancio Majer, p. 39).
[12]BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES, p. 1-2, Relatório “Big Data Privacy”, disponibilizado pelo Governo Norte-Americano, de maio de 2014.
[13] Disponível em https://www.privacyinternational.org/node/8, acessado em 05/06/17.
[14] Vale lembrar que, em 2013, conforme denúncia de Edward Snowden, descobriu-se que o governo norte-americano, por meio da agência de segurança nacional (em inglês, NSA), estava espionando os cidadãos americanos e vários países da Europa e América Latina, entre eles Brasil e Alemanha. Assim, tais países, vislumbrando a necessidade de um marco civil multilateral, apresentaram à Organização das Nações Unidas (ONU) uma proposta de resolução para tratar da proteção da privacidade, incluindo dados pessoais na era digital, que foi aprovada em 2013 (Resolução 68/167) e atualizada em novembro de 2014 (Resolução 69/166) (http://www1.folha.uol.com.br/mundo/2014/11/1553381-onu-aprova-resolucao-proposta-por-brasil-e-alemanha-contra-espionagem.shtml, acessado em 05/06/17).
[15] “A velocidade é parte da cultura que criou a internet. O típico usuário da rede mundial de computadores exige rapidez e agilidade na obtenção de qualquer informação, e a presença do fornecedor, produzindo os bens que deseja produzir, na quantidade que entende necessária, distribuindo da forma como lhe convém, por si só, já representa a pressão realizada pelo meio” (KLEE, Antonia Espíndola Longoni, Comércio Eletrônico, São Paulo: Revista dos Tribunais, 2014, p. 64).
[16] Idem, p. 141.
[17] Vale ressaltar que, recentemente, o C. Superior Tribunal de Justiça, quando do julgamento do Recurso Especial n. 1457199, confirmou a legalidade da prática conhecida como credit scoring, que atribui pontuação a consumidores, pontuação esta que é produto da análise dos dados pessoais destes, incluindo eventual inadimplência, e que influencia a decisão das empresas sobre a concessão de crédito a clientes. Todavia, a despeito da licitude do método, o respeito à privacidade do consumidor e a transparência são condicionantes. Assim, de acordo com a decisão do Egrégio Tribunal, as empresas que prestam o serviço de scoring devem informar ao titular da pontuação quais os dados utilizados para o cálculo do risco de crédito, a fim de evitar excessos ou até permitir eventual retificação.
[18] “A internet que viabiliza a globalização da informação, é a maior rede internacional de computadores utilizada como meio de comunicação pelos países” (KLEE, Antonia Espíndola Longoni, Comércio Eletrônico, São Paulo: Revista dos Tribunais, 2014, p. 61).
[19] Com um número estimado que supera os 3 bilhões de usuários de Internet em 2015, a proteção de dados pessoais mostra-se um dos mais importantes assuntos da atualidade (http://www.itu.int/net/pressoffice/press_releases/2015/17.aspx#.Vj_FqLerSUm, acessado em 05/06/2017).
[20] Ryan Moshell, And there was one: the outlook for a self-regulatory United States amidst a global trend toward comprehensive data protection, Texas Tech Law Review, v. 37, 2005, pp. 366/367.
[21] Ibidem, pp. 366/367.
[22]Julia M. Fromholz, The European Union Data Privacy Directive, in Berkeley Technology Law Journal, v. 15, 2000, p. 461.
[23] John C. O´Quinn, None of Your Business, Harvard Journal of Law & Technology, v. 12, n. 3, 1999, pp. 683/687.
[24] Julia M. Fromholz, Op. Cit., p. 462.
[25] Samuel D. Warren Louis D. Brandeis, The Right to Privacy, Harvard Law Review, v. 4, n. 193. 1890.
[26] Idem, p. 277.
[27] Em 1973, a Suprema Corte Norte-Americana, invocando o direito à privacidade da mulher, decidiu, no caso emblemático Roe versus Wade, que a lei texana que criminalizava o aborto era inconstitucional.
[28] Ryan Moshell, And there was one: the outlook for a self-regulatory United States amidst a global trend toward comprehensive data protection, Texas Tech Law Review, v. 37, 2005, p. 373.
[29] Lee A. Bygrave, Privacy and Data Protection in an International Perspective, 2010, p. 176, disponível em HeinOnline.
[30] Lee A. Bygrave, Privacy and Data Protection in an International Perspective, 2010, disponível em HeinOnline p. 176.
[31] Idem, p. 177.
[32] Idem, p. 172.
[33] Ronald J. Krotoszynski, Reconciling privacy and speech in the era of big data: a comparative legal analysis, William & Mary Law Review, v. 56, n. 1279, 2015.
[34] Domingo R. Tan, Personal Privacy in the Information Age: Comparison of Internet Data Protection Regulations in the United States and the European Union. Loy. L.A. Int´l & Comp. L. J., v. 21, 1999, p. 681.
[35] Nesse sentido: “não se pode, todavia, confundir dados estáticos – que, aliás, sequer estão protegidos pelo dispositivo constitucional sob comento (veja-se que a Constituição alude à ‘comunicação de dados’) – com dados em tráfego (excepcionalmente violáveis): há que se distinguir ‘banco de dados’ do seu ‘conteúdo’, qual seja, os dados em si – cujo conteúdo se relaciona a crimes…” (SARLET, Ingo Wolfgang, J.J. Gomes Canotilho et. al. Comentários à Constituição do Brasil. São Paulo: Saraiva, 2013, p. 293).
[36] DONEDA, Danilo, Privacy and data protection in the Marco Civil da Internet, disponível em Scribd, acessado em 05/06/17.
[37] DONEDA, Danilo, Privacy and data protection in the Marco Civil da Internet, disponível em Scribd, acessado em 05/06/17.
[38] DONEDA, Danilo, Privacy and data protection in the Marco Civil da Internet, disponível em Scribd, acessado em 05/06/17.
[39] De acordo com a doutrina da posição preferencial ou “preferred position”, em caso de conflito de direitos fundamentais, a liberdade de expressão goza de posição de precedência. Tal teoria foi citada no voto dissidente proferido pelo Ministro Harlan F. Stone da Suprema Corte Norte-Americana, em 1942, no caso Jones versus Opelika, defendendo a posição preferencial das liberdades de expressão e religião contra quaisquer tentativas discriminatórias. No Brasil, o Ministro do Supremo Tribunal Federal, Luiz Fux, no voto proferido na ADPF 187, fez expressa menção a esta teoria, dizendo que o pensamento jurídico brasileiro acolheu tal entendimento, hoje dominante na Suprema Corte Estadunidense.
[40] DONEDA, Danilo, A proteção dos dados pessoais como um direito fundamental, Espaço Jurídico Joaçaba, v. 12, n. 2, 2011, pp. 100/101.
[42]Disponível em http://www.abemd.org.br/pagina.php?id=54, acessado em 09/01/16.
[44] DATA PROTECTION LAWS OF THE WORLD, disponível em http://dlapiperdataprotection.com/#handbook/world-map-section, acessado em 12/04/2017.

 


 

Informações Sobre os Autores

 

Letícia Antunes Tavares

 

Mestranda em Direito Comparado pela Samford University/EUA. Especialista em Direito Público pela Escola Paulista de Magistratura. Juíza de Direito

 

Bruna Acosta Alvarez

 

Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo. Juíza de Direito

 


 

Equipe Âmbito Jurídico

Recent Posts

TDAH tem direito ao LOAS? Entenda os critérios e como funciona o benefício

O Benefício de Prestação Continuada (BPC), mais conhecido como LOAS (Lei Orgânica da Assistência Social),…

5 horas ago

Benefício por incapacidade: entenda como funciona e seus aspectos legais

O benefício por incapacidade é uma das principais proteções oferecidas pelo INSS aos trabalhadores que,…

5 horas ago

Auxílio reclusão: direitos, requisitos e aspectos jurídicos

O auxílio-reclusão é um benefício previdenciário concedido aos dependentes de segurados do INSS que se…

5 horas ago

Simulação da aposentadoria: um guia completo sobre direitos e ferramentas

A simulação da aposentadoria é uma etapa fundamental para planejar o futuro financeiro de qualquer…

5 horas ago

Paridade: conceito, aplicação jurídica e impacto nos direitos previdenciários

A paridade é um princípio fundamental na legislação previdenciária brasileira, especialmente para servidores públicos. Ela…

5 horas ago

Aposentadoria por idade rural

A aposentadoria por idade rural é um benefício previdenciário que reconhece as condições diferenciadas enfrentadas…

6 horas ago