Direito Digit@l

A proteção aos dados pessoais no ordenamento jurídico brasileiro e o anteprojeto do Ministério da Justiça

A proteção aos dados pessoais no ordenamento jurídico brasileiro e o anteprojeto do Ministério da Justiça.

8/5/2015

I – Breve relato introdutório

As discussões sobre a proteção da esfera privada têm se intensificado cada vez mais, especialmente em razão das novidades tecnológicas que, cada vez mais, demandam a utilização de dados pessoais para "incrementar a experiência do usuário" decorrentes dos modelos de negócios na Internet. Pode-se até mesmo dizer que as discussões são marcadas por cenários um tanto contraditórios na medida em que se pode notar uma maior preocupac¸a~o poli'tico-institucional sobre a tutela de dados e informac¸o~es pessoais, mas, ao mesmo tempo, mostra-se cada vez mais árduo o respeito a esta tutela dos dados pessoais. E isso ocorre por inúmeros fatores, tais como como as constantes exige^ncias de seguranc¸a interna e externa e interesses de mercado. Isto, num contexto de globalização, se inclina para a diminuição das garantias e direitos previstos no Estado Democrático de Direito e, por isso mesmo, merece atenção de todos nós.

Além destas tendências, há, ainda, a realidade afirmada após os ataques terroristas de 11 de setembro, verificando-se uma mitigação do direito à privacidade em prol da reafirmação da segurança pública. É o que se verifica, por exemplo, na edição do Patriot Act nos Estados Unidos e nas decisões europeias sobre transferências internacionais de dados de passageiros de linhas aéreas e comunicações telefônicas. Tudo isso ecoa para outras tantas situações, inclusive em outros países, como é o caso do Brasil.

É preciso ter em consideração, ainda, que grandes empresas atuantes na Internet como servidores de acesso ou de aplicações possuem modelos de negócios dependentes, em grade parte, da utilização dos dados pessoais. Utilizam, de fato, mais que os dados pessoais, mas os metadados, que são muito mais fáceis de armazenar, pesquisar e analisar do que real conteúdo (e que contêm valor muito superior, seja comercialmente, seja com fins de segurança de Estado). Metadados são informações sobre as informações, algo como o horário e a posição geográfica de uma foto, as informações sobre uma conversa online como quais os participantes, onde se encontram geograficamente e o horário que isso ocorreu. Os metadados são, portanto, fundamentalmente, dados de vigilância.

Visto isso, importa ressaltar que ao disponibilizar os dados, as pessoas têm uma expectativa de confiança que as empresas farão a coisa certa enquanto na posse deles. Todavia, muitas pessoas tem grandes dificuldades em saber exatamente quem tem acesso aos dados e, ainda, desconhecem, em absoluto, o valor disso. Ignoram, por exemplo, que quando o serviço se apresenta como “gratuito” é certo que a contrapartida pela utilização é a obtenção e armazenamento dos dados pessoais com vistas a viabilizar o modelo de negócio. E, como os dados viraram commodities, são alvo de tratamentos de todos os tipos, inclusive ilícitos.

Fato é que há registros de que houve, desde 2005, mais de oitocentos milhões de incidentes relativos a vazamento e exposição de dados de grandes empresas (várias bastante conhecidas dos brasileiros) conforme relatório da Private House Clearinghouse.

Não fosse isso tudo já muito complexo, há, ainda, grande dificuldade de se mensurar os danos decorrentes das violações dos dados pessoais. Veja-se, por exemplo, o recente caso do site www.nomesbrasil.com, que reunia os números de C.P.F.’s de brasileiros e as situações cadastrais dos tais documentos. O site saiu do ar na tarde de ontem (7/5/15) após notificação promovida pelo Ministério da Justiça para o provedor que hospedava o site, o que foi possível em razão de haver representação do provedor no país. Com a notificação pretende-se descobrir quem eram os responsáveis pelo site para eventual responsabilização. Mas a questão é: qual a violação promovida pelo tal site? Há muitas dúvidas quanto a isso em decorrência de algumas lacunas legislativas e das formas pelas quais a aplicação da lei seria operacionalizada.

Sobre o arcabouço jurídico Constitucional, há uma primeira questão que é o problema da informac¸a~o em face das garantias a` liberdade de expressa~o e do direito a` informac¸a~o, que devera~o eventualmente ser confrontados com a protec¸a~o da personalidade e, em especial, com o direito a` privacidade.

Ademais, são inviola'veis a vida privada e a intimidade (art. 5º, X, CF), especificamente a interceptac¸a~o de comunicac¸o~es telefo^nicas, telegra'ficas ou de dados (artigo 5º, XII, CF). Há, ainda, a ac¸a~o de Habeas Data (art. 5º, LXXII, CF), que preve^ um direito gene'rico de acesso e retificac¸a~o dos dados pessoais.

A Constituic¸a~o protege, também, direitos relacionados a` privacidade, proibindo a invasa~o de domici'lio (art 5º, XI, CF) e a violac¸a~o de corresponde^ncia (art 5º, XII, CF).

Vê-se, pois, que a legislac¸a~o ordina'ria faz refere^ncia a um conjunto de situac¸o~es existenciais e patrimoniais nas quais é necessária a ponderac¸a~o de interesses relacionados a` privacidade, mas não há uma lei específica sobre o tema.

Assim, apesar de haver um certo grau de maturação do tema em outros ordenamentos jurídicos, o Brasil ainda não dispõe de legislação completa sobre o assunto, mesmo considerando as disposições previstas na Constituição Federal, Código Civil, de Defesa do Consumidor, etc. A estrutura de proteção no ordenamento jurídico pátrio não decorre de um sistema unitário, mas de uma série de disposições esparsas e da interpretação da existência de uma cláusula geral de proteção à pessoa. É preciso, pois, estudo aprofundado e sem pressa para que se possa providenciar a tutela adequada dos dados pessoais, sem, no entanto, inviabilizar os negócios feitos com o auxílio da tecnologia.

II – O Anteprojeto de Proteção de Dados Pessoais

Visando estabelecer um marco regulatório adequado, foi aberta consulta pública sobre o Anteprojeto de Lei de Proteção de Dados Pessoais, fruto de trabalho do MJ, em parceria com o Observatório Brasileiro de Políticas Digitais do Comitê Gestor da Internet no Brasil e que teve por base a Diretiva Europeia de Proteção de Dados Pessoais (EC 95/46) e a lei de proteção de dados canadense. A consulta foi recentemente prorrogada até o próximo dia 5 de julho, portanto ainda há tempo de contribuir com o debate.

A pretensa futura lei, nos termos em que se encontra, seria destinada, primordialmente, à proteção dos dados pessoais. Dados de pessoas jurídicas só seriam protegidos na medida em que não fossem de conhecimento público. Essa ressalva, no entanto, pode gerar alguma duplicidade de tratamento caso estes dados signifiquem informações que possam enquadrar-se em situações de concorrência desleal abrangidas pela lei 9.279/96.

O art. 1º prevê que a lei “dispõe sobre o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade, intimidade e de privacidade da pessoa natural.” E o objeto da lei seriam as pessoas, naturais ou jurídicas, de direito público ou privado, em qualquer lugar que estejam sediadas e independentemente da localização dos banco de dados, desde que tenham sido obtidos ou tratados em território nacional (art. 2º). O art. 3º é minucioso a ponto de explicar que as empresas públicas e sociedades de economia mista que atuem em regime de concorrência nos termos do art. 173 da CF/88 terão o mesmo tratamento das pessoas jurídicas de direito privado.

Curiosamente apenas no art. 16 é que são arrolados os direitos dos titulares dos dados. No inciso I consta o direito de confirmação da existência de tratamento de seus dados; no inciso II o direito de aceso aos dados; no inciso III o direito de correção dos dados incompletos, inexatos ou desatualizados; e, no inciso IV o direito de dissociação, bloqueio ou cancelamento dos dados desnecessários, excessivos ou tratados em desconformidade com o disposto no texto da lei.

Nos parágrafos do art. 16 seguem disposições sobre os direitos do titular dos dados, como, por exemplo, o de se opor ao tratamento dos mesmos com fundamento na ausência do consentimento (§1º). No §2º há disposição determinando que os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que deverá adotar providências imediatas para o atendimento, medidas estas que deverão ser gratuitas, sem qualquer ônus para o titular (§4º). Na ocasião de não poder ser atendido o requerimento da parte o agente de tratamento deverá, em até sete dias a contar do recebimento da comunicação (§3º), informar que não é o agente de tratamento dos dados (I) ou sobre a impossibilidade da adoção da medida de forma imediata (II).

O art. 4º dispõe que os tratamentos de dados pessoais para fins exclusivos de segurança pública, defesa, segurança do Estado, ou atividades de investigação e repressão de infrações penais, serão regidas por legislação específica, observados os princípios gerais de proteção e os direitos previstos no texto do anteprojeto. É uma decisão política a de não tratar destes dados, mas é, ainda, uma chance desperdiçada, de resolver alguns problemas práticos encontrados no dia-a-dia das investigações criminais. Como exemplo, mencionamos o caso dos dados cadastrais de usuários de linhas telefônicas ou de celulares que, até hoje, são alvo de infindáveis discussões sobre a possibilidade das polícias e do Ministério Público requisitarem-nas sem ordem judicial. É que houve casos em que tais autoridades requisitaram as informações diretamente às empresas e, como resposta, ouvirão sonoras negativas de fornecimento sob a alegação de que os dados cadastrais encontravam-se protegidos por sigilo constitucional e que somente poderiam ser fornecidos mediante ordem judicial. Ocorre que, ao requerem ao Judiciário, houve casos em que o Ministério Público e as polícias receberam resposta denegando o requerimento sob o argumento de que teriam poder requisitório. Então, apesar da lei manter-se distante desta celeuma, seria uma boa oportunidade de acabar de vez com tal situação, sendo mais minuciosa quanto à utilização dos dados cadastrais para fins de investigação criminal. Não se pode notar, até o momento, qualquer comentário sobre esta delicada situação.

O §4º do art. 4º determina que pessoas jurídicas de direito privado não podem tratar dados para fins de segurança pública, defesa, segurança do Estado, ou atividades de investigação e repressão de infrações penais, salvo em procedimentos sob tutela de pessoa jurídica de direito público que serão objeto de informe específico ao órgão competente.

No art. 5º há nada menos que dezoito incisos com definições variadas, tais como dado pessoal (I), tratamento (II), dados sensíveis (III), dados anônimos (IV), bancos de dados (V), titular (VI), consentimento (VII), responsável (VIII), operador (IX), comunicação (X), interconexão (XI), difusão (XII), transferência (XIII), dissociação (XIV), bloqueio (XV), cancelamento (XVI), uso compartilhado de dados (XVII), encarregado (XVIII).

O Anteprojeto determina, ainda, que qualquer atividade relativa ao tratamento de dados deverá ser norteada por diversos princípios (art. 6º), tais como os da finalidade (I), adequação (II), necessidade (III), livre acesso (IV), qualidade dos dados (V), transparência (VI), segurança (VII), prevenção (VIII) e não discriminação (IX). No entanto, parece-nos que um princípio fundamental foi deixado de lado: o da interpretação mais favorável a quem forneceu os dados.

Um dos pontos mais importantes é o de que para os dados pessoais deverá haver sempre o consentimento expresso da parte (art. 7º), não sendo possível para o receptor das informações estabelecer condições para a prestação de bens ou serviços, exceto se isso for inerente à prestação (§1º). Evidentemente, o consentimento obtido com erro, dolo, estado de necessidade ou coação não é admitido (§2º).

O consentimento poderá ser por escrito ou qualquer meio que o certifique (§3º) e deverá referir-se a finalidades determinadas (§5º), sendo nulas as cláusulas genéricas para o tratamento dos dados pessoais. Poderá ser revogado a qualquer momento (§6º).

Considerando que nos encontramos na Sociedade da Informação, certamente a grande maioria dos consentimentos será obtida mediante “clique” onde a parte declara que leu os termos de consenso. Mas há exigência de que a cláusula de consentimento deva ser destacada das demais (§4º).

Mas quanto ao consentimento cabe, ainda, uma observação. O texto não considerou a possibilidade do consentimento obtido a partir de mensagem não requisitada. Por isso, seria de bom tom mencionar a dupla manifestação sobre o consentimento para evitar burlas à proteção.

Há uma certa polêmica nos art. 8º na medida em que há disposições sobre a titularidade de dados pessoais e o exercício do consentimento por menores entre 12 e 18 anos. O Anteprojeto prevê que estes menores poderão fornecer o consentimento para o tratamento de dados que respeite sua condição peculiar de pessoa em desenvolvimento (ressalvada a possibilidade de revogação pelos pais). A questão é: como isto será operacionalizado? O nome dos pais deverá constar nos termos de consentimento? Além disso, como poderia um adolescente consentir valida e seguramente com termos de uso de seus dados pessoais se não tem capacidade civil?

O art. 9º determina que o consentimento dos menores com até 12 anos incompletos será fornecido pelos pais ou responsáveis legais e, igualmente, respeitará a condição peculiar das pessoas em desenvolvimento.

Resta um tanto obscuro, no entanto, como o consentimento respeitará as condições das pessoas em desenvolvimento. Os serviços/bens/aplicativos necessitarão de versões para este público? Sob a ótica dos negócios, a querer se respeitar o previsto nos arts. 8º e 9º, poderá verificar-se a inviabilidade de que hajam versões específicas dos serviços/bens/aplicativos para os menores.

Além disso, ao fornecer o consentimento sobre os dados, a parte deverá ser informada de forma ostensiva sobre a finalidade e período de uso, como ele se dará e, ainda, o âmbito de sua difusão (art. 10, incisos I a VII). No §4º há disposição determinando que nos casos de coleta continuada de dados o titular deverá ser informado regulamente, mas não especifica o prazo. Será possível a revogação do consentimento a qualquer tempo e sem qualquer cobrança. Todas as vezes que houver alteração dos termos de uso, novo consentimento expresso deverá ser dado pela parte. As disposições sobre o consentimento encontram-se nos arts. 7º a 11.

Sempre que os dados forem compartilhados com outras pessoas, o cessionário ficará responsável solidariamente por eventuais danos, eis que tanto o receptor originário quanto o secundário terão iguais obrigações.

Da mesma forma, todas as vezes em que titular dos dados alterá-los ou corrigí-los, o responsável pelo tratamento dos dados deverá comunicar o receptor secundário sobre isto.

Há, ainda, a necessidade de consentimento específico para o uso de dados denominados sensíveis (arts. 12 e 13), que, segundo o Anteprojeto, são os que indiquem a origem étnica, convicções e filiações a organizações de caráter religioso, filosófico ou político, filiação a sindicatos, dados de saúde, genéticos ou relacionados à vida sexual do titular (art. 5º, III).

O Anteprojeto também trata da transferência internacional de dados, dispondo que eles só poderiam ser transferidos para países que proporcionem proteção de dados em nível equivalente ao aqui no Brasil (arts. 28 a 33). Os dados obtidos no exterior e que viessem a ingressar no Brasil dependeriam da existência da regular obtenção do consentimento no estrangeiro. Resta saber como se pretende fazer esse monitoramento.

O Anteprojeto deixa em aberto outro aspecto bastante relevante. É que há a menção de uma autoridade competente para a proteção dos dados vez que no texto fala-se 34 vezes sobre um “’órgão competente” sem, no entanto, defini-lo ou descreve-lo. É o que ocorre no art. 4º, parágrafo único, art. 5º, XVIII, art. 10, VII, “c” e também §4º, art. 13, caput e §§1º e 2º, art. 14, IV e parágrafo único, art. 15, parágrafo único, art. 18, §4º, art. 24, III e parágrafo único, III, art. 26, art. 27, art. 28, III e parágrafo único, art. 30 e §§1º, 2º e 3º, art. 33, art. 39, §2º, art. 40, parágrafo único, art. 41§2º, II e §3º, art. 44, art. 45 caput e §2º, art. 47, art. 48, parágrafo único, art. 49, art. 50, caput e §3º, art. 51.

Como não há uma definição legal sobre este “órgão competente”, crê-se que o governo esteja considerando a criação de uma autoridade nacional de proteção aos dados pessoais. Mas como seria isso? Seria dividida e segmentada por setores? Embora não haja definição sobre o tal órgão – se seria criado ou se algum existente seria o responsável pelas atribuições da lei – fato é que a ele caberia estabelecer parâmetros de segurança e prazos para a conservação das informações.

Também na hipótese de infrações caberia ao tal órgão aplicar as sanções administrativas, atualmente previstas como sendo multas, publicidade sobre a infração, suspensão temporária da operação de tratamento de bancos de dados pessoais por até dois anos e de dados sensíveis por até dez anos.

O texto trata, ainda, do responsável e do operador nos arts. 39 a 41. Este – o operador – é quem realiza o tratamento segundo as instruções fornecidas pelo responsável, que verificará a observância das próprias instruções e das normas sobre a matéria. O responsável responde solidariamente quanto às operações de tratamento realizadas pelo operador. Tais dispositivos – 39 a 41 – aliados aos seguintes, que tratam inclusive da segurança e sigilo dos dados (arts. 42 a 47) e das boas práticas (arts. 48 e 49) vão estimular os risk assessements e a ideia de compliance digital, termo este, aliás, ainda pouco utilizado no país e que ganhou maior repercussão após apresentação de painel sobre os impactos do Marco Civil nas investigações no ano passado em Congresso de Compliance onde foi palestrante o Dr. Marcelo Crespo.

Eis, então, um panorama do Anteprojeto de Proteção de Dados Pessoais.

III – Algumas considerações a título de encerramento

O texto, em vias gerais, encontra-se bem redigido, apesar da necessidade de alguns ajustes na redação referentes a ordenamento cronológico de certas normas, além da alteração de trechos para evitar repetição de palavras ou para aclaramento de certos termos.

Alguns pontos, no entanto, necessitam de esclarecimentos, como o estabelecimento de prazo mínimo para o tratamento dos dados coletados, quem seria o órgão competente mencionado por tantas vezes no texto, como seriam garantidos alguns direitos lá apontados e o armazenamento de dados para fins estatísticos e sua respectiva utilização para fins comportamentais.

De toda forma, é preciso que a sociedade esteja ciente de que há prazo aberto para as contribuições, possibilitando que as pessoas ainda venham a conhecer mais proximamente o Anteprojeto e entender como ele poderá regular comportamentos que afetam diretamente nosso cotidiano na Sociedade da Informação.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Coriolano Aurélio de Almeida Camargo Santos é advogado e Presidente da Digital Law Academy. Ph.D., ocupa o cargo de Conselheiro Estadual da Ordem dos Advogados do Brasil, Seção São Paulo (OAB/SP), com mandatos entre 2013-2018 e 2022-2024. É membro da Comissão Nacional de Inteligência Artificial do Conselho Federal da OAB. Foi convidado pela Mesa do Congresso Nacional para criar e coordenar a comissão de Juristas que promoveu a audiência pública sobre a criação da Autoridade Nacional de Proteção de Dados, realizada em 24 de maio de 2019. Possui destacada carreira acadêmica, tendo atuado como professor convidado da Università Sapienza (Roma), IPBEJA (Portugal), Granada, Navarra e Universidade Complutense de Madrid (Espanha). Foi convidado pelo Supremo Tribunal Federal em duas ocasiões para discutir temas ligados ao Direito e à Tecnologia. Também atua como professor e coordenador do programa de Lei Geral de Proteção de Dados (LGPD) da Escola Superior de Advocacia Nacional do Conselho Federal é o órgão máximo na estrutura da Ordem dos Advogados do Brasil (CFOAB). Foi fundador e presidente da Comissão de Direito Digital e Compliance da OAB/SP (2005-2018). Atuou como Juiz do Tribunal de Impostos e Taxas de São Paulo (2005-2021) e fundou a Comissão do Contencioso Administrativo Tributário da OAB/SP em 2014. Na área de arbitragem, é membro da Câmara Empresarial de Arbitragem da FECOMERCIO, OAB/SP e da Câmara Arbitral Internacional de Paris. Foi membro do Conselho Jurídico da FIESP (2011-2020) e diretor do Departamento Jurídico da mesma entidade (2015-2022). Atualmente desempenha o papel de Diretor Jurídico do DEJUR do CIESP. Foi coordenador do Grupo de Estudos de Direito Digital da FIESP (2015/2020). Foi convidado e atuou como pesquisador junto ao Conselho Nacional de Justiça (CNJ), em 2010, para tratar da segurança física e digital de processos findos. Além disso, ocupou o cargo de Diretor Titular do Centro do Comércio da FECOMERCIO (2011-2017) e foi conselheiro do Conselho de Tecnologia da Informação e Comunicação da FECOMERCIO (2006-2010). Desde 2007, é membro do Conselho Superior de Direito da FecomercioSP. Atua como professor de pós-graduação da Universidade Presbiteriana Mackenzie desde 2007, nos cursos de Direito e Tecnologia, tendo lecionado no curso de Direito Digital da Fundação Getúlio Vargas, IMPACTA Tecnologia e no MBA em Direito Eletrônico da EPD. Ainda coordenou e fundou o Programa de Pós-Graduação em Direito Digital e Compliance do Ibmec/Damásio. É Mestre em Direito na Sociedade da Informação pela FMU (2007) e Doutor em Direito pela FADISP (2014). Lecionou na Escola de Magistrados da Justiça Federal da 3ª Região, Academia Nacional de Polícia Federal, Governo do Estado de São Paulo e Congresso Nacional, em eventos em parceria com o Departamento de Justiça dos Estados Unidos, INTERPOL e Conselho da Europa. Como parte de sua atuação internacional, é membro da International High Technology Crime Investigation Association (HTCIA) e integrou o Conselho Científico de Conferências de âmbito mundial (ICCyber), com o apoio e suporte da Diretoria Técnico-Científica do Departamento de Polícia Federal, Federal Bureau of Investigation (FBI/USA), Australian Federal Police (AFP) e Guarda Civil da Espanha. Além disso, foi professor convidado em instituições e empresas de grande porte, como Empresa Brasileira de Aeronáutica (EMBRAER), Banco Santander e Microsoft, bem como palestrou em eventos como Fenalaw/FGV.GRC-Meeting, entre outros. Foi professor colaborador da AMCHAM e SUCESU. Em sua atuação junto ao Conselho Nacional de Política Fazendária (CONFAZ), apresentou uma coletânea de pareceres colaborativos à ação governamental, alcançando resultados significativos com a publicação de Convênios e Atos COTEPE voltados para a segurança e integração nacional do sistema tributário e tecnológico. Também é autor do primeiro Internet-Book da OAB/SP, que aborda temas de tributação, direito eletrônico e sociedade da informação, e é colunista em Direito Digital, Inovação e Proteção de Dados do Portal Migalhas, entre outros. Em sua atuação prática, destaca-se nas áreas do Direito Digital, Inovação, Proteção de Dados, Tributário e Empresarial, com experiência jurídica desde 1988.

Leila Chevtchuk, eleita por aclamação pelos ministros do TST integrou o Conselho Consultivo da Escola Nacional de Formação e Aperfeiçoamento de Magistrados do Trabalho – ENAMAT. Em 2019 realizou visita técnico científica a INTERPOL em Lyon na França e EUROPOL em 2020 em Haia na Holanda. Desembargadora, desde 2010, foi Diretora da Escola Judicial do Tribunal Regional do Trabalho da 2ª região. Pela USP é especialista em transtornos mentais relacionados ao trabalho e em psicologia da saúde ocupacional. Formada em Direito pela USP. Pós-graduada pela Universidade de Lisboa, na área de Direito do Trabalho. Mestre em Relações do Trabalho pela PUC e doutorado na Universidade Autôno de Lisboa.