O marco normativo da privacidade e da proteção de dados pessoais no Brasil
André Zonaro Giacchetta*
Ciro Torres Freitas**
Pamela Gabrielle Meneguetti**
I. INTRODUÇÃO
O debate ocorrerá até 31/3/2011, em um blog (clique aqui) criado especificamente para incentivar manifestações de toda a sociedade brasileira a respeito da privacidade, da proteção de dados pessoais e de cada dispositivo do Anteprojeto. O texto final do Anteprojeto deve ser encaminhado ao Congresso Nacional até o segundo semestre deste ano.
O tema é, sem dúvida, um dos mais relevantes quando o assunto é Internet, especialmente em razão do amplo acesso e utilização das redes sociais, assim como da infinidade de serviços atualmente oferecidos pelos provedores aos seus usuários, tendo se integrado ao cotidiano de toda a população, de forma até mesmo inconsciente, como transações bancárias, aquisição de produtos e serviços, páginas de relacionamento pessoal, entre tantas outras facilidades.
Também por essa razão, muitos países já contam com normas específicas e modernas de proteção à privacidade e dados pessoais, destacando-se, na América Latina, as normas editadas na Argentina e no Uruguai. Ao mesmo tempo, a Diretiva Europeia 95/46/EC (clique aqui), que já está em vigor há mais de 15 anos e serviu de ponto de partida do Anteprojeto apresentado pelo Ministério da Justiça, será inteiramente revista com o objetivo de modernizar o sistema europeu de proteção de dados pessoais, reforçar os direitos dos cidadãos sobre os seus dados e diminuir as formalidades administrativas para a sua utilização.
No Brasil, porém, será relevante a discussão acerca da suficiência e compatibilidade do Anteprojeto com o sistema atual de proteção dos direitos da personalidade, dentre eles o direito à privacidade e à intimidade já previstos na Constituição Federal (clique aqui), bem como em relação às disposições do Código de Defesa do Consumidor (clique aqui) e do Código Civil de 2002 (clique aqui), que já contêm, em certa medida, normas específicas, ainda que esparsas, relativas à privacidade, que são aplicáveis à proteção de dados pessoais.
Por isso, é essencial que o debate proposto pelo Ministério da Justiça tenha como premissa a compatibilização do Anteprojeto às garantias constitucionais e infraconstitucionais já existentes em nosso ordenamento jurídico, sendo desaconselhável a criação de um novo microssistema para a proteção de dados pessoais.
II. OBJETIVOS, CONCEITOS E PRINCÍPIOS ESTABELECIDOS PELO ANTEPROJETO
O Anteprojeto tem por objetivo garantir e proteger, no âmbito do tratamento de dados pessoais1, a dignidade e os direitos fundamentais da pessoa, particularmente em relação à sua liberdade, igualdade e privacidade pessoal e familiar, nos termos do artigo 5º, incisos X e XII, da Constituição Federal. Para garantir uma ampla proteção ao tratamento de dados pessoais, o Anteprojeto prevê regras específicas destinadas aos setores público e privado, além de parâmetros para a transferência internacional de dados.
O Anteprojeto prevê que toda pessoa tem direito à proteção de seus dados pessoais, sendo estes entendidos como "qualquer informação relativa a uma pessoa identificada ou identificável, direta ou indiretamente, incluindo todo endereço ou número de identificação de um terminal utilizado para conexão a uma rede de computadores". Desde já, nota-se que o Anteprojeto adota um conceito amplo de dados pessoais, que abrange até mesmo os dados passíveis de identificar usuários de Internet, ainda que de forma indireta, como é o caso do IP (Internet Protocol).
Embora seja majoritário o entendimento da jurisprudência acerca da caracterização do IP como dado pessoal, cujo fornecimento no âmbito de ações judiciais somente pode ocorrer mediante ordem judicial, ainda existem precedentes isolados em sentido contrário, inclusive alguns do Superior Tribunal de Justiça – STJ proferidos em sede de cartas rogatórias. Por essa razão, certamente haverá discussão a respeito da amplitude do conceito adotado pelo Anteprojeto.
Uma importante inovação do Anteprojeto é a previsão acerca dos denominados "dados sensíveis", definidos como "dados pessoais cujo tratamento possa ensejar discriminação do titular" e que são especialmente considerados quando o assunto é a tutela do direito à intimidade e não propriamente do direito à privacidade.
Nesse aspecto, visando dar efetividade ao artigo 3º, inciso IV, da Constituição Federal, o Anteprojeto estabelece que nenhuma pessoa poderá ser obrigada a fornecer tais dados e proíbe a formação de bancos de dados que contenham informações que, direta ou indiretamente, revelem dados sensíveis, salvo disposição legal expressa. O próprio Anteprojeto, porém, prevê exceções nas quais o tratamento de dados sensíveis é permitido, como, por exemplo, na hipótese de o próprio titular manifestamente tornar tais dados públicos.
A previsão relativa aos dados sensíveis, além de garantir efetividade ao direito à intimidade, nos termos previstos no artigo 5º, inciso X, da Constituição Federal, é compatível com o que já dispõe o artigo 20 do Código Civil. Esse dispositivo legal prevê que "a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, (...), se lhe atingirem a honra, a boa fama ou a respeitabilidade", exatamente o que pode ocorrer na hipótese de divulgação de dados sensíveis.
Além disso, seguindo parâmetros presentes em normas internacionais sobre proteção de dados, o Anteprojeto prevê diversos princípios aplicáveis à proteção de dados pessoais, os quais, além de sintetizarem os direitos e deveres estabelecidos, auxiliam a interpretação de seus dispositivos. Dentre tais princípios, destacam-se os seguintes:
- princípio da finalidade: a não utilização dos dados pessoais objeto de tratamento para finalidades distintas ou incompatíveis com aquelas que fundamentaram a sua coleta e que tenham sido informadas ao titular, bem como a limitação deste tratamento às finalidades determinadas, explícitas e legítimas do responsável;
- princípio da necessidade: a limitação da utilização de dados pessoais ao mínimo necessário, de forma a excluir o seu tratamento sempre que a finalidade que se procura atingir possa ser igualmente realizada com a utilização de dados anônimos ou com o recurso a meios que permitam a identificação do interessado somente em caso de necessidade;
- princípio do livre acesso: a possibilidade de consulta gratuita, pelo titular, de seus dados pessoais, bem como de suas modalidades de tratamento;
- princípio da qualidade dos dados: a exatidão dos dados pessoais objeto de tratamento, com atualização realizada segundo a periodicidade necessária para o cumprimento da finalidade de seu tratamento;
- princípio da transparência: a informação ao titular sobre a realização do tratamento de seus dados pessoais, com a indicação da sua finalidade, categorias de dados tratados, período de conservação destes e demais informações relevantes;
- princípio da segurança física e lógica: o uso, pelo responsável pelo tratamento de dados, de medidas técnicas e administrativas proporcionais ao atual estado da tecnologia, à natureza dos dados e às características específicas do tratamento, constantemente atualizadas e aptas a proteger os dados pessoais sob sua responsabilidade da destruição, perda, alteração e difusão, acidentais ou ilícitas, ou do acesso não autorizado;
- princípio da responsabilidade: a reparação, nos termos da lei, dos danos causados aos titulares dos dados pessoais, sejam estes patrimoniais ou morais, individuais ou coletivos; e
- princípio da prevenção: o dever do responsável de, para além das disposições específicas do Anteprojeto, adotar, sempre que possível, medidas capazes de prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
III. REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
De acordo com o Anteprojeto e salvo exceções especificamente previstas, o tratamento de dados pessoais somente pode ser realizado mediante consentimento livre, expresso e informado do titular, revogável a qualquer momento, que poderá ser dado por escrito ou por outro meio que o certifique, após a notificação prévia ao titular. Esse regime restritivo para o tratamento de dados pessoais está em consonância com a inviolabilidade da intimidade e da vida privada, ambas asseguradas pelo artigo 5º, inciso X, da Constituição Federal.
Da notificação prévia deverão constar, dentre outras, informações sobre a finalidade para a qual estão sendo coletados os dados pessoais e de que forma serão tratados. Fica clara, nesse aspecto, a intenção do Anteprojeto de impedir a coleta e o tratamento de dados pessoais quando seus titulares não tomarem conhecimento prévio acerca da finalidade de tal operação.
Com relação à necessidade de consentimento expresso para tratamento de todo e qualquer dado pessoal, já existem manifestações no blog no sentido de que tal regime somente deveria ser aplicável apenas aos dados sensíveis, admitindo-se o consentimento tácito para os dados pessoais <_st13a_personname w:st="on" productid="em geral. Isso">em geral. Isso porque, devido ao alto custo de armazenamento, tal regime restritivo inviabilizaria as atividades de pequenas empresas cujas atividades envolvam o tratamento de dados pessoais.
Além disso, de maneira similar ao disposto no Código de Defesa do Consumidor sobre os bancos de dados e cadastros de consumidores, o Anteprojeto prevê que os dados pessoais objeto de tratamento deverão ser exatos, claros, objetivos, atualizados e de fácil compreensão, além de pertinentes, completos, proporcionais e não excessivos em relação à finalidade que justificou sua coleta ou tratamento posterior. Em caso de descumprimento a tais requisitos, o Anteprojeto prevê que os dados pessoais não poderão ser utilizados e deverão ser cancelados, sem prejuízo da aplicação de sanções administrativas.
IV. DIREITOS DO TITULAR DE DADOS PESSOAIS
Dentre os pontos mais sensíveis do Anteprojeto está a questão do armazenamento dos dados pessoais, que deverá ocorrer de forma que permita o exercício do direito de acesso e correção pelos respectivos titulares.
Nesse aspecto, estabelecendo um regime similar ao já previsto no Código de Defesa do Consumidor, que é restrito aos bancos de dados e cadastros de consumidores, os artigos 15 e seguintes do Anteprojeto estabelecem uma série de direitos aos titulares de dados pessoais, de forma a lhes assegurar tanto a confirmação da existência de dados pessoais que lhes digam respeito como o acesso aos dados em si, sem quaisquer ônus.
São assegurados aos titulares o direito de corrigir os dados pessoais que forem incompletos, inexatos ou desatualizados, bem como de cancelar, dissociar ou bloquear aqueles que forem desnecessários, excessivos ou tratados em desconformidade com os dispositivos do Anteprojeto. Também são conferidos ao titular o direito de opor-se, total ou parcialmente, ao tratamento de seus dados pessoais quando forem utilizados para fins publicitários, ainda que tenham sido submetidos a um procedimento de dissociação2.
A utilização de dados pessoais para fins publicitários também é expressamente abordada no artigo 19 do Anteprojeto, ao prever que "O titular dos dados tem direito a não ser submetido a decisões que lhe afetem, de maneira significativa, unicamente com base em um tratamento automatizado de dados pessoais destinado a definir o perfil ou a personalidade do titular". Fica clara, nesse ponto, a opção do Anteprojeto de restringir ao máximo a utilização de dados pessoais para fins publicitários.
V. SEGURANÇA DOS DADOS
No que diz respeito ao modo de armazenamento de dados pessoais, o Anteprojeto prevê regras claras destinadas ao responsável e/ou ao subcontratado, os quais deverão empregar medidas idôneas de segurança preventiva que reduzam ao mínimo o risco de sua destruição ou perda, acesso não autorizado ou tratamento não permitido pelo titular ou diverso da finalidade da sua coleta.
Além de prever a responsabilidade solidária do subcontratado, o Anteprojeto determina que todos aqueles que tiverem contato com os dados pessoais no desempenho de suas atividades profissionais ficam obrigados a manter segredo a respeito do seu conteúdo, inclusive após o término do respectivo tratamento ou do vínculo empregatício.
VI. TUTELA ADMINISTRATIVA E CÓDIGOS DE BOAS PRÁTICAS
Reconhecendo a vulnerabilidade dos titulares em relação aos aspectos técnicos do tratamento de dados pessoais, o Anteprojeto prevê a criação de uma Autoridade de Garantia, o Conselho Nacional de Proteção de Dados Pessoais, à qual serão atribuídas diversas competências visando garantir a efetividade dos direitos assegurados aos titulares, conforme modelo adotado em diversos países.
A criação de tal autoridade, não obstante possa contribuir para a tutela dos direitos dos titulares de dados pessoais, poderá representar, na prática, uma forma de burocratização sem garantir, em contrapartida, a esperada efetividade aos direitos constitucionais da intimidade e da privacidade. Ressalte-se, aliás, que a Diretiva Europeia 95/46/EC, na qual o Anteprojeto se inspirou, está sendo revista justamente para diminuir formalidades administrativas.
Sem prejuízo da observância aos seus dispositivos, o Anteprojeto faculta a criação de "Códigos de Boas Práticas' destinados a categorias profissionais, que estabeleçam as condições específicas de organização, regime de funcionamento, procedimentos aplicáveis, normas de segurança, padrões técnicos e obrigações específicas para os direitos envolvidos no tratamento e no uso de dados pessoais. Trata-se da adoção de um modelo de autorregulamentação destinado a complementar questões específicas relacionadas a determinados ramos de atividade.
Quanto a esse aspecto, incumbirá à Autoridade de Garantia a aprovação de tais Códigos de Boas Práticas e o fomento à sua elaboração, especialmente em tema de vigilância e monitoramento, publicidade e marketing direto, bancos de dados de proteção ao crédito e seguros.
VII. CONCLUSÃO
Ainda que a legislação em vigor contenha alguns dispositivos e princípios esparsos e genéricos relacionados ao tema, a inexistência de um diploma legal específico sobre a proteção de dados pessoais é, frequentemente, um empecilho à efetividade do princípio constitucional da intimidade e da privacidade (artigo 5º, inciso X, da Constituição Federal). Nesse contexto, o Anteprojeto representa importante iniciativa do Ministério da Justiça em matéria da mais alta relevância no ramo da Internet, sobretudo após a popularização das redes sociais e do desenvolvimento do comércio eletrônico.
Embora o texto do Anteprojeto claramente privilegie a garantia de direitos aos titulares de dados pessoais, reconhecendo a importância da sua tutela no contexto da sociedade da informação e estabelecendo regras restritivas quanto ao tratamento de dados pessoais, o cumprimento de seus dispositivos poderá também trazer benefícios ao setor privado, que contará com diretrizes claras sobre todos os aspectos relacionados à coleta, armazenamento e tratamento de dados pessoais, possibilitando o desenvolvimento de novos modelos de negócio em que tal atividade seja essencial.
Todavia, como dito anteriormente, o Anteprojeto deve estar lastreado na compatibilização com as regras e com a cultura nacional a respeito do direito da privacidade e da intimidade. Há necessidade que o legislador e, neste momento, o Executivo, reflitam não só sobre os aspectos puramente técnico-jurídicos relativos à proteção dos dados pessoais. É necessário que a norma a ser criada também esteja impregnada pelos valores sociais, políticos, éticos e morais, refletindo, assim, o momento histórico em que vivemos.
Impende, ainda, refletir sobre o atual conceito de privacidade e intimidade, não aquele que decorre da lei, mas do comportamento dos usuários de serviços de Internet, que cada vez mais consentem, de forma deliberada, com a exposição de fatos da sua vida íntima ou privada, seja para serem "seguidos" por milhares de outros usuários, seja para se tornarem mais um participante da "rede", hoje sinônimo de socialização e integração às diversas comunidades.
O Anteprojeto deve, assim, não ser apenas idealista, mas também trazer à reflexão os aspectos sociais e psicológicos envolvidos no cotidiano da rede, sob pena da escravização dos usuários e especialmente dos provedores de serviço aos senhores da privacidade e da intimidade de forma dissonante à realidade hoje experimentada por todos e quaisquer usuários.
Por esse motivo, é fundamental que todos os atores envolvidos, inclusive usuários, acadêmicos e representantes da iniciativa privada e do governo, participem ativamente das discussões por meio do blog criado pelo Ministério da Justiça (clique aqui), para que a versão final do Anteprojeto consolide os interesses de todos e seja levada a tramitação legislativa com amplo apoio e aprovação da sociedade.
__________________
1 Nos termos do Anteprojeto, o tratamento de dados pessoais significa "toda operação ou conjunto de operações, realizadas com ou sem o auxílio de meios automatizados, que permita a coleta, armazenamento, ordenamento, conservação, modificação, comparação, avaliação, organização, seleção, extração, utilização, bloqueio e cancelamento de dados pessoais, bem como o seu fornecimento a terceiros por meio de transferência, comunicação ou interconexão".
2 Nos termos do Anteprojeto, considera-se procedimento de dissociação o "ato de modificar o dado pessoal de modo a que ele não possa ser associado, direta ou indiretamente, com um indivíduo identificado ou identificáveis".
__________________
*Sócio da área Contenciosa do escritório <_st13a_personname w:st="on" productid="Pinheiro Neto Advogados"><_st13a_personname w:st="on" productid="Pinheiro Neto">Pinheiro Neto Advogados
**Associados da área Contenciosa do escritório <_st13a_personname w:st="on" productid="Pinheiro Neto Advogados"><_st13a_personname w:st="on" productid="Pinheiro Neto">Pinheiro Neto Advogados
<_st13a_personname w:st="on" productid="Pinheiro Neto Advogados">* Este artigo foi redigido meramente para fins de informação e debate, não devendo ser considerado uma opinião legal para qualquer operação ou negócio específico.
© 2011. Direitos Autorais reservados a PINHEIRO NETO ADVOGADOS
_________________