Índice

INTRODUÇÃO

Por Dennys Antonialli

Não é novidade que o Brasil está atrasado na aprovação de uma regulamentação que estabeleça regras concretas para a tutela da privacidade no país. Apesar de o direito à intimidade e à vida privada estar assegurado na Constituição Federal e de existirem regras esparsas sobre a sua proteção na legislação infra-constitucional, o Brasil não possui, ainda, legislação que trate do tema de forma pormenorizada. Ao redor do mundo, inspirando-se em um modelo de regulação que começou na Europa, mais de 100 países já possuem legislação nesse sentido.

Por esse motivo, o Brasil está excluído da lista de países considerados como “adequados” pela União Europeia para atuar como destinatários de dados pessoais de cidadãos europeus, impedindo, portanto, que esses dados possam ser transferidos a empresas brasileiras em algumas circunstâncias, debilitando nossa capacidade de inovar e competir nesse mercado. Argentina e Uruguai, nossos vizinhos, fazem parte da lista. Além disso, pela insegurança jurídica que se gera a respeito das questões ligadas à coleta e tratamento de dados pessoais no Brasil, o país sai prejudicado na disputa por investimentos. Em 2012, por exemplo, o Google anunciou ter escolhido o Chile para a construção de seu primeiro data center na América Latina, um investimento que, segundo a empresa, chegaria a 150 milhões de dólares. O Chile possui legislação específica sobre o tema desde 1999.

Mas mais importante do que as oportunidades de investimento que se abririam e da segurança jurídica que a legislação sobre o tema poderia gerar para as empresas, o foco de qualquer legislação de proteção de dados pessoais é - ou pelo menos deve ser - o cidadão. É para garantir que a sua privacidade seja protegida de maneira efetiva que essa legislação deve ser pensada. Para tanto, é importante que abarque as várias circunstâncias nas quais dados pessoais são coletados, armazenados, tratados ou transferidos. Isso inclui os setores público e privado; dentro e fora da Internet.

O atraso do Brasil não significa, entretanto, que essa seja uma pauta esquecida. Desde 2007, o Ministério da Justiça discute propostas de regulamentação. A partir das denúncias de Edward Snowden, ex-agente da CIA, em 2013, a discussão em torno dessas propostas se intensificou, o que levou o Ministério a promover duas consultas públicas, angariando ampla participação dos principais grupos de atores envolvidos, conforme o InternetLab relatou no relatório a respeito da primeira consulta realizada.

Ao mesmo tempo em que era discutido no âmbito do Ministério da Justiça, outras propostas surgiram no congresso e despertaram o debate acerca do tema entre os parlamentares, como o PL 4060/2012, de autoria do deputado Milton Monti e o PLS 181/2014, de autoria do senador Vital do Rêgo. Às vésperas de seu afastamento do governo, a presidente Dilma Rousseff decidiu encaminhar, em regime de urgência, o anteprojeto elaborado pelo Ministério da Justiça ao Congresso, consubstanciando o PL 5276/2016.

O regime de urgência proposto pela presidente encheu de esperança aqueles que acompanham o debate sobre a tutela de dados pessoais no Brasil. Em 6 de julho de 2016, entretanto, o presidente interino Michel Temer retirou o projeto do regime de urgência. Na semana seguinte, por proposta do deputado Alexandre Leite (DEM-SP), o PL 5276/2016 foi apensado ao PL 4060/2012, o que contribuiu para reestabelecer a indefinição a respeito de sua aprovação.

A demora e o cuidado na elaboração da proposta encaminhada pela presidente Dilma Rousseff revelam que esse é um tema complexo. Construída a partir de um debate público na Internet entre os diversos setores da sociedade, a iniciativa aborda uma área muito sensível em diversos aspectos. Isso quer dizer que, se esquecida, a proposta pode ser engavetada ou substituída por outra que não tenha passado pelo mesmo processo de debate.

Regulamentar o uso de dados pessoais significa equacionar os interesses daqueles que veem na coleta e tratamento de dados oportunidades únicas para promover a inovação e usufruir dos benefícios do big data com os interesses daqueles que advogam por limites a essas capacidades, como condição para a tutela da privacidade. Diferentes grupos de interesse disputaram - e continuam disputando - vários pontos sensíveis nesse debate.

Para auxiliar a compreensão dos argumentos em torno de alguns desses pontos, o InternetLab organizou uma Semana Especial de Proteção de Dados Pessoais. Convidamos representantes do setor privado, da academia e da sociedade civil para responder a algumas questões. Foram discutidos 5 temas centrais da lei em 5 dias, com comentários de Marcel Leonardi (Google Brasil), Veridiana Alimonti (Intervozes), Vanessa Butala (Serasa Experian) e Laura Schertel Mendes (IDP).

ESPECIALISTAS

Veridiana Alimonti
[Intervozes]

Veridiana Alimonti é formada pela Faculdade de Direito da Universidade de São Paulo e mestre em direito econômico pela mesma instituição com projeto voltado ao estudo das políticas de comunicação no Brasil. Foi advogada e pesquisadora do Instituto Brasileiro de Defesa do Consumidor (Idec) com atuação específica na área de telecomunicações e Internet. Até 2015, esteve como uma das representantes o terceiro setor no Comitê Gestor da Internet no Brasil (CGI.br) e faz parte do Comitê de Defesa dos Usuários dos Sereiços de Telecomunicações (CDUST), da Agência Nacional de Telecomunicações (Brasil). Atualmente faz parte da coordenação executiva do Intervozes.

Marcel Leonardi
[Google Brasil]

Marcel Leonardi é Diretor de Políticas Públicas do Google no Brasil. Bacharel, Mestre e Doutor em Direito pela USP, com pós-doutorado pela Berkeley Law. Autor de “Responsabilidade Civil dos Provedores de Serviços de Internet”, “Tutela e Privacidade na Internet”, co-autor de “Responsabilidade Civil na Internet e nos demais meios de comunicação” e da obra coletiva “Marco Civil da Internet”. Professor de pós-graduação da FGV DIREITO-SP.

Vanessa Butalla
[Serasa Experian]

Vanessa Butalla é Gerente Jurídica da Serasa Experian em São Paulo, onde é responsável pela área de regulamentação. Vanessa é Bacharela em Direito pela Universidade Presbiteriana Mackenzie e possui mais de 12 anos de experiência com temas relacionados a privacidade de dados e proteção de crédito, tendo participado de vários seminários e conferências no Brasil e no exterior.

É doutora summa cum laude em direito privado pela Universidade Humboldt de Berlim, mestre em “Direito, Estado e Constituição” pela Universidade de Brasília (UnB) e graduada em direito pela UnB. É diretora da Associação Luso-Alemã de Juristas (DLJV-Berlin) e membro do Grupo de Trabalho Consumo e Sociedade da Informação da Secretaria Nacional de Consumidor (SENACON) do Ministério da Justiça. Tem experiência nas áreas de direito civil, direito do consumidor e direito da concorrência, atuando principalmente nos seguintes temas: direitos da personalidade, proteção de dados pessoais, direito e internet, interface entre direito constitucional e direito civil, bem como políticas públicas na Sociedade da Informação. Gestora Governamental em exercício no Conselho Administrativo de Defesa Econômica – CADE.

O QUE SÃO DADOS PESSOAIS?

Inaugurando a Semana Especial de Proteção de Dados Pessoais do InternetLab, discutimos a definição de dados pessoais.

O que são dados pessoais?

Qual a definição adequada de “dado pessoal”? Quando se trata de estabelecer uma lei para a proteção destas informações, é crucial que se encontre uma descrição equilibrada e que defina exatamente do que estamos falando. A partir dela será possível determinar sobre quais tipos de dados diferentes regras se aplicarão ou não. Basicamente, dependendo da definição adotada, poderá haver diferença entre maior ou menor proteção legal.

No Brasil, algumas leis mencionam características de dados pessoais, mas sem cravar uma definição única. Tal discussão está no cerne do debate de uma nova lei de Proteção de Dados Pessoais no Brasil, representada pelo projeto de Lei nº 5.276 de 2016, enviado ao Congresso recentemente pelo Poder Executivo.

O PL, em seu art. 5o, I, estabelece que dado pessoal é todo

dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa.

Isso quer dizer: dados pessoais são todos aqueles que podem identificar uma pessoa – números, características pessoais, qualificação pessoal, dados genéticos etc.

A lei também definiu alguns tipos de dados pessoais, como os dados sensíveis. Trata-se de informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial. O art. 5o, III, do PL 5.276/2016 define dados sensíveis como

dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos.

Ambas as definições de dados pessoais e de dados sensíveis foram elogiadas e criticadas durante o debate público que envolveu o projeto antes de seu envio ao Congresso – milhares de comentários foram realizados pelos mais diferentes setores e organizações. As críticas iam tanto no sentido de que as definições eram amplas ou restritas demais (o que foi mapeado pelo InternetLab em um relatório sobre a consulta pública). Para buscar solucionar esse conflito, entre aqueles que julgam que alguns tipos de dados deveriam ficar de fora do escopo da lei e os que entendem que a lei poderia abarcar ainda mais informações, fizemos as perguntas abaixo a diferentes especialistas representantes de setores interessados na discussão da lei. Pedimos a eles que respondessem sucintamente através do envio de um comentário de poucos parágrafos.

PERGUNTAS AOS SETORES
Como deve ser a lei nesse ponto?

Considerando que a definição de dados pessoais adotada determinará a aplicação das regras e garantias previstas na lei, como avalia o conceito proposto no PL 5.276/2016 (se possível, dê exemplos de tipos de dados que considera que estariam abarcados)? O PL também cria um nível de proteção mais elevado para dados consideráveis sensíveis. Na sua opinião, faz sentido traçar essa diferenciação? O conceito de dados sensíveis é adequado?

Veridiana Alimonti
[Intervozes]

A definição de dados pessoais é a primeira delimitação fundamental de qualquer disciplina de proteção a esses dados, justamente por instituir o âmbito dessa proteção, se mais restrito ou mais amplo. O PL 5.276/2016 acerta ao trazer definição mais ampla, referindo-se não só aos dados da pessoa natural identificada, mas também daquela “identificável”. Mesmo um dado aparentemente “anônimo” deve ser protegido como dado pessoal quando puder ter seu processo de anonimização revertido a partir do cruzamento de bancos de dados ou servir à criação de perfis que impactem o titular dos dados, ainda que não conhecido – o que é garantido pelo PL em seu art. 13. Vale ressaltar que diferentes padrões em relação a uma pessoa podem ser traçados e, com base nesses padrões, diferentes decisões podem afetar sua vida sem que sequer se conheça a sua identidade real. Sua localização ou o sistema operacional utilizado em seu aparelho podem ser decisivos na definição do preço de um produto comprado online, por exemplo. Há casos de ofertas mais caras ou mais baratas que levaram em consideração a distância do comprador em relação a uma loja concorrente ou se ele utilizava um dispositivo Mac/Apple ou Android.

Se casos assim já resultam em discriminação, o risco é ainda maior quando tratamos de dados genéticos e biométricos ou, ainda, que revelem a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político e aspectos relativos à saúde ou à vida sexual de alguém – justamente os elementos da definição de “dados sensíveis” presentes no PL. Conseguir ou não emprego, crédito em instituição financeira e preço razoável em plano de saúde, ou mesmo ser ou não alvo de variadas formas de perseguição e preconceito, depende diretamente da maneira como esses dados são coletados e tratados pelos diferentes agentes públicos e privados, merecendo maior cuidado e proteção da legislação e do poder público responsável por fiscalizá-la.

Marcel Leonardi
[Google Brasil]

O conceito previsto no projeto engloba dados que não identificam necessariamente uma pessoa natural, mas que estão meramente “relacionados” a ela. Se adotado esse conceito amplo, ficarão sujeitos à lei praticamente todos os dados produzidos pela atividade humana, ainda que não possam ser razoavelmente utilizados para identificar uma pessoa natural determinada.

Um conceito mais preciso é adotado pela legislação do Canadá, que fala em “dados sobre uma pessoa natural”, e que com isso se mostrou mais adequado para equilibrar a proteção do titular com o livre fluxo de informações necessário à vida cotidiana moderna. Note-se que esse conceito mais preciso não impediu o Canadá de ser avalizado pela União Europeia como um país com legislação considerada adequada, para fins de transferência internacional de dados.

Internacionalmente, o conceito de dados pessoais tem sido interpretado para englobar somente dados que razoavelmente permitam a identificação de uma pessoa natural, excluindo-se do conceito todos os dados que não sejam efetivamente capazes de identificar razoavelmente um indivíduo, bem como todos os dados que passarem por processos de anonimização.

Teria sido melhor, portanto, que o projeto de lei adotasse conceito mais preciso, definindo dado pessoal como “dado que identifique ou permita, por meios razoáveis, a efetiva identificação da pessoa natural”.

Vanessa Butalla
[Serasa Experian]

A definição de dados pessoais proposta pelo PL 5.276 é adequada, merecendo apenas um ajuste para que sejam assim tratados os dados que se refiram a uma pessoa natural identificada ou que razoavelmente possa ser identificada por meio deles. A finalidade da lei, conforme consta em seu artigo 1º, é a de “proteger os direitos fundamentais de liberdade, intimidade e privacidade da pessoa natural”. Logo, para que haja potencial prejuízo a tais direitos, deve ser possível identificar o titular a quem um conjunto de dados se refere.

Entendo, ainda, que é razoável admitir-se o tratamento diferenciado de algumas espécies de dados pessoais em razão de sua finalidade. Exemplo disso são os dados cadastrais (espécie do gênero “dados pessoais”), que, se utilizados para a finalidade de identificar um indivíduo, não devem requerer consentimento, pois há um interesse público prevalecente, como, por exemplo, a prevenção a fraudes, que anualmente causa bilhões de reais em prejuízos aos consumidores no Brasil. Viver em sociedade requer aceitar a sua identificação por terceiros a partir de informações que o individualizam mas não denotam aspectos de sua vida privada, como o nome e os documentos oficiais de identificação (RG e CPF). Importante dizer que este entendimento não afasta a aplicabilidade da lei à classificação, ao arquivamento e ao armazenamento dos dados cadastrais como espécie de dados pessoais ou o direito de acesso do titular, mas apenas que não deve haver restrição à sua livre circulação pois há um interesse público que prevalece sobre o particular.

Relativamente aos dados sensíveis, entendo ser adequada a proteção adicional a esta espécie de dados pessoais e a definição trazida pela lei por se aplicar a informações que, além de individualizar uma pessoa, denotam características de seu foro íntimo, de sua vida privada, as quais tem potencial para ensejar tratamento discriminatório indevido ao seu titular. Deve-se ressalvar, contudo, a possibilidade de uso da biometria para fins de identificação independentemente de consentimento, pois há um interesse público que prevalece sobre o particular, conforme destacado no caso dos dados cadastrais.

O conceito de dados pessoais proposto no PL 5.276/2016 – entendido como aquele que permite identificar a pessoa natural – é adequado e apto para possibilitar que a lei atinja o seu objetivo principal, qual seja, o de proteger a pessoa contra os riscos derivados do processamento de dados pessoais na sociedade da informação. Além disso, o conceito está em consonância com as legislações internacionais sobre proteção de dados pessoais. Nesse sentido, cabe mencionar a definição presente no Regulamento Geral de Proteção de Dados Europeu, de 27 de abril de 2016, em seu art. 4°, 1, que conceitua dados pessoais como “informação relativa a uma pessoa singular identificada ou identificável”. O dispositivo prescreve que é “considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular”.

A informação pessoal difere de outras informações por possuir um vínculo objetivo com a pessoa, isto é, por revelar aspectos que lhe dizem respeito. Desse modo, resta claro que tais informações merecem tutela jurídica, uma vez que, por terem como objeto a própria pessoa, constituem um atributo de sua personalidade. Fundamental é perceber que tal tutela visa à proteção da pessoa e de sua personalidade e não dos dados per se.

Como se sabe, por meio do processamento eletrônico de dados possibilitado pela tecnologia da informação contemporânea, dados que se referem a uma pessoa determinada ou determinável podem ser, do ponto de vista técnico, ilimitadamente armazenados e consultados a qualquer momento, a qualquer distância e em segundos. Além disso, podem ser combinados, sobretudo na estruturação de sistemas de informação integrados, com outros bancos de dados, formando um quadro da personalidade relativamente completo ou quase, sem que a pessoa atingida possa controlar suficientemente sua exatidão e seu uso. Com isso, ampliaram-se, de maneira até então desconhecida, os riscos para o cidadão.

Desse modo, percebe-se que a informatização dos meios para o tratamento de dados pessoais afetou o direito à privacidade do individuo principalmente por duas razões: i) ao ampliar a possibilidade de armazenamento, tornando-a praticamente ilimitada; ii) ao possibilitar a obtenção de novos elementos informativos por meio da combinação de dados em estado bruto, a princípio, desprovidos de importância, a partir da utilização de novas técnicas, tais como o “profiling”, “data mining”, “data warehousing”, “scoring-system”, entre outros.

Conforme afirmou o Tribunal Constitucional alemão no famoso julgamento que consolidou o direito à autodeterminação informativa (1983), a partir das possibilidades de combinação e processamento da tecnologia da informação, “um dado em si insignificante pode adquirir um novo valor: desse modo, não existem mais dados insignificantes no contexto do processamento eletrônico de dados”.[1] Isso explica porque o campo de aplicação da lei deve abarcar um conceito amplo e objetivo de dados pessoais, entendido pela possibilidade de vinculação do dado à pessoa, independente dos dados se referirem a aspectos íntimos e privados ou públicos e notórios. Dessa forma, são considerados dados pessoais tanto os dados relativos à comunicação privada, correspondência, endereço e telefone da pessoa, como dados referentes a opiniões políticas, opção religiosa, hábitos, gostos e interesses da pessoa.

Discussão interessante dá-se em torno do endereço de IP. Ele seria um dado pessoal ou não? Nesse contexto, importa mencionar a doutrina alemã, que destaca ser o dado pessoal um conceito relativo: nas situações em que for possível vincular um dado a uma pessoa determinada ou determinável, como é o caso em que o endereço de IP acaba por proporcionar o acesso a inúmeras outras informações pessoais, o IP pode ser considerado dado pessoal. Isso acontece, por exemplo, sob a perspectiva do provedor de acesso, que possui outras informações contratuais, que permitem a vinculação do endereço de IP ao usuário da máquina que se conectou à internet. Em diversas outras situações, o endereço do IP não levará à identificação do usuário da máquina, não podendo, portanto, ser considerado dado pessoal. Tal interpretação está em consonância com a parte final do art. 5º, I, do PL 5.276, que considera dado pessoal “inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa”.

Questão importante diz respeito ao conceito de dados sensíveis, presente em diversas legislações de proteção de dados pessoais. O debate acerca dos dados sensíveis acompanha a história da proteção de dados e esteve presente desde o início das discussões acadêmicas e iniciativas legislativas sobre o tema[2]. Já em 1973 a lei nacional de dados pessoais da Suécia abordou a questão dos dados sensíveis, sendo seguida por França (1978), Dinamarca (1978), Noruega (1978) e Luxemburgo (1979).[3]

A diferenciação da categoria dos dados sensíveis foi consagrada pelo Convênio 108, editado pelo Conselho da Europa, em 1981, em seu art. 6°.[4] O Convênio previu, em seu dispositivo voltado às “categorias especiais de dados”, que os dados pessoais relativos à origem racial, saúde, vida sexual e condenações penais somente poderiam ser objeto de tratamento, caso o direito interno previsse as garantias adequadas para o seu processamento.[5]

O estabelecimento de um regime especial para os dados sensíveis está presente na legislação da maioria dos países europeus e na Diretiva Européia 95/46/CE e continuou a ser regulado por meio do Regulamento Geral de Proteção de Dados Europeu (art. 9º).

Quanto ao conceito de dados sensíveis previsto no PL 5.276, esses devem ser entendidos como “os dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos”.

Como se percebe, parece haver um consenso de que o tratamento de dados sensíveis acarreta riscos e, portanto, merece uma atenção especial do legislador. Mas quais são, de fato, os dados sensíveis e por que eles precisam de uma maior proteção?

Por uma análise das normas internacionais mencionadas e da redação do dispositivo proposta pelo PL 5.276, é possível inferir que os países estabeleceram nas suas legislações uma lista exemplificativa de dados de caráter especial ou sensível, com o objetivo de lhes garantir uma proteção mais adequada. Embora as listas variem de país para país, há várias categorias que se repetem, como os dados relativos à origem racial, vida sexual e convicções religiosas e políticas. Desse modo, para os fins de sistematização dogmática, pode-se afirmar que a categoria dos dados sensíveis está relacionada à percepção de que o armazenamento, processamento e circulação de alguns tipos de dados podem se constituir em um risco maior à personalidade individual, especialmente, se utilizados com intuito discriminatório. Os dados referentes à raça, opção sexual, saúde e religião são exemplos desse tipo.

Tal perspectiva permite realçar as discussões acerca da violação da igualdade material em um contexto em que a privacidade somente era vista sob a ótica da autonomia e da liberdade. Desse modo, passa-se a considerar também os abusos decorrentes do tratamento dos dados pessoais como um problema de igualdade, sempre que sua inadequada utilização acarretar ações potencialmente discriminatórias. Exemplo disso é a discriminação racial realizada com base em dados pessoais, também denominada de racial profiling, em que bancos de dados com perfis étnicos ou raciais são utilizados para fundamentar determinadas decisões.

Uma análise acurada do PL 5276 permite identificar quais as consequências para um tratamento de dados pessoais, quando os dados são considerados sensíveis:

i) ampliação das exigências para a validade do consentimento do indivíduo sobre a disposição de seus dados pessoais: o PL passa a exigir o consentimento expresso, livre e informado, mediante manifestação própria e distinta da manifestação de consentimento relativo ao tratamento de outros dados pessoais;

ii) ampliação das exigências legais para o tratamento desses dados pelo responsável: os interesses legítimos do responsável (art. 7º, IX) e a execução de um contrato (art. 7º, V) não legitimam o tratamento de dados sensíveis, embora sejam hipóteses válidas para o tratamento de dados pessoais em geral;

iii) aumento do controle pela autoridade administrativa para a autorização de armazenamento, processamento e circulação dos dados sensíveis (vide art. 12 do PL).

Deve-se destacar que, além da proteção especial reservada aos dados definidos expressamente no PL 5276 como sensíveis, é fundamental proteger também outros dados que, embora aparentemente insignificantes, podem vir a se tornar sensíveis, a depender do tipo de tratamento a que são submetidos. Trata-se na realidade, de um tratamento sensível dos dados, que é capaz de transformar dados inofensivos em informações potencialmente discriminatórias. Exemplo desse fato são as listas negras, que constituem registros criados pelos empregadores para agregar o nome dos trabalhadores que acionaram a Justiça do Trabalho, serviram como testemunhas ou que por qualquer outro motivo não sejam bem vistos por algumas empresas. Tais listas são utilizadas com a finalidade de dificultar o acesso ao mercado de trabalho das pessoas cujo nome estava registrado. O Tribunal Superior do Trabalho (TST) tem reconhecido reiteradamente o direito à indenização por dano moral em razão de inserção do nome do trabalhador nessas listas.

Dessa forma, destaca-se que o conceito de dados sensíveis, nos moldes previstos no PL ora analisado, é de suma relevância para a proteção da pessoa contra os riscos de discriminação decorrentes do processamento de dados na sociedade da informação. No entanto, esse rol não é exaustivo, podendo abarcar outros dados que venha apresentar potencial discriminatório, a depender do contexto em que a informação pessoal for utilizada.

[1] BVerfGE 65, 1, “Recenseamento” (Volkszählung). MARTINS, Leonardo. (org.) Cinqüenta anos de Jurisprudência do Tribunal Constitucional federal Alemão. Montevidéu: Fundação Konrad Adenauer, 2005, p. 244 e 245.

[2] SIMITIS, Spiros. “Sensitive Daten” – Zur Geschichte und Wirkung einer Fiktion. In: BREM (Hrsg.), Festschrift zum 65. Geburtstag von Mario M. Pedrazzini, 1990, p. 469.

[3] Idem, Ibidem.

[4] HIGUERAS, Manuel Heredero. La Directiva Comunitaria de Protección de los datos de carater personal. Aranzadi Editorial, 1997, p. 116 e 117.

[5] Art. 6°, Convenção 108 do Conselho da Europa para a proteção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal. O texto pode ser acessado em: http://www.cnpd.pt/bin/legis/internacional/Convencao108.htm (acesso em 29.02.2012)

O QUE PODE AUTORIZAR O TRATAMENTO DE DADOS PESSOAIS?

O Segundo tema da Semana Especial de Dados Pessoais foi sobre fatores que podem autorizar o tratamento de dados pessoais.

O que pode autorizar o tratamento de dados pessoais?

Atualmente, parte relevante da economia gira em torno da coleta, tratamento e comercialização de dados pessoais. Não obstante, o Brasil ainda não possui lei geral para regulamentar esse tipo de atividade. Com consultas públicas organizadas pelo Executivo e diferentes projetos de lei propostos no Legislativo, se consolida, nos últimos anos, o consenso de que é importante estabelecer um marco legal, com regras que permitam proteger direitos fundamentais (como a proteção da vida privada, intimidade e sigilo das comunicações e a não discriminação entre elas) e garantir segurança jurídica para os operadores de tratamento de dados pessoais. A tarefa, entretanto, não é simples e demanda muita discussão (como foi mapeado aqui pelo InternetLab).

Uma regra básica a ser pensada é, exatamente, “o que pode autorizar o tratamento de dados pessoais?”. Construído pelo Executivo a partir de consultas públicas na Internet com a participação de setores interessados diversos, o Projeto de Lei de Proteção de Dados (PL 5.276/2016) estabelece um arranjo para responder tal pergunta em seu art. 7o. No primeiro inciso deste artigo, prevê-se que

[o tratamento de dados pessoais poderá ser realizado] mediante o fornecimento pelo titular de consentimento livre, informado e inequívoco.

Isso significa que a pessoa autoriza o tratamento de determinados dados após ter recebido informações suficientes para formar sua opinião – quais as condições de tratamento? Há comercialização ou informação de dados para terceiros?

Em 2015, durante o debate público feito na Internet, o Poder Executivo incluiu no projeto de lei uma hipótese adicional que autoriza o tratamento de dados pessoais, o “legítimo interesse” do responsável (art. 7, IX):

[o tratamento de dados pessoais poderá ser realizado] quando necessário para atender aos interesses legítimos do responável ou de terceiro, exceto no caso de prevalecerem interesses ou direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais, em especial se o titular for menor de idade.

O conceito foi incluído no texto para autorizar determinadas situações nas quais o consentimento não precisaria ser emitido. São situações nas quais não é necessário perguntar ao cidadão ou cidadã se aquele tratamento pode ser realizado, pois, segundo o artigo 10 do projeto, ele deve contemplar as suas “legítimas expectativas”. Conceito presente nas regras europeias de proteção de dados, tal hipótese concentrou preocupações de diferentes setores, conforme os comentários abaixo.

PERGUNTAS AOS SETORES
Como deve ser a lei nesse ponto?

Dentre as hipóteses que autorizam o tratamento de dados pessoais, o PL 5.276/2016 inclui os interesses legítimos do responsável ou de terceiro. Durante o processo de debate, a inclusão do dispositivo gerou controvérsia na medida em que, para alguns críticos, a exceção abre caminho para abusos. Qual a sua avaliação sobre esse dispositivo? Na sua interpretação, quais circunstâncias poderiam estar abarcadas por essa exceção?

Veridiana Alimonti
[Intervozes]

É preciso ter bastante cuidado ao prever o “legítimo interesse” do responsável para o tratamento de dados pessoais ou de terceiro como uma exceção à regra geral do consentimento para esse tratamento. Na prática, isso pode significar uma autorização genérica para todo o tipo de tratamento, com os mais variados fins, sem qualquer controle ou conhecimento do titular dos dados. Por outro lado, não podemos descartar circunstâncias em que o exercício de direitos ou a prevenção de danos dependa desse tratamento sem que seja possível obter o consentimento do titular. Um exemplo é o uso de dados bancários dos clientes, pelas próprias instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem que haja consentimento expresso do titular dos dados. Contudo, de forma geral, as demais exceções previstas no art. 7º do PL de Proteção de Dados já parecem abarcar boa parte do que poderia se enquadrar em tais circunstâncias, o que intensifica o cuidado necessário com mais essa ressalva.

Apesar disso, deve-se reconhecer que a inclusão da nova hipótese veio acompanhada de balizas fundamentais à sua aplicação, reduzindo o seu risco. Os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais devem prevalecer aos “legítimos interesses” do responsável ou de terceiros. Além disso, tal hipótese só poderá ser utilizada quando necessária e baseada em uma situação concreta, respeitando as finalidades inicialmente autorizadas pelo titular e as suas legítimas expectativas. O responsável pelo banco de dados deverá adotar medidas para garantir a transparência desse tipo de tratamento, fornecendo mecanismos eficazes para que os titulares se oponham a ele. A anonimização desses dados quando compatível com a finalidade do tratamento, nos termos do art. 10, §3º do PL, e a possibilidade de o órgão competente solicitar relatório de impacto à privacidade ao responsável pelo banco de dados completam esse conjunto de balizas. Cada uma delas é crucial para garantir que o sistema de proteção articulado no PL não vire “letra morta” diante de permissão genérica para o tratamento de dados.

Marcel Leonardi
[Google Brasil]

A inclusão da hipótese de interesses legítimos do titular ou de terceiro no projeto de lei reflete as práticas europeias existentes desde 1995, que serviram de inspiração para o legislador brasileiro e trazem a segurança jurídica necessária para que o tratamento de dados possa ser efetuado de modo seguro e lícito pelos responsáveis, sem onerar os titulares com a necessidade de manifestação de seu consentimento a cada instante, nem inviabilizar inovações e serviços cuja dinâmica não é sempre compatível com a obtenção de consentimento.

Vale lembrar que tanto na Diretiva Europeia 95/46/CE quanto no novo Regulamento Geral de Proteção de Dados (GDPR), o consentimento inequívoco do titular é apenas uma das modalidades que autorizam o tratamento de dados pessoais. Há diversas outras, tais como a execução de um contrato ou diligências prévias à formação de um contrato; o cumprimento de uma obrigação legal; a proteção de interesses vitais do titular e, também, a existência de interesses legítimos do responsável ou de terceiros.

Aliás, atualmente a principal modalidade de tratamento de dados pessoais no sistema europeu é justamente a existência de interesses legítimos do responsável ou de terceiros. Com isso, dados podem ser regularmente tratados, sem a necessidade de obtenção de consentimento, devendo o responsável fazer um balanceamento dos legítimos interesses que ele (ou terceiro) tenha com os interesses, direitos e liberdades fundamentais do titular dos dados.

Ao analisar especificamente a hipótese dos legítimos interesses, o grupo de autoridades de proteção de dados da Europa, conhecido como “Article 29 Working Party”, afirmou que essa modalidade de tratamento de dados estipula que o responsável faça um balanceamento (“balancing test”), entre seus interesses legítimos no tratamento dos dados e os interesses e direitos fundamentais do titular dos dados. O resultado desse balanceamento determina se os dados podem ou não ser licitamente tratados sem o consentimento do titular.

O Article 29 Working Party ressalta que esse balanceamento assegura aos responsáveis a flexibilidade necessária para efetuar o tratamento de dados nos casos em que não haveria impactos indevidos sobre o indivíduo em decorrência desse tratamento de dados. Por exemplo, o Article 29 Working Party considera que algumas atividades de marketing seriam permitidas, considerando esse balanceamento.

A importância do interesse legítimo fica ainda mais evidenciada quando se constata que o conceito tradicional de consentimento não é adequado para lidar com o tratamento de dados em larga escala (“big data”) nem com o cenário de novos dispositivos conectados (Internet das coisas).

Note-se que é ônus do responsável demonstrar que está fazendo uso da hipótese de legítimo interesse de modo adequado e por meio do devido sopesamento entre seus interesses e os direitos dos titulares. Potenciais abusos são rapidamente coibidos pelas autoridades responsáveis por zelar pela proteção de dados.

Vanessa Butalla
[Serasa Experian]

A inclusão do legítimo interesse dentre as hipóteses que autorizam o tratamento de dados pessoais representou um grande avanço para o projeto de lei, alinhando-o à experiência internacional e estabelecendo o necessário equilíbrio entre proteção à privacidade e à intimidade e o desenvolvimento econômico e inovação. É importante que uma nova lei assegure direitos efetivos aos titulares como medida de progresso, cuidando para que os potenciais prejuízos colaterais não sejam superiores aos benefícios que pretende gerar, e isso será possível a partir da inclusão do legítimo interesse no rol de hipóteses que autorizam o tratamento de dados pessoais.

Portanto, a meu ver, essa exceção não abre caminho para abusos, mas sim para a sustentabilidade do sistema de proteção de dados pessoais tal como proposto no Brasil.

Para citar uma situação que entendo que estaria inserida na hipótese de legítimo interesse, vale indicar o tratamento das informações de clientes por uma empresa que lhes fornece serviços, mesmo que por um terceiro por ela contratado, para promover melhorias em suas ofertas ao mercado. Há, inegavelmente, um legítimo interesse desta empresa na constante melhoria de seus serviços a partir da experiência de seus clientes, sem que, com isso, possa causar-lhes qualquer prejuízo.

A hipótese de tratamento de dados pessoais baseada nos interesses legítimos do responsável ou de terceiro é relevante ao reconhecer que outras partes – além do próprio titular – podem ter interesses protegidos juridicamente no processamento, uso ou circulação de determinadas informações, como é o caso, por exemplo, do tratamento de dados pessoais realizado pelo empregador para o controle dos seus empregados.

Ocorre que tal cláusula não deve ser lida como uma válvula de escape geral, a partir da qual qualquer tratamento de dados pessoais passa a ser autorizado. Para que não se incorra nesse erro, dois aspectos devem ser considerados. Em primeiro lugar, o art. 7º, IX, impõe a realização pelo responsável – ou da autoridade competente, se for o caso – de uma ponderação de interesses e de direitos, a partir da qual se decidirá se há ou não interesse legítimo do responsável. Vejamos a redação da parte final dispositivo: “quando necessário para atender aos interesses legítimos do responsável ou de terceiro, exceto no caso de prevalecerem interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais” (grifo nosso). Fica claro, portanto, a necessidade de um balanceamento de interesses; na hipótese de prevalecerem os direitos do titular, o tratamento de dados baseado nesse dispositivo não está autorizado. O segundo aspecto consiste na norma prevista no art. 10 do PL, que prevê inúmeros requisitos para o tratamento baseado nos interesses legítimos: i) a adoção de medidas para garantir a transparência do tratamento baseado nessa hipótese e a possibilidade de o titular manifestar oposição ao tratamento; ii) a estrita necessidade como critério de legitimidade do tratamento de dados baseado nesse requisito e a necessidade de anonimização quando possível; iii) possibilidade da autoridade requisitar impacto de privacidade. Esse dispositivo é fundamental para a adequada aplicação da cláusula do legítimo interesse. Uma eventual interpretação por demais ampla da cláusula do legítimo interesse acabaria por descreditar a própria regra, além de pôr em xeque a sua constitucionalidade, por violação ao direito fundamental à intimidade e vida privada.

O QUE SÃO DADOS PÚBLICOS?

terceiro texto da Semana Especial de Proteção de Dados Pessoais abordou os fatores que podem autorizar o tratamento de dados pessoais.

O que são dados públicos?

Como sabemos, o Estado detém enormes bancos de dados pessoais, muitos deles formados a partir de informações fornecidas obrigatoriamente pelos cidadãos e cidadãs. Como deve ser o regime de proteção desse tipo de banco de dados? Como eles podem (ou não) ser utilizados por entidades privadas? Semana passada, a pesquisadora do InternetLab Jacqueline Abreu publicou texto que aborda alguns problemas do recente decreto que permite que diferentes entidades públicas possam compartilhar suas bases de dados – como o Estado poderia tornar acessível dados a outras entidades públicas?

No debate público online realizado sobre o Projeto de Lei nº 5.276 de 2016 (e mapeado pelo InternetLab) a discussão foi intensa e dividiu opiniões. O texto final enviado ao Congresso não menciona exatamente a expressão “dados públicos”, mas sim “dados pessoais cujo acesso é público” – ou seja, dados que ficariam disponíveis, em algum nível, para o público geral. Segundo a redação do PL (§ 4º do art. 7º),

[o] tratamento de dados pessoais cujo acesso é público deve ser realizado de acordo com esta Lei, considerados a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização.

Que tipos de dados pessoais se encaixam na definição de “acesso público”? Várias sugestões para essa definição foram apresentadas durante o debate do texto, como dados que o titular tenha tornado público por própria iniciativa (sugerido pelo setor de empresas de telecomunicações – SindiTeleBrasil e Vivo), ou dado pessoal que esteja disponível à consulta pública gratuita por obrigação legal (sugerido pela ABRANET, que reúne provedores de Internet, e a CNseg, que representa seguradoras).

Representantes de diferentes setores abordaram a polêmica envolvendo tal definição e a sua relação com o tema anterior, sobre quando tais dados podem ser tratados sem o consentimento de seu titular. Veja os comentários abaixo.

PERGUNTAS AOS SETORES
Como deve ser a lei nesse ponto?

O PL 5.276/2016 faz menção a “dados públicos” e condiciona o seu tratamento à boa-fé e interesse público, mas não define claramente que tipos de dados são esses. Na sua opinião, que tipos de dados podem ser considerados públicos? O tratamento desses dados pode ser realizado sem o consentimento do titular? Em quais circunstâncias?

Veridiana Alimonti
[Intervozes]

Tudo o que alguém compartilha voluntariamente pelas redes sociais pode ser utilizado por quem quer que seja para os mais variados fins? E os dados constantes em bancos de dados públicos como da Receita Federal, do TSE e de outros registros cuja obrigação de publicidade da informação deriva de lei, podem ser transferidos ou apropriados por qualquer um independente de qual será a destinação conferida a esses dados? As recentes decisões acerca dos sites “Nomes Brasil” e “Tudo Sobre Todos” demonstram que não é bem assim, e mais, que as pessoas, embora cientes de que suas informações estão presentes em diferentes bancos de dados públicos ou expostas em aplicações online, não consideram isso como uma autorização para que eles sejam utilizados à sua revelia e por qualquer um. A questão aqui não é o uso dessas informações para fins jornalísticos, artísticos, literários e acadêmicos (excluídos da aplicação do PL 5276/2016), mas a comercialização de dados para a constituição de perfis destinados à publicidade direcionada e outras finalidades que possam levar à discriminação e perseguição, ou mesmo facilitar a prática de fraudes e outros crimes. Não é porque o seu CPF consta de cadastros públicos e pode ser facilmente encontrado na Internet que essa e outras informações semelhantes não mereçam a devida proteção.

A Constituição brasileira garante a proteção à privacidade e à intimidade, assim como a legislação de defesa do consumidor assegura que este tenha acesso e seja informado da criação de qualquer banco de dados ou registro sobre ele (Código de Defesa do Consumidor). Além disso, sejam ou não de acesso público, os dados devem ser tratados de acordo com a finalidade para a qual foram coletados (Lei n. 12.414/2012). No âmbito da Internet, o Marco Civil já estabelece a necessidade de expressa autorização do titular dos dados no caso de transferência a terceiros e, novamente, a obrigação de respeitar a finalidade informada e autorizada no momento da coleta. Neste sentido, uma Lei Geral de Proteção de Dados deve consolidar e fortalecer esse regime, garantindo que o tratamento de dados públicos respeite suas normas, que o titular dos dados seja informado de novas utilizações e que a destinação à finalidade diversa seja autorizada por ele (frisando a nulidade de autorizações genéricas previstas no art. 9, §4º, do PL). A premissa central é que dados públicos não deixam de ser dados pessoais e devem ser protegidos como tal.

Marcel Leonardi
[Google Brasil]

O projeto de lei não fala em “dados públicos”, mas sim em “dados de acesso público” – são conceitos distintos, que não se confundem. As normas europeias que servem de base para o projeto de lei, por exemplo, sequer mencionam esses conceitos.

Seja como for, entende-se que dados de acesso público são dados cuja divulgação pública é obrigatória por lei – o fato de alguém ser proprietário de um imóvel, ou sócio de uma empresa, por exemplo, ou os dados acerca das atividades de órgãos públicos, nos termos da Lei de Acesso a Informações.

Nesses cenários, a justificativa para o tratamento desses dados de acesso público pode ser facilitada – notadamente, por exemplo, no caso do tratamento desses dados com base no legítimo interesse. Mas isso não altera o fato de que o tratamento deve da mesma forma se enquadrar em uma das modalidades que autorizam esse tratamento – o que, como mencionado anteriormente, pode ocorrer com o consentimento, englobando também, entre outras modalidades de autorização, o cumprimento de uma obrigação legal pelo responsável; a execução de um contrato ou os procedimentos preliminares relacionados a um contrato; o exercício regular de direitos em processo judicial ou administrativo, e a já mencionada existência de legítimo interesse do responsável ou de terceiro.

Vanessa Butalla
[Serasa Experian]

Entendo que os dados públicos, no âmbito deste projeto de lei, são aqueles geridos pela Administração Pública, como, por exemplo, a distribuição de ações judiciais, os protestos, os registros de nascimento e a inscrição em cadastro de contribuintes. Entendo que não há necessidade de consentimento do titular para o seu tratamento pois são necessários para atender ao interesse público, sendo, inclusive, direito da sociedade conhecê-los, haja vista o direito constitucional de acesso a informação previsto no art. 5º, inc. XXXIII, e o princípio da transparência que deve nortear a Administração Pública.

Muito embora entenda que o tratamento de tais dados não requer consentimento, conforme as razões acima, pode ser necessário, caso, a depender do potencial ofensivo à intimidade e à privacidade de determinados dados, ser necessário o controle de sua divulgação de forma individualizada pela Administração Pública, admitindo-se, tão somente nestes casos, a comprovação do legítimo interesse para justificar o acesso ou a comunicação prévia ao titular.

A norma proposta deve ser lida com bastante cuidado: se, por um lado, o requisito do consentimento parece não ser necessário para o tratamento de dados públicos, por outro, todas as demais normas relativas à proteção de dados são aplicáveis, inclusive os princípios da finalidade, adequação, não discriminação, entre outros. Para não dar margem a interpretações equivocadas, violadoras dos direitos à privacidade do titular, o dispositivo proposto poderia ser complementado com uma ponderação de interesses, nos moldes da cláusula do legítimo interesse. Essa foi a opção do legislador alemão, que possibilita o tratamento de dados públicos, desde que no caso concreto não prevaleçam os interesses e direitos do titular.

BIG DATA: QUAIS PROTEÇÕES OS TITULARES DE DADOS TÊM A SUA DISPOSIÇÃO?

O quarto tema foi sobre quais tipos de controle temos em relação a nossos dados em um mundo de big data.

Big data: quais proteções os titulares de dados têm a sua disposição?

Atualmente, uma série de funcionalidades e serviços são disponibilizados graças à possibilidade de armazenar, tratar e analisar enormes quantidades de dados de maneiras inovadoras – o chamado big data. A partir de tais capacidades de armazenamento, tratamento e análise de dados pessoais coletados a partir de nossos hábitos, torna-se plausível inferir tendências e traços de personalidade, predizer possíveis comportamentos e estabelecer perfis bastante detalhados de todos nós. O desenvolvimento de ferramentas para realizar essas operações parece cada vez mais essencial para grande parte do setor de tecnologia da informação, razão pela qual o assunto foi intensamente debatido na consulta pública sobre o Projeto de Lei de Proteção de Dados Pessoais (o PL 5.276/2016, mapeado aqui pelo InternetLab).

O processamento automatizado de dados realizado por algoritmos é peça chave nesse quebra-cabeça. Algoritmos são formas de automatizar processos decisórios e estão por detrás de muitas coisas que acontecem também na Internet, como decidir qual anúncio será exibido para você ou quem é a próxima pessoa a aparecer em um aplicativo de relacionamentos. Por meio deles, a sua experiência de navegação pode mudar e, com isso, o seu acesso a determinadas informações, ofertas ou até mesmo oportunidades de emprego.

Para lidar com essa questão, o PL 5.276/2016 prevê em seu art. 20 que titulares de dados pessoais (todos nós) podem solicitar a revisão das decisões automáticas quando estas afetarem seus interesses. Estabelece ainda uma obrigação ao responsável pelo tratamento de tais dados para que forneça, se solicitado, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada. Segundo o texto da proposta, eles só não serão obrigados a fornecer critérios e procedimentos que possam revelar segredos comerciais e industriais. Esta é a redação completa:

O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil ou avaliar aspectos de sua personalidade.

Parágrafo Único. O responsável deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérafgsios e dos procedimentos utilizados para a decisão automatizada, respeitados os segredos comercial e industrial.

A partir da ideia que variadas técnicas de big data estão ganhando terreno como maneiras de desenvolvimento e aperfeiçoamento de produtos e serviços (online e offline), o InternetLab buscou entender quais as perspectivas de diferentes setores que participam do debate a respeito da proteção de dados pessoais no Brasil. Confira abaixo.

PERGUNTAS AOS SETORES
Como deve ser a lei nesse ponto?

O PL 5.276/2016 garante uma série de direitos ao titular dos dados pessoais, como portabilidade e eliminação, a qualquer momento, dos dados pessoais coletados. Considerando que, muitas vezes, o tratamento de dados pessoais envolve terceiros, em uma complexa cadeia de atores, garantir a eficácia desses direitos na prática pode ser uma tarefa desafiadora. Além disso, a lei confere ao titular a possibilidade de solicitar revisão de decisões tomadas com base no tratamento automatizado de seus dados pessoais. Como se sabe, muitas dessas decisões são tomadas por algoritmos. Como avalia o rol de direitos elencados pela lei? Acredita que será possível exercitá-los na prática?

Veridiana Alimonti
[Intervozes]

O rol de direitos elencados pelo PL 5276/2016, cuja aplicação deve ocorrer em estrita observância aos princípios também ali previstos, finalmente poderá incluir na ordem jurídica brasileira uma disciplina robusta de proteção aos dados pessoais. Com ela, certamente todos nós poderemos ter mais informação e controle sobre como os nossos dados estão sendo coletados e tratados, conferindo-nos, ainda, maior poder sobre onde e até quando manter determinados bancos de dados sobre nós. Um ponto central na efetivação dessas garantias é a dinâmica do consentimento – por meio dele o titular dos dados é informado da existência, extensão e finalidade da coleta e do tratamento de dados, bem como de outros direitos associados a essas operações. Um consentimento pro forma, com extensos e complicados termos de uso, comprometem o núcleo desse direito à informação e controle. Assim, é muito importante que a nova legislação possa estimular maneiras alternativas e simples, embora completas, de consentimento. No contexto da Internet e das novas tecnologias, é interessante que incentive também o desenvolvimento de ferramentas e aplicações que tenham a proteção à privacidade como padrão e que permitam o “controle granular” sobre a coleta e tratamento de dados pessoais. Isto é, a possibilidade de se autorizar parte da coleta e do tratamento dos dados de acordo com o que realmente interessa no produto ou serviço, rompendo com a lógica de que se deve concordar com tudo ou não aceitar nada.

Outro ponto central é a fiscalização do cumprimento desse complexo de princípios e direitos, que passa pela constituição de estrutura especializada, com poderes de regulação e de sanção. O órgão competente referido no PL é crucial e não pode ter suas atribuições minimizadas, pois dele depende grandemente a efetividade do regime de proteção de dados a ser adotado. Além dessas preocupações, importa lembrar que de acordo com o atual projeto de lei, boa parte de suas regras não será aplicada ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Tal exceção, além de se referir a termos vagos como “segurança do Estado”, o que pode levar a criação de complexos sistemas de vigilância à margem da lei, diz respeito justamente a uma das principais fontes de tratamento abusivo e discriminatório de dados pessoais. Por isso, também o tratamento de dados para fins de segurança pública e inteligência deveria ser abarcado por toda a disciplina prevista no PL.

Marcel Leonardi
[Google Brasil]

Os direitos assegurados ao titular são bastante amplos, refletindo em boa parte o modelo europeu de proteção de dados. A tutela efetiva desses direitos essencialmente depende de uma autoridade de proteção de dados independente e com corpo técnico qualificado capaz de aplicar e interpretar a lei de modo equilibrado.

Do ponto de vista das empresas, é preciso considerar que pessoas têm diferentes preocupações sobre privacidade. Assim, as empresas devem seguir boas práticas de transparência e clareza quanto aos dados que coletam, de modo que o titular possa fazer suas próprias escolhas sobre como eles são utilizados, bem como, no caso de serviços online, oferecer ferramentas e configurações que permitam a implementação prática dessas escolhas feitas pelo titular.

Vanessa Butalla
[Serasa Experian]

Direitos como a portabilidade, a eliminação dos dados, a revogação do consentimento e a revisão de decisões baseadas em tratamento automatizado são inerentes ao controle do titular sobre os seus dados pessoais e, portanto, entendo ser viável a sua implementação. Deve-se apenas cuidar para que o seu exercício se dê de forma harmônica com os direitos e obrigações decorrentes da atividade empresarial exercida pelos responsáveis pelo tratamento de dados pessoais. Por exemplo, nos casos em que o tratamento de dados pessoais seja condição para a prestação de um serviço ou fornecimento de um produto, a revogação naturalmente implicará a sua cessação, conforme o caso, consequência esta que não pode ser confundida com ônus para o titular. Vale destacar, ainda, que, em observância ao ato jurídico perfeito, a revogação do consentimento não deve afetar a legalidade e a validade do tratamento de dados pessoais realizados enquanto vigente o referido consentimento. Equilibra-se, desta forma, a proteção aos dados pessoais com a liberdade empresarial e o desenvolvimento econômico.

O direito de não se ficar sujeito a uma decisão individual automatizada consiste no direito do cidadão de não ficar submetido a decisões que influenciem significativamente a sua posição jurídica, tomadas exclusivamente com base no tratamento automatizado de dados.

Norma semelhante pode ser encontrada na Diretiva Europeia 95/46/CE de proteção de dados, em seu art. 15, 1: “Os Estados-membros reconhecerão a qualquer pessoa o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, como por exemplo a sua capacidade profissional, o seu crédito, confiança de que é merecedora, comportamento”. Tal regra constitui uma proibição geral referente a decisões automatizadas, podendo ocorrer apenas em duas hipóteses, conforme a Diretiva: desde que existam medidas adequadas que garantam a representação e expressão do titular dos dados para a sua defesa ou que ocorra no âmbito da celebração ou execução de contratos.

O art. 13º, no. 1, da Lei de Protecção de Dados de Portugal estabelece também norma nesse mesmo sentido: admite-se que os dados armazenados de forma automatizada possam ser utilizados para ajudar uma tomada de decisão, v.g. fornecendo mais informação, ou seguindo a atuação apropriada, mas os computadores e os dados que armazenam não devem ser utilizados como único meio para fundamentar determinada decisão.

O art. 20 do PL 5276 é de extrema importância, pois garante uma regra de justiça, que visa assegurar a possibilidade de defesa do titular e a mínima participação do titular em um processo de decisão tomado com base em seus dados e que afetará de forma significativa as suas oportunidades de vida.

Deve-se ressaltar que igual norma já existe em relação ao cadastro positivo, pois a Lei 12.414/2011 prevê em seu art. 5º, VI, o direito do titular de “solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados”. Essa norma reveste-se de importância central quando aplicada ao sistema de avaliação de risco (credit scoring), pois possibilita ao consumidor a revisão de uma “nota” ou “valor” inadequado, que lhe foi atribuído com base em dados equivocados, desatualizados ou que não poderiam ter sido armazenados.

FISCALIZAÇÃO: COMO DEVE SER O “ÓRGÃO COMPETENTE”?

O quinto e último tema da Semana Especial de Proteção de Dados Pessoais foi sobre como deverá ser o órgão competente designado pela lei para que ela seja cumprida.

Fiscalização: como deve ser o “órgão competente”?

Como as regras que discutimos nesta Semana Especial vão ser colocadas em prática? Como vai ser realizada a fiscalização de seu cumprimento? O Projeto de Lei nº 5.276 de 2016 estabelece, em seu art. 53, atribuições de eventual órgão competente por zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o responsável por elaborar, entre outras coisas, diretriz para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos sobre proteção de dados e privacidade.

No entanto, a lei não indica qual seria esse órgão e como ele deveria funcionar – se trataria de uma instituição já existente ou haveria a necessidade da criação de uma nova autoridade que cuide exclusivamente da aplicação da lei de proteção de dados?

O tema foi amplamente debatido na consulta pública sobre o PL organizada pelo Ministério da Justiça (confira o mapa do debate aqui), com muitas posições divergentes. Alguns participantes defenderam que a ANATEL deveria ser o órgão competente, outros que seria necessário pensar em novos formatos. Entre os que defenderam um novo órgão, houve muita divergência sobre qual o formato institucional deveria ser adotado para assegurar o cumprimento da lei pelos diversos atores envolvidos. Veja abaixo comentários de representantes de diferentes setores sobre o assunto.

PERGUNTAS AOS SETORES
Como deve ser a lei nesse ponto?

Embora o PL 5.276/2016 estabeleça que a fiscalização do cumprimento da lei de proteção de dados será feita por um órgão competente, ele não define o formato desse órgão. Não obstante, houve muito debate na elaboração do texto sobre sua composição, financiamento, nível na hierarquia federativa, transparência e participação social. Como deve ser o órgão capaz de colocar a Lei de Proteção de Dados Pessoais em prática?

Veridiana Alimonti
[Intervozes]

Realmente não é simples ter todas as respostas sobre como deve ser o “órgão competente”. Porém, alguns traços são fundamentais e devem estar presentes independentemente do modelo adotado. O primeiro é a competência que tal órgão deve ter para regular e fiscalizar as ações do poder público e do setor privado, tendo poder para responsabilizar e impor sanções diante de violações à legislação. Pode integrar a Administração Direta ou Indireta, desde que tenha estrutura própria e especializada, com independência para atuar e autonomia financeira. A autonomia e independência das autoridades de proteção de dados é padrão internacional, permitindo maior integração do Brasil no cenário de cooperação internacional. Um elemento importante para garantir sua independência é a participação social. O PL 5276/2016 prevê a criação de um Conselho Nacional de Proteção de Dados Pessoais, composto por representantes dos três Poderes, do Ministério Público, da sociedade civil, da academia e do setor privado.

É um indicativo relevante neste sentido, mas sua dinâmica de funcionamento deve efetivamente permitir que as discussões e ações do Conselho incidam sobre a atividade e as decisões do órgão, evitando que se torne espaço decorativo de participação. Os representantes da sociedade civil, da academia e do setor privado, seguindo o modelo do CGI, devem ser definidos por seus pares. Quanto à sua organização, a esfera federal é a mais adequada para centralizar suas principais funções, embora sua atuação possa estar articulada a estruturas mais descentralizadas, como os Procons e o Ministério Público. A fiscalização da lei não pode ser fragmentada, como defendido por alguns setores, pois significaria a fragilização de suas garantias. Por fim, esse órgão deve cumprir o papel de fomentar e formular políticas públicas educativas sobre proteção de dados pessoais para a população brasileira, como faz, por exemplo, a autoridade do Uruguai.

Marcel Leonardi
[Google Brasil]

Em razão dos constantes avanços tecnológicos, o papel do intérprete de leis gerais de proteção de dados torna-se ainda mais crucial, ao assegurar que a aplicação da lei acompanhe a velocidade das inovações ao longo do tempo. A experiência internacional evidencia que diretrizes claras trazem segurança jurídica e asseguram que as inovações observem a necessária proteção dos direitos do cidadão, ao passo que interpretações imprecisas geram incertezas que podem dificultar ou até mesmo inviabilizar atividades empresariais legítimas sem proteger efetivamente o cidadão contra potenciais danos.

Internacionalmente, quase todos os países que promulgaram leis gerais de proteção de dados pessoais criaram conjuntamente um órgão nacional específico, independente e exclusivo com a competência de interpretar, fiscalizar e fazer cumprir a lei, normalmente denominado de “autoridade de proteção de dados” e referido pela sigla DPA (“data protection authority”).

As principais vantagens de um modelo de autoridade federal independente para a proteção de dados pessoais são a consistência das interpretações, a especialização técnico-jurídica sobre o tema, a certeza regulatória e a independência necessárias para atuar de modo eficaz e sopesar todos os direitos e interesses em jogo.

A criação de uma autoridade federal independente para a proteção de dados pessoais seria o modelo ideal – algo que, lamentavelmente, não consta do projeto de lei de forma clara. Isso porque a alternativa a uma autoridade federal independente é o fracionamento da competência em múltiplos órgãos governamentais, sejam federais, estaduais ou municipais, o que levará a enormes dificuldades operacionais por parte das empresas e a um menor grau de proteção do cidadão, por força de inconsistências interpretativas e critérios diferenciados de aplicação da lei. Da mesma forma, atribuir essa competência a um órgão governamental já existente dificultaria a efetiva aplicação da lei, em razão da falta de especialização técnico-jurídica sobre o tema e do acúmulo de funções.

Ressalve-se, porém, que o orçamento operacional do órgão competente deve ser autônomo, sem incluir eventuais multas impostas em decorrência de violações à lei, pois do contrário haveria um claro conflito de interesses e incentivo a distorções.

Vanessa Butalla
[Serasa Experian]

O órgão capaz de colocar a Lei de Proteção de Dados Pessoais em prática, a meu ver, deve ser um independente administrativa e financeiramente, com alta qualificação técnica e autonomia para fiscalizar inclusive os órgãos da Administração Pública. É prudente, ainda, que este órgão admita a participação da sociedade e do mercado, ainda que na figura de um Conselho Consultivo, para que tenha a exata compreensão das consequências práticas de suas decisões, ponderando prévia e adequadamente a proporcionalidade entre os seus benefícios e os prejuízos. Entendo, portanto, que uma agência reguladora independente é a estrutura mais adequada para assegurar a imparcialidade e a eficiência desse órgão.

A importância do modelo de lei geral reside no fato de que ela constrói uma arquitetura regulatória, que busca consolidar o tema da proteção de dados pessoais como um setor de políticas públicas, composto por instrumentos estatutários, sancionatórios, bem como por um órgão administrativo, responsável pela implementação e aplicação da legislação. A experiência das últimas décadas dos órgãos administrativos de proteção de dados pessoais demonstrou que a existência desses órgãos é essencial para a implementação da legislação e da cultura da privacidade no país, conforme afirmam Bennett e Raab: “A existência de autoridades supervisoras robustas tem sido considerada como condição sine qua non para a adequada proteção à privacidade, pois as leis não são auto-implementáveis e a cultura da privacidade não pode se estabelecer sem uma autoridade que a patrocine.”

Variadas são as funções exercidas pelos órgãos administrativos criados para implementar a política de proteção de dados pessoais nos diversos países. É possível, no entanto, apontar as principais funções por eles exercidas, quais sejam, de ouvidores (ombudsman), auditores, consultores, educadores, orientadores de política pública, negociadores, bem como de responsáveis pela implementação e cumprimento da legislação.

A importância de órgãos administrativos independentes na implementação da legislação de proteção de dados é tamanha que a Carta de Direitos Fundamentais da União Européia prevê, em seu artigo 8°, de forma bastante detalhada, a proteção de dados pessoais como um direito fundamental e prescreve a necessidade do consentimento ou outro fundamento legal para o tratamento de dados pessoais, bem como a necessidade de uma autoridade de supervisão para exercer o controle dessa atividade. Afinal, a efetivação do direito fundamental à proteção de dados depende do controle e fiscalização da atividade de processamento de dados por autoridade administrativa, de modo a complementar um sistema judicial de resolução de conflitos.

Em relação ao formato que um órgão administrativo de proteção de dados poderia ter no Brasil, entende-se que um modelo interessante que poderia inspirar o legislador seria o do Conselho Administrativo de Defesa Econômica (CADE), autarquia federal, vinculada ao Ministério da Justiça, que exerce, em todo o território nacional, as atribuições dadas pela Lei nº 12.529/2011 e cujo principal objetivo é zelar pela livre concorrência no país. Além de ser caracterizado pelo grau técnico de suas decisões, tem autonomia administrativa e política, uma vez que o seu presidente e conselheiros possuem mandatos legais, não podendo ser livremente exonerados pelo poder executivo.