Domingo, 21 de julho de 2019

ISSN 1983-392X

A proteção aos dados pessoais no ordenamento jurídico brasileiro e o anteprojeto do Ministério da Justiça

sexta-feira, 8 de maio de 2015

I – Breve relato introdutório

As discussões sobre a proteção da esfera privada têm se intensificado cada vez mais, especialmente em razão das novidades tecnológicas que, cada vez mais, demandam a utilização de dados pessoais para "incrementar a experiência do usuário" decorrentes dos modelos de negócios na Internet. Pode-se até mesmo dizer que as discussões são marcadas por cenários um tanto contraditórios na medida em que se pode notar uma maior preocupação político-institucional sobre a tutela de dados e informações pessoais, mas, ao mesmo tempo, mostra-se cada vez mais árduo o respeito a esta tutela dos dados pessoais. E isso ocorre por inúmeros fatores, tais como como as constantes exigências de segurança interna e externa e interesses de mercado. Isto, num contexto de globalização, se inclina para a diminuição das garantias e direitos previstos no Estado Democrático de Direito e, por isso mesmo, merece atenção de todos nós.

Além destas tendências, há, ainda, a realidade afirmada após os ataques terroristas de 11 de setembro, verificando-se uma mitigação do direito à privacidade em prol da reafirmação da segurança pública. É o que se verifica, por exemplo, na edição do Patriot Act nos Estados Unidos e nas decisões europeias sobre transferências internacionais de dados de passageiros de linhas aéreas e comunicações telefônicas. Tudo isso ecoa para outras tantas situações, inclusive em outros países, como é o caso do Brasil.

É preciso ter em consideração, ainda, que grandes empresas atuantes na Internet como servidores de acesso ou de aplicações possuem modelos de negócios dependentes, em grade parte, da utilização dos dados pessoais. Utilizam, de fato, mais que os dados pessoais, mas os metadados, que são muito mais fáceis de armazenar, pesquisar e analisar do que real conteúdo (e que contêm valor muito superior, seja comercialmente, seja com fins de segurança de Estado). Metadados são informações sobre as informações, algo como o horário e a posição geográfica de uma foto, as informações sobre uma conversa online como quais os participantes, onde se encontram geograficamente e o horário que isso ocorreu. Os metadados são, portanto, fundamentalmente, dados de vigilância.

Visto isso, importa ressaltar que ao disponibilizar os dados, as pessoas têm uma expectativa de confiança que as empresas farão a coisa certa enquanto na posse deles. Todavia, muitas pessoas tem grandes dificuldades em saber exatamente quem tem acesso aos dados e, ainda, desconhecem, em absoluto, o valor disso. Ignoram, por exemplo, que quando o serviço se apresenta como “gratuito” é certo que a contrapartida pela utilização é a obtenção e armazenamento dos dados pessoais com vistas a viabilizar o modelo de negócio. E, como os dados viraram commodities, são alvo de tratamentos de todos os tipos, inclusive ilícitos.

Fato é que há registros de que houve, desde 2005, mais de oitocentos milhões de incidentes relativos a vazamento e exposição de dados de grandes empresas (várias bastante conhecidas dos brasileiros) conforme relatório da Private House Clearinghouse.

Não fosse isso tudo já muito complexo, há, ainda, grande dificuldade de se mensurar os danos decorrentes das violações dos dados pessoais. Veja-se, por exemplo, o recente caso do site www.nomesbrasil.com, que reunia os números de C.P.F.’s de brasileiros e as situações cadastrais dos tais documentos. O site saiu do ar na tarde de ontem (7/5/15) após notificação promovida pelo Ministério da Justiça para o provedor que hospedava o site, o que foi possível em razão de haver representação do provedor no país. Com a notificação pretende-se descobrir quem eram os responsáveis pelo site para eventual responsabilização. Mas a questão é: qual a violação promovida pelo tal site? Há muitas dúvidas quanto a isso em decorrência de algumas lacunas legislativas e das formas pelas quais a aplicação da lei seria operacionalizada.

Sobre o arcabouço jurídico Constitucional, há uma primeira questão que é o problema da informação em face das garantias à liberdade de expressão e do direito à informação, que deverão eventualmente ser confrontados com a proteção da personalidade e, em especial, com o direito à privacidade.

Ademais, são invioláveis a vida privada e a intimidade (art. 5º, X, CF), especificamente a interceptação de comunicações telefônicas, telegráficas ou de dados (artigo 5º, XII, CF). Há, ainda, a ação de Habeas Data (art. 5º, LXXII, CF), que prevê um direito genérico de acesso e retificação dos dados pessoais.

A Constituição protege, também, direitos relacionados à privacidade, proibindo a invasão de domicílio (art 5º, XI, CF) e a violação de correspondência (art 5º, XII, CF).

Vê-se, pois, que a legislação ordinária faz referência a um conjunto de situações existenciais e patrimoniais nas quais é necessária a ponderação de interesses relacionados à privacidade, mas não há uma lei específica sobre o tema.

Assim, apesar de haver um certo grau de maturação do tema em outros ordenamentos jurídicos, o Brasil ainda não dispõe de legislação completa sobre o assunto, mesmo considerando as disposições previstas na Constituição Federal, Código Civil, de Defesa do Consumidor, etc. A estrutura de proteção no ordenamento jurídico pátrio não decorre de um sistema unitário, mas de uma série de disposições esparsas e da interpretação da existência de uma cláusula geral de proteção à pessoa. É preciso, pois, estudo aprofundado e sem pressa para que se possa providenciar a tutela adequada dos dados pessoais, sem, no entanto, inviabilizar os negócios feitos com o auxílio da tecnologia.

II – O Anteprojeto de Proteção de Dados Pessoais

Visando estabelecer um marco regulatório adequado, foi aberta consulta pública sobre o Anteprojeto de Lei de Proteção de Dados Pessoais, fruto de trabalho do MJ, em parceria com o Observatório Brasileiro de Políticas Digitais do Comitê Gestor da Internet no Brasil e que teve por base a Diretiva Europeia de Proteção de Dados Pessoais (EC 95/46) e a lei de proteção de dados canadense. A consulta foi recentemente prorrogada até o próximo dia 5 de julho, portanto ainda há tempo de contribuir com o debate.

A pretensa futura lei, nos termos em que se encontra, seria destinada, primordialmente, à proteção dos dados pessoais. Dados de pessoas jurídicas só seriam protegidos na medida em que não fossem de conhecimento público. Essa ressalva, no entanto, pode gerar alguma duplicidade de tratamento caso estes dados signifiquem informações que possam enquadrar-se em situações de concorrência desleal abrangidas pela lei 9.279/96.

O art. 1º prevê que a lei “dispõe sobre o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade, intimidade e de privacidade da pessoa natural.” E o objeto da lei seriam as pessoas, naturais ou jurídicas, de direito público ou privado, em qualquer lugar que estejam sediadas e independentemente da localização dos banco de dados, desde que tenham sido obtidos ou tratados em território nacional (art. 2º). O art. 3º é minucioso a ponto de explicar que as empresas públicas e sociedades de economia mista que atuem em regime de concorrência nos termos do art. 173 da CF/88 terão o mesmo tratamento das pessoas jurídicas de direito privado.

Curiosamente apenas no art. 16 é que são arrolados os direitos dos titulares dos dados. No inciso I consta o direito de confirmação da existência de tratamento de seus dados; no inciso II o direito de aceso aos dados; no inciso III o direito de correção dos dados incompletos, inexatos ou desatualizados; e, no inciso IV o direito de dissociação, bloqueio ou cancelamento dos dados desnecessários, excessivos ou tratados em desconformidade com o disposto no texto da lei.

Nos parágrafos do art. 16 seguem disposições sobre os direitos do titular dos dados, como, por exemplo, o de se opor ao tratamento dos mesmos com fundamento na ausência do consentimento (§1º). No §2º há disposição determinando que os direitos previstos neste artigo serão exercidos mediante requerimento do titular a um dos agentes de tratamento, que deverá adotar providências imediatas para o atendimento, medidas estas que deverão ser gratuitas, sem qualquer ônus para o titular (§4º). Na ocasião de não poder ser atendido o requerimento da parte o agente de tratamento deverá, em até sete dias a contar do recebimento da comunicação (§3º), informar que não é o agente de tratamento dos dados (I) ou sobre a impossibilidade da adoção da medida de forma imediata (II).

O art. 4º dispõe que os tratamentos de dados pessoais para fins exclusivos de segurança pública, defesa, segurança do Estado, ou atividades de investigação e repressão de infrações penais, serão regidas por legislação específica, observados os princípios gerais de proteção e os direitos previstos no texto do anteprojeto. É uma decisão política a de não tratar destes dados, mas é, ainda, uma chance desperdiçada, de resolver alguns problemas práticos encontrados no dia-a-dia das investigações criminais. Como exemplo, mencionamos o caso dos dados cadastrais de usuários de linhas telefônicas ou de celulares que, até hoje, são alvo de infindáveis discussões sobre a possibilidade das polícias e do Ministério Público requisitarem-nas sem ordem judicial. É que houve casos em que tais autoridades requisitaram as informações diretamente às empresas e, como resposta, ouvirão sonoras negativas de fornecimento sob a alegação de que os dados cadastrais encontravam-se protegidos por sigilo constitucional e que somente poderiam ser fornecidos mediante ordem judicial. Ocorre que, ao requerem ao Judiciário, houve casos em que o Ministério Público e as polícias receberam resposta denegando o requerimento sob o argumento de que teriam poder requisitório. Então, apesar da lei manter-se distante desta celeuma, seria uma boa oportunidade de acabar de vez com tal situação, sendo mais minuciosa quanto à utilização dos dados cadastrais para fins de investigação criminal. Não se pode notar, até o momento, qualquer comentário sobre esta delicada situação.

O §4º do art. 4º determina que pessoas jurídicas de direito privado não podem tratar dados para fins de segurança pública, defesa, segurança do Estado, ou atividades de investigação e repressão de infrações penais, salvo em procedimentos sob tutela de pessoa jurídica de direito público que serão objeto de informe específico ao órgão competente.

No art. 5º há nada menos que dezoito incisos com definições variadas, tais como dado pessoal (I), tratamento (II), dados sensíveis (III), dados anônimos (IV), bancos de dados (V), titular (VI), consentimento (VII), responsável (VIII), operador (IX), comunicação (X), interconexão (XI), difusão (XII), transferência (XIII), dissociação (XIV), bloqueio (XV), cancelamento (XVI), uso compartilhado de dados (XVII), encarregado (XVIII).

O Anteprojeto determina, ainda, que qualquer atividade relativa ao tratamento de dados deverá ser norteada por diversos princípios (art. 6º), tais como os da finalidade (I), adequação (II), necessidade (III), livre acesso (IV), qualidade dos dados (V), transparência (VI), segurança (VII), prevenção (VIII) e não discriminação (IX). No entanto, parece-nos que um princípio fundamental foi deixado de lado: o da interpretação mais favorável a quem forneceu os dados.

Um dos pontos mais importantes é o de que para os dados pessoais deverá haver sempre o consentimento expresso da parte (art. 7º), não sendo possível para o receptor das informações estabelecer condições para a prestação de bens ou serviços, exceto se isso for inerente à prestação (§1º). Evidentemente, o consentimento obtido com erro, dolo, estado de necessidade ou coação não é admitido (§2º).

O consentimento poderá ser por escrito ou qualquer meio que o certifique (§3º) e deverá referir-se a finalidades determinadas (§5º), sendo nulas as cláusulas genéricas para o tratamento dos dados pessoais. Poderá ser revogado a qualquer momento (§6º).

Considerando que nos encontramos na Sociedade da Informação, certamente a grande maioria dos consentimentos será obtida mediante “clique” onde a parte declara que leu os termos de consenso. Mas há exigência de que a cláusula de consentimento deva ser destacada das demais (§4º).

Mas quanto ao consentimento cabe, ainda, uma observação. O texto não considerou a possibilidade do consentimento obtido a partir de mensagem não requisitada. Por isso, seria de bom tom mencionar a dupla manifestação sobre o consentimento para evitar burlas à proteção.

Há uma certa polêmica nos art. 8º na medida em que há disposições sobre a titularidade de dados pessoais e o exercício do consentimento por menores entre 12 e 18 anos. O Anteprojeto prevê que estes menores poderão fornecer o consentimento para o tratamento de dados que respeite sua condição peculiar de pessoa em desenvolvimento (ressalvada a possibilidade de revogação pelos pais). A questão é: como isto será operacionalizado? O nome dos pais deverá constar nos termos de consentimento? Além disso, como poderia um adolescente consentir valida e seguramente com termos de uso de seus dados pessoais se não tem capacidade civil?

O art. 9º determina que o consentimento dos menores com até 12 anos incompletos será fornecido pelos pais ou responsáveis legais e, igualmente, respeitará a condição peculiar das pessoas em desenvolvimento.

Resta um tanto obscuro, no entanto, como o consentimento respeitará as condições das pessoas em desenvolvimento. Os serviços/bens/aplicativos necessitarão de versões para este público? Sob a ótica dos negócios, a querer se respeitar o previsto nos arts. 8º e 9º, poderá verificar-se a inviabilidade de que hajam versões específicas dos serviços/bens/aplicativos para os menores.

Além disso, ao fornecer o consentimento sobre os dados, a parte deverá ser informada de forma ostensiva sobre a finalidade e período de uso, como ele se dará e, ainda, o âmbito de sua difusão (art. 10, incisos I a VII). No §4º há disposição determinando que nos casos de coleta continuada de dados o titular deverá ser informado regulamente, mas não especifica o prazo. Será possível a revogação do consentimento a qualquer tempo e sem qualquer cobrança. Todas as vezes que houver alteração dos termos de uso, novo consentimento expresso deverá ser dado pela parte. As disposições sobre o consentimento encontram-se nos arts. 7º a 11.

Sempre que os dados forem compartilhados com outras pessoas, o cessionário ficará responsável solidariamente por eventuais danos, eis que tanto o receptor originário quanto o secundário terão iguais obrigações.

Da mesma forma, todas as vezes em que titular dos dados alterá-los ou corrigí-los, o responsável pelo tratamento dos dados deverá comunicar o receptor secundário sobre isto.

Há, ainda, a necessidade de consentimento específico para o uso de dados denominados sensíveis (arts. 12 e 13), que, segundo o Anteprojeto, são os que indiquem a origem étnica, convicções e filiações a organizações de caráter religioso, filosófico ou político, filiação a sindicatos, dados de saúde, genéticos ou relacionados à vida sexual do titular (art. 5º, III).

O Anteprojeto também trata da transferência internacional de dados, dispondo que eles só poderiam ser transferidos para países que proporcionem proteção de dados em nível equivalente ao aqui no Brasil (arts. 28 a 33). Os dados obtidos no exterior e que viessem a ingressar no Brasil dependeriam da existência da regular obtenção do consentimento no estrangeiro. Resta saber como se pretende fazer esse monitoramento.

O Anteprojeto deixa em aberto outro aspecto bastante relevante. É que há a menção de uma autoridade competente para a proteção dos dados vez que no texto fala-se 34 vezes sobre um “’órgão competente” sem, no entanto, defini-lo ou descreve-lo. É o que ocorre no art. 4º, parágrafo único, art. 5º, XVIII, art. 10, VII, “c” e também §4º, art. 13, caput e §§1º e 2º, art. 14, IV e parágrafo único, art. 15, parágrafo único, art. 18, §4º, art. 24, III e parágrafo único, III, art. 26, art. 27, art. 28, III e parágrafo único, art. 30 e §§1º, 2º e 3º, art. 33, art. 39, §2º, art. 40, parágrafo único, art. 41§2º, II e §3º, art. 44, art. 45 caput e §2º, art. 47, art. 48, parágrafo único, art. 49, art. 50, caput e §3º, art. 51.

Como não há uma definição legal sobre este “órgão competente”, crê-se que o governo esteja considerando a criação de uma autoridade nacional de proteção aos dados pessoais. Mas como seria isso? Seria dividida e segmentada por setores? Embora não haja definição sobre o tal órgão – se seria criado ou se algum existente seria o responsável pelas atribuições da lei – fato é que a ele caberia estabelecer parâmetros de segurança e prazos para a conservação das informações.

Também na hipótese de infrações caberia ao tal órgão aplicar as sanções administrativas, atualmente previstas como sendo multas, publicidade sobre a infração, suspensão temporária da operação de tratamento de bancos de dados pessoais por até dois anos e de dados sensíveis por até dez anos.

O texto trata, ainda, do responsável e do operador nos arts. 39 a 41. Este – o operador – é quem realiza o tratamento segundo as instruções fornecidas pelo responsável, que verificará a observância das próprias instruções e das normas sobre a matéria. O responsável responde solidariamente quanto às operações de tratamento realizadas pelo operador. Tais dispositivos – 39 a 41 – aliados aos seguintes, que tratam inclusive da segurança e sigilo dos dados (arts. 42 a 47) e das boas práticas (arts. 48 e 49) vão estimular os risk assessements e a ideia de compliance digital, termo este, aliás, ainda pouco utilizado no país e que ganhou maior repercussão após apresentação de painel sobre os impactos do Marco Civil nas investigações no ano passado em Congresso de Compliance onde foi palestrante o Dr. Marcelo Crespo.

Eis, então, um panorama do Anteprojeto de Proteção de Dados Pessoais.

III – Algumas considerações a título de encerramento

O texto, em vias gerais, encontra-se bem redigido, apesar da necessidade de alguns ajustes na redação referentes a ordenamento cronológico de certas normas, além da alteração de trechos para evitar repetição de palavras ou para aclaramento de certos termos.

Alguns pontos, no entanto, necessitam de esclarecimentos, como o estabelecimento de prazo mínimo para o tratamento dos dados coletados, quem seria o órgão competente mencionado por tantas vezes no texto, como seriam garantidos alguns direitos lá apontados e o armazenamento de dados para fins estatísticos e sua respectiva utilização para fins comportamentais.

De toda forma, é preciso que a sociedade esteja ciente de que há prazo aberto para as contribuições, possibilitando que as pessoas ainda venham a conhecer mais proximamente o Anteprojeto e entender como ele poderá regular comportamentos que afetam diretamente nosso cotidiano na Sociedade da Informação.

Coriolano Aurélio de Almeida Camargo Santos

Coriolano Aurélio de Almeida Camargo Santos é Ph.D. Advogado. Diretor Titular Adjunto do Departamento Jurídico da FIESP. Conselheiro Estadual eleito da OAB/SP (2013/2018). Presidente da Comissão de Direito Digital e Compliance da OAB/SP. Mestre em Direito na Sociedade da Informação e certificação internacional da "The High Technology Crime Investigation Association (HTCIA)". Doutor em Direito com certificado internacional em Direito Digital pela Caldwell Community College and Technical Institute. Professor e coordenador nacional do programa de pós-graduação em Direito Digital e Compliance da Faculdade Damásio. Professor convidado dos cursos de pós-graduação da USP/PECE, Fundação Instituto de Administração, Univeridade Mackenzie, Escola Fazendária do Governo do Estado de São Paulo Fazesp, Acadepol-SP, EMAG e outras. Desde 2005 ocupa o cargo de juiz do Egrégio Tribunal de Impostos e Taxas do Estado de São Paulo. Professor convidado do curso superior de Polícia da Academia de Polícia Civil de São Paulo. Professor da Escola Nacional dos Delegados de Polícia Federal - EADELTA.

Marcelo Crespo

Marcelo Crespo é sócio no Patricia Peck Pinheiro Advogados. É doutor e mestre em Direito Penal pela USP, com especialização em Direito Penal e também em Segurança da Informação pela Universidade de Salamanca. É Certified Compliance and Ethics Professional International (CCEP-I) pela Society of Corporate Compliance and Ethics (SCCE). É, ainda, coordenador do curso de pós-graduação em Direito Digital e Compliance no IBMEC Damásio e professor na Faculdade de Direito de Sorocaba, onde coordena grupo de estudos em Direito, Tecnologia e Inovação. Também é autor de diversos artigos sobre Direito Digital e colunista do Observatório do Marco Civil da Internet – OMCI.