A Proteção de Dados Pessoais no Brasil e no Exterior

A Proteção de Dados Pessoais sob o enfoque legal

A proteção de dados pessoais está intimamente relacionada à Política de Privacidade adotada por uma empresa e que, ao operar na web, é detalhada aos seus consumidores, como exposto em artigo anterior (clique aqui para acessá-lo), mas possui uma abrangência mais ampla, pois é regulamentada por normas legais.

Como informado no artigo sobre Política de Privacidade, o Brasil não dispõe de legislação sistemática sobre a proteção de informações pessoais. Diversas disposições, ainda que de forma indireta, estão previstas na Constituição Federal, no Código Civil e no Código de Defesa do Consumidor, embora exista o Projeto de Lei 5276/2016 em tramitação na Câmara dos Deputados.

A seguir encontram-se os textos legais que abordam a questão da proteção dos dados pessoais, ainda que sem mencionar o modo como tal proteção possa ser efetivada e algumas expressões apresentem grande abrangência, com sua interpretação a depender do caso concreto.

A Constituição Federal de 1988 estabelece no inciso X do Artigo 5° que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”.

O Código Civil de 2002 estabelece no Artigo 21: “A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”.

E o Código de Defesa do Consumidor de 1990 estabelece, de modo detalhado, no Artigo 43: “O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.

§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.

§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.

§ 6° Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.”

A Proteção de Dados Pessoais sob enfoque prático

O Serviço Britânico de Proteção de Dados ico. - Information Commissioner´s Office - publicou uma cartilha sobre os principais conceitos relacionados à proteção de dados pessoais que servem de guia para o estabelecimento de regras práticas sobre o assunto, mesmo para o contexto brasileiro (é importante considerar que determinados tipos de regras legais, embora específicas para determinado País, mantém elevado grau de similaridade entre diferentes legislações nacionais).

As definições mais relevantes foram adaptadas à linguagem adequada ao contexto brasileiro e estão a seguir transcritas.

Nota: É importante notar a diferença entre dados e informações: dados são elementos básicos que, combinados entre si, geram informações abrangentes sobre aquilo que os dados se referem.

Dados:

• Características de algo coletadas por equipamentos operando eletronicamente e programados especificamente para coletar tais características, como, por exemplo, um computador;

• Essas características, como aquelas que permitem a individualização de uma pessoa, são armazenadas com o intuito de serem processadas pelos equipamentos eletrônicos que as coletam;

• Essas características integram um sistema de informações mais amplo, como um banco de dados, público ou privado.

Dados Pessoais:

• Dados que, sistematizados no formato de informações, permitem a identificação de qualquer pessoa;

• Dados que, combinados no formato de informações, permitem a emissão de opiniões ou julgamentos pessoais sobre qualquer pessoa.

Dados Pessoais Sensíveis

(ou dados que conduzam à informações passíveis de utilização para discriminação ilegal):

• Raça ou origem étnica da pessoa;

• Convicções políticas ou religiosas da pessoa;

• Preferências sexuais;

• Rendimentos pessoais, inclusive número do CPF (Cadastro de Pessoas Físicas do Ministério da Fazenda).

Atos relacionados à Proteção de Dados Pessoais

• Armazenamento de dados;

• Consulta, alteração, uso e disponibilização de dados;

• Transmissão e disseminação de dados;

• Destruição de dados e informações.

Responsabilidade pela Proteção de Dados Pessoais

• Armazenamento de dados;

• A pessoa física ou jurídica (empresa ou organização) que coleta, mantém e usa os dados pessoais é responsável por sua guarda.

Obviamente, não se está a afirmar que dados pessoais não possam ser coletados e guardados para usos relacionados a negócios, pois as informações podem ter elevada importância para a identificação de nichos de mercado e estratégias comerciais. O quê não é permitido é o uso irresponsável e indiscriminado de dados que exponham a privacidade das pessoas, como a venda de listas com e-mails. Ciro Expedito Scheraiber, Promotor de Justiça Paranaense, defende em “Mailing Lists” e Direto do Consumidor a tese que o envio de mensagens indesejadas, de acordo com o artigo 39 do Código de Defesa do Consumidor (“É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas, enviar ou entregar ao consumidor, sem solicitação prévia, qualquer produto, ou fornecer qualquer serviço”), configura prática comercial abusiva, e que a transmissão onerosa ou gratuita dos mailing lists somente pode ocorrer com autorização do consumidor ou prévia comunicação, de acordo com o artigo 43 e §§ 1º e 2º do Código de Defesa do Consumidor (“O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele”).

Defende ainda o citado Promotor que a formação de mailing lists mediante empregos de softwares não autorizados (“cookies”) configura invasão de privacidade e que, portanto, conflita com o preceito constitucional de inviolabilidade da privacidade.

Política de Proteção de Dados

A entidade que coleta e utiliza dados pessoais é responsável por desenvolver e implementar uma política de proteção de dados, com definição das diretivas de segurança que julgar mais adequadas ao seu contexto. Essa política envolve, entre outros itens, manter a plataforma em que o website foi desenvolvido atualizado, critério na atribuição de direitos de acesso à base de dados onde dados pessoais dos clientes ou internautas estão armazenados e familiaridade com os grupos profissionais que atuam na segurança da informação, como o Centro de Estudos, Respostas e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), órgão do Comitê Gestor da Internet no Brasil (CGI.br). O CERT.br produz e distribui textos sobre a boa prática da segurança na internet. Exemplo eloquente de politica de proteção de dados dos usuários é a adoção pelo aplicativo WhatsApp da Criptografia de Ponta-a-Ponta como segurança padrão.