Segurança e privacidade: o cidadão no controle do que é feito com seus dados pessoais.
O anteprojeto de lei de proteção de dados pessoais, cujo debate foi aberto recentemente pelo Ministério da Justiça, busca trazer parâmetros para o uso dos dados pessoais, assegurando ao cidadão autonomia para decidir sobre o seu uso e coleta, no âmbito privado ou público.
O debate público segue o bem sucedido modelo de contribuições utilizado para a criação do Marco Civil da Internet e, atualmente, para sua regulamentação. O próprio texto em discussão é resultado de debate público promovido pelo Ministério da Justiça, em parceria com o Observatório Brasileiro de Políticas Digitais do Comitê Gestor da Internet no Brasil, que obteve mais de 800 contribuições, entre 2010 e 2011.
Objetivo do anteprojeto
O objetivo do anteprojeto em discussão é garantir e proteger a dignidade e os direitos fundamentais da pessoa, em especial naquilo que diz respeito à liberdade, igualdade e privacidade pessoal e familiar, por meio da criação de parâmetros mínimos a serem seguidos quando ocorrer a coleta e uso de um dado pessoal.
De acordo com o anteprojeto, a lei de proteção de dados aplica-se a qualquer operação de tratamento de dados pessoais, realizada por meio total ou parcialmente automatizado, ou seja, abrange um espectro que vai além das comunicações pela internet.
A existência de limites claros para a coleta e uso de dados pessoais é fundamental nos dias de hoje nos quais o fornecimento de informações ocorre a todo instante: para obter o cartão fidelidade da farmácia, no fornecimento do CPF para uma compra no supermercado, no acesso a uma rede social, dentre outras tantas situações do dia-a-dia. Neste contexto, o projeto da lei de proteção de dados, como explicou o Ministro da Justiça, José Eduardo Cardozo, no lançamento da consulta pública, busca responder a questões rotineiras: “os dados pessoais que você tem cadastrados numa loja podem ser passados para alguém ou negociados? Os dados do governo podem ser cedidos?”
Big Data e os limites da coleta de dados
O interesse nos dados dos cidadãos reside no fato de que todos os dados coletados e armazenados formam o chamado big data, que analisado com as corretas ferramentas, pode oferecer informações de comportamento e consumo, auxiliando empresas e governo na tomada de decisão com objetivos estratégicos nas áreas de políticas governamentais, seleção de investimentos, gestão de empresas e negócios, dentre outros.
Princípios da Proteção de Dados
O anteprojeto prevê princípios gerais de proteção de dados, entre os quais se destacam:
- finalidade – os dados só podem ser utilizados para finalidades compatíveis com aquelas que justificaram a sua coleta e tenham sido informadas ao titular;
- necessidade – utilização dos dados pessoais limitadas ao mínimo necessário, de modo que se o fim buscado pode ser atingido com dados anônimos, deve ser dispensado qualquer tratamento);
- livre acesso – o titular pode consultar gratuitamente os seus dados;
- qualidade de dados – exatidão e atualização realizada para cumprimento do tratamento;
- transparência – sempre informar o titular sobre a realização do tratamento de dados;
- segurança física e lógica – uso de medidas técnicas e administrativas proporcionais ao atual estado da tecnologia, à natureza dos dados e às características específicas do tratamento;
- responsabilidade – reparação dos danos causados aos titulares dos dados pessoais.
Necessidade de consentimento
Aspecto fundamental previsto na lei é que o uso dos dados somente pode ocorrer após o consentimento livre, expresso e informado do titular. No momento da coleta, o usuário deve ser informado de forma clara e explícita sobre a finalidade, a natureza obrigatória ou facultativa do fornecimento, consequências da negativa em fornecê-los e identidade e domicílio do responsável pelo tratamento. O consentimento deverá ainda ser renovado periodicamente e pode ser revogado a qualquer momento.
Também merece destaque a necessidade de haver um consentimento específico para uso de dados sensíveis, identificados por aqueles dados cujo tratamento possa ensejar discriminação do titular, tais como aqueles que revelem origem racial, étnica, convicção religiosa, filosófica e moral e questões referentes à saúde e a vida sexual, bem como dados genéticos e biométricos. Em qualquer hipótese é considerado ilegal o tratamento de dados sensíveis que forem utilizados para fins discriminatórios.
Pontos Sensíveis
Ponto central do anteprojeto é a definição de uma autoridade competente para a gestão da proteção de dados, na medida em que o anteprojeto faz 34 menções ao “órgão competente”, sem elucidar se será atribuída competência a alguma entidade já existente ou se haverá criação de algum agente próprio. Caberá a este órgão receber denúncias em caso de descumprimento da lei e estabelecer parâmetros de medidas de segurança e períodos máximos para tratamento e conservação de dados pessoais. Na ocorrência de infrações, caberia ao órgão competente o estabelecimento de sanções administrativas, como multas, publicidade sobre a infração e suspensão temporária da operação de tratamento e de banco de dados pessoais por até dois anos e, de dados sensíveis e de banco de dados por períodos de até 10 anos.
Mais um ponto sensível do anteprojeto que tem sido objeto de debate e desconfiança é o artigo 4º, que prevê que “os tratamentos de dados pessoais para fins exclusivos de segurança pública, defesa, segurança do Estado, ou atividades de investigação e repressão de infrações penais, serão regidos por legislação específica, observados os princípios gerais de proteção e os direitos do titular previstos nesta Lei”.
Os participantes da consulta pública argumentam que não haveria necessidade de tratar as questões relativas a esses dados em lei específica, já que o objetivo do anteprojeto é regular questões que envolvam dados pessoais, no âmbito público ou privado. Nesse sentido, a eventual relativização das proteções dadas no anteprojeto em situações que envolvem agentes públicos, seria danosa, já que ele também tem o papel de proteger a privacidade e a vida íntima do cidadão da ação estatal. Ao mesmo tempo, sabe-se que a abordagem da lei a casos relativos a segurança pública e nacional pode ser um trabalho árduo e acabar por dificultar a aprovação da lei.