Proteção de dados pessoais ganha plataforma de debate público na rede

A Secretaria de Assuntos Legislativos do Ministério da Justiça e o Ministério da Justiça lançaram recentemente o blog Dados Pessoais, uma nova plataforma de debate público dentro do CulturaDigital.br.  O Dados Pessoais é uma iniciativa que visa colocar para discussão de todos os cidadãos um anteprojeto de lei sobre privacidade e proteção de dados pessoais, idealizado para assegurar ao cidadão o controle e titularidade sobre suas próprias informações pessoais, de modo a concretizar o direito à privacidade protegido pela Constituição Brasileira.

A iniciativa é do Departamento de Proteção e Defesa do Consumidor, em conjunto com a Secretaria de Assuntos Legislativos, ambos do Ministério da Justiça, e do Observatório Brasileiro de Políticas Digitais do Centro de Tecnologia e Sociedade da Fundação Getúlio Vargas do Rio de Janeiro. O objetivo com a plataforma é propor um amplo debate público na sociedade brasileira sobre um marco normativo de privacidade e proteção de dados pessoais, com regras claras sobre as garantias e os direitos dos cidadãos em relação às suas informações pessoais.

Participe do debate e se informe sobre o caso nos links abaixo. Vale salientar que a consulta vai até 31 de Janeiro de 2011.

Debata os principais temas

Debata o projeto de lei

Baixe o Projeto de Lei em PDF

Comentários (5)

  • Foto de perfil de eriksandroalvesdeoliveira

    Dados pessoais e a proteção da vida intima do cidadão (privacidade), em tempos de monitoramente de segurança publica em nuvem (comunidades interativas – celulares, satélites, redes sociais…), deve ser motivo de controle do estado, para evitar abusos…
    Em politica de defesa e proteção do consumidor de serviços publicos, dados pessoais, ao meu ver, significa saúde social e pessoal (inclusive contendo todas informações possiveis sobre o estado se saúde do cidadão), sistemas alimentares que levem em conta a nutrição, a produção de alimentos saudáveis e circuitos gastronômicos em comunidades com mapas, placas indicativas, pontualidade…
    O transporte coletivo deve ser complementar ao sistema de dados pessoais, oferecendo estações com dispositivos comunitários com integração urbana e tecnologia…
    A psicologia social quando levamos em conta redes publicas e sociais (facebook, orkut, twitter…), a conectividade na circulação de informação devem ser estruturadas por sistemas operacionais inteligentes…

  • Este projeto ira tramitar quando na camara ?

  • Foto de perfil de Luiz Augusto

    Mto bom !

  • Foto de perfil de Associação Brasileira de Internet

    Contribuição da Associação Brasileira de Internet – ABRANET à Consulta Pública sobre o Anteprojeto de Lei acerca de Proteção de Dados Pessoais

    Antes de mais nada, louvamos a iniciativa do Ministério da Justiça e da Fundação Getúlio Vargas de aprofundar o debate democrático por meio da Consulta Pública online sobre o tema da proteção de dados pessoais. É extremamente salutar que essa discussão ocorra em múltiplos foros e combine contribuições de pessoas e entidades as mais diversas.

    A ABRANET é uma associação constituída em 1996, com o objetivo de apoiar a atuação de empresas que possuam como atividade principal o provimento de serviços na Internet.

    A ABRANET possui aproximadamente de 300 membros. Seu quadro associativo é integrado por empresas que atuam no ambiente de Internet e também por instituições de ensino superior e profissionais de todas as regiões do País.

    Atenciosamente,

    Associação Brasileira de Internet – ABRANET

    1. Desafios para a proteção de dados pessoais

    O ambiente da Internet se desenvolveu como uma plataforma aberta e convidativa para a disseminação e acesso livres a informação, e consequente surgimento de empreendedores e inovação, centrais para o crescimento econômico do País.

    Nesta plataforma, inúmeras inovações foram concebidas diante do fácil acesso do usuário a um conjunto infindável de informações e ferramentas, serviços e produtos, muitas vezes oferecidos no todo ou em individualmente de maneira gratuita para o usuário final. Uma iniciativa legislativa deve, ao buscar abraçar princípios consagrados na Constituição, necessariamente preservar a dinamicidade desta plataforma.

    Em todo o mundo, a discussão sobre dados pessoais confronta um desafio fundamental: como lidar com os impactos das novas tecnologias de maneira construtiva, protegendo dados pessoais ao mesmo tempo em que são impulsionadas as atividades econômicas a eles associadas? Em outros termos, como proteger sem regular em demasia mercados ainda nascentes, o que acabaria por engessar ou condenar estes mesmos mercados, privando a sociedade dos benefícios das novas tecnologias?

    Se o Estado pretende fortalecer o arranjo institucional em vigor, é necessário que princípios compatíveis com os previstos pela Constituição Federal, aplicáveis tanto ao próprio Estado quanto aos administrados, sejam pensados. Nesse passo, as normas infraconstitucionais devem ser consolidadas em uma moldura única, levando-se em consideração o ordenamento jurídico existente, que já disciplina diversas das situações vislumbradas e, assim, evitando a proliferação legislativa excessiva, que acarreta custos aos Poderes Legislativo e Judiciário.

    As eventuais normas de proteção de dados pessoais devem refletir a transparência, a simplicidade e a eficiência pretendidas no tratamento destes dados. Devem prover definições claras de conceitos e situações, segurança jurídica e incentivos bem delineados para sua aplicação e cumprimento.

    2. Sugestões de alteração ao texto submetido à Consulta Pública

    Primeiramente, a ABRANET consigna que qualquer discussão acerca da proteção de dados deve prestar reverência aos princípios constitucionais, em especial aos da ordem econômica e da administração pública, tais como a livre iniciativa, desenvolvimento tecnológico e econômico, legalidade, finalidade e moralidade.

    Deve-se atentar, ainda, à necessidade constitucional de proteção do indivíduo, suas liberdades e direitos da personalidade, que incidem não apenas nas suas relações privadas, mas também nas com o Poder Público e Estado.

    Outro aspecto de preliminar relevância diz respeito à necessária tecnicidade e detalhamento das iniciativas propostas, para preservação das diversas atividades essenciais à segurança do ambiente de Internet, atuais e futuras, bem como à sua correspondente lógica de funcionamento, para que não sejam inviabilizadas, pois isto certamente teria efeito diametralmente contrário ao supostamente pretendido.

    Nesse sentido, a ABRANET consigna que alguns dos temas elencados na consulta pública não puderam ter sua extensão prática compreendida, tal como, por exemplo, o tratamento dos dados pessoais de crianças, o alcance dos termos “tratamento”, “cancelamento”, “consentimento livre e expresso”, “funções legítimas do cedente”, “oposição” dentre outros que não trazem o nível de detalhamento suficiente na proposta apresentada.

    3. Preferência à Autorregulação

    A proteção aos dados pessoais é benéfica para indivíduos e empresas, desde que tratada de forma equilibrada e eficiente, tendo em conta o nível de desenvolvimento tecnológico e o contexto sócio-cultural em que se dão as atividades relacionadas com dados pessoais. Por esta razão, privilegiar a autorregulação pelos agentes de mercado, especialmente nos mercados competitivos, nos quais os serviços de maior qualidade destacam-se dos demais, parece ser a forma mais efetiva de tratar o assunto. Além disso, a possibilidade de autorregulação prevista no anteprojeto de lei possui reduzidas chances de êxito, eis que se submete à interferência ilimitada do Estado, fator este que não é verificado em nenhuma das iniciativas de autorregulação de sucesso existentes.

    4. Exclusão dos Bancos de Dados Públicos do regime aplicável à Iniciativa Privada

    Nesse ponto, o anteprojeto de lei submetido à Consulta Pública se apresenta contraditório, porquanto cria regulamentação que diz ser aplicável aos bancos de dados públicos e privados, necessária para garantir e proteger o indivíduo no âmbito do tratamento dos dados pessoais, no entanto, na prática, uma leitura cuidadosa evidencia que se aplica preponderantemente à iniciativa privada, podendo o Poder Público deixar de obedecê-la em amplas e inúmeras situações. Assim, parece haver uma oposição diametral entre o regime aplicável à iniciativa privada

    5. Definição de Dados Pessoais

    Uma das bases do anteprojeto de lei sob consulta pública é a definição de dados pessoais e de dados sensíveis. Contudo, uma divisão binária entre dados pessoais e dados não-pessoais, tal como proposta, pode prejudicar as normas de proteção, tendo em vista que dados “anonimizados”, em determinados contextos, podem ser facilmente re-identificados, ao passo que dados que aparentemente identificam pessoas determinadas ou determináveis podem ser manipulados de forma completamente anônima em outros contextos. Assim, os conceitos utilizados na Proposta em pauta não parecem os mais adequados para os objetivos apresentados. A probabilidade de identificação – e não sua mera possibilidade – é o critério que deveria guiar os parâmetros de responsabilização dos bancos de dados que manipulem dados pessoais.

    Por exemplo, endereços de IP isoladamente não identificam o visitante de uma página na Internet. Deveria um indivíduo poder reivindicar que o responsável por uma página na Internet revelasse todas as visitas associadas a seu endereço de IP, ou mesmo que seja o provedor proibido de armazenar (por período razoável) o IP? Se o responsável pela página cumprir esse pedido, poderá colocar em risco a administração da rede e a persecução penal, ou mesmo, no primeiro caso, revelar informações sobre outras pessoas que usaram aquele endereço de IP, tendo em vista que em muitos casos tais endereços são compartilhados por mais de uma pessoa. A distinção entre dados pessoais e não-pessoais é, portanto, insuficiente para resolver a questão dos endereços de IP, entre inúmeras outras.

    Além disso, a submissão de algumas informações, tais como os endereços de IP, ao regime geral de fornecimento de dados pessoais não somente inviabiliza diversas atividades econômicas existentes em todo o mundo, como também prejudica ações cotidianas essenciais à segurança no ambiente virtual, pois a mera coleta de dados inerentes à própria utilização da Internet comprometeria o funcionamento de tal ferramenta. Ainda poderia comprometer o sigilo de terceiros, que não o requisitante dos dados.

    Diante desse quadro, acreditamos que o conceito de dados pessoais merece uma definição pragmática, calcada na probabilidade de o dado efetivamente levar à identificação de um indivíduo determinado. Os bancos de dados não deveriam ter o ônus de garantir que determinados dados não possam, tecnicamente, jamais, levar à identificação de pessoas específicas – até mesmo porque, com o avanço da análise estatística, essa tarefa é praticamente impossível. Alocar esta responsabilidade sobre os bancos de dados levará à ineficácia da norma, vez que se trata de imposição de encargos desproporcionais e praticamente inexequíveis ao agente privado, além de (i) contrariar o princípio constitucional da livre iniciativa, (ii) ferir a autonomia do indivíduo, que pode se beneficiar com o desenvolvimento de um mercado em torno da utilização de seus dados pessoais, e (iii) comprometer a realização de investimentos para o desenvolvimento do mercado mencionado no item anterior, o que traria significativo aumento de bem-estar para a sociedade.

    Conclui-se, portanto, que ao Estado não caberia ingressar no âmbito da liberdade do indivíduo. Pelo contrário, deve estabelecer normas claras para que a utilização dos dados pessoais, inclusive dados sensíveis, se dê exclusivamente para a finalidade prevista, evitando abusos.

    O anteprojeto de lei deveria, pois, incorporar uma terceira categoria de dados: aqueles indiretamente pessoais, isto é, que podem levar à identificação de pessoas específicas, mas somente se combinados a informações de que o banco de dados em questão não dispõe. Com esta categoria adicional, o anteprojeto de lei refletiria com acuidade o atual estado tecnológico e a experiência do fluxo de dados na Internet. E encontraria meios mais eficazes de proteger a privacidade sem restrições exageradas ao fluxo de informações na Internet, que seria desnecessário quando os riscos à privacidade forem ínfimos, em decorrência da baixa probabilidade de determinados dados serem combinados com outros para a identificação de pessoas específicas.

    Ademais, ao equiparar a atividade de coleta de dados às demais atividades relacionadas ao tratamento dos dados, se impõe regime demasiadamente prejudicial a atividades que atualmente se mostram essenciais à segurança no ambiente de Internet e ao próprio exercício do poder de polícia pela Administração Pública.

    Nesse mesmo contexto, não se pode deixar de mencionar que o conceito de “dados pessoais”, tal como adotado pelo anteprojeto de lei, ignora o fato de que diversos dados fornecidos por indivíduos deixam de ser dados exclusivamente do individuo no momento de seu fornecimento, na medida em que envolvam terceiros (como, por exemplo, aqueles referentes a negócios jurídicos celebrados no ambiente de Internet, a avaliação de outrem, a atividades bidirecionais etc.). Estes dados, que passam a ser compartilhados com terceiros no momento do seu fornecimento voluntário pelo seu titular, não podem ser submetidos ao mesmo regime jurídico dos dados exclusivamente pessoais, o que demonstra a inadequação da proposta submetida à Consulta Pública.

    6. Autoridade de Garantia

    É necessário lembrar que, aplicando efetivamente o ordenamento jurídico já em vigor, as autoridades preocupadas com a proteção de dados poderiam se concentrar na fiscalização de situações e condutas realmente capazes de prejudicar indivíduos e ferir direitos de privacidade, para coibir as situações irregulares efetivamente verificadas. Não parece adequado limitar a concorrência qualitativa – e consequentemente a inovação – com o propósito de padronizar métodos.

    Em outras palavras, os responsáveis pelos bancos de dados não deveriam ver impostas, de forma coercitiva, medidas de segurança que devam utilizar em seus negócios, pois a qualidade dessa proteção é, em última análise, um segredo e um diferencial competitivo do negócio.

    Da mesma forma, receberem os agentes privados forte supervisão das autoridades públicas em seus bancos de dados, pode representar, para os detentores dos bancos, uma ingerência sobre seus segredos comerciais e, de outro lado, interferência do Estado sobre os próprios dados dos usuários, vez que a configuração da Autoridade de Garantia não está clara no texto em consulta.

    Sendo assim, naqueles casos em que se julgue necessário o estabelecimento de padrões mínimos de segurança, deve-se incentivar iniciativas de autorregulação e até mesmo Convênios, como já acontece em diversas indústrias, que são certificadas por auditorias independentes ou se comunicam com o Ministério Público, por exemplo. Essa é, sem dúvida, a forma mais eficiente de disciplinar um setor em constante mutação. Lembrando que controles sempre poderão ser realizados a posteriori pelo Poder Judiciário e autoridades administrativas com poderes de fiscalização, dentre outras.

    7. Responsabilidades

    Regras claras de responsabilidade são imprescindíveis para garantir a proteção aos dados pessoais sem comprometer, por outro lado, a livre circulação de informações, o sigilo e a inovação tecnológica. Neste sentido, tome-se por exemplo (i) exclusões de responsabilidade (safe harbors) precisas e bem delimitadas; e (ii) um regime único de responsabilidade subjetiva, baseado no Código Civil – artigo 927 e na Constituição Federal- artigo 5º.

    As exclusões de responsabilidade para provedores de serviços que atuam como plataformas são vitais para que a Internet seja prolífica e dinâmica, como a conhecemos hoje. A legislação brasileira deve se apoiar nos exemplos internacionais de exclusões de responsabilidade, em especial das diretivas europeias e leis federais dos E.U.A., para promover a inovação tecnológica e permitir que indivíduos, empresas, entidades sem fins lucrativos e órgãos públicos encontrem terrenos virtuais férteis também no Brasil para desenvolver atividades econômica e socialmente relevantes. Qualquer discussão sobre proteção de dados pessoais deve, portanto, sempre distinguir com clareza o responsável por um banco de dados da empresa de quem fornece hospedagem, por exemplo. Somente assim ter-se-á um divisor de águas para a proteção a dados pessoais e para o desenvolvimento da internet brasileira.

    Sob o regime jurídico já em vigor, as obrigações já impostas aos responsáveis pelos bancos de dados não são afetadas. Deles devem ser exigidos, sempre:

    – Segurança e confidencialidade na manipulação de dados pessoais; e

    – Garantias de que o tratamento dos dados respeita o consentimento obtido dos titulares, e de que padrões adequados de segurança foram respeitados.

    Também não se pode deixar de ressalvar no Anteprojeto de Lei a necessidade da obtenção prévia de ordem judicial para a divulgação de dados pessoais mesmo ao Poder Público, eis que o detentor de banco de dados não pode ser exposto a responsabilização por colaboração em atividades de caráter investigativo. Somente assim serão preservados direitos fundamentais previstos na Constituição Federal, tais como direito à intimidade, vida privada, honra e imagem.

    Da mesma forma, é necessário reconhecer que o dever de quem coleta ou trata dados considerados pessoais se restringe à tarefa de preservar e zelar pela integridade dos dados recebidos e pela legalidade, sendo de todo irrazoável lhe imputar o dever de cuidar da acuidade de dados que são de conhecimento exclusivo de quem os fornece. Neste contexto, não se pode deixar de ressaltar que o anteprojeto de lei submetido à Consulta Pública não tratou da responsabilidade do titular dos dados pessoais inerente ao seu fornecimento, nem tampouco deixou consignado claramente que a responsabilidade do organizador do bando de dados pessoais se limita à conservação daquilo que lhe é fornecido por quem se apresenta como titular de dados pessoais. Sem modificações que privilegiem estes aspectos, o anteprojeto de lei acaba por ignorar a realidade do ambiente de Internet, em que a autofraude é praticada por diversos indivíduos.

    Esse, aliás, deve ser um compromisso assumido pelo usuário, que tem a responsabilidade pela informação dos dados corretos e exatos para perfeita harmonia do sistema de proteção do uso dos dados pessoais.

    Sob essa premissa, compromissos relativos ao consentimento informado e transparência podem ser erigidos com solidez e segurança jurídica.

    8. O consentimento e a oposição

    Interessante notar que o projeto de lei em consulta apresenta tendência de proibir a formação – que se diga, difere do tratamento, conforme comentário supra – de bancos de dados relacionados à atividades que, longe de ter propósitos ilícitos, fazem parte do livre exercício de atividade empresarial. Nesse sentido, se esperaria que qualquer lei que venha limitar a atividade privada, na esteira do regime constitucional de liberdades, dispusesse que a formação de bancos de dados é livre, salvo em casos de propósitos ilícitos ou se viciado o consentimento.

    Também nesse sentido, vedações absolutas de formação de bancos de dados acabam por interferir na liberdade de escolha do indivíduo, que se vê impedido de usufruir de ferramentas que a Internet oferece, tanto para o convívio social, como para expressar livremente suas preferências políticas, religiosas e demais opiniões que os caracterizam como indivíduos e, sobretudo, como cidadãos. Por isso, não é razoável que haja restrição na utilização de dados que são voluntariamente fornecidos pelo usuário, com a expectativa e desejo de compartilhamento, respeitados os princípios da finalidade e transparência, sob pena de restringir seu direito de ser individualizado e distinguido dos demais usuários.

    A propósito do tema, cabe observar que o termo “discriminação”, utilizado em um dos artigos que trata da proibição (art. 21) aparentemente para se referir ao preconceito, merece também revisão, especialmente diante do rol exemplificativo que o segue. Ainda no mesmo artigo alguns conceitos não puderam ser compreendidos em toda sua extensão, tal como “consentimento livre, informado e por escrito”, especialmente diante (i) da amplitude dos termos e (ii) do estabelecimento de relações entre as partes via Internet.

    Sobre o consentimento, também é crucial apontar a inconsistência dos sistemas adotados pela legislação. Não parece fazer sentido que se onere financeira e tecnicamente a iniciativa privada com obrigação de renovação de consentimento se ao usuário é franqueado o cancelamento do consentimento a qualquer tempo. Leis proporcionais, que estabeleçam equilíbrio entre os interesses envolvidos são fundamentais para o adequado desenvolvimento da indústria, e consequente benefício social.

    O projeto prevê, inclusive, que não só se pode cancelar o consentimento como também se opor a coleta dos dados.

    A liberdade de oposição deve poder ser exercida dentro das possibilidades do serviço, já que, em último caso, o usuário pode optar por não contratar. Da mesma forma, ao prestador de serviço deve-se dar igual liberdade, seja na contratação ou na continuidade do serviço. Lembre-se que, para além dessas extremas situações, deve ser prevista a oposição parcial, na qual as partes possam buscar um mínimo possível de aproximação.

    9. Penalidades

    No que tange às penalidades, uma nova redação ao Capítulo é o que se sugere, com olhos na razoabilidade, proporcionalidade, finalidade e segurança jurídica dos preceitos, bem como na garantia de processo administrativo nos termos da Constituição Federal e da legislação em vigor.

  • […] lembrou que o Brasil ainda tem como referência os debates de 2010, mas que a grande chave atual recai sobre o recém aprovado Marco Civil da Internet, cujas […]

Imagem CAPTCHA
*