Diretrizes para a Discussão sobre o Marco Normativo de Privacidade e Proteção de Dados

Incentivando o diálogo

O objetivo da consulta, que vai de 30 de Novembro de 2010 a 30 de Abril de 2011, é incentivar a manifestação de comentários a respeito da questão da Proteção de Dados Pessoais e a proposta de Projeto de Lei aqui divulgada. Por se tratar da interação num ambiente no formato blog, encorajamos os debatedores, cidadãos e instituições, a dialogar com o texto do debate e com os outros debatedores. Entendemos que os diversos espaços “comentáveis” desse blog constituem o local mais adequado para as manifestações de todas as pessoas e entidades participantes do debate.

Com essas premissas, reforçamos que o debate não é um processo de votação e não busca gerar dados quantitativos ou plebiscitários, mas incentivar a colocação de argumentos que possam servir de subsídios para a conclusão da elaboração do projeto de lei aqui proposto, levando em conta o caráter democrático do processo.

Temos de uso:

O debate sobre o Marco Normativo de Privacidade e Proteção de Dados está hospedado no CulturaDigital.br. Sendo assim, todos os usuários devem estar de acordo com os Termos de Uso desta plataforma. Por favor, leia-os com atenção antes de participar do debate.

Diretrizes Gerais:

A participação nas discussões sobre o Marco Normativo de Privacidade e Proteção de Dados é aberta ao público e todos são bem-vindos. Para a qualidade do processo de discussão, as opiniões manifestadas devem ser qualificadas e fundamentadas. Serão consideradas as contribuições pertinentes ao tema e que apresentem fundamentação adequada.

O site possui dois espaços para o debate:

1 – Temas principais: Neste espaço são apresentados os eixos centrais do projeto, de forma clara e didática. Em cada tópico, você poderá comentar e contribuir com suas sugestões.

2 – A norma: Aqui é apresentada a minuta do Projeto de Lei sobre Privacidade e Proteção de Dados. Você poderá postar seus comentários sobre o texto após cada artigo.

Você pode contribuir em qualquer um desses espaços. É fundamental que as contribuições sejam postadas nas seções do site correspondentes ao tema comentado. Os comentários postados em seção temática inadequada podem não ser considerados. Toda a participação deverá ocorrer de forma respeitosa e atendendo à boa-fé, sendo vedada qualquer forma de abuso. A discussão poderá ser moderada, de acordo com os termos de uso.

Nas redes também vale

Visando aumentar a permeabilidade do processo, o debate conta com perfis oficiais em alguns aplicativos de redes sociais. Dessa forma, também estaremos acompanhando as discussões que ocorram próximas a esses espaços e buscando interagir com os debatedores nesses ambientes.

Debata os principais temas

Debata o projeto de lei

5 respostas a Diretrizes para a Discussão sobre o Marco Normativo de Privacidade e Proteção de Dados

  1. I am not worthy but it looks good…..

    Oh!

    However, and this has happened in the past on Culturadigital. It is so slow but that might be my fault for connecting from England. I also notice my status bar is breaking itself, this will be Firefox under Ubuntu, trying to connect to twitter.

    May I also mention..

    http://img52.imageshack.us/img52/456/dadospessoais.png

    Whilst I realise that the purpose of this debate may not totally revolve around such things I would note from..

    http://culturadigital.br/dadospessoais/files/2010/11/PL-Protecao-de-Dados.pdf

    CAPÍTULO III
    REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
    Art. 9o O tratamento de dados pessoais somente pode ocorrer após o consentimento
    livre, expresso e informado do titular, que poderá ser dado por escrito ou por outro
    meio que o certifique, após a notificação prévia ao titular das informações constantes
    no art. 11.

    I am quite serious about this.

    I fail to understand how you can run a debate on a ‘blog’ on a matter of legislation/law whereby the site you are running it on includes scripts and other tools that would require consent being asked for and given according to the above chapter and that consent is not asked for at this time.

    I might also be absolutely amazed that you are asking for peoples opinions on a constitutional process on such a site hosting these scripts whereby those scripts have the opportunity to deliver their interest in the subject to external data processors, AKA facebook and the rest based in other countries, who are just going to give it up elsewhere.

    If I felt the need to Twitter about something I would not need a Twitter Script embedded in a webpage I was reading adding such information to my profile in background on Twitter, it’s still trying.. I might go to Twitter and Twit about it. I do not need them to know about it before I decided to do so.

    QuantServe/Quantcast…

    http://www.ghostery.com/apps/quantcast

    “Quantcast

    How they describe themselves:

    “Quantcast is a new breed of audience service, focused on helping buyers and sellers quantify the real-time characteristics of digital media consumers against which they can activate addressable advertising solutions. Quantcast provides publishers, marketers and agencies unmatched capabilities to measure, organize, discover and transact based on directly-measured traffic and inferred audience data.”

    http://img101.imageshack.us/img101/8813/quantcast.png

    Brilliant!

    You have just made a mockery of the whole process.

    Can you ask Suplicy to sort this one out?

    Keith Mallen

    • Obrigado pelo alerta mas não conseguimos encontrar o script da quantcast rodando no nosso site. Nós entendemos suas preocupações em relação a troca de informações com terceiros, e isso está em discussão aqui. Nossa opção em utilizar os plugins de twitter e facebook foi para poder referenciar aqui as discussões que estão ocorrendo nessas redes e ajudar as pessoas a segui-las, se assim desejarem, nesses aplicativos. Nós não temos a pretensão de pensar que toda discussão relevante irá ocorrer no nosso blog. Convidamos você a contribuir nas áreas temáticas do blog e preferencialmente em português, de modo que possa interagir mais facilmente com os cidadãos Brasileiros.

      Thanks for your alert but we couldn’t find the quantcast script running in our website. We understand your concerns about the data exchange with third party companies and thats in discussion here. Our option to use twitter and facebook plugins were to reference here discussions that are taking place on those networks and help people to follow it, if they want, on those apps. We don’t have the pretension to think that all the relevant discussion will happens just on our blog. We invite you to contribute on our thematic area and preferably in Portuguese so you can easily interact with other Brazilian citizens.

  2. Luiz Antonio Halmenschlager disse:
    Considero altamente necessário esse espaço a fim de podermos manifestar nossa opinião quanto ao assunto, que é de múltiplos interesses, e atende anseios de cidadãos e de empresas.
    Estarei acompanhando e me manifestando a respeito.
  3. luiz mauricio de medeiros disse:
    Espero que o Presidente da República vete este projeto aprovado pelo senado,que siga o está na Constituição Brasileira. Mais uma historinha dos senadores, no mínimo estão querendo vasilinar o povo para terem mais aumento de salário
  4. Contribuição da Associação Brasileira de Internet – ABRANET à Consulta Pública sobre o Anteprojeto de Lei acerca de Proteção de Dados Pessoais

    Antes de mais nada, louvamos a iniciativa do Ministério da Justiça e da Fundação Getúlio Vargas de aprofundar o debate democrático por meio da Consulta Pública online sobre o tema da proteção de dados pessoais. É extremamente salutar que essa discussão ocorra em múltiplos foros e combine contribuições de pessoas e entidades as mais diversas.

    A ABRANET é uma associação constituída em 1996, com o objetivo de apoiar a atuação de empresas que possuam como atividade principal o provimento de serviços na Internet.

    A ABRANET possui aproximadamente de 300 membros. Seu quadro associativo é integrado por empresas que atuam no ambiente de Internet e também por instituições de ensino superior e profissionais de todas as regiões do País.

    Atenciosamente,

    Associação Brasileira de Internet – ABRANET

    1. Desafios para a proteção de dados pessoais

    O ambiente da Internet se desenvolveu como uma plataforma aberta e convidativa para a disseminação e acesso livres a informação, e consequente surgimento de empreendedores e inovação, centrais para o crescimento econômico do País.

    Nesta plataforma, inúmeras inovações foram concebidas diante do fácil acesso do usuário a um conjunto infindável de informações e ferramentas, serviços e produtos, muitas vezes oferecidos no todo ou em individualmente de maneira gratuita para o usuário final. Uma iniciativa legislativa deve, ao buscar abraçar princípios consagrados na Constituição, necessariamente preservar a dinamicidade desta plataforma.

    Em todo o mundo, a discussão sobre dados pessoais confronta um desafio fundamental: como lidar com os impactos das novas tecnologias de maneira construtiva, protegendo dados pessoais ao mesmo tempo em que são impulsionadas as atividades econômicas a eles associadas? Em outros termos, como proteger sem regular em demasia mercados ainda nascentes, o que acabaria por engessar ou condenar estes mesmos mercados, privando a sociedade dos benefícios das novas tecnologias?

    Se o Estado pretende fortalecer o arranjo institucional em vigor, é necessário que princípios compatíveis com os previstos pela Constituição Federal, aplicáveis tanto ao próprio Estado quanto aos administrados, sejam pensados. Nesse passo, as normas infraconstitucionais devem ser consolidadas em uma moldura única, levando-se em consideração o ordenamento jurídico existente, que já disciplina diversas das situações vislumbradas e, assim, evitando a proliferação legislativa excessiva, que acarreta custos aos Poderes Legislativo e Judiciário.

    As eventuais normas de proteção de dados pessoais devem refletir a transparência, a simplicidade e a eficiência pretendidas no tratamento destes dados. Devem prover definições claras de conceitos e situações, segurança jurídica e incentivos bem delineados para sua aplicação e cumprimento.

    2. Sugestões de alteração ao texto submetido à Consulta Pública

    Primeiramente, a ABRANET consigna que qualquer discussão acerca da proteção de dados deve prestar reverência aos princípios constitucionais, em especial aos da ordem econômica e da administração pública, tais como a livre iniciativa, desenvolvimento tecnológico e econômico, legalidade, finalidade e moralidade.

    Deve-se atentar, ainda, à necessidade constitucional de proteção do indivíduo, suas liberdades e direitos da personalidade, que incidem não apenas nas suas relações privadas, mas também nas com o Poder Público e Estado.

    Outro aspecto de preliminar relevância diz respeito à necessária tecnicidade e detalhamento das iniciativas propostas, para preservação das diversas atividades essenciais à segurança do ambiente de Internet, atuais e futuras, bem como à sua correspondente lógica de funcionamento, para que não sejam inviabilizadas, pois isto certamente teria efeito diametralmente contrário ao supostamente pretendido.

    Nesse sentido, a ABRANET consigna que alguns dos temas elencados na consulta pública não puderam ter sua extensão prática compreendida, tal como, por exemplo, o tratamento dos dados pessoais de crianças, o alcance dos termos “tratamento”, “cancelamento”, “consentimento livre e expresso”, “funções legítimas do cedente”, “oposição” dentre outros que não trazem o nível de detalhamento suficiente na proposta apresentada.

    3. Preferência à Autorregulação

    A proteção aos dados pessoais é benéfica para indivíduos e empresas, desde que tratada de forma equilibrada e eficiente, tendo em conta o nível de desenvolvimento tecnológico e o contexto sócio-cultural em que se dão as atividades relacionadas com dados pessoais. Por esta razão, privilegiar a autorregulação pelos agentes de mercado, especialmente nos mercados competitivos, nos quais os serviços de maior qualidade destacam-se dos demais, parece ser a forma mais efetiva de tratar o assunto. Além disso, a possibilidade de autorregulação prevista no anteprojeto de lei possui reduzidas chances de êxito, eis que se submete à interferência ilimitada do Estado, fator este que não é verificado em nenhuma das iniciativas de autorregulação de sucesso existentes.

    4. Exclusão dos Bancos de Dados Públicos do regime aplicável à Iniciativa Privada

    Nesse ponto, o anteprojeto de lei submetido à Consulta Pública se apresenta contraditório, porquanto cria regulamentação que diz ser aplicável aos bancos de dados públicos e privados, necessária para garantir e proteger o indivíduo no âmbito do tratamento dos dados pessoais, no entanto, na prática, uma leitura cuidadosa evidencia que se aplica preponderantemente à iniciativa privada, podendo o Poder Público deixar de obedecê-la em amplas e inúmeras situações. Assim, parece haver uma oposição diametral entre o regime aplicável à iniciativa privada

    5. Definição de Dados Pessoais

    Uma das bases do anteprojeto de lei sob consulta pública é a definição de dados pessoais e de dados sensíveis. Contudo, uma divisão binária entre dados pessoais e dados não-pessoais, tal como proposta, pode prejudicar as normas de proteção, tendo em vista que dados “anonimizados”, em determinados contextos, podem ser facilmente re-identificados, ao passo que dados que aparentemente identificam pessoas determinadas ou determináveis podem ser manipulados de forma completamente anônima em outros contextos. Assim, os conceitos utilizados na Proposta em pauta não parecem os mais adequados para os objetivos apresentados. A probabilidade de identificação – e não sua mera possibilidade – é o critério que deveria guiar os parâmetros de responsabilização dos bancos de dados que manipulem dados pessoais.

    Por exemplo, endereços de IP isoladamente não identificam o visitante de uma página na Internet. Deveria um indivíduo poder reivindicar que o responsável por uma página na Internet revelasse todas as visitas associadas a seu endereço de IP, ou mesmo que seja o provedor proibido de armazenar (por período razoável) o IP? Se o responsável pela página cumprir esse pedido, poderá colocar em risco a administração da rede e a persecução penal, ou mesmo, no primeiro caso, revelar informações sobre outras pessoas que usaram aquele endereço de IP, tendo em vista que em muitos casos tais endereços são compartilhados por mais de uma pessoa. A distinção entre dados pessoais e não-pessoais é, portanto, insuficiente para resolver a questão dos endereços de IP, entre inúmeras outras.

    Além disso, a submissão de algumas informações, tais como os endereços de IP, ao regime geral de fornecimento de dados pessoais não somente inviabiliza diversas atividades econômicas existentes em todo o mundo, como também prejudica ações cotidianas essenciais à segurança no ambiente virtual, pois a mera coleta de dados inerentes à própria utilização da Internet comprometeria o funcionamento de tal ferramenta. Ainda poderia comprometer o sigilo de terceiros, que não o requisitante dos dados.

    Diante desse quadro, acreditamos que o conceito de dados pessoais merece uma definição pragmática, calcada na probabilidade de o dado efetivamente levar à identificação de um indivíduo determinado. Os bancos de dados não deveriam ter o ônus de garantir que determinados dados não possam, tecnicamente, jamais, levar à identificação de pessoas específicas – até mesmo porque, com o avanço da análise estatística, essa tarefa é praticamente impossível. Alocar esta responsabilidade sobre os bancos de dados levará à ineficácia da norma, vez que se trata de imposição de encargos desproporcionais e praticamente inexequíveis ao agente privado, além de (i) contrariar o princípio constitucional da livre iniciativa, (ii) ferir a autonomia do indivíduo, que pode se beneficiar com o desenvolvimento de um mercado em torno da utilização de seus dados pessoais, e (iii) comprometer a realização de investimentos para o desenvolvimento do mercado mencionado no item anterior, o que traria significativo aumento de bem-estar para a sociedade.

    Conclui-se, portanto, que ao Estado não caberia ingressar no âmbito da liberdade do indivíduo. Pelo contrário, deve estabelecer normas claras para que a utilização dos dados pessoais, inclusive dados sensíveis, se dê exclusivamente para a finalidade prevista, evitando abusos.

    O anteprojeto de lei deveria, pois, incorporar uma terceira categoria de dados: aqueles indiretamente pessoais, isto é, que podem levar à identificação de pessoas específicas, mas somente se combinados a informações de que o banco de dados em questão não dispõe. Com esta categoria adicional, o anteprojeto de lei refletiria com acuidade o atual estado tecnológico e a experiência do fluxo de dados na Internet. E encontraria meios mais eficazes de proteger a privacidade sem restrições exageradas ao fluxo de informações na Internet, que seria desnecessário quando os riscos à privacidade forem ínfimos, em decorrência da baixa probabilidade de determinados dados serem combinados com outros para a identificação de pessoas específicas.

    Ademais, ao equiparar a atividade de coleta de dados às demais atividades relacionadas ao tratamento dos dados, se impõe regime demasiadamente prejudicial a atividades que atualmente se mostram essenciais à segurança no ambiente de Internet e ao próprio exercício do poder de polícia pela Administração Pública.

    Nesse mesmo contexto, não se pode deixar de mencionar que o conceito de “dados pessoais”, tal como adotado pelo anteprojeto de lei, ignora o fato de que diversos dados fornecidos por indivíduos deixam de ser dados exclusivamente do individuo no momento de seu fornecimento, na medida em que envolvam terceiros (como, por exemplo, aqueles referentes a negócios jurídicos celebrados no ambiente de Internet, a avaliação de outrem, a atividades bidirecionais etc.). Estes dados, que passam a ser compartilhados com terceiros no momento do seu fornecimento voluntário pelo seu titular, não podem ser submetidos ao mesmo regime jurídico dos dados exclusivamente pessoais, o que demonstra a inadequação da proposta submetida à Consulta Pública.

    6. Autoridade de Garantia

    É necessário lembrar que, aplicando efetivamente o ordenamento jurídico já em vigor, as autoridades preocupadas com a proteção de dados poderiam se concentrar na fiscalização de situações e condutas realmente capazes de prejudicar indivíduos e ferir direitos de privacidade, para coibir as situações irregulares efetivamente verificadas. Não parece adequado limitar a concorrência qualitativa – e consequentemente a inovação – com o propósito de padronizar métodos.

    Em outras palavras, os responsáveis pelos bancos de dados não deveriam ver impostas, de forma coercitiva, medidas de segurança que devam utilizar em seus negócios, pois a qualidade dessa proteção é, em última análise, um segredo e um diferencial competitivo do negócio.

    Da mesma forma, receberem os agentes privados forte supervisão das autoridades públicas em seus bancos de dados, pode representar, para os detentores dos bancos, uma ingerência sobre seus segredos comerciais e, de outro lado, interferência do Estado sobre os próprios dados dos usuários, vez que a configuração da Autoridade de Garantia não está clara no texto em consulta.

    Sendo assim, naqueles casos em que se julgue necessário o estabelecimento de padrões mínimos de segurança, deve-se incentivar iniciativas de autorregulação e até mesmo Convênios, como já acontece em diversas indústrias, que são certificadas por auditorias independentes ou se comunicam com o Ministério Público, por exemplo. Essa é, sem dúvida, a forma mais eficiente de disciplinar um setor em constante mutação. Lembrando que controles sempre poderão ser realizados a posteriori pelo Poder Judiciário e autoridades administrativas com poderes de fiscalização, dentre outras.

    7. Responsabilidades

    Regras claras de responsabilidade são imprescindíveis para garantir a proteção aos dados pessoais sem comprometer, por outro lado, a livre circulação de informações, o sigilo e a inovação tecnológica. Neste sentido, tome-se por exemplo (i) exclusões de responsabilidade (safe harbors) precisas e bem delimitadas; e (ii) um regime único de responsabilidade subjetiva, baseado no Código Civil – artigo 927 e na Constituição Federal- artigo 5º.

    As exclusões de responsabilidade para provedores de serviços que atuam como plataformas são vitais para que a Internet seja prolífica e dinâmica, como a conhecemos hoje. A legislação brasileira deve se apoiar nos exemplos internacionais de exclusões de responsabilidade, em especial das diretivas europeias e leis federais dos E.U.A., para promover a inovação tecnológica e permitir que indivíduos, empresas, entidades sem fins lucrativos e órgãos públicos encontrem terrenos virtuais férteis também no Brasil para desenvolver atividades econômica e socialmente relevantes. Qualquer discussão sobre proteção de dados pessoais deve, portanto, sempre distinguir com clareza o responsável por um banco de dados da empresa de quem fornece hospedagem, por exemplo. Somente assim ter-se-á um divisor de águas para a proteção a dados pessoais e para o desenvolvimento da internet brasileira.

    Sob o regime jurídico já em vigor, as obrigações já impostas aos responsáveis pelos bancos de dados não são afetadas. Deles devem ser exigidos, sempre:

    – Segurança e confidencialidade na manipulação de dados pessoais; e

    – Garantias de que o tratamento dos dados respeita o consentimento obtido dos titulares, e de que padrões adequados de segurança foram respeitados.

    Também não se pode deixar de ressalvar no Anteprojeto de Lei a necessidade da obtenção prévia de ordem judicial para a divulgação de dados pessoais mesmo ao Poder Público, eis que o detentor de banco de dados não pode ser exposto a responsabilização por colaboração em atividades de caráter investigativo. Somente assim serão preservados direitos fundamentais previstos na Constituição Federal, tais como direito à intimidade, vida privada, honra e imagem.

    Da mesma forma, é necessário reconhecer que o dever de quem coleta ou trata dados considerados pessoais se restringe à tarefa de preservar e zelar pela integridade dos dados recebidos e pela legalidade, sendo de todo irrazoável lhe imputar o dever de cuidar da acuidade de dados que são de conhecimento exclusivo de quem os fornece. Neste contexto, não se pode deixar de ressaltar que o anteprojeto de lei submetido à Consulta Pública não tratou da responsabilidade do titular dos dados pessoais inerente ao seu fornecimento, nem tampouco deixou consignado claramente que a responsabilidade do organizador do bando de dados pessoais se limita à conservação daquilo que lhe é fornecido por quem se apresenta como titular de dados pessoais. Sem modificações que privilegiem estes aspectos, o anteprojeto de lei acaba por ignorar a realidade do ambiente de Internet, em que a autofraude é praticada por diversos indivíduos.

    Esse, aliás, deve ser um compromisso assumido pelo usuário, que tem a responsabilidade pela informação dos dados corretos e exatos para perfeita harmonia do sistema de proteção do uso dos dados pessoais.

    Sob essa premissa, compromissos relativos ao consentimento informado e transparência podem ser erigidos com solidez e segurança jurídica.

    8. O consentimento e a oposição

    Interessante notar que o projeto de lei em consulta apresenta tendência de proibir a formação – que se diga, difere do tratamento, conforme comentário supra – de bancos de dados relacionados à atividades que, longe de ter propósitos ilícitos, fazem parte do livre exercício de atividade empresarial. Nesse sentido, se esperaria que qualquer lei que venha limitar a atividade privada, na esteira do regime constitucional de liberdades, dispusesse que a formação de bancos de dados é livre, salvo em casos de propósitos ilícitos ou se viciado o consentimento.

    Também nesse sentido, vedações absolutas de formação de bancos de dados acabam por interferir na liberdade de escolha do indivíduo, que se vê impedido de usufruir de ferramentas que a Internet oferece, tanto para o convívio social, como para expressar livremente suas preferências políticas, religiosas e demais opiniões que os caracterizam como indivíduos e, sobretudo, como cidadãos. Por isso, não é razoável que haja restrição na utilização de dados que são voluntariamente fornecidos pelo usuário, com a expectativa e desejo de compartilhamento, respeitados os princípios da finalidade e transparência, sob pena de restringir seu direito de ser individualizado e distinguido dos demais usuários.

    A propósito do tema, cabe observar que o termo “discriminação”, utilizado em um dos artigos que trata da proibição (art. 21) aparentemente para se referir ao preconceito, merece também revisão, especialmente diante do rol exemplificativo que o segue. Ainda no mesmo artigo alguns conceitos não puderam ser compreendidos em toda sua extensão, tal como “consentimento livre, informado e por escrito”, especialmente diante (i) da amplitude dos termos e (ii) do estabelecimento de relações entre as partes via Internet.

    Sobre o consentimento, também é crucial apontar a inconsistência dos sistemas adotados pela legislação. Não parece fazer sentido que se onere financeira e tecnicamente a iniciativa privada com obrigação de renovação de consentimento se ao usuário é franqueado o cancelamento do consentimento a qualquer tempo. Leis proporcionais, que estabeleçam equilíbrio entre os interesses envolvidos são fundamentais para o adequado desenvolvimento da indústria, e consequente benefício social.

    O projeto prevê, inclusive, que não só se pode cancelar o consentimento como também se opor a coleta dos dados.

    A liberdade de oposição deve poder ser exercida dentro das possibilidades do serviço, já que, em último caso, o usuário pode optar por não contratar. Da mesma forma, ao prestador de serviço deve-se dar igual liberdade, seja na contratação ou na continuidade do serviço. Lembre-se que, para além dessas extremas situações, deve ser prevista a oposição parcial, na qual as partes possam buscar um mínimo possível de aproximação.

    9. Penalidades

    No que tange às penalidades, uma nova redação ao Capítulo é o que se sugere, com olhos na razoabilidade, proporcionalidade, finalidade e segurança jurídica dos preceitos, bem como na garantia de processo administrativo nos termos da Constituição Federal e da legislação em vigor.

Deixe uma resposta

Pular para a barra de ferramentas