RESUMO: O presente artigo tem por objeto de estudo o direito fundamental à proteção de dados pessoais, bem como a necessidade de sua regulamentação no Brasil, já que neste ainda há uma lacuna legal sobre o tema. Inicialmente, intenta-se demonstrar a correlação entre dados pessoais e a dignidade da pessoa humana, no intento de, em seguida, inferir a emergência de um novo direito fundamental: a proteção de dados pessoais. Posteriormente, cita-se a precariedade das regras brasileiras genéricas e ineficazes aplicáveis ao tema, revelando a necessidade de uma regulamentação específica. Por fim, analisam-se os projetos de lei que tramitam no Congresso Nacional sobre o tema: 4.060/2012, 181/2012 e 5.276/2016, tecendo-se comentários pertinentes, mencionando a Diretiva 95/46/CE da União Europeia, por ser um exemplo de regulação eficaz no que concerne à matéria.

Palavras-chave: direito à proteção de dados pessoais; lacuna legal.

ABSTRACT: The purpose of this article is to study the fundamental right to the protection of personal data, as well as the need for its regulation in Brazil, since there is still a legal gap on the subject. Initially, we try to demonstrate the correlation between personal data and the dignity of the human person, in the attempt to then infer the emergence of a new fundamental right: the protection of personal data. Subsequently, the precariousness of the generic and ineffective Brazilian rules applicable to the topic is cited, revealing the need for specific regulation. Finally, we analyze the bills that are discussed in the National Congress on the theme: 4,060 / 2012, 181/2012 and 5,276 / 2016, making pertinent comments, mentioning Directive 95/46 / EC of the European Union, for Be an example of effective regulation in the matter.

Key words: right to protection of personal data; legal gap;

INTRODUÇÃO

O crescimento acelerado do número de internautas e das relações jurídicas de diversos tipos através da rede mundial de computadores, seja por meio de smartphones ou dos notebooks e tablets, trazem consigo uma grande preocupação, o usuário da aludida rede está cada vez mais vulnerável ao uso indevido de suas informações pessoais (a exemplo do endereço e números de documentos), até mesmo sobre seu estado de saúde, credo e orientação sexual, o que pode desencadear práticas discriminatórias ou atuações criminosas com base nessas informações. Nesta senda, o presente artigo faz uma reflexão jurídica sobre a importância de uma regulamentação sobre o tema, bem como sobre os principais projetos de lei atinentes que tramitam no Congresso Nacional.

DESENVOLVIMENTO

1.   Dignidade da pessoa humana e dados pessoais

O Estado democrático de direito tem como fundamento a dignidade da pessoa humana (art. 1º, III, da Constituição Federal). Este preceito basilar constitucional é ínsito à prerrogativa de todo ser humano em ser respeitado como pessoa, de não ser prejudicado em seus direitos (à vida, à integridade física, à privacidade, dentre outros) e de fruir de um âmbito existencial próprio.

A dignidade da pessoa humana é simultaneamente limite e tarefa dos poderes estatais e da comunidade em geral, de todos e de cada um, condição dúplice esta que também aponta para uma paralela e conexa dimensão defensiva e prestacional da dignidade.[1]

Assim, respeitar a dignidade da pessoa humana, traz quatro importantes consequências: a) igualdade de direitos entre todos os homens, uma vez integrarem a sociedade como pessoas e não como cidadãos; b) garantia da independência e autonomia do ser humano, de forma a obstar toda coação externa ao desenvolvimento de sua personalidade, bem como toda atuação que implique na sua degradação; c) observância e proteção dos direitos inalienáveis do homem; d) não admissibilidade da negativa dos meios fundamentais para o desenvolvimento de alguém como pessoa ou a imposição de condições subumanas de vida. Mister é salientar que a tutela constitucional se volta em detrimento de violações não somente levadas a cabo pelo Estado, mas também pelos particulares.[2]

Neste diapasão, apesar da difícil tarefa de conceituar dignidade da pessoa humana, é imperioso entender que se trata do conceito jurídico indeterminado que ocupa alto grau de abstração e elevada posição hierárquica na pirâmide kelseniana, já que se apresenta como princípio constitucional que alicerça o próprio Estado democrático de direito.[3]

Sobre o conceito de dados pessoais, estes “compreendem qualquer informação (numérica, alfabética, gráfica, fotográfica, acústica), independente do suporte (som e imagem), referente a uma pessoa identificada ou identificável”[4]. Nesta senda, podem ser citados como exemplo deste tipo de dados: número do CPF, endereço, número do cartão de crédito, fotos, dados de consumo, dentre outros.

Os dados pessoais estão intrinsecamente ligados à dignidade da pessoa humana, uma vez que perfazem a intimidade e privacidade do indivíduo. Assim, a fluidez com que essas informações pessoais podem transitar pela internet pode ter consequências nefastas se não houver uma proteção jurídica que regule o tratamento desses dados.

2.   A proteção de dados pessoais como nova espécie de direitos fundamentais

Os novos padrões de consumo e de interação social do mundo digital trouxeram consigo uma grande preocupação: informações pessoais são compartilhadas diariamente em velocidade e volume colossais, mormente com o crescimento de internautas[5]. Entretanto, tais dados guardam consigo relação com a dignidade da pessoa humana e vários direitos personalíssimos, como a intimidade, vida privada, honra, imagem, nome, dentre outros.

A necessidade de proteger juridicamente o cidadão é oriunda do fato de que os dados pessoais detém teor econômico tendo em vista à possibilidade de sua comercialização. Isso geralmente é usado por empresas que realizam negócios “online”. Os dados pessoais de um consumidor traduzem aspectos de sua personalidade e revelam comportamentos e preferências, tornando-o um alvo fácil de mensagens publicitárias dirigidas.

Dentro da categoria dados pessoais, há os dados sensíveis, que são aqueles que possuem maior probabilidade de serem utilizados de forma discriminatória[6], como os concernentes à crença, opção religiosa, orientação sexual, opiniões políticas, ideologia, origem racial e estado de saúde. Exemplo dessa situação seria a hipótese de um trabalhador, portador do vírus HIV, que não é contratado ou é despedido em virtude da doença revelada sem autorização do titular. Por este motivo, sua tutela deve ser especial, destinando-se tratamento mais severo a quem os manipula ou utiliza sem a devida autorização, pois a divulgação a terceiros pode gerar danos funestos, por vezes irreparáveis, a seus titulares.

Assim, proteger os dados sensíveis é uma forma de prevenir ou eliminar a discriminação, o que, por certo, contribuirá para a efetivação do princípio constitucional da igualdade, consagrado no art. 5° da Constituição Federal.[7]

Nesta senda, alguns autores[8] passaram a defender a emergência do direito sobre a proteção de dados pessoais como categoria jurídica autônoma, merecedora do mesmo status dos demais direitos fundamentais. Defendem também a necessidade de reconhecimento do direito à autodeterminação informativa por parte do titular dos dados, a partir da qual o internauta deve ter a garantia de controlar como e quando suas informações serão recolhidas e utilizadas, determinar quem terá acesso a seus dados pessoais e como eles serão armazenados e tratados.

Trata-se, em outras palavras, de compreender que embora o ciberespaço historicamente tenha sido identificado como um ambiente propício para o exercício das liberdades, essa liberdade não é absoluta e toda a vez que o particular (pessoa física ou empresa) ou o próprio Estado expuserem dados pessoais de outros devem ser responsabilizados por eventuais danos causados ao titular.

Insta suscitar que enquanto a discussão sobre o tema é ainda incipiente no Brasil, a União Europeia se preocupa com a tutela desse direito desde 1995, com a Diretiva 95/46/CE, momento em que os Estados integrantes perceberam a necessidade de garantir um adequado grau de proteção aos dados pessoais dos usuários das novas tecnologias, tratando-os como direitos fundamentais.

3.   A “não” proteção jurídica de dados pessoais no Brasil

No Brasil, a situação mostra-se preocupante, haja vista a Constituição Federal apenas tratar do assunto de forma genérica, no art. 5º, incisos X e XII, elencando o direito à privacidade e ao sigilo de dados, não havendo legislação específica para regular como as informações pessoais em baila devem ser tratadas, notadamente nos meios eletrônicos. Atualmente, existem apenas regulamentações setoriais que não tratam de forma efetiva o problema exposto, o que coloca o país em posição de atraso legislativo, se comparado até mesmo a outros países Latinos, a exemplo do Chile (Lei 19.628/99), Argentina (Lei 25.326/2000 regulamentada pelo Decreto 1.558/2001), Uruguai (Lei nº 18.331/2008) e México (Ley Federal de Protección de Datos Personales em Posesión de los Particulares), que já dispõem de legislação própria (SILVA, 2011).[9]

A proteção de dados ocorre de maneira indireta por meio da aplicação dos dispositivos constitucionais que tratam de direitos à privacidade e à intimidade, pois não há expressamente uma proteção específica.

É bem verdade que a Carta Constitucional institui o Habeas Data, ação que permite ao indivíduo o conhecimento e a retificação de dados pessoais constantes de registros públicos ou banco de dados de entidades governamentais ou de caráter público.[10] No entanto, levando-se em conta o fato de que, na maioria das vezes, as informações recolhidas ou manipuladas estão em bancos de dados privados, especialmente ao considerar o crescente uso da Internet, a efetividade desse instrumento torna-se limitada.

Convém mencionar que existem disposições que podem ser aplicadas ao tema no âmbito do Direito do Consumidor, na legislação bancária e fiscal, bem como é possível alcançar tutela de alguns direitos de personalidade por meio de alguns dispositivos do Código Civil. Todavia, essas previsões se revelam insuficientes, pois em regra garantem indenização em casos de danos já perpetrados, de modo que a reparação pode ser uma resposta tardia, que muitas vezes não satisfaz a vítima, não restabelecendo o status quo ante.

Portanto, não há um conjunto concatenado de medidas jurídicas preventivas que atendam aos desafios descortinados pela crescente utilização das tecnologias da informação e da comunicação.

No intento de regular a matéria, em 29 de outubro de 2009, foi elaborado projeto para a construção colaborativa de um marco civil da internet no país, o que foi feito por meio de medida conjunta da Secretaria de Assuntos Legislativos da Justiça (Sal/MJ) e da Escola de Direito da Fundação Getúlio Vargas.

 A elaboração de um marco civil visou a articular um conjunto de normas que garantissem direitos aos internautas, provedores e ao próprio governo. O trabalho resultou na lei 12.965/2014, que consagra em seu art. 3º, inciso III, a proteção dos dados pessoais, na forma da lei, denotando que caberá ao legislador estabelecer os parâmetros desse direito. A referida lei significou um avanço na matéria, mas não tratou de forma específica sobre o tratamento de dados pessoais.

No mesmo fito, porém com um viés voltado especificamente à proteção de dados pessoais, em 30 de novembro de 2010, a Secretaria de Assuntos Legislativos e o Departamento de Proteção e Defesa do Consumidor do Ministério da Justiça (DPDC) lançaram um debate público sobre privacidade e proteção de dados pessoais. Essa iniciativa contou com apoio e parceria de importantes instituições, dentre elas o Observatório Brasileiro de Políticas Digitais do Centro de Tecnologia e Sociedade da Fundação Getúlio Vargas, do Rio de Janeiro, articuladas com o objetivo de elaborar um anteprojeto de lei sobre a proteção de dados na Internet (MINISTÉRIO DA JUSTIÇA, 2012).

É imperioso destacar que dentre os mais nevrálgicos objetivos do projeto está o de definir a proteção da privacidade, as possíveis formas de acesso, a exposição e o curso de informações. O aludido projeto é fulcral para os usuários da internet por tutelar os seus dados pessoais e reconhecer o direito de autodeterminação, de modo que o uso de seus dados deve ser autorizado pelo próprio internauta.

Desse intenso debate público acerca da privacidade e proteção de dados pessoais no Brasil resultaram três projetos de lei: o projeto de Lei 4.060/2012, da Câmara dos Deputados, o projeto de lei 181/2014, do Senado, e o Anteprojeto de Lei para a proteção de dados pessoais, que resultou no projeto de lei de nº 5.276/2016, sob a responsabilidade do Ministério da Justiça.

No dia 25 de agosto de 2015, a Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI) realizou uma audiência pública[11] na Câmara dos Deputados, para debater o Projeto de Lei 4060/2012. Na ocasião, o projeto foi amplamente criticado, por carecer de elementos básicos de uma legislação deste porte, comparando-se com mais de cem países que já dispõem de regulação semelhante.

Dentre as principais críticas estão:

1) Ausência de princípios específicos sobre a matéria, como a transparência, segurança, finalidade, adequação, necessidade, livre acesso, qualidade de dados e prevenção;

2) Ausência do consentimento qualificado (expresso, livre, específico e informado) como regra para o tratamento de dados. Só prevendo o consentimento para dados sensíveis e de menores de idade, bem como que os responsáveis disponibilizem a política de privacidade. Enquanto que no marco civil da internet, já há a previsão do consentimento expresso e informado como regra para tratamento de dados;

3) Permissão em larga escala de compartilhamento de dados (interconexão), sem necessidade de consentimento do titular (arts. 13 e 14), o que é muito perigoso, já que ele não terá ciência de quem manipula suas informações;

4) Falta de previsão de regras sobre acesso do titular às suas informações armazenadas, bem como sobre clareza, adequação e completude desta. Já no marco civil da internet, há a obrigação de que as informações sejam claras, completas, adequadas e acessíveis ao consumidor;

5) O direito ao bloqueio das informações é excepcionado no art. 13 quando se trata de obrigação legal ou contratual, de modo que o responsável poderá alegar a sua política de privacidade (contrato) para continuar usando os dados, mesmo contra a vontade do titular;

6) O art. 16 estabelece que quando do término ou bloqueio de dados, o responsável poderá conservá-los ou compartilhá-los para fins estatísticos, históricos e de pesquisa científica, o que pode ter aplicação bastante ampla. Isso gera insegurança, pois o titular perderá completamente a autodeterminação sobre suas informações pessoais;

7) O art. 8º versa que a veracidade e regularidade dos dados pessoais fornecidos para tratamento é de responsabilidade do titular, bem como que a realização de operações de tratamento de dados não implica responsabilidade pela verificação da exatidão ou correção destes. Tal dispositivo exime quem trata essas informações de responsabilidade e ainda atribui ônus ao titular (cidadão) pela exatidão das informações sobre os quais ele não tem acesso, o que revela grande incongruência do projeto;

8) O art. 11 disciplina que o responsável pelo tratamento de dados, bem como eventuais subcontratados, deverão adotar medidas tecnológicas aptas a reduzir ao máximo o risco da destruição, perda, acesso não autorizado ou de tratamento não permitido pelo titular. Tal regra não traz proteção efetiva dessas informações, pois utiliza de forma inadequada o princípio da reserva do possível, de modo a gerar insegurança jurídica, contrária á lógica da responsabilidade objetiva do microssistema de defesa do consumidor;

9) Sobre sanção e fiscalização, o art. 21 apenas cita  que serão aplicáveis ao responsável que descumprir as regras da lei as sanções do Código do Consumidor e demais normas aplicáveis, não trazendo penalidades específicas e proporcionais aos eventuais danos.

Em suma, o PL 4060/2012 é incompleto, deficiente e genérico, de modo a não cumprir o seu papel de proteger os dados pessoais.

Já o projeto de lei 181/2014, do Senado, é um pouco mais extenso, trazendo alguns dos princípios relativos ao tema (art. 3º), como a transparência, qualidade e segurança da informação, mas ainda é deficiente e incompleto, apresentando muitos dos problemas do PL 4060/12, sendo semelhante a este em muitos aspectos.

No tocante ao anteprojeto de Lei para a proteção de dados pessoais, que foi disponibilizado para consulta pública no site do Ministério da Justiça, tendo resultado no Projeto de Lei 5276/2016, insta ressaltar que é o mais completo dos três projetos citados sobre o tema, já trazendo respostas para muitas das citadas críticas ao PL 4060/12. Tal proposta traz os princípios específicos sobre o tema (art. 6º), o consentimento qualificado como regra para tratamento de dados pessoais (art. 7º); exigência de consentimento como regra para comunicação de dados pessoais entre responsáveis ou operadores de direito privado (art. 40); responsabilidade solidária entre cedente e cessionário pelo tratamento de dados (arts. 35 e 44); proteção efetiva aos dados através de medidas de segurança adequadas a serem adotadas por quem os trata (art. 45); dever de sigilo dos agentes de tratamento de dados mesmo após seu término (art. 46); sanções específicas, em destaque: publicização da infração, suspensão de tratamento de dados pessoais, proibição de  funcionamento de banco de dados (art. 52).

Contudo, este último projeto também merece crítica no tocante à fiscalização e sanções, pois perdeu a oportunidade de estabelecer qual será o órgão competente para fiscalizar o assunto, apenas citando a expressão “órgão competente”, sem esclarecer detalhes sobre a organização e funcionamento deste. É mister ressaltar que o projeto traz a previsão do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, em seu art. 54, composto por 15 membros, representando um avanço na matéria, mas este Conselho não é o aludido órgão competente, pois não tem funções de aplicar sanção, mas sim, dentre outras, de elaborar relatórios anuais sobre o tema e sugerir ações a serem realizadas pelo órgão competente.

Com desiderato de cotejo, importante é citar que a Diretiva 95/46/CE, de 1995, da União Europeia previu, em seu art. 28, a criação de uma entidade especializada em todos os Estados membros, com a competência de fiscalizar e aplicar as disposições legais sobre dados pessoais, denominada de autoridade de controle, que deve atuar com total independência.

Imperioso ainda é mencionar que o Brasil está excluído da lista da União Europeia de países confiáveis para o repasse de banco de dados contendo informações dos cidadãos europeus, pelo fato de não dispor de regras básicas de proteção a essas informações, de modo que empresas brasileiras encontram-se impedidas de processar tais dados, o que gera a perda de oportunidades importantes de negócios.

O artigo 25 da referida Diretiva proíbe a transferência de dados pessoais de cidadãos europeus a países que não possuam “um nível de proteção adequado”. A adequação ao nível de proteção exigida na Diretiva é examinada tomando-se por base uma série de fatores, mas sobretudo as regras de direito em vigor no país para onde se pretende transferir os dados. De um modo geral, a legislação de um país é considerada adequada quando suas normas internas ou tratados e convenções internacionais que tenha subscrito se igualarem às normas da Diretiva, em termos de proteção de dados pessoais[12]. Isso significa que países como o Brasil, que não tem legislação específica sobre a matéria, não podem tratar tais dados.

Inclusive, em 06 de outubro de 2015, o Tribunal de Justiça Europeu invalidou o acordo entre a União Europeia e os Estados Unidos, que permitia multinacionais como o “facebook” tratarem dados pessoais de europeus, justamente pelo inadequado nível de proteção desses dados, com fulcro no citado art. 25 da Diretiva.[13] Polêmicas e tensão diplomática têm erigido em meio ao assunto, mormente após as revelações de Snowden sobre espionagem[14].

Ademais, em arremate argumentativo, no ano de 2012, a empresa Google escolheu o Chile, em detrimento do Brasil, para investir mais de cento e cinquenta milhões de dólares, para a construção do primeiro “data center” da América Latina[15], capaz de gerar emprego e renda no país. Uma das razões para isso foi o fato de o Chile já dispor de uma legislação protetiva de dados desde 1999, enquanto que o Brasil está bem atrasado neste aspecto. Oportunidades como esta, de fundamental importância para a economia brasileira, são perdidas todos os dias pelo descrédito na efetiva proteção de dados no ordenamento pátrio, devido à preocupante lacuna legal.

CONSIDERAÇÕES FINAIS

À guisa do exposto, infere-se que o Brasil, em termos de legislação sobre proteção de dados, encontra-se na contramão da tendência mundial, não disciplinando direitos básicos, nem estabelecendo limites e regras no processamento desses dados. A consequência disso, para além da falta de segurança jurídica e de confiança por parte de investidores e de governos de diferentes países, tende a ser muito mais funesta ao titular dessas informações pessoais, que fica à mercê de práticas negociais nocivas, de maneira que a manipulação e compartilhamento indevidos de informações podem gerar ações discriminatórias, na transmissão de dados sensíveis, bem como ser meio de práticas criminosas, haja vista alguns delitos necessitarem muitas vezes de informações pessoais prévias das vítimas, a exemplo do estelionato.

REFERÊNCIAS

CASTRO, Catarina Sarmento e. Direito da informática, privacidade e dados pessoais. Coimbra: Edições Almedina, 2005.

DONEDA, Danilo. Da privacidade à proteção de dados. Rio de Janeiro: Editora Renovar, 2006.

HOFFMAN, Jorge Eduardo. MARCO, Cristhian Magnus  de.  A dignidade da pessoa humana como conceito jurídico indeterminado e determinável. Unoesc International Legal Seminar, Chapecó, v. 2, n. 1, 2013.

LIMBERGER, Têmis. Da evolução do Direito a ser deixado em paz à proteção dos dados pessoais. Revista Novos Estudos Jurídicos. Vol. 14, n° 2, p. 27-53, 2° quadrimestre 2009.

NOBRE JÚNIOR, Edilson Pereira. O direito brasileiro e o princípio da dignidade da pessoa humana. São Paulo: Juris Síntese, 2000.

PÉREZ LUÑO, Antonio-Enrique. Derechos humanos, Estado de Derecho y Constitución. 9. ed. Madri: Editorial Tecnos, 2005. p. 335-339

RABELO, Iglesias Fernanda de Azevedo; GARCIA, Filipe Rodrigues. O direito à autodeterminação informativa. Disponível em: < http://www.ambito-juridico.com.br/site/?n_link=revista_artigos_leitura&artigo_id=10473&revista_caderno=7> Acesso em: 08 nov. 2012.

SARLET, Ingo Wolfgang. Dignidade da pessoa humana e direitos fundamentais na Constituição Federal de 1988. Porto Alegre: Livraria do Advogado, 2002.

Disponível em: Acesso em 05/12/2016.    

Disponível em:

codSessao=53702#videoTitulo> Acesso em 05/12/2016.    

Disponível em: Acesso em 05/12/2016.