A regulamentação de proteção de dados pessoais no Brasil e na Europa: uma análise comparativa

#76

Luiza Louzada
Jamila Venturini

Cada vez que nos conectamos à Internet, de forma consciente ou não, oferecemos informações sobre nossos movimentos, gostos, crenças religiosas, ideologias políticas, conversas e decisões mais íntimas da nossa vida privada. Nossas comunicações estão sendo confiadas a empresas privadas através de serviços tidos como gratuitos, mas em que, em realidade, são pagos com dados pessoais. As informações identificadas ou identificáveis, na medida em que se acumulam e são organizadas logicamente, passam a traçar perfis bastante acurados e sensíveis dos usuários para as empresas.
Esses perfis são construídos e utilizados para diferentes fins. O monitoramento e vigilância de usuários da rede tornam as empresas extremamente poderosas ao terem acesso a um verdadeiro mapeamento de gostos, perfis, opiniões e desejos de seus usuários. Configura-se, assim, um campo fértil para a exploração de infinitas possibilidades de negócios que lhes permite influenciar agressiva e diretamente as escolhas individuais, embora, muitas vezes, de forma sutil e quase despercebida.
Em um contexto em que a informação está no centro da produção de valor no mercado, as escolhas dos consumidores por usar determinados serviços, na maioria das vezes sem saber dimensionar as consequências de suas decisões, construíram grandes impérios [1] baseados na retenção e manipulação de dados pessoais.
Se por um lado esse sistema permite a oferta de anúncios e serviços personalizados, por outro, pode acarretar em discriminação e restrição de direitos humanos e liberdades fundamentais. Empresas de crédito, planos de saúde ou juízes [2], por exemplo, podem ter suas decisões influenciadas ao ter acesso a informações pessoais que dificilmente acessariam anteriormente.
A situação se agrava quando o Estado passa a demandar o acesso a esse valioso repositório de informações sobre os cidadãos, estabelecendo acordos com o setor privado para o compartilhamento de dados, com ou sem chancela judicial. Sob a justificativa de incrementar os mecanismos de combate ao crime e ilegalidades, autoridades podem invocar, inclusive, a implementação de filtros a partir de algoritmos de leitura automatizada de conteúdos, ganhando poderes absolutos de vigilância sobre comportamentos online.
Os novos modelos de negócio que embasam as relações online trazem, assim, para o centro do debate a necessidade de proteção da privacidade e dados pessoais que, num cenário anterior, tinham um significado mais restrito. Nesse contexto, se faz urgente fortalecer os mecanismos de controle do cidadão sobre seus próprios dados e a utilização que será feita deles, ampliando a proteção dos direitos fundamentais já conquistados no mundo offline para as plataformas digitais através de regulamentação.
Diversos países e organismos internacionais têm se dedicado a essa tarefa nos últimos anos. No caso brasileiro, o direito à privacidade é protegido pela Constituição Federal e regulamentado por normas esparsas, como o Código Brasileiro de Defesa do Consumidor (Lei 8.078/1990), a Lei 9.507/1997 sobre habeas data, a Lei de Acesso à Informação (Lei 12.527/2011), entre outras. A aprovação do Marco Civil da Internet (Lei 12.965/2014) constituiu um importante avanço, deixando, porém, em aberto o tratamento aprofundado de questões específicas para a proteção de dados pessoais que devem ser tratadas em uma norma específica.
A Europa, por sua vez, conta com uma diretiva de proteção de dados [3] aprovada em 1995 que já se encontra obsoleta em relação às novas tecnologias de informação e comunicação. Por conta disso, desde 2012, a Comissão Europeia vem discutindo a reforma do marco legal buscando atualizar e fortalecer os princípios de proteção de dados pessoais.
O presente artigo pretende abordar os processos de regulamentação da proteção de dados pessoais que tramitam no Brasil e, do outro lado do Atlântico, na Europa. Para isso, serão discutidos alguns dos princípios que se aplicam ao tema e como eles têm sido tratados em ambos os casos. A análise buscará considerar tanto o contexto local quanto identificar eventuais aproximações.
Entre outros pontos, será feito um levantamento comparativo do seguintes aspectos:
a) Definição de dados e conteúdos pessoais:
Existem atualmente diferentes perspectivas teóricas sobre o conceito de dados pessoais. Elas incluem abordagens reducionistas, expansionistas e até mesmo a defesa de que não se deve limitar a interpretação a uma definição específica de dados pessoais, já que se trata de um conceito em constante transição. Essa discussão é central no âmbito legislativo, uma vez que implica na compreensão sobre quais tipos de dados e atividades estariam cobertos pela norma, como, por exemplo, aqueles gerados a partir de atividades realizadas por usuários com pseudônimos.
b) O princípio do consentimento:
Um dos princípios para a proteção de dados pessoais é que a para o processamento de dados é necessário consentimento por parte do usuário. O processo de regulamentação tanto na realidade brasileira como na europeia, passa inevitavelmente pela definição de como ele se daria na prática.
c) Profiling:
A formação de perfil, ou profiling, consiste no ato de coletar e processar automaticamente informações sobre usuários, com a intenção de construir presunções a respeito de suas personalidades e, com isso, prever comportamentos futuros. Esse processo envolve riscos como discriminação e estigmatização e deve ser tratado nas regulamentações sobre proteção de dados.
d) O princípio da privacidade como padrão (privacy by default):
As configurações padronizadas influenciam fortemente o comportamento de usuários online. Por isso, discute-se, no contexto europeu, a implementação da obrigatoriedade de que os padrões (default) dos serviços online sejam sempre configurados para a maior proteção da privacidade dos usuários, que poderão alterá-los de forma ativa.
e) Portabilidade de dados:
O tratamento legal a respeito da portabilidade de dados também poderá servir como ferramenta de proteção aos direitos humanos na medida em que garantem o efetivo controle do cidadão sobre o destino e uso de seus pessoais, permitindo inclusive a migração entre serviços e plataformas.
f) Autoridade independente para proteção de dados:
Por fim, discute-se a criação de órgãos autônomos para a proteção dos dados pessoais, com expertise e recursos para administrar a aplicação das normas aprovadas. As referidas autoridades também poderiam atuar na solução de eventuais controvérsias, diante de tensões entre interesses de empresas e proteção da privacidade de usuários ou mesmo em divergências entre usuários online.
Conscientes de que a atual conjuntura exige não apenas a luta pela devida regulamentação, no sentido da proteção dos dados, mas também de mudanças sociais profundas, o artigo objetiva mapear com clareza as discussões a respeito da luta pela regulamentação das legislações no Brasil e na Europa, contribuindo, assim, para o empoderamento dos usuários.

[1] https://tecnoblog.net/102002/ranking-marcas-mais-valiosas/
[2] Já existem casos judiciais em que as decisões foram embasadas em dados pessoais publicados em redes sociais: http://blogs.estadao.com.br/deu-nos-autos/perfis-privados-em-lugares-publicos/
[3] http://ec.europa.eu/justice/data-protection/index_en.htm

Palavras-chave: dados pessoais, privacidade, proteção, Marco Civil da Internet.