A notícia de que o Facebook foi multado pela Autoridade de Proteção de Dados espanhola no valor de EUR 1,2 milhão (aproximadamente R$ 4,5 milhões) por supostas violações de dados pessoais de seus usuários pode ter passado despercebida pela maioria das empresas brasileiras e seus administradores, mas não deveria.
As notícias sobre violações de dados pessoais também parecem passar despercebidas pela população. A título exemplificativo, mesmo que não ocorrido no Brasil, nos Estados Unidos da América, país que possui legislação de proteção de dados pessoais, somente em 2017 já foram identificados 213 casos de violação de dados pessoais na área de saúde, os quais, somados, afetaram aproximadamente 4,4 milhões pessoas.
Apesar das multas aplicadas a empresas que utilizam dados pessoais e dos casos de violação de dados pessoais no Brasil e ao redor do mundo, o uso de dados pessoais, de forma adequada e em conformidade com as leis locais, é um tema pouco tratado no Brasil, também não sendo comuns discussões dos usuários relativas ao fornecimento, uso e coleta de seus dados pessoais. Essa despreocupação parece equivocada.
Diante do pouco interesse da população e das empresas, nosso legislativo não se sente pressionados a lidar com esse assunto, resultando na ausência de uma lei específica no nosso ordenamento jurídico regulamentando de forma abrangente e direcionada o uso de dados pessoais dos brasileiros, e dando margem para que nossos dados pessoais sejam utilizados com liberdade exacerbada.
Não obstante não possuirmos uma lei geral sobre o assunto, existem atualmente no Brasil leis esparsas que tratam da proteção dos dados pessoais em alguns casos específicos (1), sendo nosso foco o Código de Defesa do Consumidor (Lei 8.078/90), o Marco Civil da Internet (Lei 12.965/2014) e seu regulamento, o Decreto 8.771/2016.
A proteção do Código de Defesa do Consumidor (CDC) se inicia no momento de criação de cadastros, fichas e registros de dados pessoais e de consumo pelos fornecedores de serviços ou produtos. O fornecedor não pode criar tais bancos de dados sem comunicação escrita ao consumidor, exceto quando solicitado pelo próprio.
Em relação à manutenção dos bancos de dados pessoais e de consumo, os fornecedores devem mantê-los de forma objetiva, clara, verdadeira e em linguagem de fácil compreensão, não podendo o fornecedor manter informações negativas por um prazo maior que cinco anos.
O CDC garante aos consumidores, ainda, o direito de ter acesso às informações existentes nos bancos de dados pessoais e de consumo mantidos pelos fornecedores sobre aquele consumidor, bem como a fonte de obtenção das informações. Ao consumidor cabe, também, exigir a correção de dados incorretos existentes em banco de dados.
É importante ressaltar que as proteções descritas acima se aplicam exclusivamente à relação entre consumidor e fornecedor, ou seja, apenas se o titular dos dados pessoais se enquadrar na definição de consumidor prevista no CDC e o possuidor dos dados pessoais na de fornecedor.
O CDC possui um micro sistema de proteção aos dados pessoais dos consumidores, mas não define quais informações seriam consideradas dados pessoais, de forma que muitas das questões trazidas pelo Código ainda podem resultar em ações judiciais, uma vez que os fornecedores podem ocultar informações que entendem não serem dados pessoais.
Já o Marco Civil da Internet e seu regulamento estabeleceram regras sobre o uso da internet no Brasil e, dentre elas, há garantia de certos direitos relacionados aos dados pessoais dos usuários de aplicações de internet.
O regulamento do Marco Civil também modernizou a legislação ao definir os termos "dados pessoais" e "tratamento". Dados pessoais, de acordo com este diploma, são dados relacionados à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa. Por sua vez, tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Dentre os principais pontos trazidos pelo Marco Civil da Internet está a obrigação dos provedores de aplicações na internet de obter o consentimento expresso do usuário sobre coleta, uso, armazenamento e tratamento dos dados pessoais daquele usuário. Tal consentimento ainda precisa ser obtido de forma destacada das demais cláusulas contratuais. Os provedores de aplicações na internet também precisam obter consentimento prévio e expresso para fornecer os dados pessoais para terceiros.
O Marco Civil da Internet garante aos usuários o direito de possuir informações claras e completas sobre a coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais. Ademais, o Marco Civil da Internet limita o uso dos dados pessoais para finalidades que justifiquem sua coleta, não sejam vedadas pela legislação e estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet.
Terminada a relação entre usuário e provedor de aplicações, o usuário poderá requerer a exclusão definitiva dos dados pessoais que tiver fornecido, ressalvadas as hipóteses de guarda obrigatória de registros previstas na legislação. Independentemente de requerimento do usuário, os provedores deverão excluir os dados pessoais tão logo atingida a finalidade de seu uso.
Em relação à extensão de aplicação do Marco Civil, os direitos e obrigações previstos serão aplicáveis a qualquer operação de coleta, armazenamento, guarda e tratamento de dados pessoais por provedores de aplicações de internet em que pelo menos um desses atos ocorra em território nacional. Desta forma, mesmo empresas estrangeiras que realizem alguns dos atos acima citados devem respeitar o Marco Civil e seu regulamento.
Não obstante as obrigações dos provedores de aplicações previstas no Marco Civil, não há previsão sobre a forma de segurança dos dados pessoais coletados e armazenados, sendo apenas indicado no regulamento que as informações sobre os padrões de segurança dos provedores devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet.
Para que não se torne letra morta, o Marco Civil prevê sanções para o descumprimento de algumas de suas disposições. As sanções são: (a) advertência, com indicação de prazo para adoção de medidas corretivas; (b) multa de até 10% do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção; (c) suspensão temporária das atividades que envolvam tratamento de dados; ou (d) proibição de exercício das atividades que envolvam tratamento de dados.
Além dos direitos concedidos, o Marco Civil ainda prevê alguns princípios que devem nortear a atividade dos provedores de aplicações e podem resultar em limitação à atuação dos provedores.
Apesar de inovar ao incluir o consentimento para o uso de dados pessoais (o CDC apenas obriga o fornecedor a informar o consumidor), o Marco Civil da Internet não lida com um problema comum que ocorre no uso da internet, a aceitação dos termos de uso e da política de privacidade dos sites e aplicativos.
Ocorre que os termos de uso e políticas de privacidade são completamente ignorados pela grande maioria dos usuários dos sites e aplicativos. Comprovando essa afirmação, temos o caso da "Immortal Soul Clause" (Cláusula da Alma Imortal, em tradução livre). Em 2010, na Inglaterra, a empresa GameStation incluiu em seu contrato de aquisições online uma cláusula indicando que ao efetuar uma compra no site, o usuário concedia uma opção de compra da alma imortal do usuário. Caso o usuário não concordasse com essa concessão, deveria clicar em uma caixa que indicava a discordância. Apesar de ter sido apenas uma brincadeira da empresa, dentre os usuários que acessaram o contrato, 88% dos usuários não clicou na caixa disponível.
Além da falta de atenção dos usuários, devemos lembrar que os termos de uso e política de privacidade não estão abertos a alterações dos usuários, ou seja, são contratos de adesão que podem, conforme a legislação aplicável, terem cláusulas abusivas anuladas. Adicionalmente, ainda temos na maioria dos termos de uso a indicação que aqueles termos podem ser alterados a qualquer momento, normalmente sem necessidade de aviso prévio aos usuários, e que qualquer alteração é exequível contra o usuário, previsão cuja validade é contestável.
O caso descrito da "Immortal Soul Clause" e as questões indicadas acima demonstram que a legislação deve proteger os usuários, hipossuficientes e leigos, e seus dados pessoais. Não obstante a legislação aqui descrita, diferentemente de tantos países no mundo e de praticamente todos na América do Sul, conforme a imagem abaixo demonstra, o Brasil ainda precisa de uma legislação focada no tema da proteção de dados.
Existem pelo menos três projetos de lei que pretendem preencher esse vazio jurídico, dentre os quais se destaca o Projeto de Lei nº 5.276/2016, que é o projeto mais completo e com maior apoio político e acadêmico. É nesse projeto que as empresas deveriam estar atentas. E por causa dele, por trazer previsão de multa como a que foi aplicada ao Facebook, que elas deveriam ter analisado a decisão do órgão espanhol de proteção de dados de multar o Facebook.
O projeto começa definindo em quais situações a lei será aplicável: (i) operações de tratamento que sejam realizadas no Brasil; (ii) tratamento de dados com objetivo de oferecer ou fornecer produtos ou serviços no Brasil; ou (iii) dados pessoais coletados no Brasil. É importante destacar que as aplicações são alternativas, ou seja, não é necessário preencher os três casos, mas apenas um para a lei ser aplicável à situação.
As definições de dados pessoais e tratamento de dados se mantêm as mesmas que no Marco Civil da Internet (agora não mais aplicáveis apenas ao ambiente da internet), mas o projeto de lei traz ainda uma definição de dados sensíveis, que são os dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, os dados referentes à saúde ou à vida sexual e dados genéticos ou biométricos. O tratamento desses dados sensíveis é mais restrito que o tratamento de dados pessoais.
O projeto de lei, fortemente baseado na legislação europeia de proteção de dados, ainda traz os princípios que devem ser seguidos:
-Finalidade. O tratamento de dados deve ser realizado para finalidades legítimas, específicas, explícitas e informadas ao titular, não podendo ser tratados posteriormente de forma incompatível com essas finalidades.
-Adequação. O tratamento de dados deve ser compatível com as suas finalidades e com as legítimas expectativas do titular, de acordo com o contexto do tratamento.
-Necessidade. O tratamento deve se limitar ao mínimo necessário para a realização das suas finalidades, abrangendo dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
-Livre acesso. Deve ser garantida aos titulares a consulta facilitada e gratuita sobre as modalidades de tratamento e sobre a integralidade dos seus dados pessoais.
-Qualidade dos dados. Devem ser garantidas aos titulares a exatidão, clareza, relevância e atualização dos dados, de acordo com a periodicidade necessária para o cumprimento da finalidade de seu tratamento.
-Transparência. Devem ser garantidas aos titulares informações claras, adequadas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
-Segurança. Devem ser utilizadas medidas técnicas e administrativas constantemente atualizadas, proporcionais à natureza das informações tratadas e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
-Prevenção. Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
-Não discriminação. O tratamento não pode ser realizado para fins discriminatórios.
Apesar de dispor de diversos direitos dos titulares e obrigação dos utilizadores de dados pessoais, a grande maioria das previsões do projeto de lei decorre dos princípios acima descritos e são semelhantes aos direitos hoje garantidos pelo CDC e pelo Marco Civil da Internet, mas não limitados à relação consumidor/fornecedor ou à internet.
Entretanto, alguns direitos/obrigações se destacam. Contrariando a crença popular de que os dados pessoais difundidos pelo próprio titular (por exemplo, dados postados em mídias sociais) são de uso livre, o projeto de lei pretende prever que o tratamento de dados pessoais cujo acesso é público também deve ser realizado em conformidade com o projeto de lei, ou seja, deverá seguir os princípios acima descritos.
Outro direito inovador do projeto de lei é a portabilidade dos dados pessoais. Esse direito garante ao titular que ele possa requisitar a transferência de seus dados pessoais para outro fornecedor de serviços ou produtos.
Tema relevante considerando o momento político vivido pelo Brasil e o histórico ditatorial que temos, o projeto de lei versa sobre o tratamento de dados pessoais pelo poder público, garantindo diversas limitações ao uso irrestrito dos dados pessoais da população.
O projeto de lei lida ainda com a questão de transferência internacional de dados pessoais, tema muito relevante, considerando que muitas empresas atuantes no território nacional possuem sede ou filiais em outros países. Nesse sentido, o projeto de lei limita a transferência para países que possuam proteção de dados pessoais equivalentes ao do projeto de lei.
As sanções às infrações das normas previstas no projeto de lei também foram aperfeiçoadas, incluindo, dentre outras, multa, bloqueio dos dados pessoais, suspensão das operações de tratamento de dados e cancelamento dos dados pessoais.
Por último, a lei, quando e se aprovada e após a vacatio legis (180 dias), também criará um órgão competente para zelar pela implementação e fiscalização da lei e um Conselho Nacional de Proteção de Dados e da Privacidade, que terá algumas obrigações relacionadas à Política Nacional de Proteção de Dados Pessoais e da Privacidade e à melhoria do conhecimento sobre proteção de dados.
É de extrema relevância lembrar que na legislação atual e em uma possível legislação futura, o consentimento do titular dos dados pessoais é essencial para a coleta, tratamento, transferência, armazenamento ou outra forma de uso dos dados pessoais. Desta forma, para mitigar o risco de alegação de não ter existido um consentimento, aconselha-se o uso de uma tecnologia amplamente aplicada atualmente, o opt-in. É a tecnologia por meio do qual a pessoa somente poderá seguir adiante em uma contratação, acesso a website ou qualquer ação em que seja envolvida a coleta de dados, se a pessoa clicar, assinar, concordar ou de alguma forma "optar por entrar" (opt-in) naquela ação.
Não obstante o projeto de lei encontrar-se inerte na Câmara dos Deputados desde 09/11/2016, é apenas uma questão de tempo para o Brasil possuir sua própria lei geral de proteção de dados, como ocorre com aproximadamente 110 países ao redor do mundo.
Assim, é importante que a população brasileira, tanto os titulares como aqueles que utilizam dados pessoais de terceiros, tome conhecimento do assunto. Para os titulares, é importante saberem seus direitos e como exercê-los. Para as empresas, quanto antes iniciarem o processo de adaptação à legislação de proteção de dados, menor será o impacto sentido, do ponto de vista operacional e no relacionamento com titulares de dados pessoais, minimizando o risco de sofrerem penalidades ou outras sanções decorrentes da falta de conhecimento no assunto.
(1) Existindo ainda o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation), legislação europeia que será aplicável a certas empresas brasileiras
*Advogado do Stocche Forbes e especialista em propriedade intelectual
