Blog

Proteção de dados pessoais no cenário internacional: breves comentários sobre os modelos norte-americano e europeu e o direito brasileiro

1 de setembro de 2016

Falar que o debate a respeito da proteção da privacidade e dos dados de caráter pessoal possui relevância e dimensão internacionais é hoje cair em lugar comum. Todavia, a confirmação prática da assertiva feita tem utilidade para a compreensão do atual cenário e confecção de um esboço do alcance global do tema e seus desdobramentos. Da história recente destacamos dois fatos correlacionados: (i) a divulgação via imprensa de documentos fornecidos por Edward Snowden, comprobatórios da indiscriminada vigilância eletrônica de escala mundial empreendida pela National Security AgencyNSA do governo dos Estados Unidos da América (EUA); e (ii) a emissão em junho de 2014 do relatório “The right to privacy in the digital age” do Office of the United Nations High Commissioner for Human Rights[1], endossado por resolução da 36ª International Conference of Data Protection and Privacy Commissioners (com a abstenção do U. S. Federal Trade Commission), na medida em que reconhece que o direito internacional dos direitos humanos protege o direito à privacidade no contexto dos avanços das tecnologias da informação e da comunicação, e recomenda o enfrentamento dos desafios suscitados através do diálogo entre todas partes interessadas.

Um e outro evento se ligam, na verdade, quase que numa cadeia de causa e efeito: para problemas de estatura internacional provocados pela voracidade informacional do aparato investigativo estatal estadunidense pós-11 de setembro de 2001, a preocupação se coloca sobre a formulação de soluções e iniciativas de igual vulto.

Esses acontecimentos também dão conta da diferença entre dois modelos jurídicos de proteção de dados pessoais, ou de culturas jurídicas do direito à privacidade. O primeiro é fundado na ideia de liberdade e, apesar do âmbito de proteção da constitutional privacy, concentra em grande medida na esfera infraconstitucional a tutela do direito dos cidadãos norte-americanos de controle sobre as informações pessoais – os quais, aliás, supostamente não seriam alvo do monitoramento feito pela NSA. Já o segundo firma-se sobre o pilar da dignidade, reconhecendo natureza jusfundamental ao direito à privacidade, de maneira a construir um quadro normativo e institucional que apreende a proteção dos dados pessoais dentro do sistema de tutela e promoção dos direitos humanos. Em meio a essa dualidade referencial, o Brasil tem dado firmes passos na direção sinalizada pelas diretrizes vigentes ao leste do Atlântico.

A tutela jurídica do direito à privacidade nos EUA: o modelo norte-americano.

Existe o mito de que os EUA não gozam de proteção à privacidade dos seus cidadãos. A afirmação é exagerada e pouco acurada. Talvez a diferença cultural, a privacidade contida na Constituição americana, abrangência da proteção legal e o extremismo dos mais exaltados tenham gerado essa falsa ideia. Com efeito, nos EUA, ao contrário da Europa, a tutela da privacidade no sentido de proteção dos dados pessoais não configura um direito fundamental.

O primeiro fator que pode explicar a diferença é o cultural. Na Europa os debates sobre privacidade podem causar tanta comoção e engajamento quanto o debate sobre a regulação de armas nos EUA, onde não existe tanta pressão social e política por regulamentações e o sistema federativo por vezes leva os Estados a resolverem os assuntos de privacidade separadamente. Aparentemente, há uma preocupação menos acentuada com a crescente coleta de dados por diferentes agentes da sociedade (empresas, governo, etc.). A abordagem norte-americana tem um aspecto mais prático, mais voltado para a solução e proteção de situações específicas, que culminam em legislações separadas para cada uma delas.

A proteção constitucional da privacidade (right to privacy), baseada principalmente na quarta emenda, garante aos cidadãos americanos que não haverá mandados e buscas sem uma causa provável (probable cause). O direito à privacidade, que tem origem no Common Law inglês, nasceu com o objetivo principal de conter os avanços da Coroa inglesa contra os súditos rebeldes. Os “Founding Fathers” ao incluírem esse conceito na Constituição dos EUA estavam mais preocupados em limitar os poderes de um governo tirano, do que com a exposição de suas vidas privadas. Como se vê, por exemplo, na recente discussão do caso FBI vs. Apple[3].

Sendo assim, no âmbito constitucional o debate nos EUA referente à privacidade de dados está atrelada ao poder do estado de vasculhar a vida do cidadão sem o respeito ao devido processo legal.

Na seara infraconstitucional, a alegação de inexistência de proteção às informações pessoais também cai por terra. O segundo argumento que desconstrói o mito são as diversas legislações específicas para proteção de dados. A privacidade das crianças é tratada no Children’s Online Privacy Protection Act – COPPA e regula a coleta de dados de crianças menores de 13 anos – repare que esta é a idade mínima para se cadastrar para vários serviços online. Já  os dados de saúde do paciente tem uma regulação bem restrita através do Health Insurance Portability and Accountability Act – HIPAA. Outra fonte de preocupação dos americanos são dados financeiros. Números do seguro social, dados bancários e financeiros tiveram edição de lei específica, a Gramm-Leach-Bliley Act que assegura a proteção dos dados dos consumidores nesse aspecto. Por fim, vale apontar as iniciativas estaduais, destaque principal para o estado da Califórnia, que prevê em sua Constituição a proteção da privacidade de seus cidadãos.

O terceiro argumento que desconstrói o mito da ausência de proteção diz respeito ao aspecto prático de aplicação das legislações relacionadas à proteção de dados pessoais. Nesse ponto, paradoxalmente os americanos sustentam ter mecanismos melhores e mais eficientes que os europeus, fiados no argumento de que a existência de ações coletivas (class actions) e a atuação fiscalizadora do Federal Trade Commission – FTC asseguram a efetividade do modelo jurídico construído.

Decerto existe uma preocupação constante das empresas em relação a sua adequação ao cumprimento das leis e monitoramento de boas práticas que venham a evitar ações coletivas. Em ordenamentos jurídicos que preveem esse tipo de instrumento processual, as empresas estão em constante vigilância para evitar prejuízos milionários. Grandes empresas enfrentam atualmente, ou já enfrentaram, ações coletivas relacionadas à proteção de dados pessoais – Google, Facebook, Snapchat, Twitter estão nesta lista.

Demais disso, o FTC cumpre importante papel na aplicação de normas de privacidade de dados, possuindo competências fiscalizatórias, de execução das leis, e inclusive a de judicialização de demandas para exigir o cumprimento da legislação. Trata-se de órgão bastante ativo e já investigou diversas companhias; além disso, e apesar de não ter poder de legislar, emite vários guias, regras de boas condutas que orientam empresários e consumidores a respeito de seus direitos e deveres. Essas diretivas são obedecidas pelas empresas à risca tendo em vista o receio e o perigo para os negócios e de a empresa ser investigada pelo órgão.

Há que se destacar, por fim, que mesmo ante a ausência de lei geral sobre a proteção de dados pessoais, o FTC muitas vezes se utiliza de provisões gerais da lei como a proibição de atos que prejudiquem o consumidor. O exemplo disso é a quantidade de investigações por unfair and deceptive acts relacionados à privacidade.

Proteção dos dados pessoais no direito comunitário europeu e do Conselho da Europa: o modelo europeu

Para a compreensão adequada do direito europeu de proteção dos dados pessoais é imprescindível tomar como ponto de partida o fato de que estabelecer normas regulamentadoras do tratamento de informações pessoais por meios automatizados ou não é uma questão, para os Estados-membros do Conselho da Europa e da União Europeia, de tutela de direitos e liberdades fundamentais.

A Convenção Europeia de Direitos do Homem – CEDH de 1950 prevê o “direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência” (art. 8º, 1). O direito à privacidade aí concebido como liberdade negativa, em razão dos avanços da tecnologia da informação e do surgimento dos bancos de dados informatizados, desenvolveu-se para no seu âmbito de proteção também abarcar a pretensão dos indivíduos cujas informações pessoais coletadas e processadas lhes fazia vulneráveis a discriminação social. As diversas resoluções da década de 70 emitidas pelo Comitê de Ministros do Conselho da Europa, bem como a Convenção 108 do Conselho da Europa de 1981, e decisões do Tribunal Europeu dos Direitos do Homem – TEDH[4]  expressam esse entendimento.

No domínio da União Europeia, que adere ao Conselho da Europa, o direito à proteção de dados pessoais segue essa mesma orientação em seu direito primário e secundário, especial e respectivamente, na Carta de Direitos Fundamentais da União Europeia – que separa direito ao respeito da vida privada e familiar (art. 7º) do direito à proteção dos dados pessoais (art. 8º) – e nas Diretivas 95/46/CE e 2002/58/CE, ambas do Parlamento Europeu e do Conselho. Estas últimas sofreram ou sofrerão alterações após a aprovação da nova normativa geral de proteção de dados pessoais em 27 de abril de 2016, o Regulamento 2016/679, fruto de anos de discussão iniciada com o propósito de atualizar a normativa europeia de proteção dos dados pessoais ao intenso progresso das tecnologias da informação e da comunicação após 1995 e aos novos modelos de negócio da digital economy.

Essa primeira diretiva de 1995 visava, segundo o Tribunal de Justiça da União Europeia – TJUE, “tornar equivalente em todos os Estados-Membros o nível de proteção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais […]. A aproximação das legislações nacionais aplicáveis na matéria não deve fazer diminuir a proteção que asseguram, devendo, pelo contrário, ter por objetivo garantir um elevado nível de proteção na União”[5]. Tal elevado nível protetivo pretendido é ainda complementado pela atuação de entidades administrativas com competências fiscalizatórias e consultivas, por exemplo. Além de haver a Autoridade Europeia para a Proteção de Dados, cada Estado-Membro obriga-se a estruturar a respectiva autoridade de circunscrição nacional.

A direito à proteção dos dados pessoais no ordenamento jurídico brasileiro

A proteção dos dados pessoais no sistema jurídico brasileiro, apesar de se aproximar do modelo europeu, uma vez que reconhece seu status de direito fundamental, ainda prevê uma normativa fragmentária, que oferece proteção insuficiente à privacidade dos brasileiros, num injustificável atraso na elaboração de uma lei geral sobre o tratamento de informações pessoais se comparado a países da América do Sul como Argentina, Chile e Colômbia.

A Constituição da República de 1988 consagrou o direito à privacidade no art. 5º, incisos X e XI e previu no inciso LXXII o remédio do habeas data com o propósito de garantir ao cidadão o poder de acesso e retificação dos seus dados pessoais que porventura constarem de registros governamentais e bancos de dados de caráter público – a regulamentação do procedimento se deu com a Lei nº 9.507 de 1997.

Já em 1990, sob a influência do Fair Credit Reporting Act norte-americano, o Código de Defesa do Consumidor buscou tutelar a pessoa vulnerável no mercado de consumo em face dos bancos de dados criados, notadamente, com fim de proteção ao crédito, como se vê nos seus arts. 43 e 44. Posteriormente, com a edição da Lei nº 12.414 de 2011 o regramento relativo aos bancos de dados de consumidores foi complementado com o tratamento dos cadastros de adimplemento.

O Código Civil de 2002, por sua vez, destinou apenas o art. 21 à disciplina do direito à privacidade, ignorando a noção de proteção de dados pessoais, que veio a ser, no entanto, acolhida na Lei nº 12.527 de 2011 (Lei de Acesso à Informação), aplicável aos órgãos e entidades da administração pública direta e indireta – arts. 4º, IV, 6º, III, 31, 32, IV – e expressamente inscrita no texto na Lei nº 12.965 de 2014 (Marco Civil da Internet) – arts. 3º, II e III, 5º, II, 8º, 11.

Há que se mencionar o importante Projeto de Lei nº 5.276/2016, que atualmente tramita no Congresso Nacional. Trata-se de proposta legislativa de uma lei geral de proteção dos dados pessoais, que versa “sobre o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art. 1º). O projeto possui evidente inclinação para o modelo de proteção de dados pessoais aplicado no direito comunitário europeu, tal como as leis nacionais dos demais países sul-americanos.

[1] OFFICE OF THE UNITED NATIONS HIGH COMMISSIONER FOR HUMAN RIGHTS. The right to privacy in the digital age. 2014. Disponível em http://www.ohchr.org/Documents/Issues/DigitalAge/A-HRC-27-37_en.doc. Acesso em 02.09.2016.

[2] Sobre o caso vide https://en.wikipedia.org/wiki/FBI–Apple_encryption_dispute.

[3] Por exemplo, v. TEDH, acordão Leander v. Sweden de 26 de março de 1987, petição nº 9248/81.

[4] TJUE, acordão de 24 de novembro de 2011, nos processos apensos C-468/10 e C-469/10, Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) e Federación de Comercio Electrónico y Marketing Directo (FECEMD) v. Administración del Estad, n.os 28 e 29.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *