A outra face da liberdade

GUSTAVO TEPEDINO e DANILO DONEDA

Publicado originalmente em O Globo de 15/06/2010

Fornecer dados pessoais constitui-se em rotina sempre mais comum para o brasileiro. Na internet, em compras a crédito, programas de fidelização e em tantas outras ocasiões, as solicitações de informações pessoais são corriqueiras e cada vez mais minuciosas.

Em termos práticos, perde-se o controle sobre as informações pessoais logo após fornecê-las. Pouco (ou nada) se sabe sobre sua utilização; se serão repassadas para terceiros ou para quais fins serão empregadas. Até mesmo o acesso às próprias informações – indispensável para conferir se a informação armazenada ao menos é correta – mostra-se claudicante, pela pouca praticidade da ação de habeas data.

Essa espécie de “assimetria informacional”, pela qual o cidadão perde o controle sobre suas informações, favorece os que realizam o tratamento de informações pessoais. Estes – governos e entidades privadas – tornam-se assim capazes de rotular cada pessoa a determinados padrões de comportamento e a previsões de hábitos de consumo. A autonomia é debilitada, favorecendo-se as discriminações, principalmente pelo tratamento de seus dados sensíveis (associados a características psicofísicas).

A sujeição do indivíduo aos desígnios da tecnologia não é intransponível. Instrumentos jurídicos que procuram assegurar à pessoa o controle de seus dados existem há um bom tempo em diversos países e compõem as denominadas leis de proteção de dados pessoais. Modelos legislativos garantem o processamento de dados segundo certos princípios, com finalidade determinada e com o direito de acesso efetivo e oposição pelo interessado. Mais ainda, o tratamento de dados pessoais costuma ser supervisionado por uma agência com poderes para regular e inspecionar a utilização dessas informações.

No Brasil, o tema é tratado pela ação de habeas data, cuja estrutura não é condizente com a dimensão atual do problema da informação pessoal, e pelo Código de Defesa do Consumidor, limitadamente às relações de consumo e ao fornecimento de crédito.

Há indicativos, porém, de mudança. Na América Latina, alguns países, como Argentina e Uruguai, já possuem normas específicas e modernas a respeito. Além disso, no Brasil, encontra-se em fase final de estudos pelo Executivo federal um anteprojeto de lei sobre proteção de dados pessoais.

Uma lei abrangente e contemporânea é o elo que falta para a tutela do cidadão e para a deflagração de várias outras iniciativas, legislativas ou não, que importam no tratamento de dados pessoais – tais como o novo Registro de Identidade Civil (RIC), o monitoramento de automóveis, a identificação por meios biométricos nas mais variadas ocasiões e outras mais. O anteprojeto em discussão insere-se em uma atualíssima agenda de renovação normativa que procura redefinir o estatuto jurídico da informação no Brasil. Basta lembrar os projetos de lei referentes ao Marco Civil da Internet, ao Acesso à Informação Pública e à reforma da Lei de Direitos Autorais.

Neste panorama, a tutela dos dados pessoais assume a função de traduzir, na atualidade, a nova face da liberdade – a liberdade informática, na feliz expressão de Vittorio Frosini. Afinal, a privacidade, nos dias atuais, não é mais o direito a não ser importunado, revelando-se, de maneira mais ampla e dinâmica, no poder de controle dos dados pessoais.

As relações existenciais, afetivas, comerciais e profissionais cada vez mais se desenvolvem por meios informatizados – para os quais é imprescindível o fornecimento de informações pessoais. Por isso, franquear ao cidadão brasileiro instrumentos de efetivo controle sobre o uso e a integridade de suas informações torna-se mecanismo de garantia da liberdade, tendo em conta o papel predominante da informação para as escolhas individuais. Para tanto, afigura-se indispensável uma lei geral de proteção de dados pessoais, a nova face da privacidade.

GUSTAVO TEPEDINO é professor da Faculdade de Direito da Uerj. DANILO DONEDA é consultor da Unesco/MCT.

Peru – Projeto de Lei de Proteção de Dados enviado ao Congresso

O projeto de lei sobre proteção de dados pessoais, recentemente aprovado pelo Conselho de Ministros peruano, foi enviado em 9.06 ao Congresso da República para avaliação e eventual aprovação.

Consulte aqui a íntegra do projeto.

Lei peruana de proteção de dados pode ser aprovada ainda este ano

O Conselho de Ministros peruano aprovou um projeto de lei sobre proteção de dados no dia 1º de junho. O projeto será agora apreciado pelo Congresso.

O projeto tem perfil similar à perspectiva europeia, procurando caracterizar um direito fundamental à proteção de dados pessoais, estabelecendo direitos para os cidadãos e deveres para os responsáveis pelos bancos de dados pessoais. Além disso, é criada uma autoridade administrativa de controle.

Além da garantia fundamental à proteção de dados, o projeto leva em conta o fluxo comercial que será viabilizado com a possibilidade das empresas peruanas de call-center – que hoje empregam 75.000 pessoas – terem acesso mais amplo ao mercado europeu.

Proteção de Dados Pessoais está na pauta do Mercosul

Um dos temas principais da próxima reunião do Sub-Grupo de Trabalho 13 (SGT13) do Mercosul será uma proposta de Acordo em matéria de proteção de dados pessoais, que poderá ser assinada pelos países-membros do bloco comercial.

O SGT13 trata dos assuntos referentes ao comércio eletrônico no Mercosul. Em sua atividade recente, o SGT13 aprovou Acordo em matéria de assinatura digital, que foi fundamental na adoção de políticas públicas e legislação a este respeito nos países-membros do bloco que não as tinham.

A assinatura do Acordo representaria o compromisso do bloco em estabelecer um alto nível de proteção aos dados pessoais dos cidadãos de seus países-membros, garantindo o seu direito à privacidade e proteção de dados e também facilitando transações comerciais com os países e blocos regionais que estabelecem barreiras para a transferência de dados para o exterior quando não há normas fortes a este respeito.

Para o Brasil, em particular, a assinatura do Acordo seria fundamental para colocar de forma definitiva na pauta de discussões interna uma lei geral sobre proteção de dados pessoais – que é parte essencial da internalização dos termos do Acordo à legislação interna de cada país.

A  23ª reunião do SGT13 realizar-se-á em Buenos Aires, nos dias 27 e 28 de maio de 2010.

O tratamento de dados pessoais no Projeto de Lei sobre Acesso à informação pública.

Foi aprovado pela Câmara dos Deputados em 15/03 o projeto de lei sobre acesso à informação pública, que agora será apreciado pelo Senado Federal.

Este projeto, em se tornando lei, proporcionará regras claras sobre o acesso a documentos públicos ao estabelecer, entre outras disposições, as hipóteses em que documentos poderão ser considerados sigilosos em um regime estrito, com a indicação de um período máximo de sigilo de 25 anos, renováveis somente por uma vez.

O projeto não cria um organismo específico para zelar pela aplicação uniforme da lei, conforme observado (e criticado) por entidades especializadas. Órgãos deste gênero são razoavelmente comuns em diversos países (vide, como exemplo, o IFAI, no México).

Um ponto de destaque do Projeto de Lei é a sua preocupação específica com a proteção de dados pessoais. Em seu art. 31, são estabelecidas regras específicas:

Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

§1o As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:

I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de cem anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem. trata este artigo será responsabilizado por seu uso indevido.

§2o Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.

§3o O consentimento referido no inciso II do §1o não será exigido quando as informações forem necessárias:

I – à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;

II – à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;

III – ao cumprimento de ordem judicial;

IV – à defesa de direitos humanos; ou

IV – à proteção do interesse público e geral preponderante.

§4o A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como ações voltadas para a recuperação de fatos históricos de maior relevância.

§5o Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.

A ausência de regulamentação específica sobre proteção de dados pessoais no Brasil faz com que, em um número crescente de circunstâncias, diplomas normativos tenham que estabelecer suas próprias referências e instrumentos de proteção aos dados pessoais, sem a possibilidade de recorrer a um estatuto geral sobre o tema e sempre correndo-se o risco de estabelecer um patamar de proteção fraco ou em contradição com outras disposições similares.

No caso deste Projeto de Lei, a presença de informações pessoais é um motivo de restrição à faculdade de acesso ao documento público. Esta regra reconhece uma primazia da tutela da informação pessoal em relação ao mandamento da transparência, que somente não será observada quando a divulgação da informação for legitimada pelo consentimento expresso do titular dos dados ou em uma das hipóteses em numerus clausus nas quais este consentimento é dispensável.

Ao incorporar a regra do consentimento expresso,o Projeto de Lei deu um largo passo ao encontro de uma efetiva tutela da informação pessoal e da efetiva liberdade e privacidade dos cidadãos.

O Projeto, talvez conscientemente, não adentrou em maiores detalhes as diversas circunstâncias em que o mero consentimento do titular dos dados pode não ser suficiente para tutelar direitos pessoais e de terceiros (caso de dados sensíveis), nem em outras situações de consentimento tácito ou não-específico em que a divulgação de dados pessoais é realizada de forma sistemática (pense-se em várias formas de divulgação de informações jurisdicionais ou na divulgação de salários e gastos com funcionários públicos, por exemplo).

É, provavelmente, pela complexidade do tema, que escapa à alçada de um diploma normativo somente sobre o acesso à informação, que o parágrafo 5º do referido artigo acaba por aludir a que “Regulamento disporá sobre os procedimentos para tratamento de informação pessoal”. E aí está presente um defeito relativamente grave do Projeto de Lei: reconhecer o tratamento das informações pessoais e a proteção de dados como um apêndice que possa ser tratado pela via regulamentar.

A proteção de dados, reconhecida em diversos ordenamentos como um direito fundamental, é peça fundamental para a liberdade contemporânea e para a manutenção do equilíbrio de poderes entre o indivíduo e os detentores de suas informações pessoais. Assim, demanda uma série de instrumentos de tutela cuja correta disposição não pode estar circunscrita às limitações de um ato normativo de caráter meramente regulamentar.

Espera-se que, na discussão futura deste Projeto de Lei, venha à tona o fato de que o acesso à informação deve vir acompanhado de instrumentos adequados para a tutela da informação pessoal, dois temas que somente em conjunto abordam de forma integral o problema da informação e as liberdades fundamentais a ela ligadas.

Cadastro positivo vira cadastro permanente em Projeto de Lei em vias de ser aprovado pelo Senado

O tema do cadastro positivo voltou à tona com a recuperação de um projeto de lei (PL 405-C, de 2007) que, em sua disposição única, insere um parágrafo 6º no artigo 43 do Código de Defesa do Consumidor (o artigo que regula os bancos de dados de proteção ao crédito), com a seguinte redação:

“§ 6º No fornecimento de produtos ou serviços que envolvam outorga de crédito ou concessão de financiamento ao consumidor, o fornecedor informará aos sistemas de proteção ao crédito, para formação de cadastro positivo, as características e o adimplemento das obrigações contraídas, dispensando-se, na hipótese, a comunicação a que alude o § 2o do art. 43.”

A alteração proposta estabelece a completa liberdade do tratamento de informações referentes às características dos contratos e dos pagamentos realizados pelos sistemas de proteção ao crédito, sem qualquer possibilidade de oposição por parte do consumidor e nenhuma regra que discipline qualquer modalidade deste tratamento de dados. Estes dados poderiam, por exemplo, ser armazenados indefinidamente e mesmo utilizados em outras circunstâncias, visto que não há ainda no direito brasileiro uma restrição específica à utilização de dados para finalidades secundárias.

A medida é incompatível com a finalidade e a natureza da legislação em que se pretende inserir – pois uma disposição de características unilaterais, que somente aumenta o poder do fornecedor e a assimetria informacional em detrimento do consumidor, claramente não encontra lastro em nenhum dos princípios básicos deste Código e nem na norma constitucional na qual se funda a defesa do consumidor.

Este projeto se interpôs a um outro projeto de lei (PL-85, aprovado pela Câmara com relatoria do Deputado Maurício Rands).

A ausência de previsões concretas e modernas sobre a proteção de dados pessoais no ordenamento brasileiro faz com que qualquer passo a ser dado acabe por se demonstrar temeroso. No caso específico, o laconismo sobre qualquer garantia do consumidor em relação aos seus dados pessoais pode fazer presumir ao intérprete uma permissividade que seria potencialmente nociva aos interesses do consumidor e ao próprio equilíbrio das relações econômicas.

O projeto será submetido à votação na Comissão de Assuntos Econômicos do Senado, e terá a relatoria do Senador Aloísio Mercadante.

O IDEC (Instituto Brasileiro de Defesa do Consumidor) está solicitando o adiamento da votação do projeto por 30 dias, para possibilitar o amadurecimento das discussões.

Leia mais em: [O Globo]

A volta do papel às eleições brasileiras

O Projeto de Lei 5.498/09, que estabelecerá as novas regras a serem seguidas no pleito eleitoral de 2010, foi aprovado pela Câmara a aguarda sanção presidencial.

À parte o fato de se voltar atrás da bizarra proibição do uso da Internet nas campanhas eleitorais – em um jogo de cena que fez parecer com que o reconhecimento de um uso legítimo da liberdade da expressão soasse, mais do que como uma garantia fundamental, como uma “concessão” de nossos parlamentares, o projeto introduz algumas interessantes modificações na mecânica da auditoria do voto eletrônico.

De acordo com o art. 5º do projeto, o eleitor finalmente poderá contar com um comprovante impresso pela própria máquina de voto.

Ainda, será feita uma auditoria por amostragem, através da impressão dos votos de 2% das urnas eletrônicas de cada zona eleitoral (escolhidas por sorteio). Ao invés de representar uma volta ao passado (como declarou o Senador Osmar Dias, demonstrando desconhecer a real razão pela qual estes votos serão impressos), esta volta parcial do papel às nossas eleições representa uma oportunidade para conceder reais poderes à uma auditoria capaz de verificar a plausibilidade de manipulação do resultado final das urnas eletrônicas – dado que os votos eletrônicos não podem ser auditados senão através do software utilizado, em um procedimento muito mais técnico – e mesmo obscuro – do que a conferência de votos impressos por escrutinadores e fiscais de partidos.

Não se trata propriamente de uma volta total das eleições ao voto cartáceo (como aliás ocorreu em países como na Irlanda e outros países), porém há a possibilidade que se esteja dando um sólido passo rumo à uma maior transparência e ao abandono do mito da infalibilidade e superioridade absoluta da máquina de votação.

No que interessa à identificação biométrica dos eleitores e a eventuais garantias de proteção de seus dados pessoais, não houve nenhum avanço.

Positivo para os bancos?

O Projeto de Lei que trata do cadastro positivo – que, em suma, permite aos bancos de dados de proteção ao crédito armazenarem e utilizarem informações sobre dividas regularmente pagas, e não apenas sobre os inadimplementos – foi aprovado na Câmara dos Deputados no dia 19/05/09, seguindo agora para o Senado.

O jornal O Estado de São Paulo tornou pública, em editorial sobre o assunto, sua crítica sobre o projeto. A redistribuição de poderes que o projeto proporciona foi tratada às claras: o projeto permite ao mercado financeiro um maior conhecimento objetivo sobre o consumidor, sem dar em troca mais do que uma garantia genérica de eventual baixa dos juros para o consumo.

Um ponto que não foi tratado diretamente porém se infere do texto é o risco que a implementação deste projeto apresenta – risco este assumido praticamente de forma integral pelo consumidor, que fica mais vulnerável à medida que mais dados seus são processados e armazenados, aumentando as chances de utilização indevida e ilícita dos mesmos.

Senado norte-americano aprova lei sobre privacidade genética

A GINA, ou Genetic Information Nondiscrimination Act, vem sendo proposta há anos e agora apresenta chances de vir a se tornar lei. Seu principal efeito seria impedir empregadores e seguradoras de utilizarem informações genéticas de seus empregados e clientes para, amentando a previsibilidade de certas patologias, diminuir o risco de sua atividade. Este procedimento seria, nos termos da lei, discriminatório.

Projeto de lei de proteção de dados de iniciativa governamental é enviada ao parlamento do Uruguai

O governo uruguaio enviou ao parlamento um projeto de lei sobre proteção de dados pessoais. O projeto condensa em um único documento legislativo uma série de normas esparsas, bem como unifica em uma discipina única o tratamento de dados pessoais em uma ampla gama de situações, além de instituir um órgão de controle com competência genérica – representando, desta forma, um passo bastante largo em relação à normativa anterior, cuja Lei 17.838, por exemplo, era uma norma setorial. [ler mais]