Thiago Luís Sombra
A proteção de dados pessoais e o direito à privacidade na internet parecem ter conquistado a agenda dos principais atores estatais, do mercado e da sociedade civil nos últimos tempos. No Brasil, o Marco Civil da Internet foi objeto de recente regulamentação (Decreto 8.771/16), a Política de Dados Abertos do Poder Executivo foi instituída (Decreto 8.777/16), o serviço de música por streaming foi disciplinado pelo Ministério da Cultura (IN MinC 1/16), o Anteprojeto de Proteção de Dados Pessoais foi enviado ao Congresso Nacional (PL 5.276/16) e uma ação direta de inconstitucionalidade foi proposta no Supremo Tribunal Federal contra o Marco Civil da Internet (ADI 5.527).
Sob outra perspectiva, União Europeia e Estados Unidos celebraram novo acordo transnacional para troca de dados (Privacy Shield) após o anterior (Safe Habor) ter sido declarado nulo pela Corte Europeia de Justiça. E, no final de maio, entrou em vigor a Diretiva Europeia (n. 680/16) e o Regulamento de Proteção de Dados Pessoais (n. 679/16). Em razão desses fatores, empresas brasileiras estão antecipando a implantação de programas de integridade e gestão de riscos de dados pessoais (privacy compliance officer e privacy risk management), de modo a otimizar as suas relações comerciais e vantagens competitivas com o continente europeu. Isso porque, com a possível aprovação do Anteprojeto de Proteção de Dados, tais medidas também deverão ser adotadas no Brasil, o que exigirá a adequação dos setores público e privado para atender as demandas de usuários. A indústria e o setor de serviços enfrentarão alguns desafios como promover a adaptação de dispositivos e plataformas a padrões de configuração de proteção da privacidade (privacy by default e privacy by design).
O súbito redimensionamento do interesse pela proteção dos dados pessoais e da privacidade tem origem clara: o desenvolvimento vertiginoso da economia compartilhada. Na sociedade da informação, marcada pelos processos de disrupção, convergência e digitalização, cada indivíduo pode ser considerado um centro de produção de riquezas e os seus dados representam uma valiosa commodity. Dominar a arte da análise, do tratamento e do armazenamento de dados pode significar um diferencial competitivo para qualquer empresa do setor produtivo e de consumo.
A época em que a análise de dados era tema restrito ao setor de tecnologia passou. Instituições como bancos e seguradoras tornaram-se grandes gestoras de dados e a elas são impostas obrigações legais como as de armazenamento de informações, de conhecimento do perfil dos seus clientes (Know Your Client) e de comunicação de operações suspeitas de lavagem de dinheiro e corrupção (Lei 9.613/98, IN CVM 301/99, IN CMN 2025/93). Os setores hoteleiro, farmacêutico e alimentício, por exemplo, também se tornaram importantes centros de processamento de dados, cuja manipulação e armazenamento tem lhes permitido compreender melhor as preferências e o perfil dos consumidores.
E se por um lado a exploração comercial indevida de dados sensíveis, criptografados e anônimos representa uma das preocupações dos atores estatais, por outro a vigilância em massa praticada pelo poder público constitui o ponto de atenção da sociedade civil. A era da vigilância líquida não é identificada apenas pela proliferação de agências de segurança e interceptações telefônicas. Ela se reproduz também na ampliação de controles de acesso, câmeras em locais públicos, cadastros, fiscalização de comportamentos, identificação digital e facial.
Mas a contramedida ao afã estatal de vigilância tem encontrado limites especialmente na Lei de Acesso à Informação, no Marco Civil da Internet e na Lei de Intercepções, as quais tem permitido melhor controle da inviolabilidade do sigilo dos dados (art. 5.º, XII, da CF). Considerado o maior gestor de informações dos cidadãos, o poder público reúne em bases cadastrais (SUS, IBGE, Farmácia Popular e FIES) um dos maiores indicativos de que o Estado pode ser o maior aliado e o maior inimigo da população[1]. Um bom exemplo desse fenômeno é reproduzido pela Lei 12.654/12, que determina a coleta de DNA de condenados por crimes hediondos para a manutenção de um banco de dados estatal de material genético. Por sinal, o tema é objeto de repercussão geral a ser examinada pelo STF no RE 973.837, Rel. Min. Gilmar Mendes.
Assim, se outrora a jurisprudência do Supremo Tribunal Federal se limitava a proteger o sigilo de comunicação dos dados (RE 418.416, Rel. Min. Sepúlveda Pertence, Tribunal Pleno, DJ 19.12.2006 ), o desafio será readequar a garantia de sigilo aos dados em si considerados, nos moldes do que ocorreu no julgamento de Riley v. California e do que tem feito o STJ para evitar o acesso sem autorização judicial por parte das autoridades estatais (HC 124.253/SP, Rel. Min. Arnaldo Esteves Lima, Quinta Turma, DJe 05.04.2010, RHC 51.531/RO, Rel. Min. Nefi Cordeiro, Sexta Turma, DJe 09.05.2016).
Por essa razão, o desafio regulatório na era digital deve ter como meta fortalecer os mecanismos de proteção de dados e da privacidade dos cidadãos, simultaneamente à promoção de um ambiente de governança digital seguro, estável e simplificado, capaz de fomentar o desenvolvimento econômico e social. O país precisa superar o modelo simplório de regulação binária “permitir/proibir”, como se tem observado em plataformas disruptivas como Uber e Airbnb. Para tanto, é essencial compreender que algumas particularidades do ciberespaço não se reproduzem no mundo físico, o que requer o aprimoramento dos marcos regulatórios. Criminalizar a conduta de quem invade um dispositivo mediante violação de um sistema de segurança, como o faz a Lei Carolina Dickmann (Lei 12.737/12), certamente pode ser factível no mundo físico, mas não necessariamente o é em casos de nuvens (cloud computing).
Proteger os dados pessoais e a privacidade num cenário de permanente fluxo transnacional de informações deve ser parte de uma política pública estrutural, atenta à cooperação internacional e não suscetível a medidas desproporcionais e casuísticas como as decisões judiciais no caso Whatsapp[2]. Aos cidadãos devem ser franqueados mecanismos para a obtenção de informações sobre como seus dados são processados, armazenados e manipulados, em harmonia com a livre iniciativa da atividade econômica.
________________________________________________
[1] Um caso recente envolveu a divulgação pública dos dados de gestantes internadas na rede pública de saúde do Município de São Paulo, cujos dados pessoais como nome, CPF, RG, telefone, endereço, tipo de parto e até aborto estavam disponíveis na internet. Cf. http://www1.folha.uol.com.br/cotidiano/2016/07/1788979-gestao-haddad-expoe-na-internet-dados-de-pacientes-da-rede-publica.shtml
[2] Em recente decisão, um magistrado do Paraná determinou que um site hospedado na Austrália, que explorava os serviços de consulta de dados de sócios de empresas brasileiras fosse submetido às sanções do Marco Civil da Internet (http://www.omci.org.br/m/jurisprudencias/arquivos/2016/pr_00059008420168160194_16062016.pdf). O fato se repete a cada dia e os mecanismos convencionais como as cartas rogatórias e o Mutual Legal Assistance Treaty (MLAT) se revelam incapazes de tornar exequíveis decisões judicias e leis quando diante de fluxo transnacional de dados.
Artigo publicado originalmente no portal de notícias JOTA, em 9/7/16.