A evolução da tutela à proteção de dados pessoais na Legislação

Antes mesmo da era digital, o tratamento de dados já era uma ferramenta utilizada pelo setor do marketing, com o intuito de angariar clientes e ofertar produtos com certa especificidade, visto que, já no século XX, as empresas se valiam de bancos de dados manuais criados a partir de cadastros realizados pelos consumidores.

Obviamente, que a eficiência e a atualização destes bancos de dados era, de certa forma, mais precária e ineficiente, o que melhorou com o avanço da tecnologia, principalmente, com a informática.

Diante do surgimento desta nova prática comercial, o Direito não podia restar inerte, porque havia o risco dos bancos de dados infringirem a privacidade dos

titulares dos dados captados e tratados. Assim, as primeiras regulamentações sobre tratamento de dados surgiram no final do século supramencionado, mais precisamente, na década de 70.

Cumpre ainda destacar que antes mesmo de tais regulamentações serem criadas, em 1948, a Declaração Universal dos Direitos Humanos trouxe em seu artigo 1226, a proteção da vida privada, em uma concepção muito semelhante à concepção clássica deste direito.

Em seguida, o direito à vida privada foi objeto de estudo, no campo internacional da Convenção Europeia dos Direitos Humanos, adotada pelo Conselho Europeu em 1950, sendo certo que esta em seu artigo 8º trouxe à baila a proteção à vida privada, ao domicílio e à correspondência, bem como a proibição da ingerência do estado da vida privada, nos seguintes termos:

ARTIGO 8°

Direito ao respeito pela vida privada e familiar

1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência.

2. Não pode haver ingerência da autoridade pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e constituir uma providência que, numa sociedade democrática, seja necessária para a segurança nacional, para a segurança pública, para o bem-estar econômico do país, à defesa da ordem e à prevenção das infracções penais, à proteção da saúde ou da moral, ou à proteção dos direitos e das liberdades de terceiros. Em 1970, na Alemanha, fora realizada a primeira tentativa de elaboração de um sistema de proteção de dados: a Lei de proteção de dados pessoais do Land de Hesse (tratava-se de uma lei sintética que abordava a proteção de dados pessoais geridos pelo Poder Público).

Em 1973, a Suécia criou a Primeira Lei Nacional sobre a Proteção de dados pessoais. Ainda neste ano, fora editada uma Resolução do Comitê de Ministros, a pedido da Assembleia Consultiva do Conselho Europeu, que acabou por relacionar a coleta de dados pessoais ao direito da privacidade, consolidando a

26 _{“Ninguém será sujeito a interferências na sua vida privada, na sua família, no seu lar ou na sua}

correspondência, nem a ataques a sua honra e reputação. Todo o homem tem direito à proteção da lei contra tais interferências ou ataques.” 

ideia de que a proteção de dados pessoais seria uma das facetas do direito à privacidade. Esta resolução classificou alguns dados como sensíveis, trazendo restrições à obtenção de tais dados, além de ter previsto, como direito do titular de dados, o conhecimento acerca da coleta de seus dados pessoais.

Em consonância com o avanço da legislação europeia, em 1977, a Alemanha promulgou sua Lei Federal sobre o assunto e, em 1978, a França, de modo inovador, promulgou uma Lei sobre proteção de dados pessoais, que previa a criação de um órgão para a sua tutela.

Apesar do surgimento das legislações internas terem se mostrado como um avanço, a evolução da tecnologia demonstrou que não há fronteiras ao tráfego de dados. Assim, passaram a se destacar, no âmbito internacional, legislações mais amplas e que abrangiam diversos países.

Desta forma, alguns diplomas de maior amplitude ganharam extrema relevância, passando a influenciar diversas legislações locais, por isso, não podemos deixar de mencioná-los neste trabalho. São estes: (i) “Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”27 (Diretrizes da OCDE para a proteção da privacidade e dos Fluxos Transfronteiriços de dados pessoais), publicadas pela OCDE (Organização para a Cooperação e Desenvolvimento Econômico) em 1980; (ii) a Convenção 108 da União Europeia sobre a proteção das pessoas em relação ao tratamento automatizado de dados de caráter pessoal 28_{, assinada em 1981; (iii) as Diretivas 95/46 CE}29 _{e 2002/58/CE}30_{, ambas do}

27 _{OECD. Organização para a Cooperação e Desenvolvimento Econômicos. Diretrizes Orientando} a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais. OECD, 2003. Síntese. Disponível em: <http://www.oecd.org/sti/ieconomy/15590254.pdf>. Acesso em: 02 ago. 2015. 

28 _{CNDP. Comissão Nacional de Proteção de Dados. Convenção para a protecção das pessoas} relativamente ao tratamento automatizado de dados de carácter pessoal. Estrasburgo, 28 jan. 1981. Disponível em: <http://www.cnpd.pt/bin/legis/internacional/Convencao108.htm>. Acesso em: 02 ago. 2015. 

29 _{PARLAMENTO EUROPEU E CONSELHO. Directiva 95/46/CE, de 24 de outubro de 1995.}

Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Luxemburgo, 24 out. 1995. Disponível em: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:pt:HTML>.

Acesso em: 02 ago. 2015. 

30 _{Id. Directiva 2002/58/CE, de 12 de Julho de 2002. Relativa ao tratamento de dados pessoais e}

à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas). Bruxelas, 12 jul. 2002. Disponível em: <http://eur- lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32002L0058>. Acesso em: 02 ago. 2015. 

Parlamento Europeu e que tratam, respectivamente, da proteção às pessoas físicas, no que diz respeito ao tratamento de dados e da circulação destes, bem como do tratamento destes dados de forma eletrônica; e, (iv) o “Safe Harbour Privacy Principles”31_{, acordo realizado entre a União Europeia e os Estados}

Unidos em 2000, recentemente invalidado por acórdão da Corte de Justiça Europeia, como se verá adiante 32_.

Vale destacar, ainda, que o Conselho Europeu está, desde 2012, trabalhando na unificação e atualização da legislação referente à proteção de dados pessoais, com vistas a garantir a economia digital e combater a criminalidade transnacional e o terrorismo. O pacote referente à reforma de proteção de dados envolve duas propostas: (i) um regulamento geral sobre proteção de dados pessoais e (ii) uma diretiva sobre a proteção de dados pessoais tratados para efeitos de aplicação da lei33, sendo certo que estas viriam a revogar a Diretiva 95/46 CE.

Recentemente, em 15 de junho do ano de 2015, os ministros da Justiça e dos Assuntos Internos acabaram por definir uma orientação geral sobre o regulamento. Em razão deste acordo, em 24 de junho de 2015, o Parlamento Europeu, o Conselho e a Comissão Europeia iniciaram as negociações acerca da proposta de regulamento geral sobre a proteção de dados, este é um procedimento informal denominado de trílogo.

A Autoridade Europeia sobre Proteção de Dados, em Parecer 3/2015, no qual apresentou recomendações sobre as opções da UE para a reforma da proteção de dados, indicou que o trílogo deveria ser concluído até o final de 2015, o que provavelmente permitiria uma adoção formal dos instrumentos de regulação no início de 2016, seguindo um período de dois anos de transição34_.

31 _{EXPORT.GOV. U.S.-EU Safe Harbor Overview. Washington, DC, 18 dez. 2013. Disponível em:}

<http://www.export.gov/safeharbor/eu/eg_main_018476.asp>. Acesso em: 02 ago. 2015. 

32 _{Id. U.S.-EU Safe Harbor List. Washington, DC, 2015. Disponível em: <https://safeharbor.}

export.gov/list.aspx>. Acesso em: 15 nov. 2015. 

33 _{CONSELHO EUROPEU. Conselho da União Europeia. Proteção de dados: Conselho chega a}

acordo sobre orientação geral. Bruxelas, 15 jun. 2015. Disponível em: <http://www.consilium.europa.eu/pt/press/press-releases/2015/06/15-jha-data-protection/>.

Acesso em: 25 ago. 2015. 

34 _{EDPS. European Data Protection Supervisor. A grande oportunidade da Europa.}

Em relação aos diplomas ora destacados, cumpre consignar que as diretrizes da OCDE (Organização para Cooperação e Desenvolvimento Econômico) se voltaram para a questão do tráfego internacional de dados, tendo criado “padrões mínimos suscetíveis de serem suplementados com medidas adicionais35_{, a serem} promovidas pelos países membros em prol da privacidade e da liberdade individual de seus cidadãos.

Muito embora, as diretrizes não possuam força vinculante, não se pode olvidar de que tiveram e continuam a ter um papel de destaque, tendo, inclusive, sedimentado diversos princípios acerca da proteção de dados pessoais que, hoje, verificamos em legislações posteriores e em proposituras legislativas elaboradas em nosso país. Seriam estes: (i) princípio da limitação da coleta, (ii) princípio da qualidade de dados, (iii) princípio da definição da finalidade, (iv) princípio de limitação de utilização, (v) princípio do back-up de segurança, (vi) princípio de abertura, princípio de participação do indivíduo, (vii) princípio de responsabilização36.

Bruxelas: EDPS, 28 jul. 2015. Disponível em: <https://secure.edps.europa.eu/EDPSWEB/ webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-10-09_GDPR_with_ addendum_PT.pdf>. Acesso em: 18 nov. 2015. 

35 _{OECD. Organização para a Cooperação e Desenvolvimento Econômicos. Diretrizes Orientando} a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais. OECD, 2003. Síntese. Disponível em: <http://www.oecd.org/sti/ieconomy/15590254.pdf>. Acesso em: 02 ago. 2015. 

36 _{“Princípio de limitação da coleta}

7. A coleta de dados pessoais deveria ser limitada e qualquer desses dados deveria ser obtido através de meios legais e justos e, caso houver, informando e pedindo o consentimento do sujeito dos dados.

Princípio de qualidade dos dados

8. Os dados pessoais deveriam ser relacionados com as finalidades de sua utilização e, na medida necessária, devem ser exatos, completos e permanecer atualizados.

Princípio de definição da finalidade

9. Os propósitos da coleta de dados pessoais devem ser indicados no momento da coleta de dados ao mais tardar e o uso subsequente limitado à realização destes objetivos ou de outros que não sejam incompatíveis e que sejam especificados cada vez que mudar o propósito. Princípio de limitação de utilização

10. Dados pessoais não deveriam ser divulgados, comunicados ou utilizados com finalidades outras das que foram especificadas de acordo com o Parágrafo 9, salvo :

1. com o consentimento do sujeito dos dados; ou 2. por força de lei.

Princípio do back-up de segurança

11. Back-ups de segurança regulares deveriam proteger os dados pessoais contra riscos tais como perda, ou acesso, destruição, uso, modificação ou divulgação desautorizados de dados. Princípio de abertura

12. Deveria haver uma política geral de abertura a respeito do desenvolvimento, da prática e da política referentes a dados pessoais. Deveriam estar prontamente disponíveis meios de

Estes princípios criados pelas Diretrizes da OCDE foram adotados por legislações posteriores sob as seguintes nomenclaturas: (i) o princípio da transparência; (ii) o princípio da informação; (iii) o princípio da finalidade; (iv) o princípio da proporcionalidade; (v) o princípio da exatidão dos dados; (vi) o princípio da confidencialidade e da segurança; e, (vii) o princípio da temporalidade do uso.

O princípio da transparência, proveniente do princípio da definição de proteção de dados e de participação do indivíduo, afirma que a coleta e tratamento de dados deve ser noticiada, publicizada ao titular destes dados e, muitas vezes, a uma determinada autoridade a depender das exigências da legislação local. Sobre tal princípio, nos esclarece Manoel J. Pereira Santos que:

[…] o tratamento de dados pessoais e a formação do banco de dados devem ser revelados, e não mantidos em sigilo, de tal forma que se revistam da necessária publicidade. A maneira como essa publicidade é assegurada depende das condições específicas para o tratamento de dados pessoais, que é estabelecida em cada regime, uma vez que o exercício dessa atividade no caso concreto pode depender de notificação à autoridade de controle, de obtenção de consentimento prévio da pessoa em causa ou de simples comunicação ao interessado37.

estabelecer a existência e natureza de dados pessoais, as finalidades principais de seu uso, bem como a identidade e residência habitual do controlador de dados.

Princípio de participação do indivíduo 13. Um indivíduo deveria ter o direito de :

1. obter do controlador de dados, ou por outro meio, a confirmação de que este possui ou não dados referentes a ele;

2. de que lhe sejam comunicados dados relacionados a ele 1. dentro de um prazo razoável;

2. por um preço, caso houver, que não seja excessivo; 3. de maneira razoável; e

4. de modo prontamente compreensível para ele;

3. obter explicações caso for rejeitado um pedido feito conforme o disposto nos subparágrafos 1 e 2, e ter meios de contestar tal recusa; e

4. contestar dados relacionados a ele e, se a contestação for recebida, pedir que os dados sejam apagados, retificados, completados ou modificados.

Princípio de responsabilização

14. O controlador de dados terá de prestar contas pela observância das medidas que dão efeito aos princípios acima indicados” (OECD. Organização para a Cooperação e Desenvolvimento Econômicos. Diretrizes Orientando a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais. OECD, 2003. Síntese. Disponível em: <http://www.oecd.org/sti/ieconomy/15590254.pdf>. Acesso em: 02 ago. 2015). 

37 _{SANTOS, Manoel J. Pereira. Princípios para Formação de um Regime de Dados Pessoais. In:}

LUCCA, Newton De; SIMÃO FILHO, Adalberto. Direito & Internet. Aspectos Jurídicos Relevantes. v. II. Bauru, SP: EDIPRO, 2001, p. 360.  

O princípio da informação seria como um subprincípio do princípio da transparência, sendo que, neste último, o titular dos dados deve receber informação adequada acerca dos dados coletados e armazenados, bem como acerca do perfil do titular que é gerado a partir deste tratamento, inclusive, para que o titular possa retificar este perfil, caso haja erros e seja de seu interesse.

Este princípio empodera o usuário, o consumidor, de modo que, a partir da informação, este possa exercer sua escolha sobre o tratamento de seus dados de uma forma mais lúcida e consciente.

O princípio da informação, igualmente, possibilitou o surgimento do princípio da exatidão dos dados pessoais, visto que, segundo o princípio da exatidão, deve o responsável pelo tratamento assegurar ao titular o seu direito de retificar e apagar dados seus, que foram armazenados por aquele, o que somente se viabiliza se o titular dos dados tiver o conhecimento de quais dados foram coletados e como estes estão registrados no banco de dados do responsável.

Quanto ao princípio da finalidade, resultado da junção do princípio da limitação da utilização, da qualidade dos dados e da definição da finalidade, este, por sua vez, preceitua que os dados pessoais devem ser coletados, armazenados e tratados tão somente com o objetivo específico divulgado ao usuário no momento da obtenção de seu consentimento, o que, ressalvadas algumas exceções previstas na lei, deslegitima o tratamento dos dados para fins diversos.

Atrelado ao princípio da finalidade se encontra o da proporcionalidade, sendo certo que, em consonância com este, somente podem ser coletados dados que prestem ao atendimento, cumprimento da finalidade divulgada.

Outro princípio relevante é o da confidencialidade e segurança, proveniente do princípio do backup de segurança, pelo qual o responsável é obrigado a tomar medidas de segurança suficientemente eficientes a fim de evitar acidentes como perda, divulgação, acesso, uso e tratamento não autorizado dos dados.

Cumpre ainda destacar que toda esta principiologia criada pelas diretrizes gerou, igualmente, o princípio da temporalidade do uso, o qual estabelece que os dados não devem ser armazenados por tempo indeterminado. Algumas legislações e

projetos de legislações, para cumprimento deste princípio, preceituam que o tratamento de dados deve ser finalizado e cancelado tão logo se atinja a finalidade perseguida e divulgada ao titular de dados, no momento da obtenção do consentimento deste. É o caso, por exemplo, do que dispõe o Anteprojeto de Lei do Ministério da Justiça, seu artigo n.15, I38_{, como se verá adiante no capítulo 4.}

Em consonância com o exposto, Stefano Rodotà cita em seu livro “A vida na sociedade da vigilância” dois textos de relevância internacional acerca da proteção de dados pessoais: a Convenção do Conselho da Europa de 28 de janeiro de 1981 e a Recomendação da OCDE de 1980, ressaltando que de ambos, pode-se destacar os seguintes princípios39:

1. princípio da correção na coleta e no tratamento das informações;

2. princípio da exatidão dos dados coletados, acompanhado pela obrigação de sua atualização;

3. princípio da finalidade da coleta dos dados, que deve poder ser conhecida antes que ocorra a coleta, e que se especifica na relação entre os dados colhidos e a finalidade perseguida (princípio da pertinência); na relação entre finalidade da coleta e a utilização dos dados (princípio da utilização não-abusiva); na eliminação ou na transformação em dados anônimos das informações que não são mais necessárias (princípio do direito ao esquecimento);

4. princípio da publicidade dos bancos de dados que tratam as informações pessoais, sobre os quais deve existir um registro público;

5. princípio do acesso individual, com a finalidade de conhecer quais são as informações coletadas sobre si próprio, obter a sua cópia, obter a correção daquelas erradas, a integração daquelas incompletas, a eliminação daquelas coletadas ilegitimamente; 6. princípio da segurança física e lógica da coletânea dos dados. Assim, como já enunciado, posteriormente às Diretrizes, em 1981, fora editada pelo Conselho da Europa a “Convenção para a proteção de Indivíduos com Respeito ao Processamento Automatizado de Dados Pessoais” (Convenção n.

38 _{“Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:}

I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes para o alcance da finalidade específica almejada”. 

39 _{RODOTÀ, Stefano. A vida na sociedade da vigilância – a privacidade hoje. Tradução: Danilo}

108 do Conselho da Europa), esta Convenção exigia que os estados membros elaborassem normas acerca da proteção ao tratamento de dados pessoais.

Em 1995, o Parlamento Europeu e o Conselho da União Europeia criaram a primeira Diretiva sobre a proteção de dados pessoais e a sua circulação, a Diretiva 95/46/CE40_{. Em 2002, fora editada a segunda Diretiva, de n.2002/58/CE}41, referente ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrônicas.

A Diretiva n. 95/46/CE teve um papel uniformizador, convergente acerca do tratamento de dados pessoais, na União Europeia, de modo a facilitar e proteger esta circulação de maneira mais abrangente. Dessa forma, tal Diretiva se pautando em dois valores – a proteção da pessoa e de seus dados pessoais, bem como a garantia da livre circulação de pessoas, mercadorias, serviços, capitais e dados – buscou equilibrá-los em todo o ambiente europeu por meio da uniformização das legislações.

Esta intenção uniformizadora e também de assegurar, além do direito fundamental à proteção de dados, a livre circulação destes dados, resta clara no “Considerando 8”, desta Diretiva, a saber:

(8) Considerando que, para eliminar os obstáculos à circulação de dados pessoais, o nível de proteção dos direitos e liberdades das pessoas no que diz respeito ao tratamento destes dados deve ser equivalente em todos os Estados-membros; que a realização deste objetivo, fundamental para o mercado interno, não pode ser assegurada unicamente pelos Estados-membros, tendo especialmente em conta a dimensão das divergências que se verificam atualmente a nível das legislações nacionais aplicáveis na matéria e a necessidade do coordenar as legislações dos Estados-membros para assegurar que a circulação transfronteiras de dados pessoais seja regulada de forma coerente e em conformidade com o objetivo do mercado interno nos termos do artigo 7º A do Tratado; que é portanto

40 _{PARLAMENTO EUROPEU E CONSELHO. Directiva 95/46/CE, de 24 de outubro de 1995.}

Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Luxemburgo, 24 out. 1995. Disponível em: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:pt:HTML>.

Acesso em: 02 ago. 2015. 

41 _{Ib. Directiva 2002/58/CE, de 12 de Julho de 2002. Relativa ao tratamento de dados pessoais e}

à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas). Bruxelas, 12 jul. 2002. Disponível em: <http://eur- lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32002L0058>. Acesso em: 02 ago. 2015. 

necessária uma ação comunitária com vista à aproximação das legislações42.

O artigo 1º43_{da Diretiva, igualmente, traz a necessidade do equilíbrio entre a}

proteção de dados pessoais e a livre circulação de dados, inclusive, determinando que os Estados-membros não podem restringir ou proibir a livre circulação de dados entre eles.

Nesta toada, cumpre ressaltar acórdão44 da 3ª Sessão do Tribunal de Justiça