Dados pessoais e dados sensíveis

O direito comunitário, mediante o art. 2º, alínea a) da diretiva 95/46/CE258 estabelece que dados pessoais podem ser classificados como:

“qualquer informação relativa a uma pessoa singular identificada ou

identificável («pessoa em causa»); é considerado identificável todo 254 LORENZETTI, Ricardo Luis. Consumidores. Buenos Aires: Rubinzal y Asociados, 2003, p. 130. 255 DONEDA, Danilo. Ibid, 2006, p. 23.

256 Ver também RODOTÁ, Stefano, Ibid, p. 93: “Partindo dessa constatação, pode-se dizer que hoje a sequência quantitativamente mais relevante é "pessoa-informação-circulação-controle", e não mais apenas "pessoa-informação-sigilo", em torno da qual foi construída a noção clássica de privacidade. O titular do direito à privacidade pode exigir formas de "circulação controlada", e não somente interromper o fluxo de informações que lhe digam respeito.”

257 RODOTÁ, Stefano. Tecnologie e diritti. Bologna: Mulino. 1995, p. 122 apud LEONARDI, Marcel. Tutela e privacidade na Internet. São Paulo: Saraiva, 2012, p. 83.

258 UNIÃO EUROPEIA. Diretiva 95/46/CE – Diretiva Relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, de 24 de Outubro de 1995. Jornal Oficial das Comunidades Europeias. Parlamento e Conselho Europeu.

aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;”

A mesma diretiva, também no art. 2º, alínea b) define a atividade de tratamento como:

“qualquer operação ou conjunto de operações efectuadas sobre

dados pessoais, com ou sem meios automatizados, tais como a recolha, registro, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;”

No Brasil, a definição de dados ou informações pessoais não é específica. Há as disposições constitucionais acerca da privacidade nos art. 5º inc. X259 _{e XII}260_{. Ao} mesmo tempo, acerca da proteção de dados, existem leis que indiretamente tratam da questão, como o próprio Código de Defesa do Consumidor, a Lei da Interceptação Telefônica (lei 9.296/96), a lei que regulamenta o habeas data (Lei 9.507/97) além da própria Lei de Quebra de Sigilo Bancário (Lei Complementar n. 105/01).261

Igualmente o Código Civil, no seu art. 21, consagra a inviolabilidade da vida privada da pessoa natural.

A lei 12.527 de 18 de Novembro de 2011, embora trate de procedimentos de acesso a informações a serem observados pela União, Estados, Distrito Federal e 259 Art. 5º, inc X da CF: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;”

260 Art. 5º, inc XII da CF: “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;” 261 Conforme LIMBERGER, Têmis. Direito e informática: o desafio de proteger os direitos do

cidadão. In SARLET, Ingo Wolfgang (org). Direitos Fundamentais, Informática e Comunicação: algumas aproximações. Porto Alegre: Livraria do Advogado, 2007, p. 196 e 200.

Municípios, traz alguns conceitos importantes relativos ao tratamento de informações. Tais conceitos podem oferecer um apoio para a compreensão da questão de acesso às informações privadas. O art. 4º traz as seguintes definições:

I - informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

[…]

IV - informação pessoal: aquela relacionada à pessoa natural identificada ou identificável;

[…]

V - tratamento da informação: conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação;

[…]

IX - primariedade: qualidade da informação coletada na fonte, com o máximo de detalhamento possível, sem modificações.

Na verdade, a noção de dados pessoais é bem ampla. José Antônio Peres Gediel e Adriana Espíndola Correa trazem como exemplos de dados pessoais: nome e endereço; número de telefone; números de documentos de identificação; currículos escolares; dados profissionais, fiscais e bancários; dados envolvendo dívidas e créditos bem como meios de pagamento; endereço eletrônico; imagens recolhidas por câmeras de segurança, fotografias disponibilizadas na Internet, etc.262 Os dados ou informações pessoais possuem um ”vínculo objetivo com uma pessoa.”263

262 CORREA, Adriana Espíndola; GEDIEL, José Antônio Peres. Proteção jurídica de dados pessoais: a intimidade sitiada entre o estado e o mercado. Revista da Faculdade de Direito - UFPR, Curitiba, n. 47, 2008, p. 144.

263 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006, p. 156

Destaque-se que, o endereço IP utilizado para acessar a Internet também deve ser visto como um dado pessoal. Isso pois, ele é relacionado com as atividades realizadas pelos usuários na Internet. Assim, quando um usuário acessa uma página, quando posta um comentário em um blog, quando acessa um conteúdo pornográfico ou lê um artigo policial ou, ainda, realiza uma pesquisa sobre como fazer uma bomba, seu endereço IP é registrado.264

Esses dados ficam armazenados nos provedores de serviços de Internet265

e podem ser usados para a identificação das ações realizadas pelos seus usuários.

Em geral, os dados de internautas são recolhidos, em primeiro lugar, por meio do fornecimento feito pelo próprio usuário.266 _{Basicamente o fornecedor de serviços} solicita previamente o fornecimento desses dados. Com frequência, o preenchimento de tais formulários é acompanhado das chamadas políticas de privacidade (também chamadas de políticas de uso, ou simplesmente de disclaimers). Há também a possibilidade de recolhimento de informações mediante os chamados cookies. Segundo Luciana Antonini Ribeiro, os cookies:

“nada mais são do que programas que, uma vez instalados,

identificarão aquele computador específico. Assim, quando o consumidor ingressa em um determinado site, o qual, em oportunidade anterior, instalou um cookie no computador do usuário, sua presença será detectada e individualizada.”267

264 McINTYRE, Joshua J.. Balancing Expectations of Online Privacy: Why Internet Protocol (IP) Addresses Should be Protected as Personally Identifiable Information. DePaul Law Review, Vol. 60, N. 3, 2011. Disponível em: <http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1621102>. Acesso em: 12 Fev. 2012, p. 3.

265 O endereço IP, sozinho, não significa nada mais do que um número. Para que ele possa ser compreendido é necessário cruzá-lo com outros dados, como por exemplo, o cadastro de clientes do provedor de acesso. Idem. Ibid, p. 18

266 Cf. PAREDES, Marcos. Violação da privacidade na Internet. Revista de Direito Privado, São Paulo, n. 9, jan.-mar./2002, p. 197-198. “Muitas vezes o usuário da Internet é obrigado a preencher questionários pessoais antes de efetivar qualquer aquisição de produtos ou serviços. Outras vezes a mesma exigência é feita ainda que nenhum produto ou serviço seja adquirido. O problema que esta prática representa é a capturação de dados sensíveis e não sensíveis dos diversos usuários conectados na rede. A utilização desvirtuada de tais informações pode acarretar danos aos direitos da personalidade, pois vulneram a intimidade e a privacidade do internauta.”

Na verdade, os cookies268 _{são arquivos que contêm informações acerca do} uso ou acesso a sites e podem ser interpretados pelos fornecedores de serviços na Internet. Os dados armazenados nos cookies podem ser “cruzados com informações presentes em bancos de dados pessoais, possibilitando, assim, uma completa identificação do consumidor, bem como um rastreamento...”.269 Além do mais, os cookies que não são deletados do computador do usuário podem fornecer um histórico completo de onde ele navegou na Internet.270

Quanto ao conceito de “dados sensíveis”271

, a recente lei 12.414/2011, ao estabelecer as vedações de anotações nos cadastros de adimplemento272_{, traz esta} definição no seu art. 3º, inc. II: “informações sensíveis273_{, assim consideradas}

aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”. O anteprojeto

268 Outra explicação sobre os cookies: "Cookies are simple text files stored on the end user’s hard disk and they have many legitimate and beneficial uses, such as customising the content of a web page for an individual. A cookie tells the website that it’s you who is looking at it." Cf. GELBSTEIN, Eduardo; KAMAL, Ahmad. Information Insecurity: A survivel guide to the uncharted territories of cyber-threats and cyber-security. New York: United Nations ICT Task Force, 2002, p. 44

269 RIBEIRO, Luciana Antonini. Ibid, p. 158. 270 Cf. GELBSTEIN, Eduardo; KAMAL. Ibid, p. 44.

271 Também chamados pela doutrina de dados “ultrasensíveis” cf. RUIZ, Carlos Barriuso. Ibid, p. 145. 272 Ver também a sugestão de alteração do CDC assim proposta por Cláudia Lima Marques, através da criação do art. 43-A. O artigo assim prevê: “Nos arquivos, coletas e bancos de dados, organizados pelos fornecedores que se utilizarem, seja para conclusão, seja para a execução, total ou parcial, de um meio eletrônico, de telemídia, teleshopping ou meio semelhante de comunicação de massa, os fornecedores somente poderão requerer informações não sensíveis e razoáveis dos consumidores. §1° Neste caso, os fornecedores que organizarem a coleta, o arquivo ou o banco de dados deverão igualmente organizar um meio técnico para que o consumidor possa manifestar sua vontade de que os dados não sejam arquivados e possa ter acesso posteriormente a seus dados, para corrigi-los. §2º Os fornecedores que coletarem, arquivarem, venderem, transmitirem ou organizarem estes dados coletados eletronicamente são responsáveis por qualquer dano deles advindo aos consumidores respectivos, tendo estes fornecidos os dados voluntariamente ou não”. MARQUES, Cláudia Lima. Contratos no Código de Defesa do Consumidor: o novo regime das relações contratuais. 6ª Ed. São Paulo: RT, 2011, p. 774-775. Acerca da questão dos organizadores serem responsáveis “por qualquer dano”, não se sabe se a autora quis estender ao caso a responsabilidade integral pelos danos relacionados às informações armazenadas em banco de dados.

273 A Política de Privacidade do Google, disponível em http://www.google.com/intl/pt- BR/policies/privacy/ refere-se expressamente à coleta destes tipos de dados: “Ao exibirmos anúncios personalizados, não associaremos cookies de navegador ou identificadores anônimos a determinadas categorias, como aquelas baseadas em raça, religião, orientação sexual ou saúde.”

brasileiro de lei de proteção de dados pessoais, no seu art. 4º, inc. IV, estabelece uma definição mais completa acerca dos dados sensíveis:

dados pessoais cujo tratamento possa ensejar discriminação do titular, tais como aqueles que revelem a origem racial ou étnica, as convicções religiosas, filosóficas ou morais, as opiniões políticas, a filiação sindical, partidária ou a organizações de caráter religioso, filosófico ou político, os referentes à saúde e à vida sexual, bem como os dados genéticos e biométricos;

A doutrina ao caracterizar dados de caráter pessoal e sensíveis, assim define:

“Os dados de caráter pessoal contêm informação das

pessoas físicas que permitem sua identificação no momento ou posteriormente. Na sociedade tecnológica, os cadastros armazenam alguns dados que possuem um conteúdo especial, e por isso são denominados dados sensíveis. Tais dados podem referir-se a questões como ideologia, religião ou crença, origem racial, saúde, ou vida sexual. Exige-se que os cadastros que os armazenem possuam uma segurança especial, como forma de evitar que sejam mal utilizados.” 274

274 LIMBERGER, Têmis. Direito e informática: o desafio de proteger os direitos do cidadão. In SARLET, Ingo Wolfgang (org). Direitos Fundamentais, Informática e Comunicação: algumas aproximações. Porto Alegre: Livraria do Advogado, 2007, p. 218. Conforme a autora, a lei argentina 25.326 foi uma das primeiras, na América Latina, a legislar sobre o assunto, p. 224. A referida lei conceitua as informações sensíveis (datos sensibles), em seu art. 2º: “Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.” Conforme DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar. 2006, p. 350, essa lei “revela sua sintonia com os preceitos básicos do modelo europeu de proteção de dados pessoais. Ela procura estabelecer uma disciplina de proteção da pessoa, através da tutela de seus dados pessoais. A lei estabelece a obrigação de informação sobre o tratamento de dados pessoais, inclusive sobre sua finalidade e as suas consequências; a lei estabelece também um regime específico para dados sensíveis.”

A definição do que são dados sensíveis275 _{e o afastamento de seu} recolhimento nesse contexto276 _{representa um grande avanço da lei 12.414/2011. A} sistemática de proteção ao consumidor não está limitada apenas na observância do CDC. A regra do art. 7º do CDC prevê expressamente que os direitos estabelecidos no código:

“não excluem outros decorrentes de tratados ou convenções de que

o Brasil seja signatário, da legislação interna ordinária, de regulamentos expedidos pelas autoridades administrativas competentes, bem como dos que derivem dos princípios gerais do direito, analogia, costumes e eqüidade.”

Ora, em função do exposto, a proibição de anotações de informações sensíveis do parágrafo 3º do art. 3º da lei 12.414 de 9 de Junho de 2011 pode ser vista de forma ampla, em relação ao armazenamento de dados sensíveis do consumidor. Por outro lado, há a possibilidade do armazenamento de dados sensíveis com o consentimento explícito do usuário; em situações de associação com entidades sem fins lucrativos com finalidades políticias, filosófica, religiosas e sindicais; em situações de proteção da vida e incolumidade física e em situações envolvendo profissionais da área da saúde277_{. É certo que a doutrina e jurisprudência} terão a tarefa de elucidar essa questão.

275 DONEDA, Danilo. Ibid, 163. Conforme o autor “a diferenciação conceitual dos dados sensíveis atende à uma necessidade de estabelecer uma área na qual a probabilidade de utilização discriminatória da informação é potencialmente maior...”.

276 Ver também a lição RODOTÀ, Stefano. Ibid, p. 96: “A classificação desses dados na categoria de dados "sensíveis", particularmente protegidos contra os riscos da circulação, deriva de sua potencial inclinação para serem utilizados com finalidades discriminatórias. Exatamente para garantir plenitude à esfera pública, determinam-se rigorosas condições de circulação destas informações, que recebem um fortíssimo estatuto "privado", que se manifesta sobretudo pela proibição de sua coleta por parte de determinados sujeitos (por exemplo, empregadores) e pela exclusão de legitimidade de certas formas de coleta e circulação.”

277 Tais exceções encontram-se no art. 21 do anteprojeto brasileiro de lei de proteção de dados pessoais.

Na mesma direção da lei brasileira, a diretiva 95/46/CE também define a proibição de tratamento de dados sensíveis. Porém, vai mais além ao impor exceções ao tratamento de dados sensíveis, assim dispostas no art. 8º, n. 2. Entre os casos estão o consentimento explícito da pessoa envolvida, o que se realizado de forma consciente e adequada, parece representar uma real exceção. Portanto, no caso de dados pessoais, bastaria o consentimento explícito, e no caso de dados sensíveis, o consentimento inequívoco.278