O Tratamento de Dados Pessoais na Legislação Brasileira

No Brasil, o Constituinte de 88 optou, devido à relevância destas garantias individuais, por eleger a privacidade e a proteção de dados como direitos fundamentais, alocando-os no art.5o, da Constituição Federal, inciso X (resguarda a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas) e no XII (protege o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, em último caso, por ordem judicial).

A respeito do sigilo de dados previsto no artigo 5º, inciso XII, nos explica Tércio Sampaio Ferraz Júnior que este surgiu de uma necessidade do desenvolvimento da informática, bem como que o dispositivo busca proteger não só os dados em si, mas também a comunicação privativa de dados frente à intromissão alheia e não autorizada. Com o intuito de melhor explanar tal posição, vale destacar trecho do artigo do autor denominado “Sigilo de dados: o Direito à privacidade e os limites à função fiscalizadora do Estado”50_{, a saber:}

Em primeiro lugar, a expressão "dados" manifesta uma certa impropriedade (Celso Bastos/Ives Gandra; 1989:73). Os citados autores reconhecem que por "dados" não se entende o objeto de comunicação, mas uma modalidade tecnológica de comunicação. Clara, nesse sentido, a observação de Manoel Gonçalves Ferreira Filho (1990:39) — "Sigilo de dados. O direito anterior não fazia referência a essa hipótese. Ela veio a ser prevista, sem dúvida, em decorrência do desenvolvimento da informática. Os dados aqui são os dados informáticos (v. incs. XIV e LXXII)". A interpretação faz sentido. O sigilo, no inciso XII do art. 5°, está referido à comunicação, no interesse da defesa da privacidade. Isto é feito, no texto, em dois blocos: a Constituição fala em sigilo "da correspondência e das comunicações telegráficas, de dados

49 _{EXPORT.GOV. U.S.-EU Safe Harbor List. Washington, DC, 2015. Disponível em:}

<https://safeharbor.export.gov/list.aspx>. Acesso em: 15 nov. 2015. 

50 _{FERRAZ JUNIOR, Tercio Sampaio. Sigilo de Dados: o direito à privacidade e os limites à}

função fiscalizadora do Estado. Cadernos de Direito Constitucional e Ciência Política, São Paulo: Revista dos Tribunais, n. 1, p. 141-154, 1992. Disponível em: <http://www.terciosampaioferrazjr.com.br/?q=/publicacoes-cientificas/28>. Acesso em: 09 ago. 2015. 

e das comunicações telefônicas". Note-se, para a caracterização dos blocos, que a conjunção e une correspondência com telegrafia, segue-se uma vírgula e depois, a conjunção de dados com comunicações telefônicas. Há uma simetria nos dois blocos. Obviamente o que se regula é comunicação por correspondência e telegrafia, comunicação de dados e telefônica. O que fere a liberdade de omitir pensamento é, pois, entrar na comunicação alheia, fazendo com que o que devia ficar entre sujeitos que se comunicam privadamente passe ilegitimamente ao domínio de um terceiro. Se alguém elabora para si um cadastro sobre certas pessoas, com informações marcadas por avaliações negativas, e o torna público, poderá estar cometendo difamação, mas não quebra sigilo de dados. Se estes dados, armazenados eletronicamente, são transmitidos, privadamente, a um parceiro, em relações mercadológicas, para defesa do mercado, também não estará havendo quebra de sigilo. Mas se alguém entra nesta transmissão, como um terceiro que nada tem a ver com a relação comunicativa, ou por ato próprio ou porque uma das partes lhe cede o acesso indevidamente, estará violado o sigilo de dados. A distinção é decisiva: o objeto protegido no direito a inviolabilidade do sigilo não são os dados em si, mas a sua comunicação restringida (liberdade de negação). A troca de informações (comunicação) privativa é que não pode ser violada por sujeito estranho à comunicação. Doutro modo, se alguém, não por razões profissionais, ficasse sabendo legitimamente de dados incriminadores relativos a uma pessoa, ficaria impedido de cumprir o seu dever de denunciá-los!

Em consonância com a Constituição Federal, o Código Civil, em seu artigo 2151

enuncia ser a vida privada um direito inviolável. O Código de Defesa do Consumidor, por sua vez, em seu artigo 43 traz uma restrita previsão acerca da proteção de dados pessoais, fazendo menção ao princípio da informação, em seu

caput, ao determinar ser direito do titular ter informações sobre os dados seus que

forem coletados e armazenados; no parágrafo primeiro, do mesmo artigo, se encontra o direito do titular ao cancelamento, após cinco anos, de dados (informações) negativos; o parágrafo segundo traz em seu bojo o princípio da publicidade, vez que segundo este o consumidor deve ser informado a respeito da coleta e armazenamento de seus dados; e, por fim, o parágrafo terceiro traz o princípio da exatidão dos dados pessoais, concedendo ao titular o direito de retificar dados incorretos. Verificamos assim, que a legislação consumerista já absorveu alguns dos princípios presentes nas Diretrizes da OCDE de 1981.

51 _{“Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado,}

Em 2012, o tema da Proteção ao Tratamento de Dados Pessoais foi debatido em uma das Comissões do 5º Congresso da Indústria da Comunicação, com a participação ativa de 38 entidades integrantes do ForCom (Fórum Permanente da Industria da Comunicação)52_{. Diante dos debates acerca do tema a Comissão,}

entre outras medidas, concluiu-se pela recomendação de implementação de um conselho de autorregulamentação, que definisse princípios orientadores capazes de estabelecer parâmetros éticos para tratamento de dados que poderão ser utilizados para comunicação personalizada ou marketing direto.

Dentro do que fora discutido no referido Congresso, no mesmo ano, a ABEMD (Associação Brasileira de Marketing Direto) aprovou a primeira versão do “Código Brasileiro de Autorregulamentação para o Tratamento de Dados Pessoais53” _{e da} “Carta de Princípios54”, também direcionada ao Tratamento de Dados Pessoais, fato que demonstra a preocupação do mercado em equilibrar a circulação de dados com a proteção à vida privada.

Em meio a estas evoluções alguns projetos de Lei referentes à privacidade com o enfoque dirigido ao tratamento de dados pessoais surgiram. No entanto, como nenhum destes se tornou lei, optamos por tratar de seus históricos e conteúdo mais adiante no capítulo 4.

Assim, em termos de legislações e autorregulamentações, o próximo evento relevante no Brasil referente à proteção de dados pessoais se deu em 23 de abril de 2014, com a promulgação do Marco Civil da Internet – Lei n. 12.965.

Isso, pois, diante das inovações trazidas pela internet como possibilidade de rastreamento, cruzamento de dados, tratamento de informações, o Marco Civil não poderia deixar de tratar da privacidade e do guarda de dados, inclusive,

52 _{ABEMD. Associação Brasileira de Marketing Direto. Anteprojeto de Lei de Proteção de Dados} Pessoais – APL revisado e regulamentação do Marco Civil da Internet – 04/02/2015. São Paulo: ABEMB, 4 fev. 2005. Disponível em: <http://abemd.org.br/interno/comunicado_consulta_ protecao_de_dados.pdf>. Acesso em: 09 ago. 2015. 

53 _{Id. Código Brasileiro de Autorregulamentação para a Proteção aos Dados Pessoais (Minuta} 01/12/2011). São Paulo: ABEMB, 1 dez. 2011. Disponível em: <http://www.abemd.org.br/ interno/Codigo_Autorreg_DadosPessoaois.pdf>. Acesso em: 09 ago. 2015. 

54 _{Id. Carta de Princípios para o Tratamento de Dados Pessoais (Minuta 01/12/2011). São Paulo:}

ABEMB, 1 dez. 2011. Disponível em: <http://www.abemd.org.br/interno/Carta_de_Principios. pdf>. Acesso em: 09 ago. 2015. 

absorvendo, como veremos mais para frente alguns artigos ou disposições que já se encontravam no Anteprojeto de Lei do Ministério da Justiça, tendo em vista a morosidade quanto à apresentação deste Anteprojeto como Projeto de Lei, que será objeto do capítulo 4º.

Em relação ao Marco Civil, cumpre destacar, entretanto, que este não inovou ao considerar a garantia da privacidade como importante para estabelecer certa confiança entre o usuário, o meio digital, o governo e as empresas, bem como um controle para que coletas irregulares e pouco transparentes dos dados não fossem realizadas na rede, a nível nacional ou internacional.

O Comitê Gestor da Internet (CGI) já havia vislumbrado a necessidade da garantia do princípio da Privacidade na Internet e, em 2009, por isso aprovou-o entre outros princípios para a governança e uso da Internet no Brasil, vejamos:

CGI.br/RES/2009/003/P 55 - PRINCÍPIOS PARA A GOVERNANÇA E USO DA INTERNET NO BRASIL

Considerando a necessidade de embasar e orientar suas ações e decisões, segundo princípios fundamentais, o CGI.br resolve aprovar os seguintes Princípios para a Internet no Brasil:

1. Liberdade, privacidade e direitos humanos

O uso da Internet deve guiar-se pelos princípios de liberdade de expressão, de privacidade do indivíduo e de respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática”.

Assim, passemos a ver como o Marco Civil protege tanto a privacidade, quanto a guarda de dados. No projeto originário do Marco Civil, já constava o art.3º, incisos II e III, que determina serem princípios da internet a proteção à privacidade e aos dados pessoais, este artigo fora mantido e possui a seguinte redação:

Art. 3º A disciplina do uso da Internet no Brasil tem os seguintes princípios:

[…]

II - proteção da privacidade;

III - proteção aos dados pessoais, na forma da lei”.

55 _{CGI.BR. Resolução CGI.br/RES/2009/003/P. Princípios para a Governança e Uso da Internet}

no Brasil. São Paulo: CGI.BR, 2009. Disponível em: <http://www.cgi.br/resolucoes/documento/ 2009/003>. Acesso em: 09 ago. 2015. 

O referido artigo, em razão de sua especificidade, inova o ordenamento jurídico, não havendo, neste, disposição semelhante, muito embora esteja a privacidade assegurada no art.5º, X e XII56_{, da Carta Magna.}

Em harmonia com esta principiologia, o art.7º contempla por meio dos incisos VI e VII, a previsão dos regimes de proteção dos registros de conexão e registros de acesso a aplicações57 _{de Internet em contratos e o consentimento para o}

fornecimento destes dados a terceiros, passou ainda a ser necessário o detalhamento dos regimes em contrato e o consentimento “livre, expresso e informado” do titular de dados58_.

No mais, o artigo 7º, da Lei de Marco Civil da Internet, trouxe em seu bojo novas disposições em relação à versão original (Projeto de Lei), estas estão previstas nos seguintes incisos: I, II, III, VIII, IX e X.

O inciso I59_{, do referido art.7º, assegura ao usuário o direito à inviolabilidade da} intimidade e da vida privada, bem como direito à indenização para casos de violação a esta regra. Esta disposição encontra respaldo, como já referido, na Constituição Federal (art.5º, incisos X e XII), em consonância, com o art.5º, inciso

56 _{“Art.5º.X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,}

assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das

comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal (Vide Lei nº 9.296, de 1996)“.

57 _{Registro de conexão é o conjunto de informações referentes à data e hora de início e término}

de uma determinada conexão à Internet, além de sua duração, bem como o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados. O registro de acesso a aplicações, por sua vez, é definido no texto como o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de Internet a partir de um determinado endereço IP.

58 _{“Art. 7º O acesso à Internet é essencial ao exercício da cidadania e ao usuário são}

assegurados os seguintes direitos:

VI - a informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de Internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; e

VII – ao não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de Internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei […]”

59 _{“Art. 7º O acesso à Internet é essencial ao exercício da cidadania e ao usuário são}

assegurados os seguintes direitos:

I – à inviolabilidade da intimidade e da vida privada, assegurado o direito à sua proteção e à indenização pelo dano material ou moral decorrente de sua violação”.

XII, da CF, igualmente está o inciso II, do art.7º, que trata do sigilo das comunicações pela internet, salvo ordem judicial.

O inciso III60_{, do mesmo art.7º, trata da inviolabilidade e sigilo das comunicações} privadas armazenadas, podendo, esta, ser quebrada apenas por ordem judicial.

O inciso VIII61_{, do art.7º, em comento, faz menção ao direito à informação clara e} correta acerca da coleta, bem como determina que esta deve se ater à finalidade legal e que esteja especificada em contrato ou em termo de uso.

O inciso IX62, do art.7º, salienta que a cláusula referente ao consentimento expresso sobre a coleta deverá estar em destaque, já o inciso X63, do mesmo artigo, trata do direito à exclusão definitiva de dados.

Outro artigo da Lei do Marco Civil da Internet que trata do tema da privacidade é o 8º64, o qual determina ser o direito à privacidade condição plena de exercício de acesso à internet, sendo nula a cláusula contratual que ofender à inviolabilidade e o sigilo das comunicações privadas. Este artigo estava presente já no texto originário do Projeto de Lei, contudo, a abordagem acerca da nulidade da cláusula apenas foi inserida na última versão, que fora promulgada.

60 _{“Art. 7º O acesso à Internet é essencial ao exercício da cidadania e ao usuário são}

assegurados os seguintes direitos:

III – à inviolabilidade e ao sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial”.

61 _{“VIII – a informações claras e completas sobre a coleta, uso, armazenamento, tratamento e}

proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justificaram sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet”.

62 _{“IX – ao consentimento expresso sobre a coleta, uso, armazenamento e tratamento de dados}

pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais”.

63 _{“X – à exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de}

Internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei”.

64 _{“Art. 8º A garantia do direito à privacidade e à liberdade de expressão nas comunicações é}

condição para o pleno exercício do direito de acesso à Internet.

Parágrafo único. São nulas de pleno direito as cláusulas contratuais que violem o disposto no caput, tais como aquelas que:

I - impliquem ofensa à inviolabilidade e ao sigilo das comunicações privadas pela Internet; ou II – em contrato de adesão, não ofereçam como alternativa ao contratantea adoção do foro

O artigo 9º, §3º65_{, do Projeto do Marco Civil da Internet, presente também no texto} originário, trouxe importante disposição acerca da vedação, na provisão de conexão à internet, ao bloqueio, monitoramento, filtragem ou análise do conteúdo de pacotes de dados.

Este artigo está de acordo com o que diz a Resolução CGI.br/RES/2012/0008/P66, a qual examinou as implicações para a Internet da implantação de uma ferramenta(de inspeção de pacotes de dados) da empresa inglesa Phorm, que tem filiais na Romênia e no Brasil, concluindo que esta fere a privacidade dos usuários da internet, a saber:

O CGI.br, entende que as características do "Sistema Navegador" ferem o princípio fim-a-fim da Internet, trazem ameaças graves à privacidade dos usuários potencializadas quando do compartilhamento de um mesmo equipamento, onde existirá a possibilidade de envio de propaganda personalizada inadequada ao usuário que está naquele momento se utilizando do computador (menores e adultos utilizando-se do mesmo computador e IP).

[…] O CGI.br recomenda a não adoção deste tipo de ferramenta e assemelhadas por nenhum provedor de acesso à Internet no País67

.

Antes mesmo de o Marco Civil da Internet entrar em vigor, a Oi (TNL PCS S.A.) fora multada em R$ 3.500.000,00 (três milhões e quinhentos mil reais), pela Secretaria Nacional do Consumidor, por realizar inspeção de pacotes de e-mail de seus usuários com fins mercadológicos, infringindo a privacidade destes. Segue decisão:

Processo Administrativo nº 08012.003471/2010-22. Representante: Departamento de Proteção e Defesa do Consumidor ex officio. Representado(a): TNL PCS S/A (Oi). Assunto: Prática abusiva. Violação aos princípios da boa-fé e ao direito à privacidade. No - 8 - Em acolhimento às razões técnicas consubstanciadas na Nota Técnica nº 137/2014- CGCTPA/DPDC/SENACON, elaborada pela Coordenação-Geral

65 _{“§ 3º Na provisão de conexão à Internet, onerosa ou gratuita, bem como na transmissão,}

comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo”.

66 _{CGI.BR. Resolução CGI.br/RES/2012/008/P. Referente ao aplicativo Phorm e assemelhados.}

São Paulo: CGI.BR, 2012. Disponível em: <http://www.cgi.br/resolucoes/documento/2012/008>. Acesso em: 9 ago. 2015. 

de Consultoria Técnica e Processos Administrativos (fls.), adotando-as inclusive como razão de decidir e, deste modo, considerando a gravidade e a extensão da lesão causada a milhares de consumidores em todo o País, a vantagem auferida e a condição econômica da empresa, nos termos do art. 57 da Lei n. 8.078/90 e art. 25, inciso II e 26, inciso II, do Decreto n. 2.181/97, alterado pelo Decreto n. 7.738/ 2012, aplico à TNL PCS S/A (Oi) a sanção de multa no valor de R$ 3.500.000,00 (três milhões e quinhentos mil reais), devendo a empresa depositar o valor definitivo da multa em favor do Fundo de Defesa de Direitos Difusos, nos termos da Resolução CFDD n. 16, de 08 de março de 2005, consoante determina o art. 29, do Decreto n. 2.181/97, alterado pelo Decreto n. 7.738/201268_.

No que diz respeito à guarda de registros, tema igualmente tratado pelo Marco Civil, cumpre fazer uma pequena digressão. O tema fora proposto, primeiramente, pelo Projeto de Lei da Câmara n.84/99, que determinava a guarda de registros de conexão e de acesso a aplicações da Internet por até 03 (três anos).

Todavia, pelo fato de este projeto ter como enfoque principal o âmbito penal e o intuito de caracterizar como crime informático ou virtual os ataques praticados por "hackers" e "crackers", em especial as alterações de "home pages" e a utilização indevida de senhas, optou-se por acrescer o tema ao Marco Civil, deslocando-se esta discussão do âmbito penal69_.

Em razão da guarda de registros de acesso e conexão envolver a privacidade do usuário, o texto do Marco Civil restringiu a sua divulgação e período de guarda. Sendo assim, prevê que os registros de conexão e os registros de acesso somente serão disponibilizados à autoridade policial mediante ordem judicial específica e com fins bem delimitados (art.1070_{, §1}o_{), ainda, resta claro, no texto}

68 _{BRASIL. Ministério da Justiça. Secretaria Nacional do Consumidor. Despacho do Diretor.}

Processo Administrativo nº 08012.003471/2010-22. Prática abusiva. Violação aos princípios da boa-fé e ao direito à privacidade. Diretor: Amayru Martins de Oliva. Brasília: DOU, 23 jul. 2014. Disponível em: <http://pesquisa.in.gov.br/imprensa/jsp/visualiza/index.jsp?jornal=1&pagina= 43&data=23/07/2014>. Acesso em: 10 ago. 2015.  

69 _{FGV. Fundação Getúlio Vargas. Centro de Tecnologia e Sociedade da Escola de Direito do Rio}

de Janeiro. Relatório de políticas de Internet: Brasil 2011. São Paulo : Comitê Gestor da Internet no Brasil, 2012. Disponível em: <http://www.cgi.br/media/docs/publicacoes/1/relatorio- politicas-internet-pt.pdf>. Acesso em: 10 ago. 2015. 

70 _{“Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de}

internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

da referida lei, que a guarda destes registros deve preservar a intimidade, a vida privada, a honra e a imagem dos usuários envolvidos (art.10, caput).

Há restrição ainda quanto à guarda pelo provedor de conexão de registros de acesso a aplicações, tal prática é proibida pelo art.1471_{, da referida lei. Quanto às}

restrições de período, o provedor de aplicações deve guardar os registros de acesso somente por 06 (seis) meses (art.1572_{), enquanto o de conexão deve}

guardar tais registros por um ano (art.1373_{), sendo certo que a guarda de tais}

registros, por tempo superior aos períodos mencionados, dependem de ordem judicial.

Estes períodos foram delimitados com vistas a se estabelecer um equilíbrio entre a privacidade dos usuários e a disposição destes dados às autoridades para fins de investigação. De acordo com o Relatório de Políticas da Internet do CGI.br de 2011, tais períodos foram eleitos pelo Marco Civil da Internet, tendo em vista a