Privacidade e proteção de dados

“O tratamento dos dados pessoais é concebido para servir as pessoas; os

princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais devem respeitar, portanto, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, particularmente o direito à proteção dos dados pessoais” (RGPD, 2012,

p.15).

O direito fundamental à proteção de dados pessoais baseia-se essencialmente no Artigo 8.° da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais (Conselho da Europa, 1950) e no Artigo 8.° da Carta dos Direitos Fundamentais da UE (UE, 2010), que estabelece que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhe digam respeito (CNPD, 2012b). Mais especificamente, a Diretiva 95/46/CE relativa à proteção de dados (CE, 1995), a Diretiva 2002/58/CE sobre a privacidade e comunicações eletrónicas (CE, 2002) e as legislações nacionais dos Estados-Membros que implementam estas diretivas estabelecem regras mais precisas (Art. 29 WP, 2007a). A privacidade como

(enquanto) autodeterminação informativa foi adotada em quase todos os regulamentos e legislações de proteção de dados (Haas, Wohlgemuth, Echizen, Sonehara, & Müller, 2011).

A privacidade está relacionada com a capacidade do indivíduo em exercer um controlo sobre a recolha, utilização, divulgação e retenção dos seus dados pessoais, tendo por base necessariamente um aviso claro sobre que dados serão recolhidos e como serão utilizados e/ou partilhados (IPC, 2009). Em situações em que os seus dados pessoais estão na posse de terceiros, o seu titular deve ser capaz de exercer um grau significativo de controlo sobre os dados e sobre a sua utilização (ICO, 2009). A privacidade é desta forma um valor e um direito (Amicelle, 2012). A privacidade é o direito de uma entidade (normalmente uma pessoa), agindo em nome próprio, em determinar o grau em que irá interagir com o seu ambiente, incluindo o grau em que a entidade está disposta a partilhar informações sobre si mesma, com os outros (The Internet Society, 2000), ou seja, controlar a disponibilidade e exposição dos seus dados pessoais (Lilien & Bhargava, 2006).

Nos últimos 30 anos houve uma profunda mudança de escala no papel dos dados pessoais na nossa economia, sociedade e vida diária, devido às mudanças que surgiram causadas pelo aumento: (1) no volume dos dados pessoais recolhidos, utilizados e armazenados; (2) na gama de análises que envolvem dados pessoais, que fornecem uma perceção sobre tendências, movimentos, interesses e atividades individuais e de grupos; (3) nas ameaças à privacidade; (4) no número e variedade de

atores capazes de colocar em risco a privacidade ou proteger a privacidade; (5) na frequência e complexidade das interações que envolvem dados pessoais; e (6) na disponibilidade global de dados pessoais, suportada por plataformas e redes de

comunicação globais (OCDE, 2013).

A proteção de dados, como proteção jurídica específica, surgiu como resultado do enfraquecimento ou do desaparecimento de alguns limites naturais que anteriormente asseguravam a proteção da privacidade (Jóri, 2007). É, desta forma, um processo de natureza legal (Amicelle, 2012), e está relacionada com a garantia de que os dados não são corrompidos, são acessíveis apenas para fins autorizados, e está em conformidade com os requisitos legais aplicáveis (Dutch, 2010). A proteção de dados está, assim, relacionada com uma forma especial de privacidade – a privacidade informacional/privacidade de dados pessoais. Neste sentido, como

conceitos, privacidade e proteção de dados estão inequivocamente relacionados um com o outro (Amicelle, 2012).

É importante realçar que quase todos os dados, uma vez ligados a um indivíduo identificável, tornam-se dados pessoais. Assim, a definição de “privacidade” pode ser bastante mais abrangente, fazendo com que desafios à privacidade e à proteção de dados sejam igualmente mais amplos.

As preocupações legítimas sobre privacidade surgem quando a velocidade e conveniência levam à exposição indevida de informação (Moor, 1997). Sendo a informação capturada eletronicamente para uma finalidade, esta é “lubrificada” e fica pronta para qualquer outra finalidade. Num mundo informatizado podemos deixar pegadas eletrónicas em vários lugares, e os dados recolhidos para uma finalidade podem ser “ressuscitados” e usados noutro lugar. O problema da privacidade da informação consiste em manter uma vigilância adequada sobre onde esta informação pode e deve ir.

A segurança está normalmente associada à disponibilidade e resiliência dos sistemas e infraestruturas tecnológicas e, no domínio da informação, à garantia da sua confidencialidade e integridade. Envolve a aplicação e gestão de medidas de segurança adequadas, tendo por base o conhecimento de uma ampla gama de ameaças, com o objetivo de minimizar os impactos e garantir o sucesso e a continuidade de um processo de negócio sustentado (ISO/IEC, 2009). É, sem qualquer dúvida, um componente crítico de qualquer sistema informático, devendo fornecer as garantias necessárias à proteção dos dados, sendo que numa situação ideal deve ser desenvolvida como um serviço quase invisível, mas forte (Liberty Alliance, 2003).

No que respeita aos dados, o estudo das questões da sua privacidade não pode ser dissociado das questões associadas à proteção e à segurança destes dados. A Tabela 1 sintetiza esta relação. Apesar da temática em estudo ser a privacidade dos dados, esta determina que as outras duas dimensões, proteção e segurança, sejam igualmente abordadas, dada a sua influência sobre a eficácia das medidas ao nível da proteção da privacidade, assim como sobre a criação de um ambiente seguro de recolha e utilização de dados pessoais. Neste sentido, quando nos referimos à privacidade dos dados inclui-se implicitamente a proteção e a segurança dos dados.

Tabela 1 - Relação entre privacidade, proteção e segurança dos dados

Privacidade

 Focada no indivíduo ou grupo de indivíduos, e nos dados pessoais

identificáveis, assim como no subconjunto de dados sensíveis.

 Constitui uma reclamação, um direito de um individuo à proteção,

ao controlo e à limitação de utilização, dos seus dados pessoais em situações normativas.

Proteção

 Focada no indivíduo, grupo de indivíduos ou organização.

 É um meio, um instrumento legal, de garantia da privacidade.

 Ajusta a compatibilidade dos processos de tratamento de dados

com as finalidades para que foram recolhidos.

 Serve para sustentar a proteção da privacidade num mundo onde a

possibilidade de recolha, armazenamento e cruzamento de grandes conjuntos de dados está amplamente disponível.

Segurança

 É um meio de garantia da disponibilidade, confidencialidade,

integridade, não-repúdio, e confiança dos dados.

 Relacionada com as questões (técnicas) de segurança da

informação e das infraestruturas de armazenamento e comunicação.

 Capacidade de um sistema resistir a eventos acidentais ou a acessos

maliciosos ou ilícitos que comprometem os dados.

Não devemos usar o termo privacidade dos dados como sinónimo de “confidencialidade dos dados” ou “serviço de confidencialidade dos dados”, pois são conceitos diferentes. A privacidade é um motivo de segurança, e não um tipo de segurança. Por exemplo, um sistema que armazena dados pessoais tem que proteger os dados e impedir danos, constrangimentos, inconveniências ou injustiças a qualquer pessoa sobre a qual os dados são mantidos, e para proteger a privacidade da pessoa. Por esta razão, o sistema necessita de disponibilizar um serviço de confidencialidade dos dados (The Internet Society, 2000).