O cenário brasileiro de proteção de dados pessoais e privacidade
1. Marco Civil da Internet (Lei no. 12.965/2014)
No Brasil, o Marco Civil da Internet e o Decreto no. 8.771/2016 que o institui tratam de questões inovadoras relacionadas à regulamentação do uso da internet. Nele, são estabelecidas regras acerca do uso, armazenamento e proteção de dados na internet, dentre outras disposições.
O Decreto 8.771 define dado pessoal como o dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando relacionados a uma pessoa, e tratamento de dados pessoais como toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, além da modificação, comunicação, transferência, difusão ou extração.
O Marco traz no art. 3º os princípios da disciplina do uso na internet no Brasil, dentre os quais figuram a proteção da privacidade (inciso II) e a proteção dos dados pessoais, na forma da lei (inciso III). São ressaltadas as inviolabilidades da intimidade, vida privada, do fluxo de comunicações pela internet, que deve ser sigiloso, e das comunicações privadas armazenadas, que também deve ser sigilosa, exceto por ordem judicial.
O art. 7º, que trata dos direitos do usuário da internet, traz no inciso VII o direito ao não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei. O inciso IX apresenta a necessidade de destaque de cláusulas contratuais que disponham sobre consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais.
Nesta linha, o inciso X prevê o direito à exclusão definitiva dos dados pessoais que o usuário tiver fornecido a determinada aplicação da internet, mediante seu requerimento ao término da relação entre as partes. Por sua vez, a garantia do direito à privacidade é colocada no art. 8º como condição para o pleno exercício do direito de acesso à internet.
Por fim, o próprio Marco Civil pauta em alguns de seus artigos a existência de legislação específica concernente à proteção dos dados pessoais e privacidade de forma abrangente, completa e estruturada, com projetos de lei acerca do tema tomando destaque nas discussões acerca do tema.
2. Projetos de lei
Atualmente, vários projetos de lei trazem uma política nacional para a proteção dos dados pessoais, demonstrando o intuito do legislador de se assemelhar às disposições internacionais, como a antiga Diretiva de Proteção de Dados n. 95/46/EC e a nova Regulação Geral de Proteção de Dados da União Europeia. Alguns dos projetos de lei mais relevantes são:
• Projeto de Lei no. 4.060/2012, que dispõe sobre o tratamento de dados pessoais;
• Projeto de Lei no. 330/2013, que dispõe sobre a proteção, o tratamento e o uso dos dados pessoais e trata também de armazenamento de informações de usuários brasileiros em bancos de dados de organismos estrangeiros;
• Projeto de Lei no. 181/2014, que estabelece princípios, garantias, direitos e obrigações referentes à proteção de dados pessoais;
• Projeto de Lei no. 131/2014, que dispõe sobre o fornecimento de dados de cidadãos ou empresas brasileiras a organismos estrangeiros, estabelecendo requisitos para a solicitação de dados pessoais por organismos internacionais.
3. GDPR
No cenário internacional, o principal ponto de discussão no tema de proteção de dados e privacidade é a Regulação Geral de Proteção de Dados da União Europeia, conhecida como General Data Protection Regulation – GDPR, que entrará em vigor em 25 de maio de 2018, substituindo a Diretiva de Proteção de Dados n. 95/46/EC.
A principal inovação do GDPR é a jurisdição extensa, com aplicação extraterritorial. Isso faz com que todas as empresas localizadas em qualquer parte do mundo que tratem dados provenientes da UE devam agir em conformidade com as disposições da GDPR, como a reestruturação de formulários de consentimento e armazenamento de dados com linguagem mais clara e acessível.
Nesta linha, a multa pelo descumprimento das provisões do GDPR pode corresponder a até 4% do faturamento anual global ou então € 20.000.000,00 (vinte milhões de euros). As disposições incluem a obrigação de notificação em falhas de segurança que coloquem em risco a proteção de dados pessoais, além do direito ao esquecimento e apagamento de dados. A portabilidade de dados e a necessidade de estruturação de sistemas com o princípio do “privacidade por design” também são pontuados.
4. Reflexos da proteção de dados e privacidade
Com o fortalecimento das estruturas legais de proteção de dados pessoais e privacidade, as empresas devem atentar para a conformidade com todas as disposições legais sobre o tratamento de dados pessoais de seus usuários e clientes, atentando às previsões de multas e punições relacionadas ao descumprimento de tais previsões.
O conhecimento das demandas legais também é intrínseco para a orientação dos responsáveis pela administração da política de dados, privacidade e do próprio banco de dados da empresa, já que existe a possibilidade de responsabilização pelo uso e administração indevida de dados e violação da privacidade de usuários.
A questão da privacidade na internet também é ressaltada no âmbito trabalhista, no que tange ao controle tecnológico por meio de rastreio e supervisão do comportamento do funcionário durante o uso de computador e da rede da empresa. O princípio da inviolabilidade de correspondência e do direito à privacidade do empregado é confrontado ao direito de propriedade sobre equipamento, sobre a responsabilidade objetiva do empregador pelos atos efetuados em sua conexão de internet e suas máquinas, e no poder de direção constante da CLT.