O governo prepara uma lei para coibir a invasão de privacidade na internet. Igualmente preocupante, apontam especialistas,
é a evasão de privacidade.
Áurea Lopes
O uso indevido ou abusivo de dados pessoais postados na internet não é novidade para ninguém. Todos nós já vimos denúncias na imprensa ou conhecemos vítimas de invasão de privacidade. Para além dos roubos de senha bancária, número de cartão de crédito, que são alguns dos crimes mais evidentes, os direitos dos cidadãos estão sendo lesados diariamente, só que de formas sutis, no mundo virtual. Uma grande parcela da população nem desconfia que seja alvo, por exemplo, de robôs eletrônicos que capturam e cruzam informações para identificar as preferências ou os hábitos de alguém. Essas pesquisas geram bancos de dados qualificados, que valem ouro no mundo da publicidade. Com isso, administradores ou hospedeiros de sites vendem os cadastros, sem autorização, a empresas interessadas em abordar futuros clientes.
Os riscos, nesse sentido, aumentam na mesma proporção em que cresce a interatividade digital. Quanto mais as tecnologias se sofisticam, quanto mais surgem ferramentas e espaços para comunicação e realização de tarefas e transações comerciais eletrônicas ou a distância – um avanço para se comemorar e ampliar, sem dúvida –, mais os internautas ficam vulneráveis a ataques e armadilhas. Muitos países já implantaram leis específicas para coibir e punir ações ilegais na web. O Brasil está atrasado. Mas começou a correr atrás.
O governo federal, por meio do Ministério da Justiça (MJ), preparou um anteprojeto de lei para proteção de informações pessoais no mundo digital. O texto está aberto à consulta pública até dia 31 de março. A proposta é regular ações nas redes sociais, nos sistemas de empresas, do setor público, entre outros. O anteprojeto de lei também cria o Conselho Nacional de Proteção de Dados Pessoais, órgão autônomo que teria o papel de “elaborar e executar ações da política nacional de proteção de dados pessoais; receber e encaminhar denúncias e sugestões referentes à proteção das informações; e aplicar sanções quando a lei for desrespeitada”.
A necessidade dessa lei é consenso, entre ativistas da sociedade civil e autoridades governamentais do Brasil. As legislações existentes não dão conta das demandas específicas, como uma regulação rigorosa da manipulação dos dados pessoais, o que se entende por “tratamento dos dados”. O artigo 5º da Constituição trata de privacidade, intimidade e direito à imagem de modo geral. Há ainda leis específicas sobre habeas data, que, na linguagem jurídica, são chamadas de “remédio” constitucional para que o cidadão tenha acesso a seus dados em bancos de dados público, como o da Receita Federal, os de serviços de proteção ao crédito. O Código de Defesa do Consumidor, de 1990, também não tem abrangência específica para plataformas digitais.
Assim, por enquanto, o cidadão ainda não tem o direito legal de decidir se cede seus dados para tratamento, como serão tratados, se os dados podem ser distribuídos para terceiros, ou mesmo de pedir o cancelamento de seu cadastro em bancos de dados. Até a compra de bancos de dados, hoje, não é ilícita, explica Renato Leite Monteiro, do Opice Blum, escritório de advocacia especializado em direito eletrônico. Só é considerado ilícito se os dados forem vendidos sem autorização do usuário e algum dano tiver sido causado a ele em decorrência dessa venda. Se o anteprojeto for aprovado, os dados pessoais só poderão ser tratados mediante autorização expressa do usuário e o tratamento deverá estar sempre vinculado à finalidade que proporcionou a coleta, informa Danilo Doneda, do Observatório Brasileiro de Políticas Digitais, da Fundação Getúlio Vargas, e colaborador do MJ que integrou a equipe de redação do anteprojeto. Hoje, alguns contratos de adesão a serviços eletrônicos mencionam de que forma os dados serão tratados. Mas não se pergunta ao usuário se ele permite o tratamento.
“O que acontece com frequência é aquele quadradinho ao lado do qual está escrito ‘autorizo o envio de promoções, ou boletins ou informações’ já vir marcado. Se o usuário não desmarca, dá ao administrador permissão para utilizar os dados. A maior parte nem percebe essa sutileza porque não domina as ferramentas tecnológicas. Com a nova lei, isso não será mais permitido”, alerta Guilherme Varella, advogado do Instituto Brasileiro de Defesa do Consumidor (Idec), que elogia o anteprojeto por “dialogar com outros projetos”, como o marco civil da internet e a reforma dos direitos autorais.
Nada é grátis
Outra desinformação que deixa o usuário exposto a risco é acreditar em serviços gratuitos na internet. Sites que proporcionam serviços, entretenimento ou qualquer produto sem custo ganham do outro lado, abrindo espaço para anunciantes, adverte Varella. E não é por acaso que cada vez mais as pessoas recebem propagandas afinadas com seus modos de vida. Os anunciantes andam bem informados, comprando bancos de dados que localizam e traçam perfis de potenciais clientes.
O texto do anteprojeto prevê também regras específicas para tratamento de dados sensíveis, tempo de guarda de logs de acesso, acesso indevido, vazamento ou perda de dados pessoais e transferências para outros países. “Só poderão ser feitas transferências para o exterior quando o país de destino fornecer garantias adequadas”, acrescenta Doneda, que ressalta a importância da nova lei para colocar o Brasil em pé de igualdade no comércio eletrônico mundial. No exterior, diz ele, existem normas fortes: “Um acordo da Comunidade Europeia impede a transferência de dados pessoais ao Brasil. A Argentina, por exemplo, não sofre essa restrição porque tem uma lei de proteção aos dados”. Monteiro, da Opice Blum, acredita que uma legislação mais consistente é vantagem para as empresas, que vão aumentar a segurança jurídica de seus clientes e de si próprias.
http://culturadigital.br/dadospessoais
Propostas em discussão
O anteprojeto de lei sobre privacidade e proteção a dados pessoais, elaborado pelo Ministério da Justiça, trata exclusivamente dos dados de pessoas físicas – e não jurídicas – porque o poder público considera que essas apresentam maior vulnerabilidade em relação à privacidade. Além disso, as informações relativas a pessoas jurídicas são tuteladas por normas referentes ao sigilo profissional e comercial, além de normas de direito concorrencial. Veja, abaixo, as principais propostas em discussão.
> O tratamento de dados pessoais somente pode ocorrer após o consentimento expresso do titular ou em virtude de lei que autorize.
> Os dados pessoais deverão ser: tratados de forma lícita e com boa fé; coletados e armazenados para finalidades determinadas, explícitas e legítimas; exatos, claros, objetivos, atualizados e de fácil compreensão; pertinentes, completos, proporcionais e não excessivos em relação à finalidade que justificou sua coleta ou tratamento posterior; conservados de forma a permitir a identificação de seu titular por um período de tempo não superior ao necessário para as finalidades que justificaram sua coleta ou tratamento posterior; conservados por período não superior ao estabelecido em lei ou regulamento específico para cada setor.
> As informações pessoais tratadas por pessoas físicas para fins pessoais não são afetadas pela lei, como seria o caso de listas de endereços e agendas pessoais. Igualmente, a atividade jornalística não é abrangida pela lei sempre que os dados pessoais são tratados exclusivamente para este fim. Ainda, as atividades de segurança pública, defesa e segurança do Estado serão regidas por lei específica.
> Os dados pessoais somente podem ser utilizados para uma finalidade idêntica ou análoga àquela que se informou ao titular do dado no momento da sua coleta.
> Os dados pessoais só podem ser tratados quando for inevitável, isto é, quando não for possível obter um resultado desejável sem o tratamento de dados pessoais.
> Todos devem ter acesso livre e irrestrito aos seus dados pessoais e às informações sobre o seu tratamento.
> A forma como os dados pessoais são tratados e o volume de dados devem ser proporcionais e não excessivos em relação à finalidade para a qual foram coletados.
> O titular deve ser informado sobre a realização do tratamento de seus dados pessoais, inclusive sobre a indicação da sua finalidade, categorias de dados tratados, período de conservação destes e demais informações relevantes.
> O responsável pelo tratamento deve utilizar medidas técnicas e administrativas capazes de proteger os dados pessoais sob sua responsabilidade da destruição, perda, alteração e difusão, acidentais ou ilícitas, ou do acesso não autorizado.
> O responsável deve adotar preventivamente as medidas capazes de prevenir a ocorrência de danos em virtude do tratamento de dados pessoais, seja de natureza técnica como administrativa. Os danos causados aos titulares dos dados pessoais devem ser reparados de forma integral, sejam estes patrimoniais ou morais, individuais ou coletivos.
> Em casos de vazamento e de exposição indevida de bancos de dados pessoais o responsável pelo banco de dados pessoais no qual ocorreu o vazamento deve comunicar imediatamente ao Conselho Nacional de Proteção de Dados, bem como aos titulares de dados.
> O compartilhamento, assim como a venda ou a interconexão de dados pessoais são operações de tratamento de dados que somente serão possíveis se forem autorizadas, prévia e expressamente pelo titular ou quando houver uma autorização expressa e, lei.
> Os dados sensíveis somente podem ser tratados mediante consentimento expresso e por escrito do titular, quando a lei o prever, ou então em determinadas situações específicas em que estiverem presentes elementos que garantam que os dados sensíveis não serão utilizados para fins discriminatórios.
Áurea Lopes
O uso indevido ou abusivo de dados pessoais postados na internet não é novidade para ninguém. Todos nós já vimos denúncias na imprensa ou conhecemos vítimas de invasão de privacidade. Para além dos roubos de senha bancária, número de cartão de crédito, que são alguns dos crimes mais evidentes, os direitos dos cidadãos estão sendo lesados diariamente, só que de formas sutis, no mundo virtual. Uma grande parcela da população nem desconfia que seja alvo, por exemplo, de robôs eletrônicos que capturam e cruzam informações para identificar as preferências ou os hábitos de alguém. Essas pesquisas geram bancos de dados qualificados, que valem ouro no mundo da publicidade. Com isso, administradores ou hospedeiros de sites vendem os cadastros, sem autorização, a empresas interessadas em abordar futuros clientes.
Os riscos, nesse sentido, aumentam na mesma proporção em que cresce a interatividade digital. Quanto mais as tecnologias se sofisticam, quanto mais surgem ferramentas e espaços para comunicação e realização de tarefas e transações comerciais eletrônicas ou a distância – um avanço para se comemorar e ampliar, sem dúvida –, mais os internautas ficam vulneráveis a ataques e armadilhas. Muitos países já implantaram leis específicas para coibir e punir ações ilegais na web. O Brasil está atrasado. Mas começou a correr atrás.
O governo federal, por meio do Ministério da Justiça (MJ), preparou um anteprojeto de lei para proteção de informações pessoais no mundo digital. O texto está aberto à consulta pública até dia 31 de março. A proposta é regular ações nas redes sociais, nos sistemas de empresas, do setor público, entre outros. O anteprojeto de lei também cria o Conselho Nacional de Proteção de Dados Pessoais, órgão autônomo que teria o papel de “elaborar e executar ações da política nacional de proteção de dados pessoais; receber e encaminhar denúncias e sugestões referentes à proteção das informações; e aplicar sanções quando a lei for desrespeitada”.
A necessidade dessa lei é consenso, entre ativistas da sociedade civil e autoridades governamentais do Brasil. As legislações existentes não dão conta das demandas específicas, como uma regulação rigorosa da manipulação dos dados pessoais, o que se entende por “tratamento dos dados”. O artigo 5º da Constituição trata de privacidade, intimidade e direito à imagem de modo geral. Há ainda leis específicas sobre habeas data, que, na linguagem jurídica, são chamadas de “remédio” constitucional para que o cidadão tenha acesso a seus dados em bancos de dados público, como o da Receita Federal, os de serviços de proteção ao crédito. O Código de Defesa do Consumidor, de 1990, também não tem abrangência específica para plataformas digitais.
Assim, por enquanto, o cidadão ainda não tem o direito legal de decidir se cede seus dados para tratamento, como serão tratados, se os dados podem ser distribuídos para terceiros, ou mesmo de pedir o cancelamento de seu cadastro em bancos de dados. Até a compra de bancos de dados, hoje, não é ilícita, explica Renato Leite Monteiro, do Opice Blum, escritório de advocacia especializado em direito eletrônico. Só é considerado ilícito se os dados forem vendidos sem autorização do usuário e algum dano tiver sido causado a ele em decorrência dessa venda. Se o anteprojeto for aprovado, os dados pessoais só poderão ser tratados mediante autorização expressa do usuário e o tratamento deverá estar sempre vinculado à finalidade que proporcionou a coleta, informa Danilo Doneda, do Observatório Brasileiro de Políticas Digitais, da Fundação Getúlio Vargas, e colaborador do MJ que integrou a equipe de redação do anteprojeto. Hoje, alguns contratos de adesão a serviços eletrônicos mencionam de que forma os dados serão tratados. Mas não se pergunta ao usuário se ele permite o tratamento.
“O que acontece com frequência é aquele quadradinho ao lado do qual está escrito ‘autorizo o envio de promoções, ou boletins ou informações’ já vir marcado. Se o usuário não desmarca, dá ao administrador permissão para utilizar os dados. A maior parte nem percebe essa sutileza porque não domina as ferramentas tecnológicas. Com a nova lei, isso não será mais permitido”, alerta Guilherme Varella, advogado do Instituto Brasileiro de Defesa do Consumidor (Idec), que elogia o anteprojeto por “dialogar com outros projetos”, como o marco civil da internet e a reforma dos direitos autorais.
Nada é grátis
Outra desinformação que deixa o usuário exposto a risco é acreditar em serviços gratuitos na internet. Sites que proporcionam serviços, entretenimento ou qualquer produto sem custo ganham do outro lado, abrindo espaço para anunciantes, adverte Varella. E não é por acaso que cada vez mais as pessoas recebem propagandas afinadas com seus modos de vida. Os anunciantes andam bem informados, comprando bancos de dados que localizam e traçam perfis de potenciais clientes.
O texto do anteprojeto prevê também regras específicas para tratamento de dados sensíveis, tempo de guarda de logs de acesso, acesso indevido, vazamento ou perda de dados pessoais e transferências para outros países. “Só poderão ser feitas transferências para o exterior quando o país de destino fornecer garantias adequadas”, acrescenta Doneda, que ressalta a importância da nova lei para colocar o Brasil em pé de igualdade no comércio eletrônico mundial. No exterior, diz ele, existem normas fortes: “Um acordo da Comunidade Europeia impede a transferência de dados pessoais ao Brasil. A Argentina, por exemplo, não sofre essa restrição porque tem uma lei de proteção aos dados”. Monteiro, da Opice Blum, acredita que uma legislação mais consistente é vantagem para as empresas, que vão aumentar a segurança jurídica de seus clientes e de si próprias.
http://culturadigital.br/dadospessoais
Propostas em discussão
O anteprojeto de lei sobre privacidade e proteção a dados pessoais, elaborado pelo Ministério da Justiça, trata exclusivamente dos dados de pessoas físicas – e não jurídicas – porque o poder público considera que essas apresentam maior vulnerabilidade em relação à privacidade. Além disso, as informações relativas a pessoas jurídicas são tuteladas por normas referentes ao sigilo profissional e comercial, além de normas de direito concorrencial. Veja, abaixo, as principais propostas em discussão.
> O tratamento de dados pessoais somente pode ocorrer após o consentimento expresso do titular ou em virtude de lei que autorize.
> Os dados pessoais deverão ser: tratados de forma lícita e com boa fé; coletados e armazenados para finalidades determinadas, explícitas e legítimas; exatos, claros, objetivos, atualizados e de fácil compreensão; pertinentes, completos, proporcionais e não excessivos em relação à finalidade que justificou sua coleta ou tratamento posterior; conservados de forma a permitir a identificação de seu titular por um período de tempo não superior ao necessário para as finalidades que justificaram sua coleta ou tratamento posterior; conservados por período não superior ao estabelecido em lei ou regulamento específico para cada setor.
> As informações pessoais tratadas por pessoas físicas para fins pessoais não são afetadas pela lei, como seria o caso de listas de endereços e agendas pessoais. Igualmente, a atividade jornalística não é abrangida pela lei sempre que os dados pessoais são tratados exclusivamente para este fim. Ainda, as atividades de segurança pública, defesa e segurança do Estado serão regidas por lei específica.
> Os dados pessoais somente podem ser utilizados para uma finalidade idêntica ou análoga àquela que se informou ao titular do dado no momento da sua coleta.
> Os dados pessoais só podem ser tratados quando for inevitável, isto é, quando não for possível obter um resultado desejável sem o tratamento de dados pessoais.
> Todos devem ter acesso livre e irrestrito aos seus dados pessoais e às informações sobre o seu tratamento.
> A forma como os dados pessoais são tratados e o volume de dados devem ser proporcionais e não excessivos em relação à finalidade para a qual foram coletados.
> O titular deve ser informado sobre a realização do tratamento de seus dados pessoais, inclusive sobre a indicação da sua finalidade, categorias de dados tratados, período de conservação destes e demais informações relevantes.
> O responsável pelo tratamento deve utilizar medidas técnicas e administrativas capazes de proteger os dados pessoais sob sua responsabilidade da destruição, perda, alteração e difusão, acidentais ou ilícitas, ou do acesso não autorizado.
> O responsável deve adotar preventivamente as medidas capazes de prevenir a ocorrência de danos em virtude do tratamento de dados pessoais, seja de natureza técnica como administrativa. Os danos causados aos titulares dos dados pessoais devem ser reparados de forma integral, sejam estes patrimoniais ou morais, individuais ou coletivos.
> Em casos de vazamento e de exposição indevida de bancos de dados pessoais o responsável pelo banco de dados pessoais no qual ocorreu o vazamento deve comunicar imediatamente ao Conselho Nacional de Proteção de Dados, bem como aos titulares de dados.
> O compartilhamento, assim como a venda ou a interconexão de dados pessoais são operações de tratamento de dados que somente serão possíveis se forem autorizadas, prévia e expressamente pelo titular ou quando houver uma autorização expressa e, lei.
> Os dados sensíveis somente podem ser tratados mediante consentimento expresso e por escrito do titular, quando a lei o prever, ou então em determinadas situações específicas em que estiverem presentes elementos que garantam que os dados sensíveis não serão utilizados para fins discriminatórios.
Nenhum comentário:
Postar um comentário