O texto publicado foi encaminhado por um usuário do site por meio do canal colaborativo Monografias. Brasil Escola não se responsabiliza pelo conteúdo do artigo publicado, que é de total responsabilidade do autor . Para acessar os textos produzidos pelo site, acesse: https://www.brasilescola.com.

1. RESUMO

O presente trabalho visa realizar um estudo acerca da correlação entre as consequências da revolução tecnológica, notadamente o advento da rede mundial de computadores, conhecida como Internet, e o ordenamento jurídico, fazendo-o com ênfase no plano constitucional. Com especial atenção à Lei Geral de Proteção de Dados e sua equivalente europeia, o objetivo é abordar os principais temas que envolvem o assunto, desde o seu histórico, passando pelo trato conceitual da tecnologia, até alcançar as necessárias soluções legiferantes para se proteger os direitos fundamentais que são colocados em jogo no meio virtual. Para tanto, buscou-se abordar os temas de maneira didática e acessível quando da abordagem deste panorama histórico-evolutivo da proteção de dados, os conceitos que essa lei traz em seu bojo, a importância dos dados na atualidade, quais os tipos de dados e como as frentes das ciências da computação lidam com tudo. Os direitos e garantias dos titulares de dados, em especial os pessoais, são abordados tendo-se em vista a correta compreensão de seu significado e o aperfeiçoamento das proteções legislativas e operacionais, dentre elas aquelas previstas na LGPD e demais legislações mundiais. O objetivo é alcançado de forma exploratória-histórica até os dias de hoje, o que se buscou através de procedimentos de caráter bibliográfico, e documental de fontes oficiais como ordenamentos jurídicos pátrios e alienígenas. Para tanto, a metodologia cientifica utilizado consiste no método dedutivo, em que se utiliza estudos e relatos históricos, jurisprudências, legislações, doutrinas e outros meios de informativos para elaborar o trabalho. Finalmente, o trabalho encoraja reflexões sobre a dificuldade de se aplicar conceitos tecnológicos na vida cotidiana da população de um país em desenvolvimento, bem como no sentido de se envolver mais os usuários de tecnologia a deixarem a passividade de sua hipossuficiência cultural tecnológica, para envolvê-los no combate do uso nocivo do ciberespaço.

Palavras-chave: Direito Digital. Dados Pessoais. Direito à Privacidade. Internet. Tratamento de Dados. General Data Protection Regulation. Lei Geral de Proteção de Dados. Ciberespaço. Ataques Cibernéticos. Cibersegurança. Segurança da Informação.

ABSTRACT

The present work aims to carry out a study on the correlation between the consequences of the technological revolution, notably the advent of the world wide web, known as the Internet, and the legal system, with an emphasis on the constitutional level. With special attention to the General Data Protection Law and its European equivalent, the objective is to address the main themes that involve the subject, from its history, through the conceptual treatment of the technology, until reaching the necessary legislative solutions to protect the fundamental rights that are placed in game in the virtual environment. Therefore, tried to adress the topics in a didactic and accessible way when approaching this historical-evolutionary panorama of data protection, the concepts that this law brings in its core, the importance of data today, what types of data and how computer science fronts handle it all. The rights and guarantees of data subjects, especially personal data, are addressed with a view to the correct understanding of their meaning and the improvement of legislative and operational protections, including those provided for in the LGPD and other world legislation. The objective is reached in an exploratory-historical way until the present day, which was sought through procedures of a bibliographic and documentary character of official sources such as national and foreign legal systems. Therefore, the scientific methodology used consists of the deductive method, in which studies and historical reports, jurisprudence, legislation, doctrines and other means of information are used to prepare the work. Finally, the work encourages reflections on the difficulty of applying technological concepts in the daily life of the population of a developing country, as well as in the sense of getting more users of technology to leave the passivity of their technological cultural hyposufficiency, to involve them more. them in combating the harmful use of cyberspace.

Keywords: Tec Law. Personal Data. Right to Privacy. Internet. Data Processing. General Data Protection Regulation. Data Protection General Law. Cyberspace. Cyberattacks. Cybersecruity. Information Security.

2. INTRODUÇÃO

Há décadas as tecnologias vêm evoluindo em uma velocidade até então inimaginável, dentre suas inovações, tem-se a internet, que possibilitou a interconexão entre os usuários de tecnologia de todo o planeta terra. Dessa forma, pessoas por todo o globo terrestre podem se comunicar, transacionar e relacionar, sem empecilhos.

Em acréscimo, a pandemia do Covid-19 impulsionou ainda mais essa vida conectada dos indivíduos, em que fomentou o uso da tecnologia e internet para todos os polos das vidas dos usuários, que passaram a não só se entreter e relacionar, mas também exercer as tarefas profissionais nesse meio ambiente virtual.

Assim, é inegável a quantidade de pessoas que vivem à mercê da internet, com isso, mediante pesquisa realizada pelo Comitê Gestor da Internet do Brasil, concluiu-se que:

A pesquisa detectou um aumento da proporção de usuários de Internet na comparação com 2019, sobretudo entre os moradores das áreas rurais (de 53% em 2019 para 70% em 2020), entre os habitantes com 60 anos ou mais (de 34% para 50%), entre aqueles com Ensino Fundamental (de 60% para 73%), entre as mulheres (de 73% para 85%) e nas classes DE (de 57% para 67%).[1]

É certo que a internet e os avanços tecnológicos são capazes de fornecer celeridade a muitos processos do cotidiano, encurtar distancias de pessoas que vivem distante e possibilitar inúmeros benefícios na vida de seus usuários. Contudo, nem tudo são flores, pois a segurança dos indivíduos imersos no ciberespaço encontra-se ameaçado por novas figuras e em dimensões até então desconhecidas.

O que é agravado pelo alto valor imputado aos dados no contexto histórico, trazendo mais ameaças à privacidade e intimidade das pessoas, agora não só ameaçadas por infratores cibernéticos, pois neste novo modelo de sociedade socioeconômica, os dados são reduzidos a bens intangíveis, o qual passa a sofrer abusos e usos indevidos.

Neste momento, surge a necessidade da incidência da Lei, que em um caminho espinhoso vem tentando engatinhar em direção à harmonia das relações nesta sociedade virtual.

Só que diferentemente do espaço físico, velho conhecido, o ciberespaço apresenta suas caracterizas próprias, que surtem verdadeiros obstáculos para a incidência da lei, sendo necessário a reinvenção, ou ao menos readequação do modo de se legislar.

A partir deste preceito, doutrinadores passam a pregar o surgimento de uma nova área do universo jurídico, o “Direito Virtual” ou “Direito da Internet” ou, ainda, o termo escolhido para o presente artigo: Direito Digital.

Tal ramo se apresenta como um campo da ciência jurídica destinada a regular todas as interações sociais originadas, realizadas ou desenvolvidas no meio eletrônico. Tal tentativa de regulamentação considera o desenvolvimento tecnológico para evitar e apaziguar eventuais abusos e conflitos, usando sanções que restabeleçam a paz social no âmbito virtual ou real.

Patrícia Peck Pinheiro conceitua o “Direito Digital” como “evolução do próprio Direito, abrangendo todos os princípios fundamentais e institutos que estão vigentes e são aplicados até hoje, assim como introduzindo novos institutos e elementos para o pensamento jurídico, em todas as suas áreas.”[2].

Há de se ressaltar que o Direito é um reflexo socioeconômico, uma ciência que anda junto com a história e às necessidades da sociedade, regulamento e tutelando direitos para que todos os cidadãos tenham seus direito e deveres.

Assim, a importância do estudo desta nova especialidade jurídica é de suma importância.

Então, frente a rápida evolução tecnológica, o Direito precisa buscar a melhor forma de efetivar os direitos e garantias dos cidadãos, ora usuários do ciberespaço, pois por enquanto seus direitos encontram-se verdadeiramente ameaçados, sendo necessário cautelas no uso das tecnologias.

Tal cautela deriva do fato de que toda tecnologia possui falhas, e aqui não é diferente. Existem riscos inerentes à acessibilidade e navegação que deixam a segurança de informações vulneráveis. Tal vulnerabilidade tecnológica não é apenas um simples risco a que todos estão sujeitos neste meio, mas também uma ameaça a direitos fundamentais como o Direito a Privacidade. Só isso basta para demonstrar a importância do presente assunto.

Assim sendo, na busca de efetivar seu dever para com a sociedade, necessário neste momento histórico, o Direito deve buscar o entendimento das tecnologias e suas características, a reinvenção e readequação de princípios norteadores do mundo jurídico, e mais que tudo, recrutar novos aliados, capazes de auxiliar na mitigação dos riscos e ameaças inerentes ao ciberespaço. Destes, surge um forte aliado ao Direito, a cibersegurança.

3. PANORAMA HISTÓRICO

É inegável a importância de uma base histórica e principiológica para a compreensão do estudo, pois tais informes, juntamente com os conceitos básicos, formam o arrimo necessário para o desenvolvimento do tema.

Com isso, antes de se chegar ao cerne da questão, é preciso uma recapitulação capaz de contextualizar o momento histórico em que a ciência jurídica exerce sua função regulamentadora, bem como pelo qual a sociedade se reinventou com o passar do tempo.

3.1. Da Internet

Dentre as evoluções da sociedade e do mundo, indiscutivelmente, a internet é uma das que mais impactaram a humanidade. Com um desenvolvimento rápido que se mantem constante até hoje, transformou muita de forma significante, passando pela forma de interagir até a maneira como se firmam negócios e contratos, a internet e vários avanços tecnológicos trouxeram uma nova sistemática à sociedade.

Dada a magnitude da internet, cabe uma visitação ao seu berço, uma capitulação de toda sua trajetória até tornar-se o verdadeiro ambiente que é hoje.

Diferentemente dos costumes de hoje é impossível vislumbrar o mundo sem a virtualidade, contudo, houve uma época em que essa não era a realidade.

Em meados de 1960, a mais famosa rede de comunicação era a rede telefônica, cuja qual tem um funcionamento diferente da internet. A rede telefônica funciona por meio do que chamamos de “comutação de circuitos”, uma escolha acertada pois garante que a voz seja transmitida em uma taxa constante entre os pontos[3]

Para fins de melhor entendimento, comutação refere-se ao meio de transmissão por onde transitam todos os recursos na rede, e por recursos, neste contexto, tem-se todos os recursos necessários para o funcionamento da rede.

Na comutação de circuitos, tais recursos são reservados durante o estabelecimento da conexão entre indivíduos, que são temporários e possuem quantidade limitada de usuários, os quais representam os pontos da rede. Desta forma a conexão é estabelecida de fim a fim. Na prática, se os indivíduos querem fazer uma ligação, ocorrera uma conexão por um caminho físico entre esses dois indivíduos, e uma vez estabelecida, a voz transita por este caminho físico, sem interrupções.

Pesquisadores começaram então a investigar a possibilidade de interligar computadores geograficamente dispersos. Os primeiros contribuintes nesse experimento foram Leonard Kleinrock, Paul Baran, Donald Davies e Roger Scantlebury. Cada qual com suas pesquisas isoladas, cada qual com suas pesquisas isoladas, e em determinado instituto.

Eles investigaram a criação da comutação por pacotes, modo como funcionada a rede de computadores, neste o meio é compartilhado, e os dados transitam por demanda, é como se houvesse uma fila e as vezes temos que entrar nela, por um lado é mais suscetível a interrupções na transmissão, mas por outro lado, não se tem o limite de usuários que podem se conectar.

Esclarecendo, pacotes de informações, são a maneira como os dados transitam na rede. Os computadores, ao enviar dados pela rede, segmenta tais dados em pacotes com um endereçamento definindo. Ao chegarem no seu destino, são remontados para sua forma original.

Há de se ressaltar que a rede de computadores não tem um descobridor. Os pesquisadores anteriormente mencionados não são criadores, mas desenvolveram alicerces importantes para o surgimento da internet.

Neste sentido, ainda na década de 60, um trabalho conhecido surgia. Tratava-se de um projeto militar na ARPA (Advanced Research Projects Agency), financiado pelo governo dos Estados Unidos e que era vinculado à DARPA (Defense Advanced Research Projects Agency).

Durante a Guerra Fria, tal projeto era liderado por J.C.R Licklider e Lawrence Roberts, responsáveis pelo plano geral acerca da primeira rede de computadores por comutação de pacotes, a famosa ARPANET (Advanced Research Projects Agency Network), ancestral mais antiga da internet.

A finalidade deste programa, a princípio, era puramente estratégica, e consistia em estabelecer uma rede descentralizada que iria interconectar as bases dos Estados Unidos através de “nós”, que nada mais seriam do que pontos de conexões, sem a dependência de centros de controles, tornando o sistema invulnerável a, por exemplo, espionagem e ataques nucleares. Se alguma base fosse atacada, violada e, consequentemente, terminais derrubados, ainda assim o sistema continuaria a funcionar. Este projeto bélico possibilitou a interconexão de redes militares regionais[4].

Esses nós se localizavam em 4 (quatro) pontos, importantes universidade dos Estados Unidos, o primeiro em UCLA (Universidade da California em Los Angeles), após este, foram instalados os outros nós em Stanford, na Universidade da Califórnia em Santa Barbara e na Universidade de Utah, isso data de 1969.[5]

Cada um dos nós correspondia à um computador de modelo diferentes, assim, eles não se comunicavam entre si, criou-se para isso o primeiro protocolo que ficou conhecido como “Protocolo de controle de REDE (NCP – netwrok-control-protocol), que possibilitou as máquinas comunicarem entre si, no mesmo ensejo surgiu a escrita de programações, surgindo o primeiro programa de e-mail, criado por Ray Thompson, ferramenta que possibilitou a troca de mensagens de texto, muito mais rudimentar do que atualmente, o que possibilitou ainda mais a propagação de informações entre os computadores das redes, sendo um marco importante para o que ficou conhecido como “web 1.0”, ou ainda, “web do conhecimento”, caracterizada pelo grande número de informações proporcionadas para os usuários.

O sistema continuou se expandindo, os nós aumentando em quantidades, ao passo que em 1972 já havia 15 nós, e ao mesmo tempo, as instituições que compunham a ARPANET passaram a usar a rede para uso cotidiano, como a troca de e-mails.

Outras redes foram surgindo, exemplo delas são Cyclades, AlohaNet, GE Informmation Services e Telenet.

Vê-se que o DARP desempenhou importante função ao desenvolver métodos que possibilitasse transmitir dados entre as redes, até então impossíveis de comunicar-se entre si. Consequência evolucional disso foi o surgimento de um novo protocolo na ARPANET, o TCP (Transfer Control Protocol), importante na internet até hoje, responsável por segmentar os dados em pacotes, o que ocorreu em resposta aos problemas que vinham ocorrendo em decorrência do grande número de computadores na rede.

Protocolos são entendidos como conjunto de regras que funcionam como uma linguagem comum e padronizada entre os computadores e que possuem a função de “[...]definir o formato e a ordem das mensagens trocadas entre duas ou mais entidades comunicantes, bem como as ações realizadas na transmissão e/ou no recebimento de uma mensagem ou outro evento”[6] , o que, por vez, possibilita, por exemplo fazer uso da internet, navegando por sites, independente do sistema operacional que usamos em nossa máquina.

Em meio a muitas evoluções, grandes inovações surgiram, como os protocolos TCP/IP e o DNS, que são usados até hoje. O mesmo se diga em relação as redes que deram origens a tecnologias diferentes, como a AlohaNet que desenvolveu a transmissão via rádio, ou como a francesa Minitel, da qual decorre o primeiro movimento para acesso à internet das residências, movimento do governo francês que disponibilizava rede pública de comutação de pacotes e termineis baratos ou gratuitos para as residências francesas.

Em 1990 surge a célebre WWW (World Wide Web), que possibilitou a internet em residências e empresas do mundo inteiro, popularizando o acesso e permitindo o surgimento de grandes aplicações.

O surgimento do primeiro navegador ocorreu em 1991, foi criado por Tim Bernes-Lee e permitiu o lançamento do primeiro browser, o “Mosaic”. Na mesma época ocorreu o surgimento dos primeiros grandes provedores de acesso, disponibilizando conexão aos usuários comuns, sendo seguido de um aumento súbito de usuários e de sites, originando à chamada “Internet Comercial”, denominada por muitos como marco inicial da rede.

Com o passar do tempo, muitos ambientes virtuais foram surgindo como o “Orkut” em 2004, seguido do “Facebook” e ainda o “Youtube” em 2005. Expandiu-se assim os horizontes e possibilidades na internet. Em 2007, aproveitando o “bum” da virtualização social, Steve Jobs lançou o primeiro “Iphone”, trazendo toda essa revolução para dentro dos smartphones.

A informática e a internet vivem em uma onda crescente de inovações, e juntamente a tudo isso, são inseridos novos padrões e possiblidades na sociedade em vários aspectos, porém, da mesma forma que existe criatividade benéfica por parte dos inventores, há também inventividade nefasta por parte de indivíduos mal-intencionados. Em razão disso passou-se a atentar para violações de direitos e garantias fundamentais.

Mas não basta entender o meio em que as relações passam a ocorrer, também se faz necessário compreender os direitos que passaram então a correr risco e, portanto, merecer a tutela do Estado.

3.2. Do Direito à Privacidade

O direito à privacidade constitui uma conquista histórica da civilização, um verdadeiro signo de evolução que, desde sua primeira concepção, vem se moldando ao momento histórico e as vulnerabilidades da intimidade da pessoa humana. A partir deste preceito, conceituar este direito fundamental é uma tarefa difícil, visto que passou a compreender valores diferentes a depender do interesse das pessoas.

Em uma análise etimológica do termo “privacidade”, proveniente do termo em latim privates, significa “separado do resto”.

Ao buscarmos apoio de autores e pesquisadores, encontramos uma serie de anotações acerca do tema. Robert C. Pose leciona: “A privacidade é um valor tão complexo, tão emaranhado em dimensões concorrentes e contraditórias, tão repleto de significados diversos e distintos, que às vezes me pergunto se ele realmente pode ser abordado de forma útil.” [7].

Mas certamente a privacidade é um direito importante para todos, assim como expõe Edward Snowden: “...dizer que você não se importa com a privacidade porque não tem nada a esconder não é diferente de dizer que não se importa com a liberdade de expressão porque não tem nada a dizer.”[8]

Posto isso, também se faz importante a ressalva de que este direito resguarda íntimo vínculo com a proteção de dados pessoais que traduzem a personalidade do seu titular. O “ser” no ambiente virtual, delimita e representa toda a personalidade e individualidade dos usuários. Pode-se afirmar que todos os dados expostos pelo indivíduo são como a personificação deste no ambiente virtual, ainda que na forma de números e letras.

O alto fluxo de dados que transitam na internet, e o grande número de empresas e terceiros que tratam estes dados, são indicadores do quão expostos nossos dados se encontram, e da mesma forma, vulneráveis a violações que podem ser traduzidas, grosso modo, como violação à privacidade.

Em conclusão, tem-se o seguinte a lição de Danilo Doneda: “...a privacidade acaba por ressoar uma série de outras questões referentes a nossa personalidade. Assim, certas formas de tratamento de nossos dados pessoais podem implicar na perda da nossa autonomia, da nossa individualidade e, ainda, da nossa liberdade.”[9]

Contudo, para melhor esclarecimento da questão, é necessário olhar para trás a fim de que se entenda melhor este direito tão importante.

Anterior à existência deste direito, bem como de outros direitos individuais, o Direito Romano baseava-se na supremacia do direito público em detrimento do direito privado, concepção que, para o bem, evoluiu e se alterou. Isso demonstra a razão pela qual a evolução do direito à privacidade merece o devido respeito e relevância, principalmente nos debates que englobam o tratamento de dados pessoais.

Em seu berço, o direito à privacidade surgiu em resposta aos regimes totalitários e vigilância do Estado. Sua primeira aparição no mundo jurídico deu-se em 1890, na revista Harvard Law Review, mais especificamente em artigo escrito por Samuel Warren e Louis Brandeis, intitulado “The Right To Privacy”[10], onde se definiu a princípio como o “direito de ser deixado só” (the right to let alone), trazendo o reconhecimento da natureza espiritual do homem e seu desejo de simplesmente não ser incomodado.

Danilo Doneda afirma que esta primeira concepção é “...marcada por um individualismo exacerbado e até mesmo egoísta...”[11]. Compreensível, pois este primeiro esboço era um tanto quanto extremista, conforme extrai-se da própria concepção “direito de ser deixado só”, que sinonimiza a privacidade à tranquilidade e ao isolamento do indivíduo, o qual para exercer sua privacidade deveria até mesmo privar-se da comunicação com outros indivíduos.

Até hoje o referido artigo é levado em consideração pelos estudiosos do tema, porém com entendimento menos extremista. Mantem-se a ideia de reserva de si próprio de extrema relevância. Ainda na contextualização histórica, vale lembrar que somente após a publicação do supracitado artigo foi que a Suprema Corte de Justiça Americana reconheceu o direito intitulado como O Direito à Privacidade.

Tal direito ganhou notória relevância após a Segunda Guerra Mundial, época na qual muitos indivíduos tiveram suas informações usadas em seu desfavor, uma vez que a depender de sua religiosidade ou etnia, sofriam perseguições, como foi o caso dos Judeus. Frente a isso, e a outros eventos originados do conflito mundial, acontece em 1948 a Declaração Universal dos Direitos Humanos, delineando os direitos humanos básicos, dentro dos quais encontra-se o Direito a Privacidade arrolado em seu artigo 12:

Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contratais interferências ou ataques., com isso, muitos remontam este o momento do nascedouro do Direito a Privacidade.[12]

No início o direito à privacidade era quase uma regalia da burguesia já que carregava um certo individualismo, sendo tutelado apenas a intimidade daqueles com certa relevância social, pois as decisões no sentido de tutelar tal direito, na época se deram em casos específicos. Os menos favorecidos continuavam relegados a um segundo ou terceiro plano quanto a seus direitos e até garantias. Aliás, como ocorre até hoje.

Como exemplo dessa tutela inicial, pode-se citar o caso ocorrido em 1935, em Londres, época em que o livreiro Edmund Curl publicou, sem autorização, correspondências particulares do poeta Alexander Pope, enviadas a ele. Porém, em 1741, após Pope pleitear em juízo, foi proferida sentença que garantiu o direito de propriedade ao autor das cartas, mesmo que enviadas à Curl[13]. Caso que ficou conhecido como Pope v. Curl.

Outra exemplificação, da tutela de direitos à privacidade da época, se deu no caso Prince Albert v. Strange, ocorrido em 1848. príncipe Albert e rainha Vitória fizeram gravuras de sua família, que foram confiadas à John Brown para imprimi-las. Contudo, sem a devida autorização, Midletton, funcionário de Brown, vendeu em torno de 63 gravuras para Jasper Tomsett Judge, o qual elaborou um catálogo com 50 diferentes tipos para expor publicamente, as quais requisitou à William Strange para imprimi-las. Acontece que ao tomar conhecimento, Príncipe Albert ajuizou ação requerendo a entrega das gravuras e a proibição da exposição. Assim, foi proferida sentença que reconheceu o direito e propriedade dos autores, privacidade dos nobres e impedindo a publicação[14].

Com o desenvolvimento de um modelo de Estado liberal, surgiram movimentos sociais com reinvindicações da classe trabalhadora. Isso aliado ao desenvolvimento e surgimento de novas tecnologias e o crescente aumento do fluxo de informação decorrentes disso, fez com que o direito relativo à privacidade começasse, por assim dizer, a se popularizar, deixando de ser privilégio das altas castas ou pessoas conhecidas.

Em especial, a importância que a informação passou a apresentar, implicou na necessidade da tutela deste direito fundamental, de modo a mudar este paradigma do qual apenas era tutelada a privacidades daqueles publicamente expostos e de certo relevo social, já que maior parcela da população passou a se sujeitar à violação de privacidade.

Todos os movimentos ou acontecimentos anteriormente citados, tidos como revolucionários em dada fase histórica, fizeram com que a noção de privacidade a fosse expandida. O avanço tecnológico, cerne desta pesquisa, foi de extrema relevância para a expansão do entendimento da privacidade.

As informações pessoais, e, portanto, a própria privacidade, a princípio, passou a ser alvo do Estado, pois era ele o detentor de dados da população, imprescindíveis para maior controle e acuracidade nos investimentos e políticas estatais. Como hoje, a posse dos dados era um verdadeiro sinônimo de eficiência administrativa.

Posteriormente, o desenvolvimento tecnológico possibilitou diversas formas de tratamento do dado, facilitando a coleta, armazenamento e processamento de informações, o que implicou no aumento da exploração, também, por organismos privados, agora com um extenso leque de utilizações dos dados pessoais de terceiros.

Isso demanda uma valoração do quão rigoroso deve ser o direito à privacidade, ou melhor dizendo, de quanto deve haver um equilíbrio entre o direito à privacidade e o direito à informação. Se por um lado o acesso as informações dos indivíduos se fazem necessário para o controle estatal, por outro é preciso que o estado tenha um conhecimento acurado acerca da sensibilidade de tais dados pessoais.

Evidente, também, a importância de tais dados para organizações privadas. Um exemplo é o fato de que o Google fornece resultados muito acurados para as pesquisas, porém seus algoritmos são alimentados por inúmeras informações que o motor de busca constantemente coleta, seja informações geografia ou pessoais, fazendo-o através de mais de 57 “trackers”, que são “scripts em sites projetados para derivar pontos de dados sobre suas preferências e quem você é ao interagir com o site deles... “[15] , ou seja, como reza o dito popular: “não existe almoço grátis”.

Daqui resta uma clara exemplificação do cenário em que vivemos, muitas vezes é difícil escolher entre viver uma vida com privacidade neste meio ou ter a sua disponibilidade um mecanismo mais completo, repleto de ferramentas e bancos de dados. Na internet muitas vezes há essa troca, como será visto mais à frente.

Também é possível denotar o risco de os dados caírem em mãos erradas, ideia que não deve se limitar à entes privados, pois já que os dados contidos em uma base vasta de dados, ou um big data, traz consigo um rol de infinitas possibilidades, inclusive permitir um controle em diversos polos, uma tentação à regimes totalitaristas e criminosos.

Como bem pontua Ronaldo Bach da Graça:

...considerando que nenhum direito é absoluto, pode-se ressalvar o direito nas oportunidades em que seu uso salvaguarda práticas ilícitas. Se, em regra, a intimidade e a vida privada limitam o direito dos meios de comunicação, também deve-se limitar o Estado fiscalizador sempre que não houver indícios que justifiquem conduta diversa. Trata-se de um direito que a Constituição da República de 1988 aborda como conexo ao direito à vida, tamanha sua importância.[16]

Por fim, importante a ressalva de que a sociedade deve ter noção daquilo que pode macular sua privacidade. Somente assim poderá entender a necessidade da proteção. À vista disso, expõe Danilo Doneda:

Uma das chaves para compreender essa estrutura é a verificação do papel da tecnologia e de como utilizá-la para uma eficaz composição jurídica do problema da informação. Há de se verificar como o desenvolvimento tecnológico age sobre a sociedade e, consequentemente, sobre ordenamento jurídico.[17]

Em suma, a normatização depende da maturação da relação entre a tecnologia e os valores tutelados pelo ordenamento jurídico, sendo que, sem o entendimento da funcionalidade do ambiente virtual ou das relações que ocorrem nele, não é possível uma regularização normativa e uma defesa assertiva dos direitos dos indivíduos.

Em conclusão, um bom sinal da evolução é refletido pela própria mutação do direito à privacidade, representando o ajuste às novas tecnologias da informação, servindo como exemplo desta evolução o surgimento da própria disciplina de proteção de dados, uma consequência da tentativa de dar eficiência para a privacidade dos indivíduos, forçando o surgimento de mecanismos e normas efetivem a tutela dos interesses.

3.3. Da Sociedade da Informação

Da mesma forma que acontecimentos como a revolução industrial tem por consequência a transição da sociedade, a revolução digital tem o mesmo efeito, já que carrega consigo uma velocidade maior do que as transformações ocorrem.

O surgimento do ciberespaço como novo espaço de comunicação e relacionamento é resultado da fácil acessibilidade, disponibilidade e baixo custo, bem como de suas infinitas possibilidades advindas de uma velocidade nunca vista.

A Unesco buscou conceituar o ciberespaço da seguinte forma:

[...] um novo ambiente humano e tecnológico de expressão, informação e

transações econômicas. Consiste em pessoas de todos os países, de todas

as culturas e linguagens, de todas as idades e profissões fornecendo e

requisitando informações; uma rede mundial de computadores

interconectada pela infraestrutura de telecomunicações que permite à

informação em trânsito ser processada e transmitida digitalmente.[18]

Tal organização da sociedade é pautada pelo ciberespaço, Pierre Levy também tece comentários a respeito do tema:

O ciberespaço dissolve a pragmática da comunicação que, desde a invenção da escrita, havia conjugado o universal e a totalidade. Ele nos reconduz, de fato, à situação anterior à escrita – mas numa outra escala e numa outra órbita -, na medida em que a interconexão e o dinamismo em tempo real das memorias em rede faz com que o mesmo contexto o imenso hipertexto vivo, seja compartilhado pelos integrantes da comunicação.[19]

Como já exposto anteriormente, a internet e as inovações tecnológicas, alteraram a maneira de nos relacionarmos, abrindo um leque de possibilidades e concebendo uma nova forma de organização das sociedades, como bem expõe Castells:

[...] as instituições, as companhias e a sociedade em geral transformam a

tecnologia, qualquer tecnologia, apropriando-a, modificando-a,

experimentando-a [..] esta é a lição que a história social da tecnologia

ensina [...] A comunicação consciente (linguagem humana) é o que faz a

especificidade biológica da espécie humana. Como nossa prática é baseada

na comunicação, e a Internet transforma o modo como nos comunicamos,

nossas vidas são profundamente afetadas por essa nova tecnologia da

comunicação.[20]

Nesse ínterim, a internet não apenas fornece meios para comunicação, ela vai além. Como cita Carl Sagan: “nós criamos uma civilização global em que elementos cruciais - como as comunicações, o comércio, a educação e até a instituição democrática do voto - dependem profundamente da ciência e da tecnologia”[21] .

As mudanças impostas pela revolução tecnológica, influenciam as relações sociais e até culturas, constitui um novo modelo de sociedade, a sociedade da informação, conceituada por Jorge Werthein:

A expressão “sociedade da informação” passou a ser utilizada, nos últimos anos desse século, como substituto para o conceito complexo de “sociedade pós-industrial” e como forma de transmitir o conteúdo específico do “novo paradigma técnico-econômico[22]

A análise deste novo modelo de sociedade é alcançada pela função estatal de regulamentar a convivência dos indivíduos.

Assim, extrai-se que este modelo de sociedade é situado na “Era Informacional” onde a proteção de dados pessoais deriva da percepção da amplitude e potencialidade de controle e manipulação dos dados, e a infinidade que a detenção dos mesmos possibilita.

A população que navega pelo ciberespaço, independente de fronteiras rompem os limites de fuso horário e distância física ao se relacionar com outros indivíduos geograficamente distantes. Pior. Isso se dá quase instantaneamente, tendo acesso ao que acontece no mundo assim que o fato se concretiza. Faz-se publicações, compras e contratos com muita agilidade. Para tanto, os dados desses usuários são inseridos indiscriminadamente e das mais diversas formas, nos mais variados endereços digitais.

Tudo isso, leva à alimentação de bancos de dados (um repositório onde se armazenam um conjunto de dados e informações, estando esses estruturas de acordo com uma lógica empregada pelo gerenciador), coletados e tratados por governos e empresas que tiram proveito das informações ali contidas, formando uma verdadeira mina de ouro pelo simples motivo de estarem agruparem e organizados. Enfim, são ativos intangíveis, tornados verdadeira moeda na sociedade da informação na qual se estabeleceu um novo modelo econômico, onde as informações e dados pessoais como se tornam a moeda de pagamento.

Clive Humby cunhou a famosa frase[23]: “os dados são o novo petróleo”, referindo-se ao grande valor que os dados possuem nos tempos atuais.

Tanto é verdade, que empresas como o Facebook e o Google que coletam dados dos usuários para compor os seus bancos de dados, ou coletam dados de Big Datas (da mesma forma que os bancos de dados, os big datas são um conjunto de dados, mas aqui nem sempre estão estruturados e apresentam um número muito maior de dados do que bancos de dados convencionais, sejam esses coletados por sensores de dispositivos inteligentes ou internet ou mídias sociais), ganham lucram tanto com publicidade como a comercialização das informações coletadas dos usuários.

A sociedade de informação deixa de ser uma sociedade de serviços e passa também a explorar tal riqueza como lembrado por Patricia Peck Pinheiro[24].

O contexto da sociedade da informação, eleva os dados à moeda de pagamento em um nível que constitui um verdadeiro modelo de negócio, exemplo disso é o surgimento de uma ciência própria para a coleta, leitura e intepretação destes dados para finalidades especificas o - Data Science –. Aqui os cientistas de dados são responsáveis pela interpretação dos dados situados nas bases de dados e big datas, profissão em inabalável ascensão atualmente.

Em resumo, de modo igual às guerras que repercutiram na divisão geográfica dos territórios, o desenvolvimento tecnológico gerou um único território, o ciberespaço, que implicou na mudança estrutural em todos os aspectos da vida dos indivíduos, gerando uma verdadeira transformação da sociedade e sua estrutura, antes movida por engrenagens na sociedade industrial, e agora impulsionada pela hiper conexão na sociedade da informação.

4. CONSTRUÇÕES LEGISLATIVAS E JURISPRUDENCIAIS PROMOTORAS DA PROTEÇÃO DE DADOS

Tratado todo o momento histórico, resta dissecar como os ordenamentos jurídicos vem reagindo diante de tal evolução.

A Revolução Cibernética traz consigo uma facilidade e velocidade nunca antes vista para obtenção de dados e informações, fazendo com que o direito se modifique e amplie sem campo de atuação. Isso implica no surgimento de novas normas concernentes os materiais que envolvam o tratamento e controle de dados e informações.

Sendo assim, é de se esperar que os Estados tutelem os direitos dos cidadãos, mesmo porque, as normas devem refletir “...o estado da tecnologia e a visão do jurista à época”[25].

4.1. O Caso do National Data Center

Em uma ordem cronológica, o primeiro momento histórico a ser considerado ocorreu em 1965, nos Estados Unidos, em que houve uma tentativa de administrar dados, pelo escritório de orçamento Bureau of Budget, um órgão técnico do governo, que posteriormente, em 1970, foi agregado ao órgão administrativo norte-americano, designado como Escritório de Administração e Orçamento.

Tal bureau apresentou o denominado “National Data Center”, que seria um banco de dados no qual se armazenariam as informações dos cidadãos norte-americanos, que até então se encontravam em diversos órgãos da administração federal do País dispersos em vários bancos de dados geridos pelo governo, para isso unificariam os cadastros do Censo, dos registros trabalhistas, do fisco e da previdência social[26].

De fato, um banco centralizado ofereceria uma maior celeridade, bem como evitaria a duplicidade de informação. Por não representar algo muito crível para à época sua implantação não era um consenso. Um problema do projeto era que o órgão ignorou as implicações jurídicas, voltando-se apenas a eficiência administrativa.

Em virtude disso, também pelo fato de o próprio computador ser novidade na época, a proposta gerou muitos debates e opiniões conflitantes. O cerne dessas discussões era o temor da exposição de grande quantidade de dados pessoais dos cidadãos concentrados em um único lugar. Não só a possibilidade de vazamento de dados, mas a própria concentração de vasto conhecimento nas mãos do governo, poderiam consistir em uma ameaça a própria democracia americana ante a ameaça do crescimento do poder do governo com tantos dados concentrados nas mãos da administração pública.

Em consequência a tal debate, o Congresso norte-americano realizou diversas audiências a fim de se discutir os efeitos que esse banco de dados centralizado poderia ocasionar. Ao final, consolidou-se o entendimento de que a estrutura de uma arquitetura em que os dados e informações se encontrem dispersos em bancos de dados distribuídos, permitiria uma melhor proteção ao cidadão contra o uso indiscriminado de seus dados. A ideia do National Cata Center encontrava resistência pois alegaram que nada deveria ser feito sem que houvesse a estrita observação à proteção da privacidade em máximo nível possível para os cidadãos, cujos dados pessoais, constituíam o rico banco de dados. Como consequência, o projeto foi encerrado.

Contudo, por mais que os entendimentos não expressem a realidade atual, é importante conhecer os primeiros esboços de debates a respeito da proteção de dados pessoais, e ainda, extrair a influência dessa evolução para que se firmem interpretação como as atuais.

4.2. O Caso do Safari

O episódio norte-americano extrapolou os limites continentais, influenciando inciativas de outros países, como é o caso da França em 1970.

O Instuty National de la Statistique, órgão técnico do governo gálico, com a intenção de facilitar a comunicação e o armazenamento de dados pessoais dos franceses, idealizou o chamada Système Automatisé pour les Fichiers Administratifs et le Repertoire des Individus, alcunhado como SAFARI, que trazia em sua motivação também a eficiência administrativa.

Aqui se planejou um sistema onde cada um dos dados pessoais dos cidadãos que se encontravam com a administração pública, seriam transferidoa e armazenadoa em sistemas informatizados nos quais, cada cidadão, teria uma número, invariável, que manteria por toda sua vida. Tal número único, se chamaria Sécurité Sociale, seria atribuído a partir do seu nascimento e serviria como identificação de seu titular perante o Estado.

De igual forma ao caso predecessor, o enfoque exclusivo na eficiência administrativa, sem analisar as implicações jurídicas e ofensas aos direitos dos cidadãos, ensejou debates e discussões que resultaram em uma provocação ao próprio Estado, quando, em 1974, o primeiro-ministro da França proferiu uma medida administrativa que interditou interconexões de dados entre os ministérios do governo, providência que pôs fim ao projeto SAFARI.

A importância deste caso se dá, também, pela repercussão causada. Após a interferência do Estado, foi criada uma comissão denominada “Commission Informatique et Libertés”, que acabou dando luz a uma lei francesa voltada à proteção de dados em 1978, a Loi Informatique et Libertés.

Esta lei francesa criou uma autoridade de proteção de dados chamada de Commission Nationale de l’Informatique et des Libertés (CNIL), figura de extrema importância nas legislações atuais.

Novamente, mesmo que não espelhe os entendimentos atuais, o contexto histórico era diverso, sendo obscuras as ideias pertinentes ao funcionamento de sistemas informatizados. Neste ensejo, destaca-se a evolução do entendimento acerca da tecnologia e a evolução do entendimento normativo.

4.3. Lei do Land Alemão de Hesse e o Censo alemão de

A partir de 1970, a proteção de dados começou a ser objeto de preocupação do direito, que passou a ser tutelado por leis especificas, remontando o que ficou conhecido como como normas de proteção de dados de primeira geração.

Dentre elas, a primeira foi uma Lei da Alemanha, de 1970, chamada Hessisches Datenschutzgesetz. Nesta época os estados alemães (chamados de Länder) já fomentavam uma cultura de proteção de dados ao constituírem suas próprias leis e estruturas administrativas. Posteriormente surgiu a lei federal do país, datada de 1977, chamada de Bundesdatenschutzgesetz

No mesmo contexto houve ainda a criação de uma Lei do Censo[27] (Volkszählungsgesetz), aprovada em 1982 que tinha como finalidade a imposição da obrigação que o cidadão respondesse uma série de perguntas, em torno de 160. As respostas seriam submetidas à um tratamento de dados, contudo, havia apontamentos na lei como a possível retificação do registro por meio da comparação dos dados coletados com o registro civil, e ainda mais grotesco, a incidência de uma multa pecuniária aos que não respondessem ao questionário, bem como um favorecimento à quem denunciasse aqueles que não a obedecessem.

Obviamente a lei e suas imposições também geraram controvérsias e debates. Ocorre que tudo se agravou quando, além da lei federal de proteção de dados não impor proteção suficiente para trazer segurança dos dados dos cidadãos, em 1978 um juiz estabeleceu a prevalência das leis com finalidades estatísticas à coleta de dados (censo), sob a lei federal de proteção de dados pessoais.

Neste ensejo, a Corte Constitucional, diante de reclamações embasadas na violação a direitos fundamentais, prolatou sentença que suspendeu provisoriamente a lei do senso ao declarar a inconstitucionalidade da mesma, com fundamentação nos artigos da lei fundamental que dispunham sobre a inviolabilidade da dignidade humana e ao livre desenvolvimento da proporia personalidade.

Entre os diversos fundamentos para o reconhecimento da Corte Constitucional, se estabeleceu a necessidade de se observar o princípio da finalidade na coleta de dados, ao reconhecer a diversidades das informações coletadas para fins tanto administrativo, quanto estatístico, “que impediam que o cidadão conhecesse o uso efetivo que seria feito de suas informações”[28] .

Contudo, o mais relevante ponto da decisão refere-se à expressão utilizada de “autodeterminação informativa” (Informationelle Selbstbestimmung), que prevê o direito do indivíduo aos limites de utilização dos seus dados. Tal direito a autodeterminação informativa repercute até hoje nas normas sobre proteção de dados por todo o mundo.

Toda esta discussão levou a uma mudança de perspectiva que muito auxiliou no desenvolvimento da proteção de dados, inclusive, na liberdade a informática, outro instituto importantíssimo até hoje para a disciplina como bem define Pérez Luño:

Garantir a faculdade das pessoas de conhecer e acessar as informações que lhes digam respeito, arquivadas em bancos de dados. Controlar sua qualidade, o que implica a possibilidade de corrigir ou apagar os dados inexatos ou indevidamente processados. E dispor sobre a sua transmissão.[29]

Já em 1985 foi promulgada nova lei em que constavam observações aos preceitos contestados, tendo sido realizado o censo em 1987, no qual os dados para fins estatísticos constavam separadamente das informações individuais, isto é, os cidadãos titulares dos dados eram informados sobre a finalidade da coleta, o compartilhamento deles, entre outras disposições.

Daqui já se deparavam importantes influências às legislações atuais, de modo que se torna inegável a pertinência deste momento histórico para a concepção legislativa atual.

4.4. Gerações de Leis de Proteção de Dados Pessoais

A evolução das normas que disciplinam a proteção de dados pessoais, conforme proposta de Mayer-Schonberger, pode ser dividida em gerações. A primeira delas compreende o período de 1970 até a metade da década, tendo como marco inicial a Lei do Land alemão de Hessem de 1970, a Datalog da Suécia, primeira lei nacional de proteção de dados sueca, datada de 1973 e o Privacy Act dos Estados Unidos de 1974.

Essa primeira geração é muito marcada por um sentimento de insegurança ante a novidade que era a informática à época, e uma visão jurídica muito influenciada pelos casos acima mencionados. Assim, a insegurança era refletida pelo temor da ameaça da tecnologia e a coleta ilimitada de dados aos direitos e liberdade fundamentais.

A segunda geração surge com a lei francesa de 1978, Informatique ete Libertés, que tutelava os dados pessoais. Esta geração é marcada por uma mudança no entendimento acerca da matéria. Até então, a única ameaça era o tratamento dos dados pelo governo, porém novos interesses, agora de terceiros acabou ensejando uma pulverização de bancos de dados. Com o aumento da vulnerabilidade das informações os indivíduos careciam de instrumentos para defender seus interesses, ante a insuficiência que as leis anteriores passam a ter frente a mudança do paradigma tecnológico.[30].

Interessante observação é que, a velocidade de toda essa evolução tecnológica, foi explicada por Gordon E. Moore em 1965 quando teorizou o assunto através do que ficou conhecido como Lei de Moore cujo cerne seria: “a cada 18 meses, a capacidade de processamento vai dobrar, sem que isso represente aumento do custo do processador, mais consumo de energia ou mais espaço ocupado”.[31].

Como exemplo basta tomar a eficiência energética e capacidade de processamento contida no novo Chip M1[32] da Apple, que compreende um poder até poucos anos era inimaginável, inserido em notebooks e tablets com menos de 1kg (um quilograma).

Já as leis de terceira geração, surgidas na década seguinte, tem como marco inicial uma Decisão do Tribunal Constitucional Alemão Bundesverfassungsgericht, a qual confere status constitucional ao tema de proteção de dados.

Diferente das anteriores que buscaram tutelar a escolha do indivíduo em oferecer ou não seus dados, esta tem como enfoque a autodeterminação informativa, que pode ser vista basicamente como uma expansão das garantias e liberdades promovidas pelas leis de segunda geração.

Aqui permite-se ao cidadão não só a liberdade para consentir ou não com o início do tratamento de dados, mas sim em todo o processo, oferecendo meios de proteção para que sua liberdade não seja cerceada em momento algum, sendo a participação do cidadão verdadeira mola propulsora de das estruturas destas legislações[33]. No entanto, por mais que se garantisse o direito de autodeterminação, nem todos os cidadãos se dispuseram a exercitar tal prerrogativas.

Posteriormente, na década de 90 surgem as legislações de quarta geração, que buscam suprir as lacunas do enfoque individual das legislações das gerações antecessoras. Passa-se então a buscar resultados concretos a partir de pragmatismo e instrumentalização a degrau coletivo da proteção de dados, como bem observa Danilo Doneda:

Entre as técnicas utilizadas, estas leis procuraram fortalecer a posição de

uma pessoa em relação às entidades que coletam e processam seus

dados, reconhecendo o desequilíbrio nesta relação, que não era resolvido

com medidas que simplesmente reconheciam o direito a autodeterminação

informativa; outra, paradoxalmente, é a própria redução do papel da decisão individual na autodeterminação informativa. Isto ocorre porque se parte do

pressuposto que determinadas modalidades de tratamento de dados

pessoais necessitam de uma proteção no seu mais alto grau, que não pode

ser obtida exclusivamente de uma decisão individual.[34]

A tudo isso seguiu-se o surgimento das normas mais conexas, porém com o mesmo fim de promover a eficácia dos princípios norteadores das leis de proteções de dados.

Conclui-se, portanto, que todas as decisões e inovações, tanto tecnológicas, quanto normativas e jurisprudenciais, contribuíram e influenciaram na atual relação da norma e tecnologia. Sem todo esse desenvolvimento histórico, assim como os demais direitos e garantias adquiridos pelo homem com o passar dos tempos, é impossível chegar em decisões e interpretações assertivas da matéria.

5. A PROTEÇÃO DE DADOS EUROPEIA

A Europa vem lidando com a matéria de proteção de dados há mais de quarenta décadas, tempo que exprime maturidade acerca da compreensão do tema. É justamente nesse amadurecimento que bebe nossa Lei Geral de Proteção de Dados brasileira, fortemente inspirada na legislação do velho mundo.

Diferentemente dos países que são regidos pelo sistema common law, os europeus que adotam o modelo civil law que possui o intuito de uniformizar as legislações ao instituir fontes primarias a serem transpostas para as normas internas de cada estado membro que, por sua vez, tratam de fontes secundarias. Tal uniformidade só foi alcançada pelo regulamento europeu, General Data Protection Regulation (GDPR) que entrou em vigor no ano de 2018.

Contudo, anteriormente à existência do GDPR, a mencionada diretiva servia apenas para tecer as fontes primarias, de forma que, após transpostas para as legislações nacionais, eram aplicadas aos casos em concreto.

5.1. Guinadas Jurisprudenciais

Além dos esforços legislativos aqui já mencionados (Lei do Lande de Hesse; a Lei Federal Alemã “Bundedatenschutzgesetz” e a lei da Suécia “Datalog”, surgiram uma series de outras leis nos países europeus. Em resposta à disseminação do tema, a União europeia, segundo Danilo Doneda “...começa a procurar uma solução comum para o problema”[35]. Então, em 1973 a Assembleia Consultiva do Conselho Europeu solicitou a adoção de recomendações acerca de técnicas de coleta de informações, tendo sido promulgada, no mesmo ano, a resolução número (73) 22[36], já preparando o terreno para uma futura convenção mais verticalizada sobre o tema. Assim, após a promulgação os países passaram a editar suas normas nacionais em atenção à resolução.

Contudo, outro obstáculo surgiu quando houve a percepção de que a simples regulamentação e unificação interna não seria suficiente para a proteção plena, visto que os dados podem ser tratados internacionalmente. Dessa maneira a Organização de Cooperação e de Desenvolvimento Economico[37] (OCDE), em 1978, organizou um grupo de profissionais da área de tráfego transfronteiriço de dados e confeccionou-se o Guidelines on the Protechtion of Privacy and Transborder Flows of Personal Data, documento finalizado em 1980, que seria responsável pelo estabelecimento de parâmetros usados na regulamentação da proteção de dados. Tal guia, porém tinha um escopo diferente já que tinha um enfoque no tráfego dos dados e não na proteção[38].

Assim sendo, em meio a guinadas, já há muito tempo, a Europa vem enfrentando questões atinentes à proteção de dados pessoais, daí vem sua expertise ao tratar da matéria.

5.2. Convenção 108 do Conselho da Europa

No ano de 1981 surgiu a Convenção 108 do Conselho da Europa, voltada para a Proteção de Indivíduos com Respeito ao Processamento Automatizado de Dados Pessoais (Convention for the Protection of Individuals with regard to Automatic Procesing of Personal Data). Tal convenção não se limitou apenas aos países da União Europeia. Na verdade, foram 108 os países signatários, dos quais o Brasil passou a integrar no ano de 2018 com o status de observador.

Este é um ponto fundamental para a construção do regulamento europeu, ao passo que elevou a proteção de dados à nível de direitos humanos, ao abordar o tema da proteção e dados em referência ao artigo 8º da Convenção Europeia para os Direitos do Homem, que versa sobre direitos humanos e liberdades fundamentais:

ARTIGO 8°

Direito ao respeito pela vida privada e familiar

1. Qualquer pessoa tem direito ao respeito da sua vida privada

e familiar, do seu domicílio e da sua correspondência.

2. Não pode haver ingerência da autoridade pública no

exercício deste direito senão quando esta ingerência estiver

prevista na lei e constituir uma providência que, numa sociedade

democrática, seja necessária para a segurança nacional, para

a segurança pública, para o bem-estar económico do país,

a defesa da ordem e a prevenção das infracções penais, a

proteção da saúde ou da moral, ou a proteção dos direitos e

das liberdades de terceiros.[39]

Dessa Convenção, extraem-se pontos que se repetem nos entendimentos atuais, assim, certamente foi um passo certeiro da União Europeia, à medida que passaram a certeiramente ponderar os valores, começa um esboço do que viria se tornar a legislação especifica da proteção de dados europeia.

5.3. Diretiva 95/46/CE

A convenção 108 levou vários países membros a adequarem suas normas ao que foi convencionado, contudo, em 1995 surge o primeiro sinal de um regulamento padronizado sobre a proteção de dados pessoais na União Europeia, a Diretiva 95/46/CE que, de forma mais incisiva, impõe aos países-membros a obrigação de seguir o que nela é estipulado, aprovando normas apenas de acordo com seu conteúdo, ao já estipular em seu artigo 1º:

Os Estados-membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.[40]

Em seu texto, artigo 25º - 1, foi disciplinado não só a proteção de dados pessoais, mas também a livre circulação destes entre os Estados-membros sob a observação do princípio da equivalência que obriga os países que não protejam os dados pessoais tomem providências acautelatórias nesse sentido:

1. Os Estados-membros estabelecerão que a transferência para um país terceiro de dados pessoais objeto de tratamento, ou que se destinem a ser objeto de tratamento após a sua transferência, só pode realizar-se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente diretiva, o país terceiro em questão assegurar um nível de proteção adequado.[41]

E não são poucos os princípios impostos pela diretiva para o tratamento de dados pessoais em seu artigo 6º:

1. Os Estados-membros devem estabelecer que os dados pessoais serão:

a) Objeto de um tratamento leal e lícito;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;

d) Exatos e, se necessário, atualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexatos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou retificados;

e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.[42]

Interessante notar que a base principiológica desta diretiva se assemelha com o artigo 6º da Lei Geral de Proteção de Dados que trata justamente da boa-fé e dos princípios que devem ser observados no tratamento de dados aqui no Brasil. Isso inclui o tratamento legítimo, explicito e informado ao titular, não podendo ser realizado de forma incompatível com tais finalidades. Tudo isso prezando pela segurança dos dados e adotando medidas de prevenção, para que o titular não seja prejudicado durante o tratamento.

5.4. General Data Protection Regulation (GDPR)

Contudo, o ponto alto da proteção de dados pessoais na Europa se deu com o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR 2016/679), promulgado em 2016 e que entrou em vigor no dia 25 de maio de 2018, mudando a sistemática, fazendo-o de forma a regular o direito à proteção de dados, ao mesmo tempo em que garante a liberdade da livre circulação dos dados.

O regulamento parte da presunção da livre circulação dos dados, ao delimitar sua incidência aos estados-membros da União Europeia e a outros países, desde que haja um tratamento de dados que envolvam dados de cidadãos europeus, advindo de relação jurídica ou comercial, como dispõe o artigo 3º:

1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;

b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União.

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público.[43]

Ainda arrola os princípios relativos ao tratamento de dados pessoais em seu artigo 5:

Princípios relativos ao tratamento de dados pessoais

1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová-lo («responsabilidade»).[44]

Tudo é visto como verdadeira inovação pelos doutrinadores, como afirma Têmis Limberger:

O RGPD inova com relação ao princípio de “accoutnability” ou responsabilidade pró-ativa, que se poderia identificar com a transparência...O RGPD busca otimizar a proteção de dados, reduzindo os encargos administrativos às empresas, ao mesmo tempo em que implementa a “accountability”. Assim, o RGPD pretende uma simplificação normativa e a supressão ou flexibilização de algumas exigências das leis nacionais que os mercados consideravam burocráticas. [45]

É este princípio que impõe, à nível de princípio, as obrigações aos responsáveis pelo tratamento de dados pessoais.

Outro grande elemento é papel central do consentimento do interessado, que não se admite o consentimento tácito, devendo, agora, atender ao que impõe o artigo 4. 11:

11. Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento[46]

Ponto que evidência à proteção ao titular dos dados e seus direitos fundamentais, ainda mais somado ao princípio da finalidade que restringem o tratamento dos dados à finalidade especifica, vedando o uso a finalidades diversas.

Em conclusão, o regulamento é de grande importância ao cenário da proteção de dados pessoais, motivo pelo qual é base para legislações posteriores. Extrai-se dele clara maturidade da União Europeia para com o assunto, pois é possível notar a característica principiológica, suas conceituações acerca da matéria, delimitação das partes nas obrigações e seu aspecto não só normativo, mas também pedagógico.

6. A PROTEÇÃO DE DADOS BRASILEIRA

É cediço que o direito à privacidade se encontra inserido dentre os direitos fundamentais da Constituição Federal de 1988. Da mesma forma é possível afirmar que o ordenamento jurídico brasileiro agasalha a proteção de dados. Contudo, está tutela sempre foi feita de forma fracionada, esparsa pelas diversas leis que compõe tal ordenamento.

A tutela específica da proteção de dados pessoais no Brasil, por meio de um conjunto normativo unitário se deu de maneira tardia, mas isso decorre do próprio perfil social e histórico do País, já que a população ainda não se deu conta dos reais riscos inerentes ao ciberespaço.

Mesmo assim o Brasil vem construindo, na sua velocidade, seu regramento jurídico, o que se acelerou com a recente entrada em vigor da Lei Geral de Proteção de Dados, colocando o País no caminho certo, ao se espelhar em legislações internacionais, principalmente a europeia.

6.1. Constituição Federal de 1988

Com seu papel de reger todo o sistema jurídico do País e estruturar o Estado, a Constituição Federal deve ser o ponto de partida para análise do ordenamento pátrio.

Em seu artigo 5º, antes mesmo dos embriões das normas aqui estudadas, a Carta Magna já tecia a base para o enfrentamento desta problemática, pois dispõe sobre os direitos e garantias fundamentais dos cidadãos dentre os quais aqueles que resguardam total pertinência para a proteção de dados pessoais.

Os que merecem destaque sã: a) a garantia à liberdade de expressão, disposta no inciso IX: “é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença”, b) a inviolabilidade da vida privada e intima, arrolada ao inciso X: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”, c) o direito à informação, disposto no inciso XIV: “é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional”, d) a inviolabilidade da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, compreendidas no inciso XII: “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal” e, e) a instituição do habeas data no inciso LXXII:

LXXII - conceder-se-á "habeas-data":

a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;

b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo;[47]

Tais disposições, contudo, não traduz, por si só, ao menos através de uma interpretação restritiva, a proteção ampla dos dados pessoais.

Nesse sentido, a Ementa Constitucional nº 115, de 10 de fevereiro de 2022, garantiu constitucionalmente a proteção de dados pessoais ao inserir novidades aos dispositivos, como é visto no artigo 5º, inciso LXXIX, que passou a assegurar o direito à proteção dos dados pessoais: “LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Também fez importantes inserções nos artigos 21 e 22, em seus incisos XXVI e XXX respectivamente:

Art. 21. Compete à União: XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei

Art. 22. Compete privativamente à União legislar sobre

XXX - proteção e tratamento de dados pessoais.[48]

Com o advento dessa Emenda Constitucional, torna-se inequívoca a equalização da proteção de dados aos outros direitos constitucionais como o direito à privacidade e direito à informação, uma vez que é concebida previsão constitucional ao direito.

6.2. Código de Defesa do Consumidor

Não menos importante o Código de Defesa do Consumidor, instituído em 11 de setembro de 1990, e que passou a vigorar em 11 de março de 1991, surgiu como uma resposta à mudança das relações consumeristas da época, quais não eram tuteladas com eficácia pelo Código Civil.

Essa resposta à mudança nas relações visa tutela os direitos de uma parte hipossuficiente na relação, até então relegada a segundo plano protetivo. Isso se traduz na redação do artigo 4º, do Código de Defesa do Consumidor, em que se elenca os objetivos do Código:

Art. 4º A Política Nacional das Relações de Consumo tem por objetivo o atendimento das necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das relações de consumo, atendidos os seguintes princípios: (Redação dada pela Lei nº 9.008, de 21.3.1995)

I - reconhecimento da vulnerabilidade do consumidor no mercado de consumo;

II - ação governamental no sentido de proteger efetivamente o consumidor:

a) por iniciativa direta;

b) por incentivos à criação e desenvolvimento de associações representativas;

c) pela presença do Estado no mercado de consumo;

d) pela garantia dos produtos e serviços com padrões adequados de qualidade, segurança, durabilidade e desempenho.

III - harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica (art. 170, da Constituição Federal), sempre com base na boa-fé e equilíbrio nas relações entre consumidores e fornecedores;

IV - educação e informação de fornecedores e consumidores, quanto aos seus direitos e deveres, com vistas à melhoria do mercado de consumo;

V - incentivo à criação pelos fornecedores de meios eficientes de controle de qualidade e segurança de produtos e serviços, assim como de mecanismos alternativos de solução de conflitos de consumo;

VI - coibição e repressão eficientes de todos os abusos praticados no mercado de consumo, inclusive a concorrência desleal e utilização indevida de inventos e criações industriais das marcas e nomes comerciais e signos distintivos, que possam causar prejuízos aos consumidores;

VII - racionalização e melhoria dos serviços públicos;

VIII - estudo constante das modificações do mercado de consumo.

IX - fomento de ações direcionadas à educação financeira e ambiental dos consumidores; (Incluído pela Lei nº 14.181, de 2021)

X - prevenção e tratamento do superendividamento como forma de evitar a exclusão social do consumidor.[49]

Pois bem, as relações não param por aí, o artigo 43 do mesmo regramento normativo, dispõe sobre direitos e garantias do consumidor que possui informações em bancos de dados:

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.

§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.

§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.

§ 6^o Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.[50]

Nota-se, pois, uma preocupação do legislador com a utilização abusiva de informações sobre consumidores. Tais regramentos influi diretamente na LGPD, em especial seu artigo 18 da LGPD, que garante direitos semelhantes ao titular de dados, daqueles garantidos pelo artigo 43 do CDC ao consumidor, inclusive mencionando a aplicabilidade do CDC ao final:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional;

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.[51]

Portanto, estas semelhanças denotam a influência do Código de Defesa do Consumidor à Lei Geral de Proteção de Dados, não só pela convergência no tocante à contextualização e momento de concepção, mas como em suas finalidades e imposições.

6.3. Habeas Data

Por sua vez o Habeas Data constitui-se em um instituto jurídico, previsto no artigo 5º, inciso LXXII da Constituição Federal de 1988, regulamentado pela Lei 9.507/1997 que, nada mais é, senão outra tutela jurisdicional voltada à garantir direito fundamental cerceado.

Este, em específico, tem por finalidade “garantir que a pessoa física ou jurídica tenha acesso ou promova a retificação de suas informações, que estejam registradas em banco de dados de órgão públicos ou instituições similares” , restando já clara finalidade voltada a tutela dos dados, ao passo que garante, através de um remédio constitucional, a efetivação dos princípios da qualidade dos dados e do livre acesso, ambos previsto na Lei Geral de Proteção de Dados, em seu artigo 6º, incisos IV e V:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;[52]

Sendo assim, é de eximia importância a o funcionamento conjunto da LGPD e o Habeas Data para a proteção dos dados pessoais, frente aos novos contornos aos limites do direito à privacidade e acesso à informação, concebidos pela sociedade da informação e advento tecnológico. Partindo do pressuposto de que a LGPD não alcança o agente de tratamento de dados em função de segurança pública, entende-se que certos casos, resta ao Habeas Data efetivar a tutela dos dados pessoais.

6.4. Lei Carolina Dieckman (Lei 12.737/12)

Também digno de destaque é a Lei 12.737/2012 que surgiu, segundo Spencer Toth Skydow, de um “...movimento legislativo precipitado, simbólico e pressionado por fatores midiáticos, capazes de fazer aprovar leis mal-acabadas e que não correspondem àquilo verdadeiramente necessitado pelo Direito Penal Brasileiro”[53].

Esta lei trouxe inovações para o Código Penal, ao promover a inserção dos artitos 154-A e 154-B, bem como alterado a redação dos artigos 266 e 298, conforme observa-se a seguir:

Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.

Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento:

Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro[54]

Passou ela então a tipificar delitos informáticos, penalizando a invasão de dispositivo informático (artigos 154-A e 154-B), a Interrupção ou perturbação de serviços telegráfico, telefônico, informático, telemático ou de informação de utilidade pública (artigo 266) e a Clonagem de Cartão (artigo 298).

Contudo, diferentemente das leis citadas anteriormente, essa não guarda semelhança nem complementa a Lei Geral de Proteção de Dados, porém representa um movimento legiferante em tipificar delitos praticados no ciberespaço.

6.5. Marco Civil da Internet (Lei 12.965/14)

O Marco Civil da Internet, nome dado à Lei 12.964/14, foi sancionado em 2014. O cerne desta lei era um caráter principiológico e enunciativo de direitos civis na busca de uma neutralidade da rede. Sua ideia era boa porquanto definiu princípios, direitos, deveres, garantias e, até mesmo, fez questão de conceituar alguns elementos. Vejamos alguns exemplos:

Art. 2º A disciplina do uso da internet no Brasil tem como fundamento o respeito à liberdade de expressão, bem como:

I - o reconhecimento da escala mundial da rede;

II - os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais;

III - a pluralidade e a diversidade;

IV - a abertura e a colaboração;

V - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VI - a finalidade social da rede.

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:

I - garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal;

II - proteção da privacidade;

III - proteção dos dados pessoais, na forma da lei;

IV - preservação e garantia da neutralidade de rede;

V - preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas;

VI - responsabilização dos agentes de acordo com suas atividades, nos termos da lei;

VII - preservação da natureza participativa da rede;

VIII - liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei.[55]

Parágrafo único. Os princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.[56]

Por sua vez, exemplos de conceituação são as definições expostas em seu artigo 5º:

Art. 5º Para os efeitos desta Lei, considera-se:

I - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;

II - terminal: o computador ou qualquer dispositivo que se conecte à internet;

III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais;

IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País;

V - conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP;

VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;

VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e

VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.”[57]

A lei buscou uma característica de “constituição da internet”, em que busca tornar a rede um ambiente pacífico ao promover uma neutralidade. Contudo, não surtiu o efeito esperado. A título de exemplo, ela trata a proteção de dados de maneira muito rígida, de modo a gerar controvérsias e debates acerca de sua constitucionalidade, prestando-se então a servir apenas para regularizar algumas atividades realizadas na internet.

Mas ainda assim, restam no Marco Civil, noções similares às dispostas pela LGPD, levando a conclusão de que pode sim ser tido como mais um passo do Brasil na proteção de dados pessoais.

Por fim, também há de se ressaltar o artigo 7º do Marco Civil da Internet, que assegura direitos aos usuários da internet, como a inviolabilidade da intimidade e da vida privada, a proteção e a indenização por dano material ou moral decorrente da violação, a inviolabilidade e o sigilo do fluxo das comunicações pela internet, exceto se por ordem judicial e a inviolabilidade e sigilo das comunicações privas armazenadas, exceto por ordem judicial:

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;

III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;

IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

V - manutenção da qualidade contratada da conexão à internet;

VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;

VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;

XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;[58]

XII - acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e

XIII - aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.[59]

Esse rol de diretrizes, somados aos princípios citados nos demais artigos, apresentam grande similaridade com os artigos 6º e 7º da LGPD, fato que ressalta a maturação do Estado, pois, em meio a tentativas legislativas, a delimitação dos princípios e diretrizes continuou presente na LGPD, lei una de proteção de dados pessoais do País.

6.6. Lei Geral de Proteção de Dados (Lei nº. 13.709/18)

A Lei nº 13.709, foi aprovada no ano de 2018, entrando em vigor no dia 18 de setembro de 2020, passando a ser aplicada a partir do dia 1 agosto de 2021.

A norma específica de tratamento de dados pessoais do Brasil é resultado de anos de movimentos legislativos do País, bem como dos demais países, em especial os europeus, como já exposto. Com essa grande influência, a LGPD alcança sua finalidade de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural já exposta em seu artigo 1º:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.[60]

Para tal, se fundamenta nos princípios dispostos em seu artigo 2º, rol muito semelhante à de outras legislações:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.[61]

Pois bem, a LGPD tenta buscar um equilíbrio na relação entre o titular de dados e os agentes que farão o tratamento dos mesmos, para que sejam preservados os direitos dos titulares. Este equilíbrio é promovido por meio de imposições legais, bem como a fomentação de uma cultura de proteção de dados. Com isso, são estabelecidos conceitos pertinentes em seu artigo 5º

“Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.”[62]

Já em sua função de norma regulamentadora, dispõe no artigo 7º as hipóteses legais em que se permite o tratamento de dados:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

§ 1º Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no art. 4º desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. [63]

Outro ponto importante da norma é a previsão do consentimento, elemento essencial para o tratamento, em que não se admite a forma tácita, devendo haver o consentido do titular nos dados nos moldes previsto pelo artigo 8º:

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.[64]

E ainda, tal lei não só estipula os limites e faz imposições aos agentes tratadores de dados, como se inspira nas demais legislação ao instituir a ANPD (Autoridade Nacional de Proteção de Dados), instituição com a finalidade de fiscalizar e aplicas as penalidades impostas pelo descumprimento à LGPD, definida em seu artigo 5º, inciso XIX como: “XIX- autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.”.

A estruturação da ANPD é prevista na do Capítulo IX da LGPD, Seção I, bem como no Decreto 10.474/2020, como sendo um órgão da Presidência da República, com autonomia técnica e decisória e mandato fixo dos diretores, contudo já foi previsto que, após dois anos, contados a partir da vigência da lei, ocorra a análise para a transformação em autarquia especial, da Administração Pública indireta.

Assim sendo, assim foi feito conforme estipulado em lei, em que por meio do da Medida Provisória nº 1.124/2022, de 13 de junho de 2022, sua natureza foi transformada em Autarquia de natureza especial, conforme o artigo 1º, do Decreto:

Art. 1º Fica a Autoridade Nacional de Proteção de Dados - ANPD transformada em autarquia de natureza especial, mantidas a estrutura organizacional e as competências e observados os demais dispositivos da Lei nº 13.709, de 14 de agosto de 2018.[65]

Em tese, em seu início, o órgão tem exercido um papel de educação e didático, importante papel para a fomentação da cultura de proteção de dados, finalidade da própria legislação, possuindo autoridade para aplicar as sanções previstas no artigo 52:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)[66]

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência;

VI - o grau do dano;

VII - a cooperação do infrator;

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX - a adoção de política de boas práticas e governança;

X - a pronta adoção de medidas corretivas; e

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica. (Redação dada pela Lei nº 13.853, de 2019) Vigência

§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

§ 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995

§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:

I - somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e

II - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.[67]

Assim, adotando um caráter principiológico, que confere efetividade à norma, ao passo que permite se prolongar no tempo, diferente de outras normas que foram desvirtuadas rapidamente, visto sua rigidez, a LGPD adota um papel central na proteção de dados nacional, fato que traduz a importância de se transcrever algumas de suas normas, como feito acima.

7. DADOS PESSOAIS, INFORMAÇÕES E DEMAIS CONCEITOS À LUZ DOS ORDENAMENTOS JURIDICOS VIGENTES

A importância dos dados e informações para a sociedade informacional é cada vez maior. Motivo pelo qual, o direito deve buscar disciplinar tal matéria, contra os abusos, usos indevidos e ameaças aos dados dos cidadãos.

Mas para que tenha a proteção dos dados pessoais, é exigido o entendimento de expressões e conceitos que permeiam a matéria, pois o direito é ciência que trabalha com a perfeita definição dos institutos que constitui suas premissas.

Na busca por um conceito mais preciso, doutrinadores diferenciam “dados” e “informações”. Os primeiros são abarcados por um conceito mais abrangente, de forma que muitas coisas são “dados”, contudo, ao serem tratados em um contexto utilitário, forma-se uma informação, que por sua vez, ao estabelecer um vínculo objetivo com uma pessoa, torna-se uma informação pessoal desta, ou ainda, um dado pessoal.

Da mesma forma, não só os doutrinadores, como as próprias legislações, passam a exercer a tarefa de conceituar estes termos, a fim de formar os princípios norteadores da proteção de dados e direitos dos titulares, ao passo em que se extrai essência deles, entende-se do que tratam, e então aplicam o direito para que se tenha a proteção.

Faz-se importante assim, arrolar conceitos para melhor compreensão da matéria, visto a vasta importância, muito explicitada por este trabalho, em manter o direito e a técnica lado a lado durante o caminhar.

Ainda, há de se denotar que as leis pregam uma promiscuidade ao tratar certos conceitos indiferentemente, como é o caso da Lei 13.709/20118 (Lei geral de proteção de dados), que em seu artigo 5º, I, que caracteriza o dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”, e ainda, e a Lei 12.527/2011 (Lei do Acesso à Informação), que em seu artigo 4º, IV, caracteriza a informação pessoal “aquela relacionada à pessoa natural identificada ou identificável”.

Contudo, no caso, ambos os conceitos se sobrepõem, contudo, é certo que podem causar uma confusão à hermenêutica jurídica, e, assim, é importante ressaltar o entendimento dos conceitos e constante observação a estes, para que se tenha a devida interpretação e consequente aplicação da lei.

7.1. Informações e Dados Pessoais

O termo “informações” pode ser entendido de forma muito abrangente, mas aqui deve se frisar seu caráter de finalístico, isto é, possuir uma finalidade torna-se quase como um requisito que deve ser observado para caracterizar desta maneira. Neste ensejo, especialmente com todo o paradigma histórico do direito à privacidade e sociedade informacional acima expostos, é possível vislumbrar as diferentes naturezas e conceitos que a informação possuiu ao longo da evolução.

O termo “informação” em si está associado a outros assuntos e áreas, mas o presente trabalho pretende se restringir ao que circunda o tema.

Como afirma Danilo Doneda: “Mesmo sem aludir ao seu significado, na informação, já se pressupõe de seu conteúdo – daí que a informação carrega em si também um sentido instrumental, no sentido da redução de um estado de incerteza.”[68], sendo assim, exemplifica[69] que uma informação que mantem um vínculo objetivo com uma pessoa, à medida que revela algo sobre ela, refletiria uma informação consoante à características ou ações desta pessoa, como seu endereço ou nome civil, ou até mesmo seus hábitos de consumo.

Esse vínculo objetivo que é estabelecido afasta diferente caracterização, como é o caso da classificação feita por Pierra Catala, que classificou em quatro modalidades distintas: a) Informações relativas às pessoas e seus patrimônios, b) as opiniões subjetivas das pessoas, c) as obras do espírito e d) as informações que, fora das modalidades anteriores, referem-se a descrição de fenômenos, coisas e eventos, e, em resumo à essa caracterização, e nexo com o assunto, identifica o objeto da informação pessoal como a própria pessoa:

Mesmo que a pessoa em questão não seja a autora da informação, no sentido de sua concepção ela é a titular legitima de seus elementos. Seu vínculo com o indivíduo é por demais estrito para que pudesse ser de outra forma. Quando o objeto dos dados é um sujeito de direito, a informação e um atributo de personalidade.[70]

Sua importância é inquestionável, ao passo que surte como grande razão para o surgimento da privacidade em si, o que como visto, tem tornando-se cada vez mais importante em decorrência ao aumento da importância da informação.

Uma informação pessoal referente de um indivíduo pode revelar características objetivas desta pessoa, como nome, endereço, situação, dados de saúde, números de documentos, entre outros, como também algumas atribuições mais subjetivas, como geolocalização, informações referentes à hábitos da pessoa, seja hábitos de navegação na internet, de consumo ou quaisquer hábitos rastreáveis na internet, onde tudo fica registrado.

Sendo assim, há tarefa de diferenciação aos dados, colocam os estes por sua vez em um polo mais abrangente, que ao ser tratada, atribuindo uma utilidade a ele, forma-se uma informação, que por sua vez, ao estabelecer um vínculo objetivo com uma pessoa, torna-se uma informação pessoal desta.

Mas não se por perder de vista, que no ciberespaço, nossas informações são resumidas à dados, quais correspondem à nossas informações pessoais e, consequentemente, nossa imagem e personalidade.

Assim, conclui-se que o dado em si carrega uma característica mais fragmentada que a informação, sendo algo anterior à esta.

O conceito trazido pela Lei Geral de Proteção de Dados (LGPD), já mencionada, diz que os dados pessoais são toda informação que permita a identificação de um indivíduo, direta ou indiretamente, como RG, CPF, endereço, telefone, atividades na rede, endereço de IP, histórico de compras e pagamentos, fotos, entre muitas outras informações que são jogadas na rede constantemente.

Ainda sobre o tema, a Regulamentação Geral de Proteção de Dados, em inglês General Data Protection Regulation (GDPR) conceitua dados pessoais em seu art. 4º, I, como sendo:

qualquer informação relativa a uma pessoa singular identificada ou identificável (‘titular dos dados’); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da natureza física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa singular.[71]

Dessa maneira conclui-se que os dados pessoais se apresentam como o retrato da pessoa em um meio virtual, tornando quase um sinônimo da personalidade de seu titular, indicado a importância da devida proteção, já que esses dados são constantemente usados. Esse é o motivo pelos quais as legislações adotam uma conceituação ampla para promover uma tutela mais efetiva aos direitos personalíssimos, como bem pontua Paula Beatriz Duarte Celano e Vivian Esperato:

Destaca-se que a LGPD não restringe a definição de dados às informações imediatamente identificadores como informações cadastrais ou de registros oficiais (CPF, RG, nome, filiação, Passaporte etc.), mas também aqueles que possam indiretamente identificar o indivíduo, ou torná-lo identificável quando em associação a outros dados.

É justamente neste sentido que se aponta que a sistemática da proteção de dados nacional tem como fundamento a aplicação do conceito de dado, sobretudo, considerando a forte relação destas informações com direitos personalíssimos.[72]

O exemplo dado por Marcio Cots e Ricardo Oliveira bem se adequa ao caso: “... se uma empresa dispõe de um banco de dados que, se mesclados ou conjugados, identifiquem uma pessoa, tais dados serão considerados pessoais, ainda que isoladamente não identifiquem o indivíduo.”[73]

Diante de todo o exposto, o entendimento da matéria faz inquestionável a conceituação, principalmente da diferença entre dados pessoais e informações, assim, as informações tratam de um momento posterior ao dado, quando o agente de tratamento de dados dá uma finalidade a ela, em meio ao processo de tratamento.

7.2. Dados Sensíveis

Além dos dados pessoais, a novel Lei Geral de Proteção de Dados trouxe para o seu rol outra espécie de dados, os chamados dados sensíveis.

Segundo a legislação, em seu artigo. 5º, II, um dado sensível seria “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Essa espécie de dados merecem um cuidado maior em seu tratamento e coleta, sendo necessário um consentimento livre e expresso advindo de seu titular, na forma do artigo 5º, XII, da LGPD, para isso, pois trata-se de dados que se caso violados, causam, discriminação em relação ao seu titular, visto que são a representação de seu viés ideológico, étnico, religião e até mesmo suas características mais únicas.

Lembraremos que eventual violação à sua convicção religiosa ou vida sexual, podem levar a uma discriminação, da mesma forma que, o vazamento de sua opinião política ou filiação a sindicato ou organização de caráter religioso, filosófico ou político também ensejaria este rico, sendo uma faculdade do indivíduo compartilhar, ou não, esses dados.

A respeito dos dados referentes a saúde, dados genéticos e biométricos, por sua vez, a coleta indevida, ou vazamento decorrente do tratamento ou armazenamento problemático poderiam ensear um tratamento discriminatório, o que exprimem em riscos muito maiores a seu titular. Um exemplo seria o uso indevido de seus dados biométricos que, uma vez em mãos de um terceiro de má-fé, poderia resultar em fácil violação à sua conta bancária, já que hoje é possível acessar caixas eletrônicos apenas através da a biometria.

Assim, denota-se a importante dos dados sensíveis, quais devem ser observados no tratamento de dados, sob a possibilidade de causar discriminação ao seu titular se não respeitados os limites impostos ao tratamento desses dados em específico, pois assim como na realidade física, de fato alguns elementos de nossa privacidade e personalidade são mais “sensíveis” do que os outros.

7.3. Titular de Dados

Por titular de dados, segundo a Lei 13.709/2018, em seu artigo 5º, V, entende-se a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. Mesma definição consta da GDPR (General Data Protection Regulation).

Diante de tal conceituação, exclui-se a Pessoa Jurídica, do polo passivo da tutela de dados pessoais, pois não são elas definidas como titular de dados pessoais. Com isso, em caso de violação à dados pessoais de uma Empresa, esta estaria desprotegida, contudo, existe uma ressalva, na Lei Geral de Proteção de Dados enquadra o empresário individual como titular de dados, pelo motivo de o CNPJ da empresa estar ligado à pessoa natural.

Assim, e já que o Direito Civil reza, em seu artigo 2º, “A personalidade civil da pessoa começa do nascimento com vida”, de igual modo, a partir do nascimento com vida, a pessoa já conta com os direitos tutelados pela LGPD.

Mais que isso, conforme o mesmo artigo do Código Civil põe a salvo os direitos do nascituro desde sua concepção, há de se anotar que estes mesmos possuem dados pessoais, tais como seu peso, seu tamanho, tipo sanguíneo e até mesmo sua imagem que pode ser obtida através da ultrassonografia, ainda se denota ao menos a expectativa de direitos sobre os dados pessoais destes, visto sua personalidade jurídica formal, e da sua personalidade jurídica material que é adquirida com seu nascimento com vida.

Sendo assim, os direitos tutelados pela LGPD alcançam também o feto, diferentemente da GDPR, que não prevê explicitamente a proteção de dados pessoais do nascituro, mantendo a questão em aberta, já que também não ceda tal proteção.

Por fim, as legislações especificas de dados pessoais alcançam todas as pessoas físicas, já que sua grande finalidade ao tratar dos dados pessoais é tutelar os direitos e garantias dos indivíduos, neste novo ambiente digital.

7.4. Tratamento de Dados

Já por tratamento de dados, a Lei Geral de Proteção de Dados, em seu artigo 5º, X, entende o seguinte:

Art. 5º Para os fins desta Lei, considera-se:

X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;[74]

De forma diferente, a GDPR (General Data Protection Regulation) adota o termo “processamento”, como sinônimo de Tratamento. Vejamos o seu artigo 4º, II, define da seguinte maneira:

Processamento significa qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição[75]

Enquanto isso, a Lei Geral de proteção de dados não se preocupa só em conceituar. Seu artigo 7º, dispõe um rol de hipóteses em que é permitido o tratamento os dados pessoais:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;[76]

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019)

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

E de igual modo fez a GDPR, ao trazer em seu artigo 6 º, I, as hipóteses em que há legalidade no processamento (termo usado pela norma “Lawfulness of processing”):

I- O processamento será lícito somente se e na medida em que pelo menos um dos seguintes se aplique:

(a) o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

(b) o tratamento for necessário para a execução de um contrato do qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato;

(c) o tratamento for necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito;

(d) o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular;

(e) o processamento for necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de autoridade oficial investida no controlador;

(f) o tratamento for necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, exceto quando tais interesses sejam substituídos pelos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam proteção de dados pessoais, em especial quando os dados sujeitos é uma criança.[78]

Em prol de promover as garantias e direitos individuais, sem necessariamente ferir a livre circulação dos dados e funcionamento dos sistemas, as legislações impõe limites legais no tratamento dos dados como exposto, prevendo as bases legais em que se permite que haja o tratamento de dados pessoais.

7.5. Agente de Tratamento de Dados Pessoais

Os Agentes de tratamento de dados pessoais, segundo a Lei Geral de proteção de dados, são duas figuras diferentes, o controlador e o operador, conforme o artigo 5º, IX: agentes de tratamento: o controlador e o operador.

Assim sendo, há de se ressaltar os papeis diversos atribuídos a cada um desses, enquanto o controlador é definido no mesmo artigo, porém no inciso VI, como sendo: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”, e o operador no inciso seguinte (VII), como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

Distinguir suas funções é essencial, visto a importância dessas duas figuras para a Lei Geral do Proteção de dados, pois são a estes que é imposto certo peso jurídico, mediante observações expressas em lei.

São exemplos de tarefas e limites jurídicos do controlador: a elaboração do relatório de impacto, disposto no artigo 5º, XVII da Lei 13.709/18:

A avaliação do enquadramento das bases legais para a realização do tratamento de dados pessoais como exposto pelo artigo 7º, anteriormente citado, em que são arroladas as hipóteses legais de tratamento de dados, bem como a observação do artigo 11º da mesma lei, em caso de se tratar de dados sensíveis:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I - a portabilidade de dados quando solicitada pelo titular;

II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. [80]

Cabe também o dever de demonstrar a doção de medidas de comprovar a observância e cumprimento das normas de proteção de dados pessoais, bem como a eficácia das medidas adotadas (artigo 6º, X, da LGPD):

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.[81]

Cabe a ele também o ônus da prova sobre o consentimento do titular, como disposto no artigo 8º, §2º, da LGPD:

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.[82]

Ainda, tem o dever legal de fornecer os dados pessoais dos titulares e cumprir com os direitos deste, todos arrolados no artigo 18, da LGPD:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;