CIBERSEGURANÇA NO CONTEXTO DA PROTEÇÃO DE DADOS

índice

  1. 1. RESUMO
  2. 2. INTRODUÇÃO
  3. 3. PANORAMA HISTÓRICO
    1. 3.1 Da Internet
    2. 3.2 Do Direito à Privacidade
    3. 3.3 Da Sociedade da Informação
  4. 4. CONSTRUÇÕES LEGISLATIVAS E JURISPRUDENCIAIS PROMOTORAS DA PROTEÇÃO DE DADOS
    1. 4.1 O Caso do National Data Center
    2. 4.2 O Caso do Safari
    3. 4.3 Lei do Land Alemão de Hesse e o Censo alemão de
    4. 4.4 Gerações de Leis de Proteção de Dados Pessoais
  5. 5. A PROTEÇÃO DE DADOS EUROPEIA
    1. 5.1 Guinadas Jurisprudenciais
    2. 5.2 Convenção 108 do Conselho da Europa
    3. 5.3 Diretiva 95/46/CE
    4. 5.4 General Data Protection Regulation (GDPR)
  6. 6. A PROTEÇÃO DE DADOS BRASILEIRA
    1. 6.1 Constituição Federal de 1988
    2. 6.2 Código de Defesa do Consumidor
    3. 6.3 Habeas Data
    4. 6.4 Lei Carolina Dieckman (Lei 12.737/12)
    5. 6.5 Marco Civil da Internet (Lei 12.965/14)
    6. 6.6 Lei Geral de Proteção de Dados (Lei nº. 13.709/18)
  7. 7. DADOS PESSOAIS, INFORMAÇÕES E DEMAIS CONCEITOS À LUZ DOS ORDENAMENTOS JURIDICOS VIGENTES
    1. 7.1 Informações e Dados Pessoais
    2. 7.2 Dados Sensíveis
    3. 7.3 Titular de Dados
    4. 7.4 Tratamento de Dados
    5. 7.5 Agente de Tratamento de Dados Pessoais
    6. 7.6 Banco de Dados
  8. 8. DIREITO E TECNOLOGIA
    1. 8.1 Princípios e Institutos Clássicos do Direito
    2. 8.2 Elemento Tempo
    3. 8.3 Elemento Espaço
  9. 9. AMEAÇAS AOS DADOS PESSOAIS NO CIBERESPAÇO
    1. 9.1 O Infrator
    2. 9.2 Ameaças e Ataques Cibernéticos
      1. 9.2.1 Malwares
      2. 9.2.2 Engenharia social e ataques personificados
      3. 9.2.3 Vazamentos de Dados
  10. 10. CIBERSEGURANÇA
    1. 10.1 Segurança da Informação e Cibersegurança
    2. 10.2 Cibersegurança na Prática
    3. 10.3 Cibersegurança como Instituo Jurídico
    4. 10.4 O Elo Mais Frágil
  11. 11. CONCLUSÃO
  12. 12. REFERÊNCIAS
Imprimir Texto -A +A
icone de alerta

O texto publicado foi encaminhado por um usuário do site por meio do canal colaborativo Monografias. Brasil Escola não se responsabiliza pelo conteúdo do artigo publicado, que é de total responsabilidade do autor . Para acessar os textos produzidos pelo site, acesse: https://www.brasilescola.com.

1. RESUMO

O presente trabalho visa realizar um estudo acerca da correlação entre as consequências da revolução tecnológica, notadamente o advento da rede mundial de computadores, conhecida como Internet, e o ordenamento jurídico, fazendo-o com ênfase no plano constitucional. Com especial atenção à Lei Geral de Proteção de Dados e sua equivalente europeia, o objetivo é abordar os principais temas que envolvem o assunto, desde o seu histórico, passando pelo trato conceitual da tecnologia, até alcançar as necessárias soluções legiferantes para se proteger os direitos fundamentais que são colocados em jogo no meio virtual. Para tanto, buscou-se abordar os temas de maneira didática e acessível quando da abordagem deste panorama histórico-evolutivo da proteção de dados, os conceitos que essa lei traz em seu bojo, a importância dos dados na atualidade, quais os tipos de dados e como as frentes das ciências da computação lidam com tudo. Os direitos e garantias dos titulares de dados, em especial os pessoais, são abordados tendo-se em vista a correta compreensão de seu significado e o aperfeiçoamento das proteções legislativas e operacionais, dentre elas aquelas previstas na LGPD e demais legislações mundiais. O objetivo é alcançado de forma exploratória-histórica até os dias de hoje, o que se buscou através de procedimentos de caráter bibliográfico, e documental de fontes oficiais como ordenamentos jurídicos pátrios e alienígenas. Para tanto, a metodologia cientifica utilizado consiste no método dedutivo, em que se utiliza estudos e relatos históricos, jurisprudências, legislações, doutrinas e outros meios de informativos para elaborar o trabalho. Finalmente, o trabalho encoraja reflexões sobre a dificuldade de se aplicar conceitos tecnológicos na vida cotidiana da população de um país em desenvolvimento, bem como no sentido de se envolver mais os usuários de tecnologia a deixarem a passividade de sua hipossuficiência cultural tecnológica, para envolvê-los no combate do uso nocivo do ciberespaço.

Palavras-chave: Direito Digital. Dados Pessoais. Direito à Privacidade. Internet. Tratamento de Dados. General Data Protection Regulation. Lei Geral de Proteção de Dados. Ciberespaço. Ataques Cibernéticos. Cibersegurança. Segurança da Informação.

ABSTRACT

The present work aims to carry out a study on the correlation between the consequences of the technological revolution, notably the advent of the world wide web, known as the Internet, and the legal system, with an emphasis on the constitutional level. With special attention to the General Data Protection Law and its European equivalent, the objective is to address the main themes that involve the subject, from its history, through the conceptual treatment of the technology, until reaching the necessary legislative solutions to protect the fundamental rights that are placed in game in the virtual environment. Therefore, tried to adress the topics in a didactic and accessible way when approaching this historical-evolutionary panorama of data protection, the concepts that this law brings in its core, the importance of data today, what types of data and how computer science fronts handle it all. The rights and guarantees of data subjects, especially personal data, are addressed with a view to the correct understanding of their meaning and the improvement of legislative and operational protections, including those provided for in the LGPD and other world legislation. The objective is reached in an exploratory-historical way until the present day, which was sought through procedures of a bibliographic and documentary character of official sources such as national and foreign legal systems. Therefore, the scientific methodology used consists of the deductive method, in which studies and historical reports, jurisprudence, legislation, doctrines and other means of information are used to prepare the work. Finally, the work encourages reflections on the difficulty of applying technological concepts in the daily life of the population of a developing country, as well as in the sense of getting more users of technology to leave the passivity of their technological cultural hyposufficiency, to involve them more. them in combating the harmful use of cyberspace.

Keywords: Tec Law. Personal Data. Right to Privacy. Internet. Data Processing. General Data Protection Regulation. Data Protection General Law. Cyberspace. Cyberattacks. Cybersecruity. Information Security.

2. INTRODUÇÃO

Há décadas as tecnologias vêm evoluindo em uma velocidade até então inimaginável, dentre suas inovações, tem-se a internet, que possibilitou a interconexão entre os usuários de tecnologia de todo o planeta terra. Dessa forma, pessoas por todo o globo terrestre podem se comunicar, transacionar e relacionar, sem empecilhos.

Em acréscimo, a pandemia do Covid-19 impulsionou ainda mais essa vida conectada dos indivíduos, em que fomentou o uso da tecnologia e internet para todos os polos das vidas dos usuários, que passaram a não só se entreter e relacionar, mas também exercer as tarefas profissionais nesse meio ambiente virtual.

Assim, é inegável a quantidade de pessoas que vivem à mercê da internet, com isso, mediante pesquisa realizada pelo Comitê Gestor da Internet do Brasil, concluiu-se que:

A pesquisa detectou um aumento da proporção de usuários de Internet na comparação com 2019, sobretudo entre os moradores das áreas rurais (de 53% em 2019 para 70% em 2020), entre os habitantes com 60 anos ou mais (de 34% para 50%), entre aqueles com Ensino Fundamental (de 60% para 73%), entre as mulheres (de 73% para 85%) e nas classes DE (de 57% para 67%).[1]

É certo que a internet e os avanços tecnológicos são capazes de fornecer celeridade a muitos processos do cotidiano, encurtar distancias de pessoas que vivem distante e possibilitar inúmeros benefícios na vida de seus usuários. Contudo, nem tudo são flores, pois a segurança dos indivíduos imersos no ciberespaço encontra-se ameaçado por novas figuras e em dimensões até então desconhecidas.

O que é agravado pelo alto valor imputado aos dados no contexto histórico, trazendo mais ameaças à privacidade e intimidade das pessoas, agora não só ameaçadas por infratores cibernéticos, pois neste novo modelo de sociedade socioeconômica, os dados são reduzidos a bens intangíveis, o qual passa a sofrer abusos e usos indevidos.

Neste momento, surge a necessidade da incidência da Lei, que em um caminho espinhoso vem tentando engatinhar em direção à harmonia das relações nesta sociedade virtual.

Só que diferentemente do espaço físico, velho conhecido, o ciberespaço apresenta suas caracterizas próprias, que surtem verdadeiros obstáculos para a incidência da lei, sendo necessário a reinvenção, ou ao menos readequação do modo de se legislar.

A partir deste preceito, doutrinadores passam a pregar o surgimento de uma nova área do universo jurídico, o “Direito Virtual” ou “Direito da Internet” ou, ainda, o termo escolhido para o presente artigo: Direito Digital. 

Tal ramo se apresenta como um campo da ciência jurídica destinada a regular todas as interações sociais originadas, realizadas ou desenvolvidas no meio eletrônico. Tal tentativa de regulamentação considera o desenvolvimento tecnológico para evitar e apaziguar eventuais abusos e conflitos, usando sanções que restabeleçam a paz social no âmbito virtual ou real.

Patrícia Peck Pinheiro conceitua o “Direito Digital” como “evolução do próprio Direito, abrangendo todos os princípios fundamentais e institutos que estão vigentes e são aplicados até hoje, assim como introduzindo novos institutos e elementos para o pensamento jurídico, em todas as suas áreas.”[2].

Há de se ressaltar que o Direito é um reflexo socioeconômico, uma ciência que anda junto com a história e às necessidades da sociedade, regulamento e tutelando direitos para que todos os cidadãos tenham seus direito e deveres.

Assim, a importância do estudo desta nova especialidade jurídica é de suma importância.

Então, frente a rápida evolução tecnológica, o Direito precisa buscar a melhor forma de efetivar os direitos e garantias dos cidadãos, ora usuários do ciberespaço, pois por enquanto seus direitos encontram-se verdadeiramente ameaçados, sendo necessário cautelas no uso das tecnologias.

Tal cautela deriva do fato de que toda tecnologia possui falhas, e aqui não é diferente. Existem riscos inerentes à acessibilidade e navegação que deixam a segurança de informações vulneráveis. Tal vulnerabilidade tecnológica não é apenas um simples risco a que todos estão sujeitos neste meio, mas também uma ameaça a direitos fundamentais como o Direito a Privacidade. Só isso basta para demonstrar a importância do presente assunto.

Assim sendo, na busca de efetivar seu dever para com a sociedade, necessário neste momento histórico, o Direito deve buscar o entendimento das tecnologias e suas características, a reinvenção e readequação de princípios norteadores do mundo jurídico, e mais que tudo, recrutar novos aliados, capazes de auxiliar na mitigação dos riscos e ameaças inerentes ao ciberespaço. Destes, surge um forte aliado ao Direito, a cibersegurança.

3. PANORAMA HISTÓRICO

É inegável a importância de uma base histórica e principiológica para a compreensão do estudo, pois tais informes, juntamente com os conceitos básicos, formam o arrimo necessário para o desenvolvimento do tema.

Com isso, antes de se chegar ao cerne da questão, é preciso uma recapitulação capaz de contextualizar o momento histórico em que a ciência jurídica exerce sua função regulamentadora, bem como pelo qual a sociedade se reinventou com o passar do tempo.

3.1. Da Internet

Dentre as evoluções da sociedade e do mundo, indiscutivelmente, a internet é uma das que mais impactaram a humanidade. Com um desenvolvimento rápido que se mantem constante até hoje, transformou muita de forma significante, passando pela forma de interagir até a maneira como se firmam negócios e contratos, a internet e vários avanços tecnológicos trouxeram uma nova sistemática à sociedade.

Dada a magnitude da internet, cabe uma visitação ao seu berço, uma capitulação de toda sua trajetória até tornar-se o verdadeiro ambiente que é hoje.

Diferentemente dos costumes de hoje é impossível vislumbrar o mundo sem a virtualidade, contudo, houve uma época em que essa não era a realidade.

Em meados de 1960, a mais famosa rede de comunicação era a rede telefônica, cuja qual tem um funcionamento diferente da internet. A rede telefônica funciona por meio do que chamamos de “comutação de circuitos”, uma escolha acertada pois garante que a voz seja transmitida em uma taxa constante entre os pontos[3]

Para fins de melhor entendimento, comutação refere-se ao meio de transmissão por onde transitam todos os recursos na rede, e por recursos, neste contexto, tem-se todos os recursos necessários para o funcionamento da rede.

Na comutação de circuitos, tais recursos são reservados durante o estabelecimento da conexão entre indivíduos, que são temporários e possuem quantidade limitada de usuários, os quais representam os pontos da rede. Desta forma a conexão é estabelecida de fim a fim. Na prática, se os indivíduos querem fazer uma ligação, ocorrera uma conexão por um caminho físico entre esses dois indivíduos, e uma vez estabelecida, a voz transita por este caminho físico, sem interrupções.

Pesquisadores começaram então a investigar a possibilidade de interligar computadores geograficamente dispersos. Os primeiros contribuintes nesse experimento foram Leonard Kleinrock, Paul Baran, Donald Davies e Roger Scantlebury. Cada qual com suas pesquisas isoladas, cada qual com suas pesquisas isoladas, e em determinado instituto.

Eles investigaram a criação da comutação por pacotes, modo como funcionada a rede de computadores, neste o meio é compartilhado, e os dados transitam por demanda, é como se houvesse uma fila e as vezes temos que entrar nela, por um lado é mais suscetível a interrupções na transmissão, mas por outro lado, não se tem o limite de usuários que podem se conectar.

Esclarecendo, pacotes de informações, são a maneira como os dados transitam na rede. Os computadores, ao enviar dados pela rede, segmenta tais dados em pacotes com um endereçamento definindo. Ao chegarem no seu destino, são remontados para sua forma original.

Há de se ressaltar que a rede de computadores não tem um descobridor. Os pesquisadores anteriormente mencionados não são criadores, mas desenvolveram alicerces importantes para o surgimento da internet.

Neste sentido, ainda na década de 60, um trabalho conhecido surgia. Tratava-se de um projeto militar na ARPA (Advanced Research Projects Agency), financiado pelo governo dos Estados Unidos e que era vinculado à DARPA (Defense Advanced Research Projects Agency).

Durante a Guerra Fria, tal projeto era liderado por J.C.R Licklider e Lawrence Roberts, responsáveis pelo plano geral acerca da primeira rede de computadores por comutação de pacotes, a famosa ARPANET (Advanced Research Projects Agency Network), ancestral mais antiga da internet.

A finalidade deste programa, a princípio, era puramente estratégica, e consistia em estabelecer uma rede descentralizada que iria interconectar as bases dos Estados Unidos através de “nós”, que nada mais seriam do que pontos de conexões, sem a dependência de centros de controles, tornando o sistema invulnerável a, por exemplo, espionagem e ataques nucleares. Se alguma base fosse atacada, violada e, consequentemente, terminais derrubados, ainda assim o sistema continuaria a funcionar. Este projeto bélico possibilitou a interconexão de redes militares regionais[4].

Esses nós se localizavam em 4 (quatro) pontos, importantes universidade dos Estados Unidos, o primeiro em UCLA (Universidade da California em Los Angeles), após este, foram instalados os outros nós em Stanford, na Universidade da Califórnia em Santa Barbara e na Universidade de Utah, isso data de 1969.[5]

Cada um dos nós correspondia à um computador de modelo diferentes, assim, eles não se comunicavam entre si, criou-se para isso o primeiro protocolo que ficou conhecido como “Protocolo de controle de REDE (NCP – netwrok-control-protocol), que possibilitou as máquinas comunicarem entre si, no mesmo ensejo surgiu a escrita de programações, surgindo o primeiro programa de e-mail, criado por Ray Thompson, ferramenta que possibilitou a troca de mensagens de texto, muito mais rudimentar do que atualmente, o que possibilitou ainda mais a propagação de informações entre os computadores das redes, sendo um marco importante para o que ficou conhecido como “web 1.0”, ou ainda, “web do conhecimento”, caracterizada pelo grande número de informações proporcionadas para os usuários.

O sistema continuou se expandindo, os nós aumentando em quantidades, ao passo que em 1972 já havia 15 nós, e ao mesmo tempo, as instituições que compunham a ARPANET passaram a usar a rede para uso cotidiano, como a troca de e-mails.

Outras redes foram surgindo, exemplo delas são Cyclades, AlohaNet, GE Informmation Services e Telenet.

Vê-se que o DARP desempenhou importante função ao desenvolver métodos que possibilitasse transmitir dados entre as redes, até então impossíveis de comunicar-se entre si. Consequência evolucional disso foi o surgimento de um novo protocolo na ARPANET, o TCP (Transfer Control Protocol), importante na internet até hoje, responsável por segmentar os dados em pacotes, o que ocorreu em resposta aos problemas que vinham ocorrendo em decorrência do grande número de computadores na rede.

Protocolos são entendidos como conjunto de regras que funcionam como uma linguagem comum e padronizada entre os computadores e que possuem a função de “[...]definir o formato e a ordem das mensagens trocadas entre duas ou mais entidades comunicantes, bem como as ações realizadas na transmissão e/ou no recebimento de uma mensagem ou outro evento”[6] , o que, por vez, possibilita, por exemplo fazer uso da internet, navegando por sites, independente do sistema operacional que usamos em nossa máquina.

Em meio a muitas evoluções, grandes inovações surgiram, como os protocolos TCP/IP e o DNS, que são usados até hoje. O mesmo se diga em relação as redes que deram origens a tecnologias diferentes, como a AlohaNet que desenvolveu a transmissão via rádio, ou como a francesa Minitel, da qual decorre o primeiro movimento para acesso à internet das residências, movimento do governo francês que disponibilizava rede pública de comutação de pacotes e termineis baratos ou gratuitos para as residências francesas.

Em 1990 surge a célebre WWW (World Wide Web), que possibilitou a internet em residências e empresas do mundo inteiro, popularizando o acesso e permitindo o surgimento de grandes aplicações.

O surgimento do primeiro navegador ocorreu em 1991, foi criado por Tim Bernes-Lee e permitiu o lançamento do primeiro browser, o “Mosaic”. Na mesma época ocorreu o surgimento dos primeiros grandes provedores de acesso, disponibilizando conexão aos usuários comuns, sendo seguido de um aumento súbito de usuários e de sites, originando à chamada “Internet Comercial”, denominada por muitos como marco inicial da rede.

Com o passar do tempo, muitos ambientes virtuais foram surgindo como o “Orkut” em 2004, seguido do “Facebook” e ainda o “Youtube” em 2005. Expandiu-se assim os horizontes e possibilidades na internet. Em 2007, aproveitando o “bum” da virtualização social, Steve Jobs lançou o primeiro “Iphone”, trazendo toda essa revolução para dentro dos smartphones.

A informática e a internet vivem em uma onda crescente de inovações, e juntamente a tudo isso, são inseridos novos padrões e possiblidades na sociedade em vários aspectos, porém, da mesma forma que existe criatividade benéfica por parte dos inventores, há também inventividade nefasta por parte de indivíduos mal-intencionados. Em razão disso passou-se a atentar para violações de direitos e garantias fundamentais.

Mas não basta entender o meio em que as relações passam a ocorrer, também se faz necessário compreender os direitos que passaram então a correr risco e, portanto, merecer a tutela do Estado.

3.2. Do Direito à Privacidade

O direito à privacidade constitui uma conquista histórica da civilização, um verdadeiro signo de evolução que, desde sua primeira concepção, vem se moldando ao momento histórico e as vulnerabilidades da intimidade da pessoa humana. A partir deste preceito, conceituar este direito fundamental é uma tarefa difícil, visto que passou a compreender valores diferentes a depender do interesse das pessoas.

Em uma análise etimológica do termo “privacidade”, proveniente do termo em latim privates, significa “separado do resto”. 

Ao buscarmos apoio de autores e pesquisadores, encontramos uma serie de anotações acerca do tema. Robert C. Pose leciona: “A privacidade é um valor tão complexo, tão emaranhado em dimensões concorrentes e contraditórias, tão repleto de significados diversos e distintos, que às vezes me pergunto se ele realmente pode ser abordado de forma útil.” [7].

Mas certamente a privacidade é um direito importante para todos, assim como expõe Edward Snowden: “...dizer que você não se importa com a privacidade porque não tem nada a esconder não é diferente de dizer que não se importa com a liberdade de expressão porque não tem nada a dizer.”[8]

Posto isso, também se faz importante a ressalva de que este direito resguarda íntimo vínculo com a proteção de dados pessoais que traduzem a personalidade do seu titular. O “ser” no ambiente virtual, delimita e representa toda a personalidade e individualidade dos usuários. Pode-se afirmar que todos os dados expostos pelo indivíduo são como a personificação deste no ambiente virtual, ainda que na forma de números e letras.

O alto fluxo de dados que transitam na internet, e o grande número de empresas e terceiros que tratam estes dados, são indicadores do quão expostos nossos dados se encontram, e da mesma forma, vulneráveis a violações que podem ser traduzidas, grosso modo, como violação à privacidade.

Em conclusão, tem-se o seguinte a lição de Danilo Doneda: “...a privacidade acaba por ressoar uma série de outras questões referentes a nossa personalidade. Assim, certas formas de tratamento de nossos dados pessoais podem implicar na perda da nossa autonomia, da nossa individualidade e, ainda, da nossa liberdade.”[9] 

Contudo, para melhor esclarecimento da questão, é necessário olhar para trás a fim de que se entenda melhor este direito tão importante.

Anterior à existência deste direito, bem como de outros direitos individuais, o Direito Romano baseava-se na supremacia do direito público em detrimento do direito privado, concepção que, para o bem, evoluiu e se alterou. Isso demonstra a razão pela qual a evolução do direito à privacidade merece o devido respeito e relevância, principalmente nos debates que englobam o tratamento de dados pessoais. 

Em seu berço, o direito à privacidade surgiu em resposta aos regimes totalitários e vigilância do Estado. Sua primeira aparição no mundo jurídico deu-se em 1890, na revista Harvard Law Review, mais especificamente em artigo escrito por Samuel Warren e Louis Brandeis, intitulado “The Right To Privacy[10], onde se definiu a princípio como o “direito de ser deixado só” (the right to let alone), trazendo o reconhecimento da natureza espiritual do homem e seu desejo de simplesmente não ser incomodado.

Danilo Doneda afirma que esta primeira concepção é “...marcada por um individualismo exacerbado e até mesmo egoísta...”[11]. Compreensível, pois este primeiro esboço era um tanto quanto extremista, conforme extrai-se da própria concepção “direito de ser deixado só”, que sinonimiza a privacidade à tranquilidade e ao isolamento do indivíduo, o qual para exercer sua privacidade deveria até mesmo privar-se da comunicação com outros indivíduos.

Até hoje o referido artigo é levado em consideração pelos estudiosos do tema, porém com entendimento menos extremista. Mantem-se a ideia de reserva de si próprio de extrema relevância. Ainda na contextualização histórica, vale lembrar que somente após a publicação do supracitado artigo foi que a Suprema Corte de Justiça Americana reconheceu o direito intitulado como O Direito à Privacidade.

Tal direito ganhou notória relevância após a Segunda Guerra Mundial, época na qual muitos indivíduos tiveram suas informações usadas em seu desfavor, uma vez que a depender de sua religiosidade ou etnia, sofriam perseguições, como foi o caso dos Judeus. Frente a isso, e a outros eventos originados do conflito mundial, acontece em 1948 a Declaração Universal dos Direitos Humanos, delineando os direitos humanos básicos, dentro dos quais encontra-se o Direito a Privacidade arrolado em seu artigo 12:

Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contratais interferências ou ataques., com isso, muitos remontam este o momento do nascedouro do Direito a Privacidade.[12]

No início o direito à privacidade era quase uma regalia da burguesia já que carregava um certo individualismo, sendo tutelado apenas a intimidade daqueles com certa relevância social, pois as decisões no sentido de tutelar tal direito, na época se deram em casos específicos. Os menos favorecidos continuavam relegados a um segundo ou terceiro plano quanto a seus direitos e até garantias. Aliás, como ocorre até hoje.

Como exemplo dessa tutela inicial, pode-se citar o caso ocorrido em 1935, em Londres, época em que o livreiro Edmund Curl publicou, sem autorização, correspondências particulares do poeta Alexander Pope, enviadas a ele. Porém, em 1741, após Pope pleitear em juízo, foi proferida sentença que garantiu o direito de propriedade ao autor das cartas, mesmo que enviadas à Curl[13]. Caso que ficou conhecido como Pope v. Curl.

Outra exemplificação, da tutela de direitos à privacidade da época, se deu no caso Prince Albert v. Strange, ocorrido em 1848. príncipe Albert e rainha Vitória fizeram gravuras de sua família, que foram confiadas à John Brown para imprimi-las. Contudo, sem a devida autorização, Midletton, funcionário de Brown, vendeu em torno de 63 gravuras para Jasper Tomsett Judge, o qual elaborou um catálogo com 50 diferentes tipos para expor publicamente, as quais requisitou à William Strange para imprimi-las. Acontece que ao tomar conhecimento, Príncipe Albert ajuizou ação requerendo a entrega das gravuras e a proibição da exposição. Assim, foi proferida sentença que reconheceu o direito e propriedade dos autores, privacidade dos nobres e impedindo a publicação[14]

Com o desenvolvimento de um modelo de Estado liberal, surgiram movimentos sociais com reinvindicações da classe trabalhadora. Isso aliado ao desenvolvimento e surgimento de novas tecnologias e o crescente aumento do fluxo de informação decorrentes disso, fez com que o direito relativo à privacidade começasse, por assim dizer, a se popularizar, deixando de ser privilégio das altas castas ou pessoas conhecidas.

Em especial, a importância que a informação passou a apresentar, implicou na necessidade da tutela deste direito fundamental, de modo a mudar este paradigma do qual apenas era tutelada a privacidades daqueles publicamente expostos e de certo relevo social, já que maior parcela da população passou a se sujeitar à violação de privacidade.

Todos os movimentos ou acontecimentos anteriormente citados, tidos como revolucionários em dada fase histórica, fizeram com que a noção de privacidade a fosse expandida. O avanço tecnológico, cerne desta pesquisa, foi de extrema relevância para a expansão do entendimento da privacidade.

As informações pessoais, e, portanto, a própria privacidade, a princípio, passou a ser alvo do Estado, pois era ele o detentor de dados da população, imprescindíveis para maior controle e acuracidade nos investimentos e políticas estatais. Como hoje, a posse dos dados era um verdadeiro sinônimo de eficiência administrativa.

Posteriormente, o desenvolvimento tecnológico possibilitou diversas formas de tratamento do dado, facilitando a coleta, armazenamento e processamento de informações, o que implicou no aumento da exploração, também, por organismos privados, agora com um extenso leque de utilizações dos dados pessoais de terceiros.

Isso demanda uma valoração do quão rigoroso deve ser o direito à privacidade, ou melhor dizendo, de quanto deve haver um equilíbrio entre o direito à privacidade e o direito à informação. Se por um lado o acesso as informações dos indivíduos se fazem necessário para o controle estatal, por outro é preciso que o estado tenha um conhecimento acurado acerca da sensibilidade de tais dados pessoais.

Evidente, também, a importância de tais dados para organizações privadas. Um exemplo é o fato de que o Google fornece resultados muito acurados para as pesquisas, porém seus algoritmos são alimentados por inúmeras informações que o motor de busca constantemente coleta, seja informações geografia ou pessoais, fazendo-o através de mais de 57 “trackers”, que são “scripts em sites projetados para derivar pontos de dados sobre suas preferências e quem você é ao interagir com o site deles... “[15] , ou seja, como reza o dito popular: “não existe almoço grátis”.

Daqui resta uma clara exemplificação do cenário em que vivemos, muitas vezes é difícil escolher entre viver uma vida com privacidade neste meio ou ter a sua disponibilidade um mecanismo mais completo, repleto de ferramentas e bancos de dados. Na internet muitas vezes há essa troca, como será visto mais à frente.

Também é possível denotar o risco de os dados caírem em mãos erradas, ideia que não deve se limitar à entes privados, pois já que os dados contidos em uma base vasta de dados, ou um big data, traz consigo um rol de infinitas possibilidades, inclusive permitir um controle em diversos polos, uma tentação à regimes totalitaristas e criminosos.

Como bem pontua Ronaldo Bach da Graça:

...considerando que nenhum direito é absoluto, pode-se ressalvar o direito nas oportunidades em que seu uso salvaguarda práticas ilícitas. Se, em regra, a intimidade e a vida privada limitam o direito dos meios de comunicação, também deve-se limitar o Estado fiscalizador sempre que não houver indícios que justifiquem conduta diversa. Trata-se de um direito que a Constituição da República de 1988 aborda como conexo ao direito à vida, tamanha sua importância.[16]

Por fim, importante a ressalva de que a sociedade deve ter noção daquilo que pode macular sua privacidade. Somente assim poderá entender a necessidade da proteção. À vista disso, expõe Danilo Doneda:

Uma das chaves para compreender essa estrutura é a verificação do papel da tecnologia e de como utilizá-la para uma eficaz composição jurídica do problema da informação. Há de se verificar como o desenvolvimento tecnológico age sobre a sociedade e, consequentemente, sobre ordenamento jurídico.[17]

Em suma, a normatização depende da maturação da relação entre a tecnologia e os valores tutelados pelo ordenamento jurídico, sendo que, sem o entendimento da funcionalidade do ambiente virtual ou das relações que ocorrem nele, não é possível uma regularização normativa e uma defesa assertiva dos direitos dos indivíduos.

Em conclusão, um bom sinal da evolução é refletido pela própria mutação do direito à privacidade, representando o ajuste às novas tecnologias da informação, servindo como exemplo desta evolução o surgimento da própria disciplina de proteção de dados, uma consequência da tentativa de dar eficiência para a privacidade dos indivíduos, forçando o surgimento de mecanismos e normas efetivem a tutela dos interesses.

3.3. Da Sociedade da Informação

Da mesma forma que acontecimentos como a revolução industrial tem por consequência a transição da sociedade, a revolução digital tem o mesmo efeito, já que carrega consigo uma velocidade maior do que as transformações ocorrem.

O surgimento do ciberespaço como novo espaço de comunicação e relacionamento é resultado da fácil acessibilidade, disponibilidade e baixo custo, bem como de suas infinitas possibilidades advindas de uma velocidade nunca vista.

A Unesco buscou conceituar o ciberespaço da seguinte forma:

[...] um novo ambiente humano e tecnológico de expressão, informação e

transações econômicas. Consiste em pessoas de todos os países, de todas

as culturas e linguagens, de todas as idades e profissões fornecendo e

requisitando informações; uma rede mundial de computadores

interconectada pela infraestrutura de telecomunicações que permite à

informação em trânsito ser processada e transmitida digitalmente.[18]

Tal organização da sociedade é pautada pelo ciberespaço, Pierre Levy também tece comentários a respeito do tema:

O ciberespaço dissolve a pragmática da comunicação que, desde a invenção da escrita, havia conjugado o universal e a totalidade. Ele nos reconduz, de fato, à situação anterior à escrita – mas numa outra escala e numa outra órbita -, na medida em que a interconexão e o dinamismo em tempo real das memorias em rede faz com que o mesmo contexto o imenso hipertexto vivo, seja compartilhado pelos integrantes da comunicação.[19]

Como já exposto anteriormente, a internet e as inovações tecnológicas, alteraram a maneira de nos relacionarmos, abrindo um leque de possibilidades e concebendo uma nova forma de organização das sociedades, como bem expõe Castells:

[...] as instituições, as companhias e a sociedade em geral transformam a

tecnologia, qualquer tecnologia, apropriando-a, modificando-a,

experimentando-a [..] esta é a lição que a história social da tecnologia

ensina [...] A comunicação consciente (linguagem humana) é o que faz a

especificidade biológica da espécie humana. Como nossa prática é baseada

na comunicação, e a Internet transforma o modo como nos comunicamos,

nossas vidas são profundamente afetadas por essa nova tecnologia da

comunicação.[20]

Nesse ínterim, a internet não apenas fornece meios para comunicação, ela vai além. Como cita Carl Sagan: “nós criamos uma civilização global em que elementos cruciais - como as comunicações, o comércio, a educação e até a instituição democrática do voto - dependem profundamente da ciência e da tecnologia”[21] .

As mudanças impostas pela revolução tecnológica, influenciam as relações sociais e até culturas, constitui um novo modelo de sociedade, a sociedade da informação, conceituada por Jorge Werthein:

A expressão “sociedade da informação” passou a ser utilizada, nos últimos anos desse século, como substituto para o conceito complexo de “sociedade pós-industrial” e como forma de transmitir o conteúdo específico do “novo paradigma técnico-econômico[22]

A análise deste novo modelo de sociedade é alcançada pela função estatal de regulamentar a convivência dos indivíduos.

Assim, extrai-se que este modelo de sociedade é situado na “Era Informacional” onde a proteção de dados pessoais deriva da percepção da amplitude e potencialidade de controle e manipulação dos dados, e a infinidade que a detenção dos mesmos possibilita.

A população que navega pelo ciberespaço, independente de fronteiras rompem os limites de fuso horário e distância física ao se relacionar com outros indivíduos geograficamente distantes. Pior. Isso se dá quase instantaneamente, tendo acesso ao que acontece no mundo assim que o fato se concretiza. Faz-se publicações, compras e contratos com muita agilidade. Para tanto, os dados desses usuários são inseridos indiscriminadamente e das mais diversas formas, nos mais variados endereços digitais.

Tudo isso, leva à alimentação de bancos de dados (um repositório onde se armazenam um conjunto de dados e informações, estando esses estruturas de acordo com uma lógica empregada pelo gerenciador), coletados e tratados por governos e empresas que tiram proveito das informações ali contidas, formando uma verdadeira mina de ouro pelo simples motivo de estarem agruparem e organizados. Enfim, são ativos intangíveis, tornados verdadeira moeda na sociedade da informação na qual se estabeleceu um novo modelo econômico, onde as informações e dados pessoais como se tornam a moeda de pagamento.

Clive Humby cunhou a famosa frase[23]: “os dados são o novo petróleo”, referindo-se ao grande valor que os dados possuem nos tempos atuais.

Tanto é verdade, que empresas como o Facebook e o Google que coletam dados dos usuários para compor os seus bancos de dados, ou coletam dados de Big Datas (da mesma forma que os bancos de dados, os big datas são um conjunto de dados, mas aqui nem sempre estão estruturados e apresentam um número muito maior de dados do que bancos de dados convencionais, sejam esses coletados por sensores de dispositivos inteligentes ou internet ou mídias sociais), ganham lucram tanto com publicidade como a comercialização das informações coletadas dos usuários.

A sociedade de informação deixa de ser uma sociedade de serviços e passa também a explorar tal riqueza como lembrado por Patricia Peck Pinheiro[24].

O contexto da sociedade da informação, eleva os dados à moeda de pagamento em um nível que constitui um verdadeiro modelo de negócio, exemplo disso é o surgimento de uma ciência própria para a coleta, leitura e intepretação destes dados para finalidades especificas o - Data Science –. Aqui os cientistas de dados são responsáveis pela interpretação dos dados situados nas bases de dados e big datas, profissão em inabalável ascensão atualmente.

Em resumo, de modo igual às guerras que repercutiram na divisão geográfica dos territórios, o desenvolvimento tecnológico gerou um único território, o ciberespaço, que implicou na mudança estrutural em todos os aspectos da vida dos indivíduos, gerando uma verdadeira transformação da sociedade e sua estrutura, antes movida por engrenagens na sociedade industrial, e agora impulsionada pela hiper conexão na sociedade da informação.

4. CONSTRUÇÕES LEGISLATIVAS E JURISPRUDENCIAIS PROMOTORAS DA PROTEÇÃO DE DADOS

Tratado todo o momento histórico, resta dissecar como os ordenamentos jurídicos vem reagindo diante de tal evolução.

A Revolução Cibernética traz consigo uma facilidade e velocidade nunca antes vista para obtenção de dados e informações, fazendo com que o direito se modifique e amplie sem campo de atuação. Isso implica no surgimento de novas normas concernentes os materiais que envolvam o tratamento e controle de dados e informações.

Sendo assim, é de se esperar que os Estados tutelem os direitos dos cidadãos, mesmo porque, as normas devem refletir “...o estado da tecnologia e a visão do jurista à época”[25].

4.1. O Caso do National Data Center

Em uma ordem cronológica, o primeiro momento histórico a ser considerado ocorreu em 1965, nos Estados Unidos, em que houve uma tentativa de administrar dados, pelo escritório de orçamento Bureau of Budget, um órgão técnico do governo, que posteriormente, em 1970, foi agregado ao órgão administrativo norte-americano, designado como Escritório de Administração e Orçamento.

Tal bureau apresentou o denominado “National Data Center”, que seria um banco de dados no qual se armazenariam as informações dos cidadãos norte-americanos, que até então se encontravam em diversos órgãos da administração federal do País dispersos em vários bancos de dados geridos pelo governo, para isso unificariam os cadastros do Censo, dos registros trabalhistas, do fisco e da previdência social[26].

De fato, um banco centralizado ofereceria uma maior celeridade, bem como evitaria a duplicidade de informação. Por não representar algo muito crível para à época sua implantação não era um consenso. Um problema do projeto era que o órgão ignorou as implicações jurídicas, voltando-se apenas a eficiência administrativa.

Em virtude disso, também pelo fato de o próprio computador ser novidade na época, a proposta gerou muitos debates e opiniões conflitantes. O cerne dessas discussões era o temor da exposição de grande quantidade de dados pessoais dos cidadãos concentrados em um único lugar. Não só a possibilidade de vazamento de dados, mas a própria concentração de vasto conhecimento nas mãos do governo, poderiam consistir em uma ameaça a própria democracia americana ante a ameaça do crescimento do poder do governo com tantos dados concentrados nas mãos da administração pública.

Em consequência a tal debate, o Congresso norte-americano realizou diversas audiências a fim de se discutir os efeitos que esse banco de dados centralizado poderia ocasionar. Ao final, consolidou-se o entendimento de que a estrutura de uma arquitetura em que os dados e informações se encontrem dispersos em bancos de dados distribuídos, permitiria uma melhor proteção ao cidadão contra o uso indiscriminado de seus dados. A ideia do National Cata Center encontrava resistência pois alegaram que nada deveria ser feito sem que houvesse a estrita observação à proteção da privacidade em máximo nível possível para os cidadãos, cujos dados pessoais, constituíam o rico banco de dados. Como consequência, o projeto foi encerrado.

Contudo, por mais que os entendimentos não expressem a realidade atual, é importante conhecer os primeiros esboços de debates a respeito da proteção de dados pessoais, e ainda, extrair a influência dessa evolução para que se firmem interpretação como as atuais.

4.2. O Caso do Safari

O episódio norte-americano extrapolou os limites continentais, influenciando inciativas de outros países, como é o caso da França em 1970.

O Instuty National de la Statistique, órgão técnico do governo gálico, com a intenção de facilitar a comunicação e o armazenamento de dados pessoais dos franceses, idealizou o chamada Système Automatisé pour les Fichiers Administratifs et le Repertoire des Individus, alcunhado como SAFARI, que trazia em sua motivação também a eficiência administrativa.

Aqui se planejou um sistema onde cada um dos dados pessoais dos cidadãos que se encontravam com a administração pública, seriam transferidoa e armazenadoa em sistemas informatizados nos quais, cada cidadão, teria uma número, invariável, que manteria por toda sua vida. Tal número único, se chamaria Sécurité Sociale, seria atribuído a partir do seu nascimento e serviria como identificação de seu titular perante o Estado.

De igual forma ao caso predecessor, o enfoque exclusivo na eficiência administrativa, sem analisar as implicações jurídicas e ofensas aos direitos dos cidadãos, ensejou debates e discussões que resultaram em uma provocação ao próprio Estado, quando, em 1974, o primeiro-ministro da França proferiu uma medida administrativa que interditou interconexões de dados entre os ministérios do governo, providência que pôs fim ao projeto SAFARI.

A importância deste caso se dá, também, pela repercussão causada. Após a interferência do Estado, foi criada uma comissão denominada “Commission Informatique et Libertés”, que acabou dando luz a uma lei francesa voltada à proteção de dados em 1978, a Loi Informatique et Libertés.

Esta lei francesa criou uma autoridade de proteção de dados chamada de Commission Nationale de l’Informatique et des Libertés (CNIL), figura de extrema importância nas legislações atuais.

Novamente, mesmo que não espelhe os entendimentos atuais, o contexto histórico era diverso, sendo obscuras as ideias pertinentes ao funcionamento de sistemas informatizados. Neste ensejo, destaca-se a evolução do entendimento acerca da tecnologia e a evolução do entendimento normativo.

4.3. Lei do Land Alemão de Hesse e o Censo alemão de

A partir de 1970, a proteção de dados começou a ser objeto de preocupação do direito, que passou a ser tutelado por leis especificas, remontando o que ficou conhecido como como normas de proteção de dados de primeira geração.

Dentre elas, a primeira foi uma Lei da Alemanha, de 1970, chamada Hessisches Datenschutzgesetz. Nesta época os estados alemães (chamados de Länder) já fomentavam uma cultura de proteção de dados ao constituírem suas próprias leis e estruturas administrativas. Posteriormente surgiu a lei federal do país, datada de 1977, chamada de Bundesdatenschutzgesetz

No mesmo contexto houve ainda a criação de uma Lei do Censo[27] (Volkszählungsgesetz), aprovada em 1982 que tinha como finalidade a imposição da obrigação que o cidadão respondesse uma série de perguntas, em torno de 160. As respostas seriam submetidas à um tratamento de dados, contudo, havia apontamentos na lei como a possível retificação do registro por meio da comparação dos dados coletados com o registro civil, e ainda mais grotesco, a incidência de uma multa pecuniária aos que não respondessem ao questionário, bem como um favorecimento à quem denunciasse aqueles que não a obedecessem.

Obviamente a lei e suas imposições também geraram controvérsias e debates. Ocorre que tudo se agravou quando, além da lei federal de proteção de dados não impor proteção suficiente para trazer segurança dos dados dos cidadãos, em 1978 um juiz estabeleceu a prevalência das leis com finalidades estatísticas à coleta de dados (censo), sob a lei federal de proteção de dados pessoais.

Neste ensejo, a Corte Constitucional, diante de reclamações embasadas na violação a direitos fundamentais, prolatou sentença que suspendeu provisoriamente a lei do senso ao declarar a inconstitucionalidade da mesma, com fundamentação nos artigos da lei fundamental que dispunham sobre a inviolabilidade da dignidade humana e ao livre desenvolvimento da proporia personalidade.

Entre os diversos fundamentos para o reconhecimento da Corte Constitucional, se estabeleceu a necessidade de se observar o princípio da finalidade na coleta de dados, ao reconhecer a diversidades das informações coletadas para fins tanto administrativo, quanto estatístico, “que impediam que o cidadão conhecesse o uso efetivo que seria feito de suas informações”[28] .

Contudo, o mais relevante ponto da decisão refere-se à expressão utilizada de “autodeterminação informativa” (Informationelle Selbstbestimmung), que prevê o direito do indivíduo aos limites de utilização dos seus dados. Tal direito a autodeterminação informativa repercute até hoje nas normas sobre proteção de dados por todo o mundo.

Toda esta discussão levou a uma mudança de perspectiva que muito auxiliou no desenvolvimento da proteção de dados, inclusive, na liberdade a informática, outro instituto importantíssimo até hoje para a disciplina como bem define Pérez Luño:

Garantir a faculdade das pessoas de conhecer e acessar as informações que lhes digam respeito, arquivadas em bancos de dados. Controlar sua qualidade, o que implica a possibilidade de corrigir ou apagar os dados inexatos ou indevidamente processados. E dispor sobre a sua transmissão.[29] 

Já em 1985 foi promulgada nova lei em que constavam observações aos preceitos contestados, tendo sido realizado o censo em 1987, no qual os dados para fins estatísticos constavam separadamente das informações individuais, isto é, os cidadãos titulares dos dados eram informados sobre a finalidade da coleta, o compartilhamento deles, entre outras disposições.

Daqui já se deparavam importantes influências às legislações atuais, de modo que se torna inegável a pertinência deste momento histórico para a concepção legislativa atual.

4.4. Gerações de Leis de Proteção de Dados Pessoais

A evolução das normas que disciplinam a proteção de dados pessoais, conforme proposta de Mayer-Schonberger, pode ser dividida em gerações. A primeira delas compreende o período de 1970 até a metade da década, tendo como marco inicial a Lei do Land alemão de Hessem de 1970, a Datalog da Suécia, primeira lei nacional de proteção de dados sueca, datada de 1973 e o Privacy Act dos Estados Unidos de 1974.

Essa primeira geração é muito marcada por um sentimento de insegurança ante a novidade que era a informática à época, e uma visão jurídica muito influenciada pelos casos acima mencionados. Assim, a insegurança era refletida pelo temor da ameaça da tecnologia e a coleta ilimitada de dados aos direitos e liberdade fundamentais.

A segunda geração surge com a lei francesa de 1978, Informatique ete Libertés, que tutelava os dados pessoais. Esta geração é marcada por uma mudança no entendimento acerca da matéria. Até então, a única ameaça era o tratamento dos dados pelo governo, porém novos interesses, agora de terceiros acabou ensejando uma pulverização de bancos de dados. Com o aumento da vulnerabilidade das informações os indivíduos careciam de instrumentos para defender seus interesses, ante a insuficiência que as leis anteriores passam a ter frente a mudança do paradigma tecnológico.[30].

Interessante observação é que, a velocidade de toda essa evolução tecnológica, foi explicada por Gordon E. Moore em 1965 quando teorizou o assunto através do que ficou conhecido como Lei de Moore cujo cerne seria: “a cada 18 meses, a capacidade de processamento vai dobrar, sem que isso represente aumento do custo do processador, mais consumo de energia ou mais espaço ocupado”.[31].

Como exemplo basta tomar a eficiência energética e capacidade de processamento contida no novo Chip M1[32] da Apple, que compreende um poder até poucos anos era inimaginável, inserido em notebooks e tablets com menos de 1kg (um quilograma).

Já as leis de terceira geração, surgidas na década seguinte, tem como marco inicial uma Decisão do Tribunal Constitucional Alemão Bundesverfassungsgericht, a qual confere status constitucional ao tema de proteção de dados.

Diferente das anteriores que buscaram tutelar a escolha do indivíduo em oferecer ou não seus dados, esta tem como enfoque a autodeterminação informativa, que pode ser vista basicamente como uma expansão das garantias e liberdades promovidas pelas leis de segunda geração.

Aqui permite-se ao cidadão não só a liberdade para consentir ou não com o início do tratamento de dados, mas sim em todo o processo, oferecendo meios de proteção para que sua liberdade não seja cerceada em momento algum, sendo a participação do cidadão verdadeira mola propulsora de das estruturas destas legislações[33].  No entanto, por mais que se garantisse o direito de autodeterminação, nem todos os cidadãos se dispuseram a exercitar tal prerrogativas.

Posteriormente, na década de 90 surgem as legislações de quarta geração, que buscam suprir as lacunas do enfoque individual das legislações das gerações antecessoras. Passa-se então a buscar resultados concretos a partir de pragmatismo e instrumentalização a degrau coletivo da proteção de dados, como bem observa Danilo Doneda:

Entre as técnicas utilizadas, estas leis procuraram fortalecer a posição de

uma pessoa em relação às entidades que coletam e processam seus

dados, reconhecendo o desequilíbrio nesta relação, que não era resolvido

com medidas que simplesmente reconheciam o direito a autodeterminação

informativa; outra, paradoxalmente, é a própria redução do papel da decisão individual na autodeterminação informativa. Isto ocorre porque se parte do

pressuposto que determinadas modalidades de tratamento de dados

pessoais necessitam de uma proteção no seu mais alto grau, que não pode

ser obtida exclusivamente de uma decisão individual.[34]

A tudo isso seguiu-se o surgimento das normas mais conexas, porém com o mesmo fim de promover a eficácia dos princípios norteadores das leis de proteções de dados.

Conclui-se, portanto, que todas as decisões e inovações, tanto tecnológicas, quanto normativas e jurisprudenciais, contribuíram e influenciaram na atual relação da norma e tecnologia. Sem todo esse desenvolvimento histórico, assim como os demais direitos e garantias adquiridos pelo homem com o passar dos tempos, é impossível chegar em decisões e interpretações assertivas da matéria. 

5. A PROTEÇÃO DE DADOS EUROPEIA

A Europa vem lidando com a matéria de proteção de dados há mais de quarenta décadas, tempo que exprime maturidade acerca da compreensão do tema. É justamente nesse amadurecimento que bebe nossa Lei Geral de Proteção de Dados brasileira, fortemente inspirada na legislação do velho mundo.

Diferentemente dos países que são regidos pelo sistema common law, os europeus que adotam o modelo civil law que possui o intuito de uniformizar as legislações ao instituir fontes primarias a serem transpostas para as normas internas de cada estado membro que, por sua vez, tratam de fontes secundarias. Tal uniformidade só foi alcançada pelo regulamento europeu, General Data Protection Regulation (GDPR) que entrou em vigor no ano de 2018. 

Contudo, anteriormente à existência do GDPR, a mencionada diretiva servia apenas para tecer as fontes primarias, de forma que, após transpostas para as legislações nacionais, eram aplicadas aos casos em concreto.

5.1. Guinadas Jurisprudenciais

Além dos esforços legislativos aqui já mencionados (Lei do Lande de Hesse; a Lei Federal Alemã “Bundedatenschutzgesetz” e a lei da Suécia “Datalog”, surgiram uma series de outras leis nos países europeus. Em resposta à disseminação do tema, a União europeia, segundo Danilo Doneda “...começa a procurar uma solução comum para o problema”[35]. Então, em 1973 a Assembleia Consultiva do Conselho Europeu solicitou a adoção de recomendações acerca de técnicas de coleta de informações, tendo sido promulgada, no mesmo ano, a resolução número (73) 22[36], já preparando o terreno para uma futura convenção mais verticalizada sobre o tema. Assim, após a promulgação os países passaram a editar suas normas nacionais em atenção à resolução.

Contudo, outro obstáculo surgiu quando houve a percepção de que a simples regulamentação e unificação interna não seria suficiente para a proteção plena, visto que os dados podem ser tratados internacionalmente. Dessa maneira a Organização de Cooperação e de Desenvolvimento Economico[37] (OCDE), em 1978, organizou um grupo de profissionais da área de tráfego transfronteiriço de dados e confeccionou-se o Guidelines on the Protechtion of Privacy and Transborder Flows of Personal Data, documento finalizado em 1980, que seria responsável pelo estabelecimento de parâmetros usados na regulamentação da proteção de dados. Tal guia, porém tinha um escopo diferente já que tinha um enfoque no tráfego dos dados e não na proteção[38]

Assim sendo, em meio a guinadas, já há muito tempo, a Europa vem enfrentando questões atinentes à proteção de dados pessoais, daí vem sua expertise ao tratar da matéria.

5.2. Convenção 108 do Conselho da Europa

No ano de 1981 surgiu a Convenção 108 do Conselho da Europa, voltada para a Proteção de Indivíduos com Respeito ao Processamento Automatizado de Dados Pessoais (Convention for the Protection of Individuals with regard to Automatic Procesing of Personal Data). Tal convenção não se limitou apenas aos países da União Europeia. Na verdade, foram 108 os países signatários, dos quais o Brasil passou a integrar no ano de 2018 com o status de observador.

Este é um ponto fundamental para a construção do regulamento europeu, ao passo que elevou a proteção de dados à nível de direitos humanos, ao abordar o tema da proteção e dados em referência ao artigo 8º da Convenção Europeia para os Direitos do Homem, que versa sobre direitos humanos e liberdades fundamentais:

ARTIGO 8°

Direito ao respeito pela vida privada e familiar

1. Qualquer pessoa tem direito ao respeito da sua vida privada

e familiar, do seu domicílio e da sua correspondência.

2. Não pode haver ingerência da autoridade pública no

exercício deste direito senão quando esta ingerência estiver

prevista na lei e constituir uma providência que, numa sociedade

democrática, seja necessária para a segurança nacional, para

a segurança pública, para o bem-estar económico do país,

a defesa da ordem e a prevenção das infracções penais, a

proteção da saúde ou da moral, ou a proteção dos direitos e

das liberdades de terceiros.[39]

Dessa Convenção, extraem-se pontos que se repetem nos entendimentos atuais, assim, certamente foi um passo certeiro da União Europeia, à medida que passaram a certeiramente ponderar os valores, começa um esboço do que viria se tornar a legislação especifica da proteção de dados europeia.

5.3. Diretiva 95/46/CE

A convenção 108 levou vários países membros a adequarem suas normas ao que foi convencionado, contudo, em 1995 surge o primeiro sinal de um regulamento padronizado sobre a proteção de dados pessoais na União Europeia, a Diretiva 95/46/CE que, de forma mais incisiva, impõe aos países-membros a obrigação de seguir o que nela é estipulado, aprovando normas apenas de acordo com seu conteúdo, ao já estipular em seu artigo 1º:

Os Estados-membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.[40]

Em seu texto, artigo 25º - 1, foi disciplinado não só a proteção de dados pessoais, mas também a livre circulação destes entre os Estados-membros sob a observação do princípio da equivalência que obriga os países que não protejam os dados pessoais tomem providências acautelatórias nesse sentido:

1. Os Estados-membros estabelecerão que a transferência para um país terceiro de dados pessoais objeto de tratamento, ou que se destinem a ser objeto de tratamento após a sua transferência, só pode realizar-se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente diretiva, o país terceiro em questão assegurar um nível de proteção adequado.[41]

E não são poucos os princípios impostos pela diretiva para o tratamento de dados pessoais em seu artigo 6º:

1. Os Estados-membros devem estabelecer que os dados pessoais serão:

a) Objeto de um tratamento leal e lícito;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados-membros estabeleçam garantias adequadas;

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;

d) Exatos e, se necessário, atualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexatos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou retificados;

e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados-membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.[42]

Interessante notar que a base principiológica desta diretiva se assemelha com o artigo 6º da Lei Geral de Proteção de Dados que trata justamente da boa-fé e dos princípios que devem ser observados no tratamento de dados aqui no Brasil. Isso inclui o tratamento legítimo, explicito e informado ao titular, não podendo ser realizado de forma incompatível com tais finalidades. Tudo isso prezando pela segurança dos dados e adotando medidas de prevenção, para que o titular não seja prejudicado durante o tratamento.

5.4. General Data Protection Regulation (GDPR)

Contudo, o ponto alto da proteção de dados pessoais na Europa se deu com o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR 2016/679), promulgado em 2016 e que entrou em vigor no dia 25 de maio de 2018, mudando a sistemática, fazendo-o de forma a regular o direito à proteção de dados, ao mesmo tempo em que garante a liberdade da livre circulação dos dados.

O regulamento parte da presunção da livre circulação dos dados, ao delimitar sua incidência aos estados-membros da União Europeia e a outros países, desde que haja um tratamento de dados que envolvam dados de cidadãos europeus, advindo de relação jurídica ou comercial, como dispõe o artigo 3º:

1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;

b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União.

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público.[43]

Ainda arrola os princípios relativos ao tratamento de dados pessoais em seu artigo 5:

Princípios relativos ao tratamento de dados pessoais

1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová-lo («responsabilidade»).[44]

Tudo é visto como verdadeira inovação pelos doutrinadores, como afirma Têmis Limberger:

O RGPD inova com relação ao princípio de “accoutnability” ou responsabilidade pró-ativa, que se poderia identificar com a transparência...O RGPD busca otimizar a proteção de dados, reduzindo os encargos administrativos às empresas, ao mesmo tempo em que implementa a “accountability”. Assim, o RGPD pretende uma simplificação normativa e a supressão ou flexibilização de algumas exigências das leis nacionais que os mercados consideravam burocráticas. [45]

É este princípio que impõe, à nível de princípio, as obrigações aos responsáveis pelo tratamento de dados pessoais.

Outro grande elemento é papel central do consentimento do interessado, que não se admite o consentimento tácito, devendo, agora, atender ao que impõe o artigo 4. 11:

11. Consentimento do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento[46]

Ponto que evidência à proteção ao titular dos dados e seus direitos fundamentais, ainda mais somado ao princípio da finalidade que restringem o tratamento dos dados à finalidade especifica, vedando o uso a finalidades diversas.

Em conclusão, o regulamento é de grande importância ao cenário da proteção de dados pessoais, motivo pelo qual é base para legislações posteriores. Extrai-se dele clara maturidade da União Europeia para com o assunto, pois é possível notar a característica principiológica, suas conceituações acerca da matéria, delimitação das partes nas obrigações e seu aspecto não só normativo, mas também pedagógico.

6. A PROTEÇÃO DE DADOS BRASILEIRA

É cediço que o direito à privacidade se encontra inserido dentre os direitos fundamentais da Constituição Federal de 1988. Da mesma forma é possível afirmar que o ordenamento jurídico brasileiro agasalha a proteção de dados. Contudo, está tutela sempre foi feita de forma fracionada, esparsa pelas diversas leis que compõe tal ordenamento.

A tutela específica da proteção de dados pessoais no Brasil, por meio de um conjunto normativo unitário se deu de maneira tardia, mas isso decorre do próprio perfil social e histórico do País, já que a população ainda não se deu conta dos reais riscos inerentes ao ciberespaço.

Mesmo assim o Brasil vem construindo, na sua velocidade, seu regramento jurídico, o que se acelerou com a recente entrada em vigor da Lei Geral de Proteção de Dados, colocando o País no caminho certo, ao se espelhar em legislações internacionais, principalmente a europeia.

6.1. Constituição Federal de 1988

Com seu papel de reger todo o sistema jurídico do País e estruturar o Estado, a Constituição Federal deve ser o ponto de partida para análise do ordenamento pátrio.

Em seu artigo 5º, antes mesmo dos embriões das normas aqui estudadas, a Carta Magna já tecia a base para o enfrentamento desta problemática, pois dispõe sobre os direitos e garantias fundamentais dos cidadãos dentre os quais aqueles que resguardam total pertinência para a proteção de dados pessoais.

Os que merecem destaque sã: a) a garantia à liberdade de expressão, disposta no inciso IX: “é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença”,  b) a inviolabilidade da vida privada e intima, arrolada ao inciso X: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”, c) o direito à informação, disposto no inciso XIV: “é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional”, d) a inviolabilidade da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, compreendidas no inciso XII: “é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal” e, e) a instituição do habeas data no inciso LXXII:

LXXII - conceder-se-á "habeas-data":

a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;

b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo;[47]

Tais disposições, contudo, não traduz, por si só, ao menos através de uma interpretação restritiva, a proteção ampla dos dados pessoais.

Nesse sentido, a Ementa Constitucional nº 115, de 10 de fevereiro de 2022, garantiu constitucionalmente a proteção de dados pessoais ao inserir novidades aos dispositivos, como é visto no artigo 5º, inciso LXXIX, que passou a assegurar o direito à proteção dos dados pessoais: “LXXIX - é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Também fez importantes inserções nos artigos 21 e 22, em seus incisos XXVI e XXX respectivamente:

Art. 21. Compete à União: XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei

Art. 22. Compete privativamente à União legislar sobre

XXX - proteção e tratamento de dados pessoais.[48]

Com o advento dessa Emenda Constitucional, torna-se inequívoca a equalização da proteção de dados aos outros direitos constitucionais como o direito à privacidade e direito à informação, uma vez que é concebida previsão constitucional ao direito.

6.2. Código de Defesa do Consumidor

Não menos importante o Código de Defesa do Consumidor, instituído em 11 de setembro de 1990, e que passou a vigorar em 11 de março de 1991, surgiu como uma resposta à mudança das relações consumeristas da época, quais não eram tuteladas com eficácia pelo Código Civil.

Essa resposta à mudança nas relações visa tutela os direitos de uma parte hipossuficiente na relação, até então relegada a segundo plano protetivo. Isso se traduz na redação do artigo 4º, do Código de Defesa do Consumidor, em que se elenca os objetivos do Código:

Art. 4º A Política Nacional das Relações de Consumo tem por objetivo o atendimento das necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das relações de consumo, atendidos os seguintes princípios:             (Redação dada pela Lei nº 9.008, de 21.3.1995)

I - reconhecimento da vulnerabilidade do consumidor no mercado de consumo;

II - ação governamental no sentido de proteger efetivamente o consumidor:

a) por iniciativa direta;

b) por incentivos à criação e desenvolvimento de associações representativas;

c) pela presença do Estado no mercado de consumo;

d) pela garantia dos produtos e serviços com padrões adequados de qualidade, segurança, durabilidade e desempenho.

III - harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica (art. 170, da Constituição Federal), sempre com base na boa-fé e equilíbrio nas relações entre consumidores e fornecedores;

IV - educação e informação de fornecedores e consumidores, quanto aos seus direitos e deveres, com vistas à melhoria do mercado de consumo;

V - incentivo à criação pelos fornecedores de meios eficientes de controle de qualidade e segurança de produtos e serviços, assim como de mecanismos alternativos de solução de conflitos de consumo;

VI - coibição e repressão eficientes de todos os abusos praticados no mercado de consumo, inclusive a concorrência desleal e utilização indevida de inventos e criações industriais das marcas e nomes comerciais e signos distintivos, que possam causar prejuízos aos consumidores;

VII - racionalização e melhoria dos serviços públicos;

VIII - estudo constante das modificações do mercado de consumo.

IX - fomento de ações direcionadas à educação financeira e ambiental dos consumidores;     (Incluído pela Lei nº 14.181, de 2021)

X - prevenção e tratamento do superendividamento como forma de evitar a exclusão social do consumidor.[49]

Pois bem, as relações não param por aí, o artigo 43 do mesmo regramento normativo, dispõe sobre direitos e garantias do consumidor que possui informações em bancos de dados:

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.

§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.

§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.

§ 6o Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.[50]

Nota-se, pois, uma preocupação do legislador com a utilização abusiva de informações sobre consumidores. Tais regramentos influi diretamente na LGPD, em especial seu artigo 18 da LGPD, que garante direitos semelhantes ao titular de dados, daqueles garantidos pelo artigo 43 do CDC ao consumidor, inclusive mencionando a aplicabilidade do CDC ao final:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional;

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.[51]

Portanto, estas semelhanças denotam a influência do Código de Defesa do Consumidor à Lei Geral de Proteção de Dados, não só pela convergência no tocante à contextualização e momento de concepção, mas como em suas finalidades e imposições.

6.3. Habeas Data

Por sua vez o Habeas Data constitui-se em um instituto jurídico, previsto no artigo 5º, inciso LXXII da Constituição Federal de 1988, regulamentado pela Lei 9.507/1997 que, nada mais é, senão outra tutela jurisdicional voltada à garantir direito fundamental cerceado.

Este, em específico, tem por finalidade “garantir que a pessoa física ou jurídica tenha acesso ou promova a retificação de suas informações, que estejam registradas em banco de dados de órgão públicos ou instituições similares” , restando já clara finalidade voltada a tutela dos dados, ao passo que garante, através de um remédio constitucional, a efetivação dos princípios da qualidade dos dados e do livre acesso, ambos previsto na Lei Geral de Proteção de Dados, em seu artigo 6º, incisos IV e V:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;[52]

Sendo assim, é de eximia importância a o funcionamento conjunto da LGPD e o Habeas Data para a proteção dos dados pessoais, frente aos novos contornos aos limites do direito à privacidade e acesso à informação, concebidos pela sociedade da informação e advento tecnológico. Partindo do pressuposto de que a LGPD não alcança o agente de tratamento de dados em função de segurança pública, entende-se que certos casos, resta ao Habeas Data efetivar a tutela dos dados pessoais.

6.4. Lei Carolina Dieckman (Lei 12.737/12)

Também digno de destaque é a Lei 12.737/2012 que surgiu, segundo Spencer Toth Skydow, de um “...movimento legislativo precipitado, simbólico e pressionado por fatores midiáticos, capazes de fazer aprovar leis mal-acabadas e que não correspondem àquilo verdadeiramente necessitado pelo Direito Penal Brasileiro”[53].

Esta lei trouxe inovações para o Código Penal, ao promover a inserção dos artitos 154-A e 154-B, bem como alterado a redação dos artigos 266 e 298, conforme observa-se a seguir:

Art. 154-A. Invadir dispositivo informático de uso alheio, conectado ou não à rede de computadores, com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do usuário do dispositivo ou de instalar vulnerabilidades para obter vantagem ilícita.

Art. 154-B. Nos crimes definidos no art. 154-A, somente se procede mediante representação, salvo se o crime é cometido contra a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos.

Art. 266 - Interromper ou perturbar serviço telegráfico, radiotelegráfico ou telefônico, impedir ou dificultar-lhe o restabelecimento:

Art. 298 - Falsificar, no todo ou em parte, documento particular ou alterar documento particular verdadeiro[54]

Passou ela então a tipificar delitos informáticos, penalizando a invasão de dispositivo informático (artigos 154-A e 154-B), a Interrupção ou perturbação de serviços telegráfico, telefônico, informático, telemático ou de informação de utilidade pública (artigo 266) e a Clonagem de Cartão (artigo 298).

Contudo, diferentemente das leis citadas anteriormente, essa não guarda semelhança nem complementa a Lei Geral de Proteção de Dados, porém representa um movimento legiferante em tipificar delitos praticados no ciberespaço.

6.5. Marco Civil da Internet (Lei 12.965/14)

O Marco Civil da Internet, nome dado à Lei 12.964/14, foi sancionado em 2014. O cerne desta lei era um caráter principiológico e enunciativo de direitos civis na busca de uma neutralidade da rede. Sua ideia era boa porquanto definiu princípios, direitos, deveres, garantias e, até mesmo, fez questão de conceituar alguns elementos. Vejamos alguns exemplos:

Art. 2º A disciplina do uso da internet no Brasil tem como fundamento o respeito à liberdade de expressão, bem como:

I - o reconhecimento da escala mundial da rede;

II - os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais;

III - a pluralidade e a diversidade;

IV - a abertura e a colaboração;

V - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VI - a finalidade social da rede.

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios:

I - garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal;

II - proteção da privacidade;

III - proteção dos dados pessoais, na forma da lei;

IV - preservação e garantia da neutralidade de rede;

V - preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas;

VI - responsabilização dos agentes de acordo com suas atividades, nos termos da lei;

VII - preservação da natureza participativa da rede;

VIII - liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei.[55]

Parágrafo único. Os princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.[56]

Por sua vez, exemplos de conceituação são as definições expostas em seu artigo 5º:

Art. 5º Para os efeitos desta Lei, considera-se:

I - internet: o sistema constituído do conjunto de protocolos lógicos, estruturado em escala mundial para uso público e irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes;

II - terminal: o computador ou qualquer dispositivo que se conecte à internet;

III - endereço de protocolo de internet (endereço IP): o código atribuído a um terminal de uma rede para permitir sua identificação, definido segundo parâmetros internacionais;

IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País;

V - conexão à internet: a habilitação de um terminal para envio e recebimento de pacotes de dados pela internet, mediante a atribuição ou autenticação de um endereço IP;

VI - registro de conexão: o conjunto de informações referentes à data e hora de início e término de uma conexão à internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;

VII - aplicações de internet: o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet; e

VIII - registros de acesso a aplicações de internet: o conjunto de informações referentes à data e hora de uso de uma determinada aplicação de internet a partir de um determinado endereço IP.”[57]

A lei buscou uma característica de “constituição da internet”, em que busca tornar a rede um ambiente pacífico ao promover uma neutralidade. Contudo, não surtiu o efeito esperado. A título de exemplo, ela trata a proteção de dados de maneira muito rígida, de modo a gerar controvérsias e debates acerca de sua constitucionalidade, prestando-se então a servir apenas para regularizar algumas atividades realizadas na internet.

Mas ainda assim, restam no Marco Civil, noções similares às dispostas pela LGPD, levando a conclusão de que pode sim ser tido como mais um passo do Brasil na proteção de dados pessoais.

Por fim, também há de se ressaltar o artigo 7º do Marco Civil da Internet, que assegura direitos aos usuários da internet, como a inviolabilidade da intimidade e da vida privada, a proteção e a indenização por dano material ou moral decorrente da violação, a inviolabilidade e o sigilo do fluxo das comunicações pela internet, exceto se por ordem judicial e a inviolabilidade e sigilo das comunicações privas armazenadas, exceto por ordem judicial: 

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;

II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;

III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;

IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;

V - manutenção da qualidade contratada da conexão à internet;

VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;

VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

a) justifiquem sua coleta;

b) não sejam vedadas pela legislação; e

c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;

XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;[58]

XII - acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e

XIII - aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.[59]

Esse rol de diretrizes, somados aos princípios citados nos demais artigos, apresentam grande similaridade com os artigos 6º e 7º da LGPD, fato que ressalta a maturação do Estado, pois, em meio a tentativas legislativas, a delimitação dos princípios e diretrizes continuou presente na LGPD, lei una de proteção de dados pessoais do País.

6.6. Lei Geral de Proteção de Dados (Lei nº. 13.709/18)

A Lei nº 13.709, foi aprovada no ano de 2018, entrando em vigor no dia 18 de setembro de 2020, passando a ser aplicada a partir do dia 1 agosto de 2021.

A norma específica de tratamento de dados pessoais do Brasil é resultado de anos de movimentos legislativos do País, bem como dos demais países, em especial os europeus, como já exposto. Com essa grande influência, a LGPD alcança sua finalidade de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural já exposta em seu artigo 1º:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.[60]

Para tal, se fundamenta nos princípios dispostos em seu artigo 2º, rol muito semelhante à de outras legislações:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.[61]

Pois bem, a LGPD tenta buscar um equilíbrio na relação entre o titular de dados e os agentes que farão o tratamento dos mesmos, para que sejam preservados os direitos dos titulares. Este equilíbrio é promovido por meio de imposições legais, bem como a fomentação de uma cultura de proteção de dados. Com isso, são estabelecidos conceitos pertinentes em seu artigo 5º

“Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.”[62]

Já em sua função de norma regulamentadora, dispõe no artigo 7º as hipóteses legais em que se permite o tratamento de dados:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      (Redação dada pela Lei nº 13.853, de 2019)      Vigência

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

§ 1º Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no art. 4º desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. [63]

Outro ponto importante da norma é a previsão do consentimento, elemento essencial para o tratamento, em que não se admite a forma tácita, devendo haver o consentido do titular nos dados nos moldes previsto pelo artigo 8º:

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.[64]

E ainda, tal lei não só estipula os limites e faz imposições aos agentes tratadores de dados, como se inspira nas demais legislação ao instituir a ANPD (Autoridade Nacional de Proteção de Dados), instituição com a finalidade de fiscalizar e aplicas as penalidades impostas pelo descumprimento à LGPD, definida em seu artigo 5º, inciso XIX como: “XIX- autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.”.

A estruturação da ANPD é prevista na do Capítulo IX da LGPD, Seção I, bem como no Decreto 10.474/2020, como sendo um órgão da Presidência da República, com autonomia técnica e decisória e mandato fixo dos diretores, contudo já foi previsto que, após dois anos, contados a partir da vigência da lei, ocorra a análise para a transformação em autarquia especial, da Administração Pública indireta.

Assim sendo, assim foi feito conforme estipulado em lei, em que por meio do da Medida Provisória nº 1.124/2022, de 13 de junho de 2022, sua natureza foi transformada em Autarquia de natureza especial, conforme o artigo 1º, do Decreto:

Art. 1º Fica a Autoridade Nacional de Proteção de Dados - ANPD transformada em autarquia de natureza especial, mantidas a estrutura organizacional e as competências e observados os demais dispositivos da Lei nº 13.709, de 14 de agosto de 2018.[65]

Em tese, em seu início, o órgão tem exercido um papel de educação e didático, importante papel para a fomentação da cultura de proteção de dados, finalidade da própria legislação, possuindo autoridade para aplicar as sanções previstas no artigo 52:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:    (Vigência)

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)  

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)[66] 

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)  

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência;

VI - o grau do dano;

VII - a cooperação do infrator;

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX - a adoção de política de boas práticas e governança;

X - a pronta adoção de medidas corretivas; e

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.     (Redação dada pela Lei nº 13.853, de 2019)     Vigência

§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. 

§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

§ 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995

§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:    

I - somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e

II - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos. 

§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.[67] 

Assim, adotando um caráter principiológico, que confere efetividade à norma, ao passo que permite se prolongar no tempo, diferente de outras normas que foram desvirtuadas rapidamente, visto sua rigidez, a LGPD adota um papel central na proteção de dados nacional, fato que traduz a importância de se transcrever algumas de suas normas, como feito acima.

7. DADOS PESSOAIS, INFORMAÇÕES E DEMAIS CONCEITOS À LUZ DOS ORDENAMENTOS JURIDICOS VIGENTES

A importância dos dados e informações para a sociedade informacional é cada vez maior. Motivo pelo qual, o direito deve buscar disciplinar tal matéria, contra os abusos, usos indevidos e ameaças aos dados dos cidadãos.

Mas para que tenha a proteção dos dados pessoais, é exigido o entendimento de expressões e conceitos que permeiam a matéria, pois o direito é ciência que trabalha com a perfeita definição dos institutos que constitui suas premissas.

Na busca por um conceito mais preciso, doutrinadores diferenciam “dados” e “informações”. Os primeiros são abarcados por um conceito mais abrangente, de forma que muitas coisas são “dados”, contudo, ao serem tratados em um contexto utilitário, forma-se uma informação, que por sua vez, ao estabelecer um vínculo objetivo com uma pessoa, torna-se uma informação pessoal desta, ou ainda, um dado pessoal.

Da mesma forma, não só os doutrinadores, como as próprias legislações, passam a exercer a tarefa de conceituar estes termos, a fim de formar os princípios norteadores da proteção de dados e direitos dos titulares, ao passo em que se extrai essência deles, entende-se do que tratam, e então aplicam o direito para que se tenha a proteção.

Faz-se importante assim, arrolar conceitos para melhor compreensão da matéria, visto a vasta importância, muito explicitada por este trabalho, em manter o direito e a técnica lado a lado durante o caminhar.

Ainda, há de se denotar que as leis pregam uma promiscuidade ao tratar certos conceitos indiferentemente, como é o caso da Lei 13.709/20118 (Lei geral de proteção de dados), que em seu artigo 5º, I, que caracteriza o dado pessoal como “informação relacionada a pessoa natural identificada ou identificável”, e ainda, e a Lei 12.527/2011 (Lei do Acesso à Informação), que em seu artigo 4º, IV, caracteriza a informação pessoal “aquela relacionada à pessoa natural identificada ou identificável”.

Contudo, no caso, ambos os conceitos se sobrepõem, contudo, é certo que podem causar uma confusão à hermenêutica jurídica, e, assim, é importante ressaltar o entendimento dos conceitos e constante observação a estes, para que se tenha a devida interpretação e consequente aplicação da lei.

7.1. Informações e Dados Pessoais

O termo “informações” pode ser entendido de forma muito abrangente, mas aqui deve se frisar seu caráter de finalístico, isto é, possuir uma finalidade torna-se quase como um requisito que deve ser observado para caracterizar desta maneira. Neste ensejo, especialmente com todo o paradigma histórico do direito à privacidade e sociedade informacional acima expostos, é possível vislumbrar as diferentes naturezas e conceitos que a informação possuiu ao longo da evolução.

O termo “informação” em si está associado a outros assuntos e áreas, mas o presente trabalho pretende se restringir ao que circunda o tema. 

Como afirma Danilo Doneda: “Mesmo sem aludir ao seu significado, na informação, já se pressupõe de seu conteúdo – daí que a informação carrega em si também um sentido instrumental, no sentido da redução de um estado de incerteza.”[68], sendo assim, exemplifica[69] que uma informação que mantem um vínculo objetivo com uma pessoa, à medida que revela algo sobre ela, refletiria uma informação consoante à características ou ações desta pessoa, como seu endereço ou nome civil, ou até mesmo seus hábitos de consumo.

Esse vínculo objetivo que é estabelecido afasta diferente caracterização, como é o caso da classificação feita por Pierra Catala, que classificou em quatro modalidades distintas: a) Informações relativas às pessoas e seus patrimônios, b) as opiniões subjetivas das pessoas, c) as obras do espírito e d) as informações que, fora das modalidades anteriores, referem-se a descrição de fenômenos, coisas e eventos, e, em resumo à essa caracterização, e nexo com o assunto, identifica o objeto da informação pessoal como a própria pessoa:

Mesmo que a pessoa em questão não seja a autora da informação, no sentido de sua concepção ela é a titular legitima de seus elementos. Seu vínculo com o indivíduo é por demais estrito para que pudesse ser de outra forma. Quando o objeto dos dados é um sujeito de direito, a informação e um atributo de personalidade.[70]

Sua importância é inquestionável, ao passo que surte como grande razão para o surgimento da privacidade em si, o que como visto, tem tornando-se cada vez mais importante em decorrência ao aumento da importância da informação.

Uma informação pessoal referente de um indivíduo pode revelar características objetivas desta pessoa, como nome, endereço, situação, dados de saúde, números de documentos, entre outros, como também algumas atribuições mais subjetivas, como geolocalização, informações referentes à hábitos da pessoa, seja hábitos de navegação na internet, de consumo ou quaisquer hábitos rastreáveis na internet, onde tudo fica registrado.

Sendo assim, há tarefa de diferenciação aos dados, colocam os estes por sua vez em um polo mais abrangente, que ao ser tratada, atribuindo uma utilidade a ele, forma-se uma informação, que por sua vez, ao estabelecer um vínculo objetivo com uma pessoa, torna-se uma informação pessoal desta.

Mas não se por perder de vista, que no ciberespaço, nossas informações são resumidas à dados, quais correspondem à nossas informações pessoais e, consequentemente, nossa imagem e personalidade.

Assim, conclui-se que o dado em si carrega uma característica mais fragmentada que a informação, sendo algo anterior à esta.

O conceito trazido pela Lei Geral de Proteção de Dados (LGPD), já mencionada, diz que os dados pessoais são toda informação que permita a identificação de um indivíduo, direta ou indiretamente, como RG, CPF, endereço, telefone, atividades na rede, endereço de IP, histórico de compras e pagamentos, fotos, entre muitas outras informações que são jogadas na rede constantemente.

Ainda sobre o tema, a Regulamentação Geral de Proteção de Dados, em inglês General Data Protection Regulation (GDPR) conceitua dados pessoais em seu art. 4º, I, como sendo:

qualquer informação relativa a uma pessoa singular identificada ou identificável (‘titular dos dados’); uma pessoa singular identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou a um ou mais fatores específicos da natureza física, fisiológica, identidade genética, mental, económica, cultural ou social dessa pessoa singular.[71]

Dessa maneira conclui-se que os dados pessoais se apresentam como o retrato da pessoa em um meio virtual, tornando quase um sinônimo da personalidade de seu titular, indicado a importância da devida proteção, já que esses dados são constantemente usados. Esse é o motivo pelos quais as legislações adotam uma conceituação ampla para promover uma tutela mais efetiva aos direitos personalíssimos, como bem pontua Paula Beatriz Duarte Celano e Vivian Esperato:

Destaca-se que a LGPD não restringe a definição de dados às informações imediatamente identificadores como informações cadastrais ou de registros oficiais (CPF, RG, nome, filiação, Passaporte etc.), mas também aqueles que possam indiretamente identificar o indivíduo, ou torná-lo identificável quando em associação a outros dados.

É justamente neste sentido que se aponta que a sistemática da proteção de dados nacional tem como fundamento a aplicação do conceito de dado, sobretudo, considerando a forte relação destas informações com direitos personalíssimos.[72]

O exemplo dado por Marcio Cots e Ricardo Oliveira bem se adequa ao caso: “... se uma empresa dispõe de um banco de dados que, se mesclados ou conjugados, identifiquem uma pessoa, tais dados serão considerados pessoais, ainda que isoladamente não identifiquem o indivíduo.”[73]

Diante de todo o exposto, o entendimento da matéria faz inquestionável a conceituação, principalmente da diferença entre dados pessoais e informações, assim, as informações tratam de um momento posterior ao dado, quando o agente de tratamento de dados dá uma finalidade a ela, em meio ao processo de tratamento.

7.2. Dados Sensíveis

Além dos dados pessoais, a novel Lei Geral de Proteção de Dados trouxe para o seu rol outra espécie de dados, os chamados dados sensíveis.

Segundo a legislação, em seu artigo. 5º, II, um dado sensível seria “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Essa espécie de dados merecem um cuidado maior em seu tratamento e coleta, sendo necessário um consentimento livre e expresso advindo de seu titular, na forma do artigo 5º, XII, da LGPD, para isso, pois trata-se de dados que se caso violados, causam, discriminação em relação ao seu titular, visto que são a representação de seu viés ideológico, étnico, religião e até mesmo suas características mais únicas.

Lembraremos que eventual violação à sua convicção religiosa ou vida sexual, podem levar a uma discriminação, da mesma forma que, o vazamento de sua opinião política ou filiação a sindicato ou organização de caráter religioso, filosófico ou político também ensejaria este rico, sendo uma faculdade do indivíduo compartilhar, ou não, esses dados.

A respeito dos dados referentes a saúde, dados genéticos e biométricos, por sua vez, a coleta indevida, ou vazamento decorrente do tratamento ou armazenamento problemático poderiam ensear um tratamento discriminatório, o que exprimem em riscos muito maiores a seu titular. Um exemplo seria o uso indevido de seus dados biométricos que, uma vez em mãos de um terceiro de má-fé, poderia resultar em fácil violação à sua conta bancária, já que hoje é possível acessar caixas eletrônicos apenas através da a biometria.

Assim, denota-se a importante dos dados sensíveis, quais devem ser observados no tratamento de dados, sob a possibilidade de causar discriminação ao seu titular se não respeitados os limites impostos ao tratamento desses dados em específico, pois assim como na realidade física, de fato alguns elementos de nossa privacidade e personalidade são mais “sensíveis” do que os outros. 

7.3. Titular de Dados

Por titular de dados, segundo a Lei 13.709/2018, em seu artigo 5º, V, entende-se a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.  Mesma definição consta da GDPR (General Data Protection Regulation).

Diante de tal conceituação, exclui-se a Pessoa Jurídica, do polo passivo da tutela de dados pessoais, pois não são elas definidas como titular de dados pessoais. Com isso, em caso de violação à dados pessoais de uma Empresa, esta estaria desprotegida, contudo, existe uma ressalva, na Lei Geral de Proteção de Dados enquadra o empresário individual como titular de dados, pelo motivo de o CNPJ da empresa estar ligado à pessoa natural.

Assim, e já que o Direito Civil reza, em seu artigo 2º, “A personalidade civil da pessoa começa do nascimento com vida”, de igual modo, a partir do nascimento com vida, a pessoa já conta com os direitos tutelados pela LGPD.

Mais que isso, conforme o mesmo artigo do Código Civil põe a salvo os direitos do nascituro desde sua concepção, há de se anotar que estes mesmos possuem dados pessoais, tais como seu peso, seu tamanho, tipo sanguíneo e até mesmo sua imagem que pode ser obtida através da ultrassonografia, ainda se denota ao menos a expectativa de direitos sobre os dados pessoais destes, visto sua personalidade jurídica formal, e da sua personalidade jurídica material que é adquirida com seu nascimento com vida.

Sendo assim, os direitos tutelados pela LGPD alcançam também o feto, diferentemente da GDPR, que não prevê explicitamente a proteção de dados pessoais do nascituro, mantendo a questão em aberta, já que também não ceda tal proteção.

Por fim, as legislações especificas de dados pessoais alcançam todas as pessoas físicas, já que sua grande finalidade ao tratar dos dados pessoais é tutelar os direitos e garantias dos indivíduos, neste novo ambiente digital.

7.4. Tratamento de Dados

Já por tratamento de dados, a Lei Geral de Proteção de Dados, em seu artigo 5º, X, entende o seguinte:

Art. 5º Para os fins desta Lei, considera-se:

X - Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;[74]

De forma diferente, a GDPR (General Data Protection Regulation) adota o termo “processamento”, como sinônimo de Tratamento. Vejamos o seu artigo 4º, II, define da seguinte maneira:

Processamento significa qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, por meios automatizados ou não, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, apagamento ou destruição[75]

Enquanto isso, a Lei Geral de proteção de dados não se preocupa só em conceituar. Seu artigo 7º, dispõe um rol de hipóteses em que é permitido o tratamento os dados pessoais:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;[76]

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

§ 2º (Revogado).     (Redação dada pela Lei nº 13.853, de 2019)      

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.[77]

E de igual modo fez a GDPR, ao trazer em seu artigo 6 º, I, as hipóteses em que há legalidade no processamento (termo usado pela norma “Lawfulness of processing”):

I- O processamento será lícito somente se e na medida em que pelo menos um dos seguintes se aplique:

(a) o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

(b) o tratamento for necessário para a execução de um contrato do qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes de celebrar um contrato;

(c) o tratamento for necessário para o cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito;

(d) o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular;

(e) o processamento for necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício de autoridade oficial investida no controlador;

(f) o tratamento for necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, exceto quando tais interesses sejam substituídos pelos interesses ou direitos e liberdades fundamentais do titular dos dados que exijam proteção de dados pessoais, em especial quando os dados sujeitos é uma criança.[78]

Em prol de promover as garantias e direitos individuais, sem necessariamente ferir a livre circulação dos dados e funcionamento dos sistemas, as legislações impõe limites legais no tratamento dos dados como exposto, prevendo as bases legais em que se permite que haja o tratamento de dados pessoais.

7.5. Agente de Tratamento de Dados Pessoais

Os Agentes de tratamento de dados pessoais, segundo a Lei Geral de proteção de dados, são duas figuras diferentes, o controlador e o operador, conforme o artigo 5º, IX: agentes de tratamento: o controlador e o operador.

Assim sendo, há de se ressaltar os papeis diversos atribuídos a cada um desses, enquanto o controlador é definido no mesmo artigo, porém no inciso VI, como sendo: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”, e o operador no inciso seguinte (VII), como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

Distinguir suas funções é essencial, visto a importância dessas duas figuras para a Lei Geral do Proteção de dados, pois são a estes que é imposto certo peso jurídico, mediante observações expressas em lei.

São exemplos de tarefas e limites jurídicos do controlador: a elaboração do relatório de impacto, disposto no artigo 5º, XVII da Lei 13.709/18:

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.[79]

A avaliação do enquadramento das bases legais para a realização do tratamento de dados pessoais como exposto pelo artigo 7º, anteriormente citado, em que são arroladas as hipóteses legais de tratamento de dados, bem como a observação do artigo 11º da mesma lei, em caso de se tratar de dados sensíveis:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.

§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.

§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.

§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:

I - a portabilidade de dados quando solicitada pelo titular;

II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.

§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. [80] 

Cabe também o dever de demonstrar a doção de medidas de comprovar a observância e cumprimento das normas de proteção de dados pessoais, bem como a eficácia das medidas adotadas (artigo 6º, X, da LGPD):

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.[81]

Cabe a ele também o ônus da prova sobre o consentimento do titular, como disposto no artigo 8º, §2º, da LGPD:

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.[82]

Ainda, tem o dever legal de fornecer os dados pessoais dos titulares e cumprir com os direitos deste, todos arrolados no artigo 18, da LGPD:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.[83]

Deve manter registros das operações de tratamento de dados pessoais, bem como transmitir instruções para operador que resolver envolver em tal, conforme os artigos 27 e 29 da LGPD:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.[84]

Em caso de violação à LGPD será responsabilizado civilmente e sancionado administrativamente (artigos. 42 e 52 da LGPD):

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional[85]

Por fim, ainda possui deveres, como comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e o titular dos dados a respeito de incidentes de segurança, como exposto pelo artigo 48, caput, da LGPD:

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.[86]

Enquanto estes são exemplos dos deveres impostos ao controlador pela Lei pátria de proteção de dados pessoais, em relação ao operador há outras previsões, visto que exerce função diversa do controlador, pois tem como tarefa a realização em si do tratamento de dados pessoais, em nome do controlador. Assim como o próprio nome diz, ele operacionaliza o controle.

Em relação a ele, a LGPD impõe limites para que ele opere o tratamento de dados pessoais, possuindo mesmas responsabilidades do controlador, como por exemplo irá responder solidariamente pelos danos causados pelo tratamento de dados pessoais em descumprimento a obrigação imposta por lei, ainda, será responsabilizado civilmente em violação à LGPD e sancionado administrativamente.

Por outro lado, ele respondera pelos danos causados pela violação de segurança dos dados se não adotar medidas de segurança prevista na LGPD.

Em relação a suas obrigações, possui obrigações que também são do controlador, como o dever de informar a ANPD se solicitada alguma informação, entrou outras responsabilizados que concorrem com as do controlador, basta analisar se a lei direcionar à ambos, como é o caso do disposto pelo artigo 37 da LGPD:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.[87]

Por fim, a legislação apenas requer e o operador execute a operação de tratamento de dados orientado pelo controlar, sendo imprescindível a distinção do controlador e do operador, ainda mais atualmente que é comum a mesma pessoa jurídica (empresas contratadas) exercer as duas atividades, mas a LGPD impõe que deve ser identificado, conforme o artigo 9º:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I - finalidade específica do tratamento;

II - forma e duração do tratamento, observados os segredos comercial e industrial;

III - identificação do controlador;

IV - informações de contato do controlador;

V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI - responsabilidades dos agentes que realizarão o tratamento; e

VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.[88]

Já a lei europeia (GDPR), em seu artigo 4º, 6 e 7, conceitua respectivamente o controlador e o operador, na legislação processador, como sendo:

Artigo 4º Definições

6. controlador - a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina as finalidades e os meios de tratamento dos dados pessoais; quando as finalidades e os meios desse tratamento forem determinados pelo direito da União ou do Estado-Membro, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser previstos pelo direito da União ou do Estado-Membro;

7.  processador uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento;[89]

Ainda, no artigo seguinte, no item 2., define a responsabilidade do controlador da seguinte maneira:

Art. 5 – Princípios relativos ao tratamento de dados pessoais

2. O responsável pelo tratamento deve ser responsável e poder demonstrar o cumprimento do parágrafo 1

Ao dispor a responsabilidade de ambos, o GDPR estipula em seu artigo 83, que a imposição de multa deve considerar "grau de responsabilidade do controlador ou do processador, levando em consideração as responsabilidades técnicas e organizacionais implementadas por eles"[90]

Em conclusão, as legislações usam de sua força coercitiva ao delimitar os papeis dos agentes e impor a eles limites, sob pena de serem impostas sanções a eles, coibindo assim o uso indevido dos dados dos titulares, mais uma vez, garantindo seus direitos em meio ao ambiente virtual.

7.6. Banco de Dados

O conceito de banco de dados, mesmo que já pincelado no atual trabalho[91], é abordado e conceituado por ambas as legislações.

De forma que a Lei Geral de Proteção de Dados, define em seu artigo 5º, inciso IV, um banco de dados como sendo: “conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais., em suporte eletrônico ou físico.”.

Já a lei europeia, GDPR intitula como “Sistema de arquivos” (em uma tradução literal), e conceitua em seu artigo 4º, (6) como: “qualquer conjunto estruturado de dados pessoais acessíveis de acordo com critérios específicos, centralizados, descentralizados ou dispersos numa base funcional ou geográfica”.

8. DIREITO E TECNOLOGIA

A veloz evolução das tecnologias e todas as inovações provenientes deste caminhar, ainda acarreta uma mudança cultural e a consequente necessidade de se adequar e regularizar as relações e os bens.

Diante disso, estas novas relações impõem ao direito a tarefa de regulamentá-las, restando tarefa aos legisladores, intérpretes da lei, doutrinadores e estudantes entenderem esta nova ciência que influenciara em novas abordagens, interpretações e até mesmo criação de novos princípios e instituo jurídicos para plena tutela de interesses e direitos.

Não devemos perder de mente a essência do direito e sua intercomunicação com outras ciências, como é o caso da sociologia e filosofia que influenciam diretamente na hermenêutica jurídica, geologia e sua influência ao o direito ambiental, psicologia e psiquiatria ao direito de família, medicina legal e criminologia ao direito penal, filosofia às matérias processuais, ciências contábeis ao direito tributário, e agora a informática, que passa ser de necessário entendimento aos juristas.

Com isso, instruir Bernard Edelman:

“Se por um lado o direito não julga a ciência, por outro ele não tem dúvidas de que ela existe e de que produz efeitos na ordem jurídica. A biologia revolucionou a visão jurídica do homem e da natureza, a informática, aquela dos direitos de autor e dos direitos da personalidade, a pesquisa nuclear renovou a ideia de soberania e de responsabilidade... Dito de outra forma, a evolução das ciências e das técnicas não é indiferente ao direito”.

Este cenário não é familiar ao direito tradicional, pois a tecnologia e a internet apresentam características próprias e diferentes daquelas que usamos para erigir as normas jurídicas. Aqui, a simples aplicação dos princípios tradicionais não surtiria o efeito desejado, pois é como se a internet possui característica própria de se submeter a legislação, já que não se submete a fronteiras territoriais, aos fusos horários ou o relógio físico. Tudo isso, aliado à velocidade com que evolui, desenha um perfil bastante dinâmico

Não há como se negar que tal virtualização dificulta a interpretação e aplicação da lei da forma tradicional como conhecemos. A partir disso surge questionamento acerca da necessidade de se readequar o pensar jurídico, inclusive se cogitando a elaboração de novos princípios, já que, os que conhecemos, podem não bastar.

Segundo Pierre Lévy:

...a verdadeira questão não é ser contra ou a gabo, mas sim reconhecer as mudanças qualitativas na ecologia dos signos, o ambiente inédito que resulta da extensão das novas redes de comunicação para a vida social e cultural. Apenas dessa forma sermos capazes de desenvolver estas novas tecnologias dentro de uma perspectiva humanista.”[92]

Não se olvide que os já estabelecidos e engessados princípios tradicionais bastam para legislar no mundo físico, é preciso compreender as características tecnológicas, novas e dinâmicas, que exigem um novo modo de se percorrer o itinerário lógico, caminho necessário para de ordenar, juridicamente, estas novas relações atemporais, que não tocam o solo.

Não se fala aqui em um novo método de legislar, mas sim novos precauções, pois ainda assim, alguns princípios resguardam pertinência neste novo ambiente. Por mais que a realidade virtual seja muito diferente, deve-se afastar a ideia de que o Direito Digital é algo totalmente novo, pois, como qualquer ramo desta ciência, as novas situações devem se submeter aos preceitos tradicionais.

Então, nesse ponto sugiro que a internet seja reconhecida como um instrumento, sendo assim, o ramo do Direito Digital tem a função de entender essa virtualização, esboçando os princípios que surtam efetiva proteção dos direitos fundamentais, contudo, há de se reconhecer a relação com as já estabelecidas áreas do direito.

Doutrinadores, como Patrícia Peck Pinheiro[93]  reforçam o surgimento de uma nova área do direito, o “Direito Digital”, mas acrescenta que não se pode perder de vista sua relação com os demais ordenamentos jurídicos. Isso porque, o encontro da tecnologia com o direito, deve se prestar para regulamentar as relações interpessoais

Nada que acontece na internet não existia, os delitos cometidos neste meio são velhos conhecidos, mas agora os mal-intencionados se utilizam das novas tecnologias e suas vulnerabilidades para, no conforto e segurança das suas residências, se valerem de sua má-fé e praticar atos delituosos em meio a novas possibilidades. 

Pontuada essa natureza instrumental da internet, resta ao direito regulamentar o uso desta ferramenta, da mesma maneira pela qual já assim fez com tantas outras.

Vejamos então os links necessários entre os velhos institutos (e princípios) legais e a nova realidade digital.

8.1. Princípios e Institutos Clássicos do Direito

Da organização social surgiram princípios, normas e conceitos que norteiam a convivência em sociedade e os fatos dela, dessa maneira, para que haja uma interpretação certa das normas, observa-se esses princípios e se valora o que deve ser tutelado em meio ao fato em concreto.

Ainda, a partir das normas constitucionais, que regram o Estado, e os princípios, cada ordenamento jurídico estabelece parâmetros para a incidência da lei, como por exemplo ao delimitar os sujeitos legítimos e as vedações legais.

A partir das primeiras inovações tecnológicas o direito se adequou, contudo, estas primeiras inovações facilitavam a tarefa para o direito, pois dependiam de centros de controles hierarquizados, sendo mais crível seu funcionamento e acompanhamento, bem como sua normatização.

São exemplos o telefone, o telegrafo, o rádio e a televisão, por mais que seja inegável o papel destes na maturação da consciência do encurtamento da distância das pessoas físicas e a crescente interação entre os seres, tais tecnologias não se comparam à internet que, através da rede de computadores, executa tarefas até então inimagináveis.

Nesse palco conhecido como ciberespaço, o direito se viu obrigado a se moldar aos novos paradigmas de espaço e tempo, em que se denota a maior conveniência em adotar abordagens mais flexíveis e principiológicas, de forma a surtir um efeito mais abrangente, o que acabou refletindo nas próprias regras normativas, como a Lei Geral de Proteção de Dados do Brasil. Tanto os legisladores como os operadores do direito se viram obrigados a olhar para o futuro com enfoque técnico nunca antes exigido.

Em conclusão, o direito deve olhar para o futuro com enfoque realista e avaliar os potenciais e riscos deste novo ambiente, de maneira que o direito passe a ter a responsabilidade de disciplinar a realização das escolhas relacionas a tecnologia conforme afirma Luigi Mengroni[94].

Esta tarefa de interpretar a tecnologia frente aos valores presentes ao ordenamento jurídico é necessária, ainda que signifique a mudança nos paradigmas, conforme expõe claramente Francis Amaral:

Vivemos numa sociedade complexa, pluralista e fragmentada, para a qual os tradicionais modelos jurídicos já se mostraram insuficientes, impondo-se a ciência do direito a construção de novas e adequada as estruturas jurídicas de resposta” capazes de assegurar a realização da justiça e da segurança em uma sociedade em rápido processo de mudança.[95]

8.2. Elemento Tempo

Ao se falar do “tempo” na internet, alguns pontos devem ser considerados.

É certo que toda norma nasce, reina e se extingue com o passar do tempo, ou seja, tem uma vida útil, a qual denominamos de vigência. Ocorre que a sociedade evolui cada vez mais rápido, o que resulta no surgimento de novos paradigmas e antigos preceitos passam a não fazer mais sentido.

Até então, este era o único fator influenciador que o tempo trazia para o direito. A necessidade de se adequar com o decorrer do tempo, carrega consigo o próprio conceito de dinamicidade normativa. Conforme novos valores e interesses surgem, novas regulamentações se fazem necessárias.

Outrora, uma crise econômica em um país surtia efeitos em outros, mas estes não eram instantâneos, no ambiente virtual é diferente, pois as repercussões são quase que imediatas. Percebe-se, pois, que o sistema normativo deve ter uma resposta muito mais rápida, sob pena de vulnerabilizar o próprio direito, prejudicando seus titulares.

Para isso, é preciso entender a importância do elemento “tempo” nesta realidade, é certo que a celeridade processual não conseguiria promover a devida segurança jurídica dos indivíduos frente a tantas ameaças e seus conseguintes efeitos quase imediatos, em virtude disso faz-se importante o entendimento da Dra. Patrícia Peck: “...Este quarto elemento é determinante para estabelecer obrigações e limites de responsabilidade entre as partes, quer seja no aspecto de contratos, serviços, direitos autorias, quer seja na proteção a própria credibilidade jurídica quanto a sua capacidade em dar solução a conflitos. Sendo assim, o advogado digital é um senhor do tempo, devendo saber manipular tal elemento em favor de seu cliente, pois um erro de estratégia jurídica pode ser fatal em uma sociedade em que a mudança é uma constante.”[96] .

Daí vem a valia da regulamentação normativa e do estabelecimento de limites, ainda, se faz evidente a importância de legislações principiológicas como a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), pois assumir um caráter principiológico, mesmo que gere uma norma lacunosa, gera um efeito que se prolonga no tempo, diferentemente de delimitar incisivamente comportamentos e obrigações, pois ante a velocidade do caminhar da tecnologia, isto seria aceitar a rápida perda de sua efetividade.

É essencial, assim, a concepção de normas contemporâneas e compatíveis com a imprevisibilidade da tecnologia.

Conexo ao assunto, tem-se a obra de Norbert Wiener[97], onde de maneira metafórica cita o “Golem Tecnologico” ao comparar a tecnologia à criatura da mitologia hebraica, “Golem”, uma criatura de argila, com força e poder que crescem a cada dia, criado pelo homem, que caso não seja bem comandado tem a capacidade de destruir seu próprio criador, pois é uma criatura tola incapaz de entender sua força. Assim, enfatiza-se a ideia de que as tecnologias são criações do homem, cabendo a ele a tarefa de compreendê-la, sob pena de ser por ela consumido

8.3. Elemento Espaço

Acerca territorialidade também é valido uma reanalise, agora no ambiente virtual ao qual o advento tecnologia nos inseriu.

Antes mesmo da virtualização, a globalização em si já desafiava tal princípio, mas esta angústia é acrescida com as tecnologias e a internet, que dificultam a delimitação por meio dos parâmetros tradicionais do local no qual acontece a relação jurídica, ou onde ocorre um fato munido de interesse jurídico, bem como seus efeitos.

Analisar a internet e suas relações sob o escopo do princípio da territorialidade significa grande dificuldade essa perceptível apenas com a leitura do enunciado, no ordenamento penal objetivo, que reza sobre o “princípio da territorialidade”:  para a demarcação de um território, dificuldade essa que é possível notar apenas com a leitura do disposto acerca do princípio da territorialidade, que estipula a incidência de suas normas em determinado, ou determinável, território no Código Penal:

Art. 5º - Aplica-se a lei brasileira, sem prejuízo de convenções, tratados e regras de direito internacional, ao crime cometido no território nacional. (Redação dada pela Lei nº 7.209, de 1984)

§ 1º - Para os efeitos penais, consideram-se como extensão do território nacional as embarcações e aeronaves brasileiras, de natureza pública ou a serviço do governo brasileiro onde quer que se encontrem, bem como as aeronaves e as embarcações brasileiras, mercantes ou de propriedade privada, que se achem, respectivamente, no espaço aéreo correspondente ou em alto-mar. (Redação dada pela Lei nº 7.209, de 1984)

§ 2º - É também aplicável a lei brasileira aos crimes praticados a bordo de aeronaves ou embarcações estrangeiras de propriedade privada, achando-se aquelas em pouso no território nacional ou em voo no espaço aéreo correspondente, e estas em porto ou mar territorial do Brasil. (Redação dada pela Lei nº 7.209, de 1984)[98]

Resta, portanto, o uso da delimitação do próprio espaço geográfico para determinar a incidência da legislação pátria.

Contudo, o mesmo não pode ser dito em relação as condutas e interações que ocorrem no meio digital. O que ocorre devido a inexistência de fronteiras definidas para as relações interpessoais entre os usuários. Se tornou muito comum indivíduos de nacionalidades e culturas distintas interagirem, fazer negócios e até mesmo se relacionar.

Da mesma forma, seria como se fosse possível tomar como preceito o estipulado pelo Direito Internacional, em que se estabeleceu a origem do ato como pressuposto para aplicação do ordenamento jurídico competente.

Como seria identificada a origem no caso do ciberespaço? em uma análise, os demarcadores geográficos das redes que possibilitariam a identificação poderiam ser o “IP” e o “Domínio”.

Domínio são os famigerados “.com” e “.br” que digitamos junto de um site. Ele se resume ao endereço do site e onde está hospedado. Por exemplo, o “.br” significa que ele está regulamentado pela entidade nacional conhecida como Registro.br[99], cuja qual é responsabilizada pela manutenção e o registro dos domínios nacionais, conforme as regras do Comitê Gestor da Internet no Brasil (CGI.br).

Domínios de mais alto nível, ou TLD (top-level domain), como “.com” e “.edu” são de responsabilidade da IANA[100] (Internet Assigned Numbers Authority) ou Autoridade para Atribuição de Números da Internet, a qual resguarda ao Comitê Gestor da Internet no Brasil a competência para registrar domínios terminados com “.br”.

Sob uma concepção mais técnica, vale o ensinamento de Pedro Augusto Zanoloque conceitua domínio como:

É um nome que serve para localizar e identificar conjuntos de computadores e serviços na Internet. O nome de domínio foi concebido com o objetivo de facilitar a memoriarão desses endereços, pois sem ele, teríamos que memorizar uma sequência grande de números, e dar flexibilidade para que o operador desses serviços altere as infraestruturas com maior agilidade.[101]

O IP é uma combinação única de números, que cada dispositivo e site possui na rede. Serve para identificar os destinatários na hora de transmitir uma mensagem, um dado ou um comando. Assim, todos os dados na rede de computadores são enviados por meio de pacotes de dados, o qual possui um endereçamento, este endereçamento por sua vez não vai como nome do juízo, mas sim com o IP correspondente ao IP do destinatário.

Um IP corresponde a uma sequência de números, o DNS (Domain Name System), ou sistema de Nomes de Domínio, são servidores que convertem os nomes de domínios em endereços de IP para que ocorra a navegação da internet, aqui cabe uma analogia divertida da empresa CloudFare, a qual denomina DNS como “a lista telefônica da internet”[102].

Em uma análise, os domínios são uma forma de delimitar a consumação de um feito na internet e os IP’s uma forma de delimitar de onde partiu uma ação determinada. Assim como expõe a Dra. Patrícia Peck: “Uma tendencia mundial é assumir definitivamente o endereço eletrônico como localização da origem ou efeito do ato.”[103]

Em nosso ordenamento jurídico, no Marco civil da internet[104],  definiu que aplicar-se-á a lei brasileira em casos de atividade ter sido iniciada de alguma maneira, ou parte deste ato ter ocorrido em território brasileiro.

Para esclarecimento deste ponto, ressalta-se o enunciado pela Patrícia Peck:

Deverá ser aplicada a lei brasileira se a atividade foi iniciada, originada ou de alguma forma parcialmente realizada a partir do território brasileiro quando houver algum ato de coleta de armazenamento, de guarda, de tratamento de dados pessoais ou de comunicação ou um dos terminais envolvidos na operação estiver no Brasil[105]:

 Entendimento este, extraído por sua vez do artigo 11 do Marco Civil da Internet:

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.

§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.

§ 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.[106]

Esta novação garante mais segurança jurídica, porque facilita o pleitear um direito lesado em meio digital.

Como a simples leitura do antigo entendimento do assunto, estipulado no artigo 9º, § 2º da LINDB (Lei de Introdução às normas do Direito brasileiro), denota o custoso trabalho de pleitear em juízo um direito lesado:

 Art. 9o Para qualificar e reger as obrigações, aplicar-se-á a lei do país em que se constituírem.

§ 2o A obrigação resultante do contrato reputa-se constituída no lugar em que residir o proponente.

Tal mudança constitui-se em um grande avanço dentro dos conflitos de interesses na internet, já que agora não se pode mais afastar a aplicabilidade da lei brasileira em casos de o provedor de serviços não possuir filial no Brasil. 

Pior. Antes disso, quando a Lei era inerte, ficava à responsabilidade dos sites para estabelecerem em seus termos de uso, o foro competente para julgar lides, como é o caso do Facebook que define o seguinte:

Resolveremos ações judiciais, causas de pedir ou disputas (alegações) levantadas por você em relação a esta Declaração ou ao Facebook apenas nas varas distritais do Distrito Norte da Califórnia ou em tribunal estadual localizado no Condado de San Mateo, Estados Unidos, e você aceita em se submeter à jurisdição pessoal desses tribunais com o propósito de pleitear todas essas reivindicações. As leis do estado da Califórnia regem esta Declaração, bem como as alegações que surjam entre você e nós, independentemente de conflitos nas disposições legais.[107]

Com essa novidade, é entendível que a depender do caso, pode atrair-se mais de um ordenamento jurídico ou uma lei específica de um País.

Já em casos de crimes eletrônicos, já se adianta que o ordenamento jurídico brasileiro alcança a grande maioria das questões como será aprofundado posteriormente, mas para breve esclarecimento, isto ocorre frente ao art. 5º do Código Penal, exposto acima. 

No entanto, ao invés de se regularizar claramente este ambiente sem fronteiras, existe na verdade uma tendencia à evoluir o velho entendimento de delimitação geográfica, ao, através de meio da tecnologia e ferramentas, estabelecerem espécies de “barreiras virtuais”, que possibilite a simulação de limites geográficos e espaciais.

Afinal, o direito até então contemplava a ocupação de um espaço delimitado por barreiras geográficas, com limites certos, e a submissão a uma mesma autoridade. Contudo, a internet obscurece a ideia de limites palpáveis, o que leva a criação de um novo tipo de espaço sem o controle convencional, como afirma Stefano Rodotà:

As velhas tecnologias tinham essa vantagem. Eram visíveis, volumosas, rumorosas. Impunham-se com tal materialidade que todos eram constritos a sentir seu peso e, quando pareciam intoleráveis, bastava pedir a alguém para que as suprimisse.[108]

Por fim, frente aos obstáculos que as tecnologias e o ciberespaço apresentam ao Direito, resta certo de que é preciso não só entendimento sobre o tema para a devida confecção e aplicação das normas, mas também a inserção de novo institutos capazes de clarear mais a situação. Neste ensejo, ficara notado mais a fretne a importância da cibersegurança como novo instituo jurídico para que se tenha a efetiva proteção dos dados pessoais.

9. AMEAÇAS AOS DADOS PESSOAIS NO CIBERESPAÇO

O bem de maior valor da sociedade da informação, os dados pessoais, encontram-se cercados de ameaças diariamente. Ao que parece simples de solucionar com a promulgação de leis que imponham penalidades, como já demonstrado, o ciberespaço e as tecnologias ainda não se encontram como algo claro para a imposição de leis, visto as dificuldades em legislar nesses meios.

Assim, a única ameaça aos dados pessoais não se limita ao uso abusivo por terceiros, que vem sendo afrontado pelas legislações, como a LGPD, há também os infratores cometedores dos famigerados “cibercrimes”, ou crimes cibernéticos.

Quanto a esses, Emerson Wendt e Higor Jorge conceituam como: “...delitos praticados contra ou por intermédio de computadores (dispositivos informáticos, em geral).”[109]

No ciberespaço como no mundo físico, os direitos fundamentais são também violados por indivíduos com finalidades munidas de má fé, atividade que se mostra cada vez mais corriqueira, visto o alto valor agregado pelos dados na atual configuração que a sociedade se encontra. Neste contexto, os colocam às vítimas no lado hipossuficiente, pois geralmente esses usuários maus intencionados tem perícia no uso da tecnologia, explorando falhas nos sistemas e criando e aplicando artifícios que possibilitem a concretização de seu intento.

Através desses artifícios ardilosos, se aproveitam da inocência de terceiros ou de seu conhecimento técnico para cometer infrações como roubo de dados, invadindo máquinas e sequestrando dados das mais diversas formas.

9.1. O Infrator

Conforme no mundo físico tem-se diversas figuras que podem apresentar ameaças aos direitos dos cidadãos, com o advento da tecnologia surge uma nova figura: o “hacker”. Este termo é explicado por Túlio Lima Vianna:

Em princípio, a palavra era utilizada para designar qualquer pessoa que possuísse um profundo conhecimento de um sistema informatizado. Não tinha um sentido pejorativo, muito pelo contrário, ser considerado hacker era uma honra, uma vez que o vocábulo nomeava os respeitados especialistas da área de computação [110]

Portanto, o termo “hacker” deve ser designado segundo Glaydson de Farias Lima à “pessoa com grande conhecimento em informática, capaz de realizar uma serie de tarefas complexas com dispositivos eletrônicos”[111].

Deste termo, tem-se duas classificações iniciais, o Hacker ético, também chamados de “White Hat”, que usa de seu vasto conhecimento técnico para atividades lícitas, rompendo sistemas informatizados sob permissão de terceiro e com o intuito de encontrar as falhas, para então reportá-las e corrigi-las, acarretando mais segurança aos sistemas, sem causar danos a computador alheio.

Já por outro lado, existem os hackers má intencionados, chamados de “Black Hat”, ou também “Crackers”, que ao contrário dos hackers-éticos, esses imputam uma finalidade delituosa para sua expertise informática, pois usam deste conhecimento para obter vantagem financeira, prejudicando terceiros e provocando danos a sistemas e computadores.

Para a concretização deste intento, burlam sistemas, encontram falhas e se aproveitam destas, desenvolvem programas maliciosos e utilizam-se de técnicas que sequer se aproveitam de sistemas informáticos.

Assim, os chamados crackers, ou Hackers Black Hat, são os cibercriminosos que esgotam seu conhecimento e as falhas dos sistemas e dispositivos para atentarem contra os dados pessoais.

Não se pode perder vista que a criatividade desses delinquentes é imensa, este que é empregada na confecção de novas ferramentas e métodos para burlar sistemas, motivo pelo qual é preciso o emprego de métodos de defesa para mitigar a velocidade com que eles evoluem suas técnicas e praticam seus atos delituosos.

9.2. Ameaças e Ataques Cibernéticos

Em meio ao emprego de seus conhecimentos, esses infratores utilizam-se de métodos e ferramentais já conhecidas, as quais inovam constantemente, para ilustrar essa velocidade com que os criminosos inovam, e a quantidade de ataques cibernéticos ocorrem, a renomada empresa de segurança “Kapersky”, criou um site interativo[112], onde é possível acompanhar em tempo real a ocorrência de atasques cibernéticos.

Dentre o vasto leque de possibilidades das quais os crackers se utilizam para concretizar ameaças aos dados pessoais, algumas delas merecem menção, visto a frequência com que ocorrem atualmente, que cresce cada vez mais.

Assim, é de suma importância capitular o modus operandis desses delinquentes cibernéticos, quase as técnicas e ferramentas usadas por eles ao atentar contra dos dados pessoais, dispositivos eletrônicos e sistemas.

9.2.1. Malwares

Malwares são softwares (programas de computador) maliciosos, desenvolvidos com a intenção de causar danos aos seus usuários, esta categoria engloba conhecidos, como os vírus e os ransonware, e através desses, o delinquente pode roubar ou danificar dados de indivíduos, como também comprometer sistemas, tendo cada uma sua finalidade e comportamento. 

Antes, faz-se importante informar que esses softwares não são facilmente visíveis por vezes, pois os infratores tentam ao máximo esconder do usuário, que acreditam estarem executando tarefa diversa, ou fazendo o “download” de arquivo diverso, mas acabam contraindo um malware, que uma vez executado surte seus efeitos.

Passasse, portanto, para delimitação de algumas espécies de malwares:

Primeiramente, os famigerados vírus precisam ser executados para entrarem em ação, seja por através da ação humana, como ao executar um programa qualquer clicando, como por execução do que conhecemos por macro, que nada mais é do que uma sequência de comandos armazenada, a qual através de um simples comando desencadeia toda a sequência.

Assim, uma vez executados, os vírus possuem a característica de se replicarem, à medida que inserem o próprio código nos sistemas de computador, realizando cópias para novos arquivos, podendo comprometer e causar lentidões aos sistemas, bem como comprometer ou excluir dados.

Os “Worms” por sua vez, são semelhantes ao vírus em sua funcionalidade, com a diferença que não necessitam de uma execução, se replicando sem precisarem do indivíduo, assim, se propagam por meio das conexões e vulnerabilidades de segurana dos computadores e redes.

O perigo destes, são que contrários ao vírus, são menos perceptíveis, pois o vírus compromete o funcionamento do computador ao consumir processamento, já os Worms não, pois, assim como leciona Joseph Steinberg: “Como consomem largura de banda da rede, podem causar danos mesmo sem modificar sistemas ou roubar dados.”[113]

Os “Trojans”, são popularmente conhecidos como Cavalo de Troia, pois assim como o icônico cavalo de madeira presenteador pelos gregos aos troianos, este malware é disfarçado como software comum, ou de arquivo legitimo diverso, variando da forma como ele será introduzido, que executara as funções comumente esperadas pelo seu usuário, mas também executara funções diversas não esperadas ou conhecidas.

Os chamados Keylogger e Backdoor, são exemplos de funções que podem o trojan pode executar, instalando um, ou ambos, no sistema do alvo.

Keylogger é definido por Evandro Dalla Vecchia como “...um software instalado no dispositivo que está em uso, capaz de capturar tudo o que é digitado (teclado) ou clicado (mouse)”[114]. Desta forma, quando instalado, esta o trojan, ou cavalo de troia, ficara registrando tudo que o usuário digitara, ou onde clicara, podendo o criador do malware coletar muitos dados, até mesmo senhas.

Já o Backdoor, é conceituado também por Evandro Dalla Vecchia, como “... um software que permite o acesso remoto por meio do uso de uma porta de comunicação”[115], ainda afirma que se trata de uma porta que pode ser acessada sem ser percebido, por isso o nome, em uma tradução significa “porta dos fundos”. Assim, uma vez instalado um backddor no sistema do alvo, o cracker pode acessá-lo remotamente e fazer o que bem entender e quando quiser.  

Também muito ameaçador aos dados, o spyware possibilita, sem a permissão do indivíduo, a coleta informações do dispositivo em que é injetado, podendo ainda. Por sua vez, não é necessariamente um malware como bem pontua Evandro Dalla Vecchia:

Esta categoria trata de softwares espiões (spware), que podem ter o uso legitimo (monitoramento de computadores de uma empresa, com a ciência de todos os funcionários) ou ilegítimo (instalando em um computador sem que o usuário tenha conhecimento). O software pode ser configurado para analisar apenas algumas atividades e pode enviar as informações para um administrador ou simplesmente gravar em um local seguro. [116]

Por fim, no rol dos malwares abordados pelo presente trabalho, tem-se o ransonware, que vem se tornando cada vez mais comum, principalmente com o advento das criptomoedas, que permitem o anonimato do delinquente.

O ransonware permite a ocorrência de algo análogo a um estelionato de dados, pois como pontua Pedro Augusto Zaniolo: “...infecta computadores e exibe mensagem exigindo o pagamento de uma taxa (resgate) para o sistema voltar a funcionar”[117], assim, bloqueia o acesso a um dispositivo, ou criptografa documentos ou arquivos, em que a liberação do sistema, ou decifragem da criptografia se dá apenas mediante o pagamento. Como ocorrido em novembro de 2020, com o Supremo Tribunal de Justiça do Brasil, em que toda a base de dados foi criptografa, e então foi deixado um documento de nota em que foi fornecido um email para contato[118].

O ransonware pode ser instalado por meio de links enganosos em mensagem de e-mail, mensagens instantâneas ou sítios da web.

Por fim, é notório as vastas possibilidades de ferramentas e métodos que os crackers possuem em seu arsenal para atentarem contra os dados pessoais. Infelizmente, como a tecnologia possui falhas, é difícil anular integralmente as possibilidades, sendo certo que é possível ser hackeado, ainda, até mesmo tratando-se de uma questão de quando será, pois todos estamos vulneráveis e os infratores cibernéticos não cansam de empregar ataques cibernéticos.

9.2.2. Engenharia social e ataques personificados

Além do exposto, os criminosos utilizam -se de várias técnicas e métodos para roubarem dados, e então empregam finalidades diversas, seja se passar pela pessoa para cometer outros crimes, mantendo o seu nome “limpo”, ao abrir contas bancárias em nome da vítima, pedindo créditos bancários, vendendo esses dados em mercados clandestinos situados na famosa Deep Web, e até mesmo se autenticar em sistemas cujo a pessoa possui acesso devido a função que exerce.

Assim, os crackers não se limitam às técnicas em que ocorrem o emprego de tecnologias necessariamente, pois muitas vezes atingem a vítima por meio do que conhecemos de Engenharia Social.

Assim, entende-se por engenharia social a “...utilização de linguagem natural para convencimento das vítimas.”, como determina Glaydson de Farias Lima[119], em que, ainda pelo mesmo autor:

Ao atacar as falhas dos usuários, ao invés das brechas de segurança do software e hardware, está o criminoso procurando o caminho mais fácil. Por mais habilidoso que sejam certos programadores, muitos preferem se aproveitar ada inocência do ser humano para obter acesso indevido.[120]

Aqui, o criminoso se utiliza de meios convencionais para concretizar o roubo aos dados, seja por meio de um e-mail, mensagem ou até mesmo ligação telefônica, pode fingir se passar por alguma loja ou outra pessoa, ao solicitar senhas do usuário por exemplo. Exemplo atual são os comuns golpes de clonagem de Whatsapp[121], em que o infrator se passa por lojas ou empresas, solicitando à vítima por meio de mensagem o código de verificação do whatsapp, e então através do fornecimento ganha acesso à conta da vítima e passa a requisitar dinheiro para outras pessoas, sob o pretexto de se passar pela vítima, alguém de confiança dessas.

Esse tipo de ataque em que por meio de um contato, a vítima é levada a erro, é chamado de “Phishing”, em que, segundo Joseph Steinberg: “...utilizam a técnica do pretexto, na qual o criminoso que envia o e-mail de phishing cria uma situação que o faz ganhar a confiança dos alvos e ressaltar a suposta necessidade de agira rápido.”[122]

Esta técnica é explicada por Mário Antunes e Baltazar Rorigues:

O phishing consiste em tentar confundir os utilizadores da internet (por exemplo, web), para que forneçam informações confidenciais, como credenciais para aceder a determinado serviço (por exemplo, email ou home banking).

Estas tentativas são geralmente efetuadas através do envio de e-mails, de mensagens instantâneas (por exemplo, via SMS – Short Message Service) ou nos serviços de chat (por exemplo, nas redes sociais), por remetentes aparentemente legítimos, combinadas com o redirecionamento para páginas web fraudulentas onde é feito o pedido das informações confidenciais.[123]

O ataque pode ser feito inteiramente por meio da engenharia social, ou pode ser usada apenas em etapa do ataque, como no caso do whatsapp, a engenharia social e o phishing são usados apenas como meio para a consumação de estelionato.

Da mesma forma, um criminoso pode ganhar acesso à uma conta ou computador de uma vítima, apenas se utilizando da engenharia social. Isto, é possível pela larga exposição de dados que os próprios titulares de dados promovem.

Basta entrar em uma rede social e com poucos cliques é possível extrair diversas informações da vida de alguém, essas informações podem ser usadas como pretexto para algum ataque, ou até mesmo para desvendar senhas de contas da vítima, já que é comum pessoas definirem senhas compostas por datas de aniversário ou nomes de parentes, amigos e animais de estimação.

Essa exposição torna-se preocupante não só a possibilitar as infrações aos dados pessoais, mas também a infrações mais gravosas, no mundo físico, ao passo que as pessoas costumam divulgar toda sua vida pessoal, endereço e faces dos familiares nas redes sociais. O que é explicado, segundo Bruce Schneie, pela própria dinâmica da internet, em que como já citada, os dados passam a figurar como um bem econômico almejado pelas empresas e criminosos, assim, Bruce afirma:

O google está disposto a lhe dar segurança, desde que possa vigiá-lo e usar informações coletadas para vender anúncios. O Facebook oferece um acordo semelhante> uma rede social segura, desde que possa monitorar tudo o que você faz com propósitos de marketing. O FBI quer que você tenha segurança, desde que possa quebrá-la, se quiser. A NSA age da mesma forma, assim como seus equivalentes no Reino Unido, na França, na Alemanha na China, em Israel e em qualquer outro lugar.[124]

Fica claro que toda a cultura desenvolvida fomenta que os usuários, em prol do melhor funcionamento e própria conveniência, injetem seus dados em um fluxo constante, sob o pretexto de que tudo esta tudo bem, que há segurança, mas na verdade, ainda segundo Bruce:

Os sites que você visita estão tentando descobrir quem você é e o que quer, e estão vendendo essas informações. Os aplicativos em seus smartphones estão coletando e vendendo seus dados. Os sites de relacionamento social querem você frequenta estão vendendo seus dados ou vendendo acessos a você com bases nesses dados. [125]

A isso se dá o nome de “Capitalismo de vigilância”, que demonstra como tudo está apontado para nossos dados pessoais, explicitando sua vulnerabilidade no ambiente virtual, frente à formação da economia pela sociedade da informação.

Tudo isso é um prato cheio para os crackers, pois estando esses dados concentrados em um único bando de dados, ou big data, torna-se muito mais fácil para eles, através de apenas um alvo, obter muito mais resultado, sem contar a já comentada exposição dos usuários que a cada dia é fomentada pela cultura desenvolvida pela sociedade da informação.

Pois, conforme conclui Bruce Schneie: “É claro que criminosos preferem uma internet insegura; é mais lucrativo para eles.”[126]

Em reforço à referenciada criatividade dos hackers, percebe-se que as medidas de segurança devem ser levantadas até mesmo no mundo físico, na conscientização dos usuários, pois através dos ataques personificados e engenharia social, os crackers se aproveitam da inocência humana para conferir sucesso em suas infrações.

9.2.3. Vazamentos de Dados

Também muito comum são os Data Breach, ou vazamento de dados, em que, por meio de algum ponto de entrada não autorizada no sistema ou banco de dados da empresa, vulnerabilidade ou inconsistência no sistema, os cibercriminosos invadem a rede, de uma empresa, roubando dados confidenciais e sensíveis, da empresa e de seus clientes e expõe eles, seja vendendo ou simplesmente publicando-os para o mundo, dependendo da motivação de quem pratica este ciberataque.

Exemplo disso foi o vazamento de dados ocorrido no Brasil em janeiro de 2021, em que crackers coletaram dados e postaram em um fórum online, onde qualquer um poderia acessar, cerca de 223 (duzentos e vinte e três) milhões de números de CPF, juntamente de outros dados das vítimas, como o nome, o sexo, CNPJ, dados de veículos, escolaridade, renda, benefícios do INSS, fotos de rostos, dados relativos a servidores públicos e data de nascimento.

Esses grandes vazamentos de dados de empresas e órgãos públicos, trazem prejuízos enormes para quem sofre, havendo grande dano monetário, por perder clientes, precisar investir no reparo e melhoria do sistema de segurança e outros, quanto também uma perca na confiança com clientes e reputação de sua imagem.

Sobre isso, o site IBDM[127] fez uma pesquisa, e apontou em relatório o risco de um vazamento de dados para uma empresa, desta forma, através de dados estatísticos e números, mostrou-se o prejuízo médio de um Data Breach em cada setor no ano de 2020, enquanto o ramo da saúde levou o primeiro lugar, com um prejuízo médio de US$ 7.130.000,00 (sete milhões, cento e trinta mil dólares), outros setores foram elencados também, como o setor de energia que teve um prejuízo médio de US$6.390.000,00 (seis milhões, trezentos e noventa mil dólares), entre outros 16 (dezesseis) setores analisados pela pesquisa.

No caso em apreço, é indiscutível o quão vulneráveis, ameaçados e violados encontram-se os dados de todos os cidadãos, que se encontravam armazenados no banco de dados violado e explanado. Esses dados, em mãos erradas, podem não só ensejar na discriminação do seu titular, bem como no uso indevido para atividades ilícitas.

10. CIBERSEGURANÇA

Felizmente a lei não é a única forma de prevenir e remediar esses incidentes que ferem diretamente os direitos fundamentais dos indivíduos, pois por meio das técnicas da segurança da informação, e principalmente da cibersegurança, as vulnerabilidades podem ser reduzidas, conferindo mais segurança aos dados pessoais.

Ainda, como ficara evidente, a atuação em conjunto da lei com a cibersegurança, faz-se não só imprescindível, mas também de extrema relevância para a atual organização societária que remontam os tempos.

Mas antes, para entender como é possível conferir mais segurança e proteção aos dados, é preciso antes entender do que se tratam as disciplinas mencionadas, bem como seus objetivos.

Só assim, a partir do formado arcabouço, será explicita a importância da cibersegurança nos dais atuais, pois nem tudo pode ser alcançado pela lei.

10.1. Segurança da Informação e Cibersegurança

Diante de vários fatos, como o crescente número de equipamentos que interligados, o número de usuários interligados à internet e a quantidade crescente de dados produzidos, armazenados e processados pelas mais variadas possibilidades e finalidades, faz-se necessário o emprego de técnicas e ferramentas para vigiar e proteger os dados para que não sejam usados indevidamente, através de uma cultura capaz de gerenciar esses riscos inerentes aos dados.

Para isso, tem-se as práticas da segurança da informação e cibersegurança, as quais por mais que aparentem, não são sinônimos.

Segurança da informação, consiste em uma disciplina voltara para a proteção da informação, seja qual for o meio que ela esteja exposta ou armazenada, assim, Patricia Peck Pinheiro, Leandro Bissoli e Rafael Siqueira, pontuam:

Primeiramente, a aplicação do termo Segurança da Informação está relacionada a uma abordagem abrangente, que se baseia em diversos pilares e vem de muitos caminhos diferentes, independente do meio onde os dados estão armazenados ou são transmitidos. Inclusive, pode-se entender que é a preservação da Confidencialidade, Integridade e Disponibilidade ad Informação...[128]

O principal objetivo da segurança da informação é promover a gestão de riscos, de forma que, antes de definir a estratégia da segurança da informação é feita uma análise de riscos, na qual Julia Hintzbergen, Kees Hintzbergen, André Smulders e Hans Baars, afirmam que:

Os resultados da avaliação do risco ajudarão a guiar e a determinar a ação apropriada de gestão e as prioridades para gerenciar os riscos de segurança da informação e para implementar os controles escolhidos para proteção contra riscos e ameaças. [129]

Deste conceito, denota-se que a disciplina se baseia em três pilares, conhecidos pelos profissionais da área como “o triangulo CIA”, em que os controles de segurança terão objetivos diversos a depender da situação, mas é unanime a relevância dos seguintes princípios: a) confidencialidade, b) integridade e c) disponibilidade.

Em uma rápida análise de cada princípio, temos que a confidencialidade diz respeito ao acesso das informações, o qual deve ser respeitado durante todo o processo de tratamento dos dados, promovendo o sigilo das informações, que devem ser acessadas apenas por quem permissão para isso.

Este é o principal princípio ameaçado pelos hackers, pois atormentam a confidencialidade ao tentarem acessar os dados e divulgá-los.

Já a “Integridade”, é voltada para a qualidade dos dados, os quais não devem ser modificados, sob pena de violação da inteireza dos dados. Sendo assim, os dados devem manter durante todo o processo de tratamento a sua completude, não sendo permitido que sejam modificados, corrompidos ou qualquer outro meio que modifiquem sua natureza.

Por “Disponibilidade”, tem-se a qualidade de manter os dados e informações disponíveis quando necessários, a todos os agentes de tratamento dos dados, bem como de seu titular, mesmo sob falha no sistema. Aqui preza-se pelo funcionamento do sistema de modo que os dados estejam sempre disponíveis.

Os hackers por meio dos ataques conhecidos como “ataques de negação de serviço” (DDOS), ferem a disponibilidade, pois mediante este tipo de ataque inundam o servidor do sistema com requisições, e mediante tantas pedidos e requisições o sistema, por proteção, acaba se desligando forçadamente, saindo do ar.

Assim, as técnicas e mecanismos de segurança da informação serão empregas, ao observar os princípios e mediante a análise de risco, o qual, segundo Julia Hintzbergen, Kees Hintzbergen, André Smulders e Hans Baars é definido como “...probabilidade de umn agente ameaçador tirar vantagem de uma vulnerabilidade e o correspondente impacto nos negócios.”[130]

Contudo, resguardada suas pertinências, o presente trabalho mante vínculo direto com a cibersegurança, ou segurança cibernética, a qual Joseph Steinberg caracteriza como sendo:

Tecnicamente falando, cibersegurança é uma ramificação da segurança da informação que trata de informações e sistemas de informação que armazenam e processam dados em formato eletrônico, enquanto a segurança da informação abrange a segurança de todas as formas de dados (como arquivos em papel).[131]

Assim, Mário Antunes e Baltazar Rodrigues conceituam a disciplina como “...o conjunto de tecnologias, processos e práticas desenhado para proteger as redes, os computadores e outros dispositivos eletrônicos, programas e dados, de potenciais ataques ou ameaças.”[132]

Ainda, é importante salientar sua característica universal, pois, por mais que aparente se tratar de algo exclusivo a empresas ou órgãos que tratam dados, em que serão contratadas empresas ou profissionais capazes de implementar tais medidas afim de promover a segurança dos dados armazenados, não se limita à essa esfera, pois até mesmo os usuários finais podem se atentar a suas atitudes e uso de mecanismos que confiram certa segurança, ou ao menos previnam contra algumas ameaças, como é o caso do uso de antivírus.

Como bem pontuam Patricia Peck Pinheiro, Leandro Bissoli e Rafael Siqueira: “a necessidade de estabelecer padrões mínimos d segurança e aplicá-los (realmente) na prática torna-se necessário para todos, seja eu, um usuário do sistema, uma empresa e o governo.”[133]

10.2. Cibersegurança na Prática

Devido a notoriedade que a matéria vem ganhando na atualidade, houve o surgimento de vários ramos dentro da segurança cibernética, em que até mesmo hackers, passaram a auxiliar para conferir a segurança devida.

Aqui, tratamos dos hackers éticos, já mencionados, os quais são contratados por empresas para mediante seu vasto conhecimento técnico executarem os conhecidos “pentest” (teste de penetração), em que mediante autorização da empresa, esgotam todas as possibilidades de ataques na busca por vulnerabilidades no sistema da empresa, relatando-os posteriormente para serem corrigidos, formando sistemas mais consistentes em sua segurança.

Ainda, se tem vários cargos responsáveis por eximir a segurança cibernética, em que os profissionais empregam seu conhecimento técnico para garantir a segurança dos sistemas e das redes.

Esses profissionais e empresas responsáveis pela segurança cibernética, para efetuarem o emprego de medidas, fazem uma avaliação, ou também chamada de gestão dos ricos, observam requisitos legais e avaliam os princípios e objetivos. O implemento de mecanismos e instrumentos é feito em diversos polos, pois conforme demonstrado no capítulo anterior, os ataques cibernéticos miram em todas as faces possíveis para a obtenção de sucesso ao subtrair ou deturbar dados pessoais.

Assim, a cibersegurança busca implementar várias camadas de segurança visando o aperfeiçoamento de processos e práticas, sendo que investem até na conscientização e fomentação de uma cultura de segurança digital.

Dessa forma, todos os funcionários de uma empresa devem estar preparados contra um ataque de engenharia social, à medida que devem estar consistentes das vulnerabilidades e falhas de segurança, mesmo porque, é preciso pouco para que um malware ou um ataque direcionado, faça um estrago e exponha dados pessoais armazenados pela empresa.

Para tanto foram editadas normas técnicas internacionais, que estipulam diretrizes a serem seguidas, como a ABNT NBR ISO/IEC 27001:2013, ABNT NBR ISO/IEC 27001:2013, ABNT NBR ISSO/IEC 27005:2019, ABNT NBR ISSO/EAC 27032. Todas elas, além de se tratar de normas de padronização, apresentam excelentes padrões a serem seguidos pelos profissionais. 

Merecem destaque as ISSO/IEC 27001:2013 e a ISSO/EAC 27002:2012, que apresentam objetivos distintos, como bem distingue Patricia Peck: “...a ISO/IEC 27001:2013 estabelece um Código de Práticas para a Gestão a Segurança da Informação; a ISO/IEC 27001:2013, que dispõe sobre gestão dos incidentes de segurança da informação”[134].

Essas normas, são criadas por órgãos internacionais, e publicadas por órgãos nacionais em cada País. No caso do Brasil, são publicadas pela Associação Brasileira de Normas Técnicas. Dessa maneira é possível estabelecer padrões universais a serem seguidos, tendencia notada também nas legislações acerca dos dados pessoais. Dentro do corpo das normas técnicas é abordado todo o processo, bem como os conceitos, objetivos e princípios.

De tal modo, é estipulado por exemplo que o projeto de segurança da informação ou segurança cibernética siga quase como um rito, conforme explica Patrícia Peck:

De acordo com as melhores normas do mercado, para realizar um projeto de segurança da informação o primeiro passo é inventariar todos os ativos – fazer uma análise de risco (qualitativa e quantitativa), de maneira que se possa descobrir quais são suas vulnerabilidades. Em seguida devem ser classificadas as informações de acordo com a sua sensibilidade e criticidade, considerando a seguinte divisão publica, privada e confidencial. Nesse mesmo período é recomendável a criação do Comitê de Segurança da Empresa, o qual devera ser formado por membros da organização de diversas áreas.

Após esses primeiros passos, deve-se iniciar a elaboração da política de Segurança. Tal documento deve conter todas as diretrizes sobre segurança da empresa, de acordo com a sua própria cultura, ou seja, usar a regra do jogo no próprio jogo, estabelecendo controles de acesso físico (segurança física) e lógicos (segurança rede).[135]

Aqui, surge uma figura importantíssima, o “Encarregado da Proteção de Dados” (DPO – Data Protection Officer), profissional criado pela legislação europeia de proteção de dados (GDPR) em seu artigo 37:

ARTIGO 37

Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.

2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.

3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.

4. Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o.

6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

7. O responsável pelo tratamento ou o subcontratante publica os contatos do encarregado da proteção de dados e comunica-os à autoridade de controlo.[136]

Este profissional é responsável, dentro de uma empresa, pela proteção dos dados pessoais, garantindo a conformidade com a legislação e a segurança das informações que são tratadas pela empresa. Importante ressaltar que para o exercício desse cargo faz-se imprescindível o compliance.

Logo, em um momento histórico em que a sociedade se encontra imersa no digital, no qual sua imagem e personalidade são definidas pelos dados, é imprescindível a adoção de práticas e medidas de segurança, por menores que sejam, afim de se mitigar as ameaças atinentes aos dados pessoais.

10.3. Cibersegurança como Instituo Jurídico

Neste ponto, é evidente a essencialidade da cibersegurança para a tutela dos direitos fundamentais dos que frequentam o ciberespaço, não é só, este ramo deve ser visto como um novo instituto jurídico, justamente pela sua indiscutível importância para a segurança dos dados pessoais e, consequentemente, os direitos dos indivíduos.

Não obstante, dentre os princípios, objetivos, gestão de risco e a observância as normas técnicas, há também de se respeitar a Lei, como tudo na sociedade, visto seu papel de regulamentadora das relações socioeconômicas. Aqui denota-se a correlação entre a cibersegurança e a legislação, evidenciando novamente sua importância jurídica.

Sendo assim, os requisitos legais surtem como requisitos a serem observados pela segurança cibernética. Com isso, todas as leis que incidem de certa forma na matéria relacionada a proteção de dados pessoais, como já mencionadas no capítulo 5[137], devem vir à tona e serem observadas por todos que, de alguma forma, executarem o tratamento de dados pessoais.

Ainda, em reforço à importância jurídica da cibersegurança, conforme denotam Camila do Vale Jimene e Guilherme Hernandes Sicuto:

Análise aos dispositivos legais apresentados resulta na percepção de que os pilares e os atributos da Segurança da Informação foram sendo incorporados às normas jurídicas no contexto brasileiro, representado pela diversidade de tutelas.[138]

Esta percepção apontada por eles não é difícil, basta leitura por exemplo ao artigo 6º, inciso VII, da Lei Geral de Proteção de Dados:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão[139]

Resta nítido a semelhança com os conceitos da segurança cibernética e a conceituação optada pela Lei para o princípio da segurança, o que expressa a necessidade da conformidade entre a lei e a técnica para melhor se tutelar os dados pessoais.

Mas não para pôr aí, no mesmo sentido estipula o artigo 46 da mesma Lei:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.[140]

Dessa relação, merece menção a criação de uma autoridade nacional para fiscalização e sancionamento das violações a Lei Geral de Proteção de Dados, a ANPD (Autoridade Nacional de Proteção de Dados), indiscutível força coercitiva conferida para a atenção e violações que não respeitem aos preceitos da cibersegurança.

Uma tendencia é a promulgação de legislações especificas em que haja a imposição de diretrizes e medidas com a finalidade de garantir maior nível se de segurança aos dados pessoais e informações, quase como as normas técnicas internacionais. Países como a Europa, que já apresentam grau mais elevado de maturidade com a disciplina, já assim o fizeram, como é o caso da Diretiva EU 2016/1148, denominada de NIS Directive, em que são previstas “medidas garantidoras de um elevado nível de segurança das redes e dos sistemas de informação”, conforme o próprio corpo da Diretiva.

No caso do Brasil, ainda não se tem uma legislação específica, mas o primeiro passo foi dado, pois já houveram duas iniciativas. A primeira é o Decreto nº 9.637 de 2019, responsável pela instituição da Política Nacional de Segurança da Informação, qual inclusive menciona a segurança cibernética e a defesa cibernética em seu artigo 2º:

Art. 2º Para os fins do disposto neste Decreto, a segurança da informação abrange:

I - a segurança cibernética;

II - a defesa cibernética;

III - a segurança física e a proteção de dados organizacionais; e

IV - as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.[141]

E em segundo, o Decreto nº 10.222 de 2020[142], em que foi aprovada a Estratégia Nacional de Segurança Cibernética, carinhosamente alcunhada de E-Ciber.

Assim, não restam dúvidas da importância da cibersegurança para a concretização da proteção dos dados pessoais e tutela dos direitos dos indivíduos, tendo já ganhado força normativa, bem como influenciado diretamente as normas acerca da matéria.

Em conclusão, Patricia Peck ressalta o seguinte:

É importante ressaltar que, se forem adotados padrões de segurança adequados, o ambiente digital se torna muito mais seguro que o mundo real. A tecnologia permite que se rastreiem as ações na rede com maior precisão do que no ambiente presencial, onde é possível desaparecer sem deixar vestígios. Toda ação no mundo digital dei um rastro, que pode ser seguido até a sua origem.[143]

Por fim, felizmente, o País tem caminhado na direção da proteção dos dados pessoais, de maneira muito bem guiada, visto a maturidade e assertividade da União Europeia frente ao tema. Sendo que todas as leis acerca da matéria apresentam, e assim devem, sinergia com a técnica informática, concomitância necessária para que haja a devida tutela.

10.4. O Elo Mais Frágil

Ao final, resta evidenciar o elo mais fraco desta equação, o humano. Como já bem demonstrado, é comum, no uso das tecnologias e internet, o descuido de certas pessoas cuja presença virtual é fortemente marcada pela exposição gratuita, se enveredando por terrenos perigosos sem a devida consciência.

Exemplo disso, é a assertiva feita por Eli Pariser:

Poucas pessoas notaram a mensagem postada no blog corporativo do Google em 4 de dezembro de 2009. Não era muito chamativa – nenhum anúncio espalhafatoso, nenhum golpe publicitário do Vale do Silício, só uns poucos parágrafos, de texto perdidos em meio a um resumo semanal que trazia os termos mais pesquisados e uma atualização do software de finanças do Google.[144]

Na sequência, o autor explica sua denúncia:

A partir daquela manhã, o Google passaria a utilizar 57 “sinalizadores” - todo tipo de coisa, como lugar de onde o usuário estava conectado, que navegador estava usando e os termos que já havia pesquisa – para tentar adivinhar quem era aquela pessoa e de que tipos de site gostaria. Mesmo o usuário não estivesse usando sua conta Google, o site padronizaria os resultados, mostrando as páginas em que o usuário teria mais probabilidade de clicar segundo a previsão do mecanismo. [145]

Motivos como esses, aliado a exposição exacerbada de usuários em redes sociais, demonstram a importância de campanhas de conscientização para que a mudança também venha dos usuários, para que eles mesmos protejam seus dados pessoais.

Em se tratando do ciberespaço, todos temos as mesmas ferramentas para exercer nossos direitos e nos proteger, se esquivando de uso abusivo de nossos dados, bem como tentando, ao máximo, se prevenir de ataques cibernéticos.

Assim, não se pode responsabilizar exclusivamente os criminosos e as empresas mal-intencionadas. Os usuários muitas vezes são os culpados por terem seus dados violados. Muitas vezes ocorre o uso indevido de seus dados por terceiros sem seu consentimento não pela falta da requisição, mas pelo fato de muitos usuários não lerem os termos de uso e aceitarem tudo que lhe for proposto para que ele possa usar a aplicação ou site rapidamente, clicando em “aceito” na mesma velocidade que a janela com os termos aparece em sua tela.

Não obstante, a exposição nas redes sociais facilita, e muito, o trabalho dos criminosos.

Neste sentido, Samuel Huntington  defende que o maior desafio da evolução humana é cultural, sendo assim, é preciso o investimento em campanhas de conscientização, para que a sociedade evolua culturalmente e aprenda a adotar as melhores escolhas, é preciso conscientizar a população não só no quesito social, mas também na devida utilização de dispositivos eletrônicos, como no costume de sempre fazer atualização de software quando lhe é solicitado, já que tais atualizações surgem quando são feitas aplicações para corrigir algum problema, alguma vulnerabilidade, e é em cima desses erros que os crackers agem geralmente. Também importante sempre tentar usar uma senha forte, assim como o autenticador de dois fatores, que traz uma camada extra para a segurança da conta.

É essencial fomentar uma cultura de cibersegurança, podendo estas campanhas de conscientização serem públicas ou privadas, bastando apenas o intuito de disseminar o tema, difundindo melhores práticas para toda a população.

Por ora, neste simples texto, é possível elencar boas práticas.

Por ora, neste simples texto, é possível elencar boas práticas:

a) Uso de senhas fortes, como recomendadas pelos sites. Empregando caracteres minúsculos e maiúsculos, símbolos e números, o que dificulta no ataque conhecido por “força bruta”, em que a partir de um documento com inúmeras palavras o computador passa a tentar inúmeras possibilidades de uni-las a fim de acertar a senha do indivíduo,

b) Uso de antivírus, de boa procedência, mantendo-o atualizado, pois diariamente surgem novos malwares, e assim como uma carteira de vacinação, os antivírus precisam estarem preparados para detectar e acabar com a ameaça, precisando estarem atualizados com as novas atualizações e parâmetros.

c) Manter seu sistema operacional atualizado, pois os hackers se aproveitam de falhas nos sistemas para invadirem dispositivos e tomarem os dados, em resposta a isso, as empresas lançam atualizações, por menores que sejam, sempre que detectam alguma vulnerabilidade no sistema.

d) Usar senhas em seus dispositivos, não divulgando-as sob nenhuma circunstância, muito menos online.

e) Leo os termos de uso dos sites e programas, bem como as políticas de privacidades, para que tenha consciência da troca que está fazendo para usar aquele serviço, qual dado, ou melhor, parcela de sua imagem, vai fornecer para o serviço.

f) Não armazenar senhas em navegadores como sempre requisitados, pois facilita o trabalho dos mal feitores deixar tudo concentrado, é como um balde cheio de doces.

O simples fato do indivíduo ser titular de dados pessoais, faz dele detentor de direitos e deveres, assim como na sociedade no mundo físico, por isso, para que a lei surta ainda mais efeitos é importante a fomentação de uma cultura de conscientização dos usuários.

Por isso, as próprias normas já fomentam essa cultura, como a Lei Geral de Proteção de Dados que garante em seu artigo 9º, caput, o princípio do livre acesso, em que deve facilitado ao titular de dados o acesso à suas informações:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso[146]

A mesma Lei ainda prevê, em seu artigo 50, boas práticas e governança:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais[147]

Da mesma forma, a Resolução 4.658/2018, do BACEN, que em seu artigo 3º, inciso VI, determina a contemplação da política de segurança cibernética:

Art. 3º A política de segurança cibernética deve contemplar, no mínimo:

V - as diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;[148]

Conclui-se, portanto, que uma cultura de conscientização e educação deve ser fomentada, para que o entendimento acerca da matéria, adoção de boas práticas e avanço da norma, consiga avançar em velocidade semelhante à expertise dos criminosos cibernéticos.

11. CONCLUSÃO

Mediante todo o conhecimento reunido ao longo da pesquisa cientifica, restou evidente a importância das normas, principalmente legislações especificas, que exprimam a tutela dos dados.

O mesmo se diga em relação da uniformidade dos entendimentos, entre as legislações, para que se pacifique entendimentos, promovendo maior assertividade da tutela dos dados e consequentemente proteção aos direitos dos cidadãos, pois como demonstrado, os dados nada mais são do que a personificação do indivíduo no ciberespaço, ao passo que a ameaça a este bem, resume-se em riscos a direitos fundamentais que, por sua vez, devem ser inabaláveis, pois exprimem conquista histórica da sociedade.

Esta proteção fica mais evidenciada ainda ante o constante desenvolvimento de tecnologias e a imersão dos usuários no meio virtual.

As leis, por sua vez devem proteger os dados das ameaças, pois ante a sua valoração nesta nova composição da sociedade da informação, passou de simples números virtuais, para bem intangível mais cobiçado, cerne da economia da nossa configuração societária, motivo pelo qual, passa a ser alvo de inúmeras ameaças.

Lembrando. Diferente do dinheiro no mundo físico, os dados não se resumem a patrimônio pecuniário, esta característica é apenas consequência, sua real natureza corresponde à imagem e personalidade dos usuários.

Nesse sentido, devido à complexidade do tema, resta claro a necessidade do alinhamento entre a legislação e a técnica informática, pois apenas mediante esse conluio é possível a efetividade da norma.

Em resposta, as legislações concernentes ao tema têm se mostrado no caminho correto, de acordo com as práticas da cibersegurança, tai como General Data Protection Regulation (GDPR) e a Lei Geral de Proteção de Dados.

Mesmo frente a um atraso para legislar sobre o tema, o Brasil tem demonstrado boa normatização, ao desfrutar da experiência (legislações e decisões) europeias.

O que aqui se buscou, foi delimitar a evolução normativa frente a proteção dos dados, delimitar conceitos e diferenças pertinentes, e principalmente, apresentar as principais ameaças atinentes aos dados e o melhor método de mitigá-las, a cibersegurança.

Neste ensejo, resta nítida a importância da implementação de práticas para maior proteção dos dados e, principalmente, a fomentação de uma cultura de conscientização e educação dos indivíduos no uso das tecnologias.

É cediço, portanto, que o advento tecnológico e a rápida evolução e mutação do ambiente virtual é capaz de mudar, do dia para a noite, a forma como as pessoas se relacionam e praticam seus atos cotidianos por intermédio das novações tecnológicas. Isso ocorre não só pela rápida evolução, mas também devido as características da rede e das tecnologias.

Por fim, destacando a grande importância dos dados pessoais, e suas espécies, como os dados sensíveis, esgota-se as razões pela qual as legislações devem adotar mudanças que possibilitem a efetividade das normas no ciberespaço, sem se embasar em normas rígidas e em princípios engessados, pois a rápida mutação das tecnologias resulta na rápida insuficiência. 

Por todo exposto, clama-se para que as normas, como a LGPD, apesar de bem redigidas, devem continuar progredindo rumo ao aperfeiçoamento contínuo, surtindo a devida tutela dos direitos dos usuários, sempre visando a proteção dos dados pessoais, mitigando as ameaças e contornando as práticas nefastas.

12. REFERÊNCIAS

ANTUNES, Mário. RODRIGUES, Baltazar. Introdução à Cibersegurança. Lisboa: FAC – Editora de Informática. P. 116

AMARAL, Francisco. O direito civil na pós-modernidade”, in: Revista Brasileira de Direito Comparado, n. 21, 2001, pg. 5

Apple revela o M1. Disponível em: Acesso em 30 de maio de 2022.

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em Acesso em: 31 de maio de 2022

BRASIL, Decreto nº 9.637, de 26 de dezembro de 2018. Disponível em:  . Acesso em 09 de junho de 2022

BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020. Disponível em: . Acesso em: 09 de ju-nho de 2022

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Disponível em: Acesso em: 31 de maio de 2022

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Disponível em . Acesso em: 31 de maio de 2022.

BRASIL. Lei nº 12.955, de 23 de abril de 2014. Disponível em: . Acesso em 08 de junho de 2022.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Disponível em: . Acesso em: 31 de maio de 2022.

BRASIL. Medida Provisória nº 1.124, de 13 de junho de 2022 Disponível em: . Acesso em: 13 de junho de 2022.

CASTELLS, Manuel. A sociedade em rede. 8. Ed. Rev. E ampl. São Paulo: Paz e Terra, 2005. V. 1

CATALA, Pierre. Ebauche d’une thóerie juridique de l’information. In: Informatica e Diritto, ano IX, jan/apr. 1983, p. 20

CELANO, Paula Beatriz. ESPERATO, Vivian. Capítulo I Disposições Preliminares. Comentário à Lei Geral de Proteção de Dados: Lei 13.709/18. 1. Ed. São Paulo: Thomsom Reuters, 2020

CGI.BR. Cresce o uso de Internet durante a pandemia e número de usuários no Brasil chega a 152 milhões, é o que aponta pesquisa do Cetic.br Disponível em: Acesso em: 10 de junho de 2022

Ciberameaça em tempo real. Disponível em: Acesso em: 11 de junho de 2022. 

COTS, Márcio. OLIVEIRA, Ricardo. Lei Geral de proteção de dados pessoais comentada. 2. Ed. ver., atual. e ampl São Paulo: Thomsom Reuteres Brasil, 2018

EUROPA. Convenção Europeia dos Direitos dos Homem Disponível em: Acesso em 30 de maio de 2022.

EUROPA. Diretiva 95/46/CE Disponível em: Acesso em 30 de maio de 2022.

EUROPA. General Data Protection Regulation (GDPR). Disponível em: Acesso em: 30 de maio de 2022.

GRAÇA, Ronaldo Bach. Segurança e privacidade: o “pugilato cibernético”. 1. Ed.  Brasília: SENAC, 2019.

Habeas Data. Disponível em: Acesso em: 31 de maio de 2022.

HITZBERGEN, Julie. et al., Fundamentos de segurança da informação: com base na ISSO 27001 e na ISSO 27002. Rio de Janeiro: Foundations of information security.

HUNTINGTON, Samuel P. O choque de civilizações e a recomposição da ordem mundial. Rio de Janeiro: Objetiva, 1997.

IBM. Relatório sobre o prejuízo de um vazamento de dados 2020. Disponível em: . Acesso em: 29 jun. 2021

JIMENE, Camila do Vale. SICUTO, Guilherme Hernandes. Segurança da informação sob a perspectiva da legislação brasileira: aspectos convergentes. Cyber Risk: Estratégias nacionais e corporativas so-bre riscos e segurança cibernética. São Paulo: Thomsom Reuters Brasil, 2020

KUROSE. James F, ROSS. Keith W. Redes de Computadores e a Internet: Uma abordagem top-down. 6. Ed. São Paulo – Pearson Education do Brasil, 2013

Lei de Moore: como ela revolucionou a tecnologia nos últimos 50 anos. Disponível em:< Acesso em: 30 de maio de 2022

LÉVY, Pierre, Cibercultura. 3. Ed. São Paulo: Editora 34, 2010.

LIMA, Glaydson de Farias. Manual de Direito Digital: Fundamentos, Legislação e Jurisprudência. 1. Ed. Curitiba: Appris 2016.

LIMBERGER, Têmis. Informação em Rede: uma comparação da lei brasileira de proteção de dados pessoais e o regulamente geral de proteção de dados europeu. Direito Digital: direito privado e internet. Indaiatuba: Editora Foco, 2021.

LIMA, Glaydson de Farias. Manual De Direito Digital – 1. ed. – Curitiba: Appris, 2016. dagem top-down. 6. Ed. – São Paulo – Pearson Education do Brasil, 2013

LUÑO, Perez. Los Derechos humanos em la sociedade tecnológica – Centro de estúdios contitucionales, 1989

MAGRANI, Eduardo. A internet das coisas – Rio de Janeiro: FFGV Editora, 2018

MENGRONI, Luigi, “Per sua natura, la tecnica non comprende la capacità di scegliere un scopo; questa capacità appartiene pur sempre al diritto, sebbene indebolito dinanzi alla potenza della tecnica”. in: Rivista Trimestrale di Diritto e Procedura Civile, 2001

Novo golpe do WhatsApp clonado rouba senha da verificação em duas etapas. Disponível em: Acesso em: 10 de junho de 2022

Organização de Cooperação e de Desenvolvimento Econômicos. Disponível em: acesso em 30 de maio de 2022

PINHEIRO, Patricia Peck; BISSOLI, Leandro; SIQUEIRA, Rafael. Segurança Cibernética: Novas Regras e Paradigmas. Direito Digital aplicado 4.0. 1. Ed. São Paulo: Thomsom Reuters Brasil. 2020

PINHEIRO, Patricia Peck. Direito Digital - 7. ed – São Paulo: Saraiva Educação, 2021.

Prince Albert v Strange: ChD 8 feb 2849. Disponível em: acesso em: 18 de maio de 2022

POSE, Robert c. Post RC. Three concepts of privacy. Georgetown. - Law J. Vol. 89, 2000.

RODOTÁ, Stefano. “Um códice per l’Europa? Diritti nazionali, diritto europeo, diritto globale, in: Codici. Uma Reeflessioni di fine millennio. Paolo Cappellini. Bernando Sorgi (orgs.). Milano: Giuffrè, 2002.

SAGAN, Carl. O Mundo Assombrado pelos Demônios: 1. Ed. São Paulo: Companhia de Bolso. 1999.

SCHNEIE, Bruce. Clique Aqui Para Matar Todo Mundo: Segurança e Sobrevivência em um Mundo Hiperconectado; 1. Ed. Rio de Janeiro: Alta Books, 2020

SIMSONS, Garfinkel. Database nation. Sebastopol: O’Reilly, 2000

SNOWDEN, Edward J. Eterna vigilância. São Paulo: Planeta. 2019.

STEINBERS, Joseph. Cibersegurança Para Leigos. 1. Ed. Rio de Janeiro: Alta Books, 2020

STJ é vítima de ransonware e tem seus dados e os backups criptografados. Disponível em:  https://thehack.com.br/stj-e-vitima-de-ransomware-e-tem-seus-dados-e-os-backups-criptografados/> Acessado em: 10 de junho de 2022.

SYDOW, Spencer Toth. Curso de Direito Penal Informático. 3. Ed. Ver. E atual. Salvador: Editora Jus-Podivm, 2022.

Termos de Serviço do Facebook. Disponível em: . Acesso em: 18 de abr. 2022.

THE ECONOMIST. The world’s most valuable resource is no longer oil, but data. Disponível em: . Acesso em: 29 jun. 2021

VECCHIA, Evandro Dalla. Perícia Digital: da investigação à análise forense. 2 ed. Campinas, Sp: Millenium Editora, 2019.

VIANNA, Túlio Lima. Fundamentos do Direito Penal Informático: Do acesso não autorizado a sistemas computacionais. 2001. Monografia (Bacharelado em Direito) – Faculdade de Direito UFMG, Belo Horizonte, 2001

WARREN, Samuel D.; Brandeis, Louis D. The Right to Privacy. Harvard Law Review. Cambridge Harvard University Press. V, IV, n. 05

WERTHEIN, Jorge. A sociedade da informação e seus desafios. Disponível em: . Acesso em: 18 de maio de 2022.

What is a web tracker? Disponível em: - acesso em: 18 de maio de 2022.

What is DNS? How DNS works. Disponível em: - Acesso em: 11 de maio. de 2022

WENDT, Emerson; JORGE, Higor Vinícius Nogueira. Crimes cibernéticos: Ameaças e procedimentos de investigação. Rio de Janeiro: Brasport, 2012.

Wiener, nobert. God and Golem, inc. A Comment on Certain Points Where Cybernetics Impriges on Religion. Cambridge: MIT Press, 1964

ZANIOLO, Pedro Augusto. Crimes Modernos: O Impacto da Tecnologia no Direito. 4. Ed. Re., ampl. E atual. – Salvador: Editora JusPodivm, 2021


[1]CGI.BR. Cresce o uso de Internet durante a pandemia e número de usuários no Brasil chega a 152 milhões, é o que aponta pesquisa do Cetic.br Disponível em: Acesso em: 10 de junho de 2022.

[2]PINHEIRO, Patricia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. Pg. 71.

[3]KUROSE. James F, ROSS. Keith W. Redes de Computadores e a Internet: Uma abordagem top-down. São Paulo: Pearson Education do Brasil, 2013. Pg. 44

[4]CASTELLS, Manuel. A sociedade em rede. 8. Ed. Rev. E ampl. São Paulo: Paz e Terra, 2005, v. I, p.82-83

[5]MAGRANI, Eduardo. A internet das coisas. 1. Ed.  Rio de Janeiro: FFGV Editora, 2018 p. 62

[6] KUROSE. James F, ROSS. Keith W. Redes de Computadores e a Internet: Uma abordagem top-down. 6. Ed. São Paulo: Pearson Education do Brasil, 2013. Pg. 7

[7] POSE, Robert c. Post RC. Three concepts of privacy. Georgetown. - Law J. Vol. 89, 2000. p. 1.

[8] SNOWDEN, Edward J. Eterna vigilância. São Paulo: Planeta. 2019. P. 180

[9] DONEDA, Danilo. Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. Ed. São Paulo: Thomsom Reuters Brasil. 2021. p. 23

[10] WARREN, Samuel D.; Brandeis, Louis D. The Right to Privacy. Harvard Law Review. Cambridge Harvard University Press. V, IV, n. 05, pg. 193-217

[11] DONEDA, Danilo. Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3ª edição. São Paulo: Thomsom Reuters Brasil. 2021. p. 30

[12]Assembleia Geral da ONU, "Declaração Universal dos Direitos Humanos", 217 (III) A (Paris, 1948), Disponível em: Acesso em: 12 de maio de 2022

[13]Commentary on: Pope v. Curl (1741) Disponível em: acesso em:  18 de maio de 2022

[14]Prince Albert v Strange: ChD 8 feb 2849. Disponível em: acesso em: 18 de maio de 2022

[15]What is a web tracker? Disponível em: Acesso em: 18 de maio de 2022.

[16] GRAÇA, Ronaldo Bach. Segurança e privacidade: o “pugilato cibernético”. 1. Ed.  Brasília: SENAC, 2019, pg. 68.

[17]DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. Ed. São Paulo: Thomsom Reuters Brasil. 2021.  p. 35.

[18] KAMINSKI, Omar. Internet Legal: o Direito na tecnologia da informação – Doutrina e Jurisprudência. 1. Ed. Curitiba: Juruá, 2005. p. 40.

[19]LÉVY, Pierre. A globalização dos significados. Disponível em: Acesso em: 22 de maio de 2022.

[20]CASTELLS, Manuel. A galáxia da Internet: reflexões sobre a Internet, os negócios e a sociedade. Rio de Janeiro: J. Zahar, 2003. p. 10.

[21]SAGAN, Carl. O Mundo Assombrado pelos Demônios: 1. Ed. São Paulo: Companhia de Bolso. 1999. p. 43-44.

[22]WERTHEIN, Jorge. A sociedade da informação e seus desafios. Disponível em: Acesso em: 18 de maio de 2022.

[23]THE ECONOMIST. The world’s most valuable resource is no longer oil, but data. Disponível em: Acesso em: 29 jun. 2021

[24]PINHEIRO, Patrícia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. P. 83

[25]DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. Ed. São Paulo: Thomsom Reuters Brasil. 2021.  p. 68

[26]SIMSONS, Garfinkel. Database nation. Sebastopol: O’Reilly, 200 p. 13

[27]Cinquenta anos de jurisprudência do Tribunal Constitucional Federal Alemão. Disponível em: Acesso em: 28 de maio de 2022

[28]DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. São Paulo: Thomsom Reuters Brasil. 2021.  p. 171

[29]LUÑO, Perez. Los Derechos humanos em la sociedade tecnológica.  Centro de estúdios contitucionales, 1989. p. 155.

[30]DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. Ed. São Paulo: Thomsom Reuters Brasil. 2021.  p. 182

[30]Lei de Moore: como ela revolucionou a tecnologia nos últimos 50 anos. Disponível em:< Acesso em: 30 de maio de 2022

[31]Apple revela o M1. Disponível em: Acesso em 30 de maio de 2022.

[32]DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. Ed. São Paulo: Thomsom Reuters Brasil. 2021.  p. 183

[34]DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. ed. São Paulo: Thomsom Reuters Brasil. 2021.  p. 184

[35] DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3ª edição. São Paulo: Thomsom Reuters Brasil. 2021.  p. 198

[36]Resolution (73) 24. Disponível em Acesso em 30 de maio de 2022

[37]Organização de Cooperação e de Desenvolvimento Econômicos. Disponível em: acesso em 30 de maio de 2022

[38] DONEDA, Danilo, Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. ed. São Paulo: Thomsom Reuters Brasil. 2021. p. 199/200

[39]EUROPA. Convenção Europeia dos Direitos dos Homem Disponível em: Acesso em 30 de maio de 2022.

[41]EUROPA. Diretiva 95/46/CE Disponível em: Acesso em 30 de maio de 2022.

[42]EUROPA. Diretiva 95/46/CE Disponível em: Acesso em 30 de maio de 2022.

[43]EUROPA. General Data Protection Regulation (GDPR). Disponível em: Acesso em: 30 de maio de 2022.

[44]EUROPA. General Data Protection Regulation (GDPR). Disponível em: Acesso em: 30 de maio de 2022.

[45]LIMBERGER, Têmis. Informação em Rede: uma comparação da lei brasileira de proteção de dados pessoais e o regulamente geral de proteção de dados europeu. Direito Digital: direito privado e internet. Indaiatuba: Editora Foco, 2021. p. 296/297

[46]EUROPA. General Data Protection Regulation (GDPR). Disponível em: Acesso em: 30 de maio de 2022.

[47]BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em Acesso em: 31 de maio de 2022

[48]BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em Acesso em: 31 de maio de 2022

[49]BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Disponível em: Acesso em: 31 de maio de 2022

[50]BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Disponível em: Acesso em: 31 de maio de 2022

[51]BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[52]Habeas Data. Disponível em: Acesso em: 31 de maio de 2022.

[53]SYDOW, Spencer Toth. Curso de Direito Penal Informático. 3. Ed. Ver. E atual. Salvador: Editora JusPodivm, 2022. P. 420.

[54]BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Disponível em . Acesso em: 31 de maio de 2022.

[55]BRASIL. Lei nº 12.965, de 23 de abril de 2014. Disponível em: . Acesso em: 31 de maio de 2022.

[55]BRASIL. Lei nº 12.965, de 23 de abril de 2014. Disponível em: . Acesso em: 31 de maio de 2022.

[57]BRASIL. Lei nº 12.955, de 23 de abril de 2014. Disponível em: . Acesso em 08 de junho de 2022.

[58]BRASIL Lei nº 12.955, de 23 de abril de 2014. Disponível em: . Acesso em 08 de junho de 2022.

[59]BRSAIL Lei nº 12.965, de 23 de abril de 2014. Disponível em: . Acesso em: 31 de maio de 2022.

[60]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[61]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[62]BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[63]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[64]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[65]BRASIL. Medida Provisória nº 1.124, de 13 de junho de 2022 Disponível em: . Acesso em: 13 de junho de 2022.

[66]BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[67]BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[68]DONEDA, Danilo. Da privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 3. Ed. São Paulo: Thomsom Reuters Brasil. 2021. p. 140.

[69]DONEDA, Danilo. O Direito Fundamental à Proteção de Dados Pessoais. Direito Digital: direito privado e internet.4. Ed. Indaiatuba: Editora Foco, 2021, p. 34.

[70] CATALA, Pierre. Ebauche d’une thóerie juridique de l’information. In: Informatica e Diritto, ano IX,  1983, p. 20.

[71]EUROPA. General Data Protection Regulation (GDPR). Disponível em: Acesso em: 31 de maio de 2022.

[72]CELANO, Paula Beatriz. ESPERATO, Vivian. Capítulo I Disposições Preliminares. Comentário à Lei Geral de Proteção de Dados: Lei 13.709/18. 1. Ed. São Paulo: Thomsom Reuters, 2020. P.31.

[73] COTS, Márcio. OLIVEIRA, Ricardo. Lei Geral de proteção de dados pessoais comentada. 2. Ed. ver., atual. e ampl São Paulo: Thomsom Reuteres Brasil, 2018, p. 93.

[74]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[75]EUROPA. General Data Protection Regulation. Disponível em: Acesso em: 31 de maio de 2022.

[76]BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[77] EUROPA. General Data Protection Regulation. Disponível em: Acesso em: 31 de maio de 2022.

[78]EUROPA General Data Protection Regulation. Disponível em: Acesso em: 31 de maio de 2022.

[79]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[80]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[81]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[82]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[83]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709>.html Acesso em: 31 de maio de 2022.

[84]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: .html Acesso em: 31 de maio de 2022.

[85]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: .html Acesso em: 31 de maio de 2022.

[86]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[87]BRASIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[88]BRSAIL Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[89]EUROPA General Data Protection Regulation (GDPR) Disponível em: Acesso em: 31 de maio de 2022.

[90]EUROPA. General Data Protection Regulation (GDPR) Disponível em: Acesso em: 31 de maio de 2022.

[91] Este tema foi abordado no tópico 2.3 página 23.

[92]LÉVY, Pierre, Cibercultura. São Paul: Editora 34, 2010. 3ª edição. p. 12.

[93] PINHEIRO, Patrícia Peck. Direito Digital - 7. ed– São Paulo: Saraiva Educação, 2021. P. 71/77.

[94]MENGRONI, Luigi, “Per sua natura, la tecnica non comprende la capacità di scegliere un scopo; questa capacità appartiene pur sempre al diritto, sebbene indebolito dinanzi alla potenza della tecnica”. in: Rivista Trimestrale di Diritto e Procedura Civile, 2001, p. 2.

[95] AMARAL, Francisco. O direito civil na pós-modernidade, in: Revista Brasileira de Direito Comparado, n. 21, 2001, p. 5.

[96] PINHEIRO, Patrícia Peck. Direito Digital. São Paulo: Saraiva Educação, 2021. Pg. 78.

[97] WIENER, Nobert. God and Golem, inc. A Comment on Certain Points Where Cybernetics Impriges on Religion. Cambridge: MIT Press, 1964.

[98]BRASIL. Decreto Lei nº 2.848 de 7 de dezembro 1940. Disponível em Acesso em: 11 de abr. 2022.

[99] Endereço eletrônico de Registro.br Disponível em: - acessado em 18 de abr. 2022.

[100] Endereço eletrônica da Iana. Disponível em: - acessado em 11 de maio. 2022.

[101]ZANIOLO, Pedro. Crimes Modernos: O Impacto da Tecnologia no Direito. 4. Ed. Salvador: Editora JusPodvim, 2021. Pg. 308.

[102] What is DNS? How DNS works. Disponível em: - Acesso em: 11 de maio. de 2022.

[103] PINHEIRO, Patrícia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. Pg. 79.

[104]BRASIL. Lei nº 12.965, de 23 de abril de 2014 Disponível em: Acesso em: 11 de maio de 2022.

[105] PINHEIRO, Patrícia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. Pg. 80.

[106]BRASIL. Lei nº 12.955, de 23 de abril de 2014.  Disponível em . Acesso em: 08 de junho de 2022.

[107] Termos de Serviço do Facebook. Disponível em: . Acesso em: 18 de abr. 2022.

[108]RODOTÁ, Stefano. “Um códice per l’Europa? Diritti nazionali, diritto europeo, diritto globale, in: Codici. Uma Reeflessioni di fine millennio. Paolo Cappellini. Bernando Sorgi (orgs.). Milano: Giuffrè, 2002. p. 564.

[109] WENDT, Emerson; JORGE, Higor Vinícius Nogueira. Crimes cibernéticos: Ameaças e procedimentos de investigação. 1. Ed. Rio de Janeiro: Brasport, 2012. p 21.

[110]VIANNA, Túlio Lima. Fundamentos do Direito Penal Informático: Do acesso não autorizado a sistemas computacionais. 2001. Monografia (Bacharelado em Direito). Faculdade de Direito UFMG, Belo Horizonte, 2001

[111] LIMA, Glaydson de Farias. Manual de Direito Digital: Fundamentos, Legislação e Jurisprudência. 1. Ed. Curitiba: Appris 2016. p. 89

[112]Ciberameaça em tempo real. Disponível em: Acesso em: 11 de junho de 2022.  

[113] STEINBERS, Joseph. Cibersegurança Para Leigos. 1. ed. rev. Rio de Janeiro: Alta Books, 2020, p. 33.

[114] VECCHIA, Evandro Dalla. Perícia Digital: da investigação à análise forense. 3. Ed. Campinas, Sp: Millenium Editora, 2019. P. 35.

[115]VECCHIA, Evandro Dalla. Perícia Digital: da investigação à análise forense. 2. Ed. Campinas, Sp: Millenium Editora, 2019. P. 37.

[116]VECCHIA, Evandro Dalla. Perícia Digital: da investigação à análise forense. 2. Ed.  Campinas, Sp: Millenium Editora, 2019. P. 34.

[117]ZANIOLO, Pedro Augusto. Crimes Modernos: O Impacto da Tecnologia no Direito. 4. Ed. Ver., amp. E atual. Salvador: Editora JusPodivm, 2021. P. 560.

[118]STJ é vítima de ransonware e tem seus dados e os backups criptografados. Disponível em:   Acessado em: 10 de junho de 2022.

[119]LIMA, Glaydson de Farias. Manual de Direito Digital: Fundamentos, Legislação e Jurisprudência. Curitiba: 1. Ed. Appris 2016. p. 90.

[120] LIMA, Glaydson de Farias. Manual de Direito Digital: Fundamentos, Legislação e Jurisprudência. 1. Ed. Curitiba: Appris 2016. p. 91.

[121]Novo golpe do WhatsApp clonado rouba senha da verificação em duas etapas. Disponível em: Acesso em: 10 de junho de 2022.

[122]STEINBERS, Joseph. Cibersegurança Para Leigos. 1. Ed. ver. Rio de Janeiro: Alta Books, 2020, p. 138.

[123]ANTUNES, Mário. RODRIGUES, Baltazar. Introdução à Cibersegurança. 1. Ed. Lisboa: FAC – Editora de Informática. 2018 P. 116.

[124] SCHNEIE, Bruce. Clique Aqui Para Matar Todo Mundo: Segurança e Sobrevivência em um Mundo Hiperconectado; 1. Ed. Rio de Janeiro: Alta Books, 2020 p.64.

[125] SCHNEIE, Bruce. Clique Aqui Para Matar Todo Mundo: Segurança e Sobrevivência em um Mundo Hiperconectado: 1. Ed. Rio de Janeiro: Alta Books, 2020 p. 50.

[126]SCHNEIE, Bruce. Clique Aqui Para Matar Todo Mundo: Segurança e Sobrevivência em um Mundo Hiperconectado; 1. Ed. Rio de Janeiro: Alta Books, 2020 p.64.

[127]IBM. Relatório sobre o prejuízo de um vazamento de dados 2020. Disponível em: https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt. Acesso em: 29 jun. 2021.

[128]PINHEIRO, Patricia Peck; BISSOLI, Leandro; SIQUEIRA, Rafael. Segurança Cibernética: Novas Regras e Paradigmas. Direito Digital aplicado 4.0. 1. Ed. São Paulo: Thomsom Reuters Brasil. 2020. P. 132.

[129]HITZBERGEN, Julie. et al., Fundamentos de segurança da informação: com base na ISSO 27001 e na ISSO 27002. Rio de Janeiro: Foundations of information security. P. 19.

[130] HITZBERGEN, Julie. et al., Fundamentos de segurança da informação: com base na ISSO 27001 e na ISSO 27002. Rio de Janeiro: Foundations of information security. P. 27.

[131]SCHNEIE, Bruce. Clique Aqui Para Matar Todo Mundo: Segurança e Sobrevivência em um Mundo Hiperconectado. 1. Ed. Rio de Janeiro: Alta Books, 2020 p. 8.

[132] ANTUNES, Mário. RODRIGUES, Baltazar. Introdução à Cibersegurança. 1. Ed. Lisboa: FAC – Editora de Informática. P. 3.

[133] PINHEIRO, Patricia Peck; BISSOLI, Leandro; SIQUEIRA, Rafael. Segurança Cibernética: Novas Regras e Paradigmas. Direito Digital aplicado 4.0. 1. ed.  São Paulo. Thomsom Reuters Brasil. 2020. P. 132.

[134] PINHEIRO, Patrícia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. P. 226.

[135] PINHEIRO, Patrícia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. P. 224.

[136]EUROPA, General Data Protection Regulation (GDPR). Disponível em: . Acesso em 07 de junho de 2022.

[137] Este tema foi abordado no tópico 5 e subsequentes, páginas 38 a 54.

[138]JIMENE, Camila do Vale. SICUTO, Guilherme Hernandes. Segurança da informação sob a perspectiva da legislação brasileira: aspectos convergentes. Cyber Risk: Estratégias nacionais e corporativas sobre riscos e segurança cibernética. São Paulo: Thomsom Reuters Brasil, 2020. P.59.

[139]BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 09 de junho de 2022.

[140] BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 09 de junho de 2022.

[141]BRASIL, Decreto nº 9.637, de 26 de dezembro de 2018. Disponível em:  . Acesso em 09 de junho de 2022.

[142]BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020. Disponível em: . Acesso em: 09 de junho de 2022.

[143] PINHEIRO, Patrícia Peck. Direito Digital. 7. Ed. São Paulo: Saraiva Educação, 2021. P. 236.

[144] PARISER, Eli. O filtro invisível: o que a internet está escondendo de você. Rio de Janeiro: Zahar, 2012. P. 01.

[145] PARISER, Eli. O filtro invisível: o que a internet está escondendo de você. Rio de Janeiro: Zahar, 2012. P. 01/02.

[146]BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[147]BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Disponível em: Acesso em: 31 de maio de 2022.

[148]BRASIL, Resolução 4.658/2018 Disponível em: Acesso em 12 de junho de 2022.  


Publicado por: Pedro Teixeira Felicio

icone de alerta

O texto publicado foi encaminhado por um usuário do site por meio do canal colaborativo Monografias. Brasil Escola não se responsabiliza pelo conteúdo do artigo publicado, que é de total responsabilidade do autor . Para acessar os textos produzidos pelo site, acesse: https://www.brasilescola.com.