Circuito Deluca

O Marco Civil e a proteção dos seus dados pessoais – o que muda?

Publicada em 29/04/2014 11:15

Na falta de uma legislação específica sobre a proteção de dados pessoais – o projeto de Lei do Ministério da Justiça continua parado no Ministério do Planejamento – o Marco Civil da Internet oferece um pouco da gramática e um pouco da experiência de leis de proteção de dados pessoais na Internet existentes em outros países. Como isso impacta a sua vida e a das empresas que usam a internet como ferramenta de negócios?

“O Marco Civil da Internet tem muitas regras relacionadas à privacidade. Me impressionou o volume de instrumentos de privacidade e proteção de dados existentes no texto, que podem fazer com que, em muitos casos, o Marco Civil funcione como uma lei específica, que vai obrigar que tanto pelo setor público quanto pelo setor privado se adaptem.”, afirma Danilo Doneda, coordenador-geral de supervisão e controle do Departamento de Proteção e Defesa do Consumidor da Secretaria de Direito Econômico do Ministério da Justiça (DPDC/MJ) e redator do PL de Proteção de Dados Pessoais do Ministério da Justiça, durante painel no IV Fórum da Internet.

Quais seriam essas regras?

Começando pelo artigo 3º, onde são destacados os princípios para a utilização da Internet, são feitas referências clássicas à proteção da privacidade e à proteção aos dados pessoais. O fato de serem referenciados em dois incisos diferentes, na opinião de Doneta, reflete uma ideia clara de que o ordenamento jurídico brasileiro já amadureceu no sentido de reconhecer que a proteção de dados pessoais não se circunscreve, não é somente uma concretização da privacidade. São dois direitos fundamentais.

“A privacidade tem um caráter mais subjetivo que muitas vezes impede uma resposta clara, harmônica e rápida aos problemas”, explica Doneda. “A proteção de dados pessoais tem, em seu campo de aplicação, um caráter mais objetivo. Visa proteger o dado em si e, através dele, a pessoa”, completa Danilo, lembrando que as regras de proteção de dados pessoais costumam ser muito mais concretas, específicas e impor obrigações.

De acordo com o Marco Civil, a proteção de dados pessoais deve se dar nos termos da Lei. Ou seja, o texto reconhece e referência a existência de uma legislação que funcionará como uma legislação geral de proteção de dados pessoais, não apenas na Internet.

Além disso, no seu artigo 7º, o Marco Civil passa a tratar mais claramente dos direitos dos usuários. Estão lá, segundo Danilo Doneda, nos quatro primeiros incisos, o direito à inviolabilidade da intimidade da vida privada, à inviolabilidade ao sigilo das comunicações e à inviolabilidade e ao sigilo das comunicações privadas armazenadas.

Mais adiante, outro inciso trata do não fornecimento a terceiros de dados pessoais, salvo mediante consentimento livre, expresso e informado ou em hipóteses previstas em lei.

“O consentimento ao tratamento dos dados pessoais é uma das modalidade de legitimação do tratamento de dados, que é possível e até desejado pelo cidadão, em muitas hipóteses, ou sempre que haja o interesse público”, afirma Doneda.

Já no inciso 8 do mesmo artigo estão mencionados que é direito do usuário ter informações claras e completas sobre a coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que (a) justifiquem sua coleta; (b) sejam lícitas; e (c) estejam previstas em contrato.

“Este é outro princípio clássico de proteção de dados e, talvez, de eficácia mais facilmente visível: o princípio da finalidade. A coleta e o tratamento de dados pessoais só são justificáveis para as atividades declaradas. Se eu coleto o dado para prover um serviço melhor ao meu cliente, não posso usar os mesmos dados para outra finalidade. Isso seria um uso secundário dos dados que, na prática, faria o cidadão perder o controle sobre sua informação. O dado não pode ser um bem livremente apropriado por quem, por algum motivo, passa a ter acesso a ele”, diz Doneda.

Ainda no inciso 10 do mesmo artigo 7º, foi incluída no Marco Civil uma modulação do direito ao esquecimento.  O artigo trata do direito à exclusão definitiva dos dados pessoais, a pedido do usuário titular, ao término das relações entre as partes.

“Esse artigo sobre o direito ao esquecimento, que em uma interpretação mais temerosa pode ser visto como uma limitação, na prática obriga o responsável pela coleta e tratamento do dado a apagar um dado pessoal apenas mediante o requerimento do titular do dado”, explica Doneda (foto).


Portanto, uma empresa não é obrigada a sair correndo para apagar dados todas as vezes em que um contrato for rompido. A obrigatoriedade de destruição do dado se dá somente a pedido do titular , e ao término do relacionamento. Esse artigo não nos dá o direito de, como usuários, pedir a exclusão de um dado ao administrador de um site se continuarmos usando este site.  Uma situação como esta  é prevista em outro capítulo da Lei, que trata da remoção de conteúdos.

O artigo 8º, por sua vez, inclui no Marco Civil uma cláusula clássica no Direito ao Consumidor, que é justamente a consideração como nulas de todas as cláusulas contratuais que impliquem em ofensa ao sigilo das comunicações privadas. “Aqui nós trazemos as possibilidade de ler as políticas de privacidade e os termos de uso dos sites da forma como lemos os contratos de adesão e as relações de consumo. Isto é, ignorando solenemente cláusulas que impliquem em danos ao consumidor e à sua privacidade”, explica Doneda.

Guarda de dados e logs
Um dos pontos mais polêmicos do Marco Civil diz respeito à guarda de registro de acesso por parte dos provedores de conexão (obrigatória por um ano) e de aplicações internet (obrigatória seis meses, de acordo com alguns aspectos como fins econômicos). Provedores de conexão são os provedores de acesso e provedores de aplicações são as redes sociais, os serviços de webmail etc.

“O Marco Civil foi tristemente inovador, no sentido de que não há nenhum outro país que obrigue diretamente a guarda de registros de acesso a aplicações internet, mesmo sabendo que a delimitação dessa obrigação ainda depende de regulamentação”, diz Doneda.

Esse tema tem sido muito debatido no mundo, à luz da recente decisão da Corte Europeia de Justiça de reconhecer a carência de motivo justo, de proporcionalidade em medidas que determinem retenção de dados. “Esse é um tema que, acredito”, deva ser verificado no futuro”, afirma Doneda.

Lei específica de proteção de dados pessoais
Mesmo com essa riqueza de detalhamento ao qual chegou o Marco Civil em relação aos temas de privacidade e proteção de dados, é possível verificar que a própria proteção de dados na Internet muito teria a ganhar com uma harmonização do Marco Civil com a Lei de proteção de Dados Pessoais em elaboração no Poder Executivo há cerca de três a quatro anos.

Ter uma Lei de Proteção de Dados Pessoais é imperativo para o Brasil, na opinião de Danilo Doneda. A lei específica é um passo imprescindível em direção a uma certa “civilização” no tratamento dos dados pessoais. Uma mensagem clara de que as empresas e os próprios governos têm que arcar com a responsabilidade de proteção de algo que é muito importante para o cidadão.

“Não é um problema somente de direito do consumidor”, afirma Doneda. “É necessário estender a garantias a de proteção de dados pessoais para o cidadão em todas as relações onde seus dados estejam expostos, sejam relações perante o serviço público, segmentos econômicos ou entes não econômicos”, explica.

O texto já finalizado pelo Ministério da Justiça, encontra-se no Ministério do Planejamento para última análise, antes de ser encaminhado ao Congresso. Há um clamor de parte da sociedade civil para que o projeto de lei seja apresentado pelo Poder Executivo ao Poder Legislativo antes da eleição, para que tramite como um projeto de Estado e não de governo.

De acordo com Doneda, o texto final é bem diferente do último texto tornado público em 2010. “A espinha dorsal é a mesma. Estão lá os principais princípios, as regras que o setor público e o setor privado deverão cumprir, a existência de uma autoridade pública para regulamentar e administrar a aplicação da lei, as sanções civis… mas fizemos muitos ajustes de redação”, diz.

Atrasados
O Brasil já está atrasado na definição de uma legislação de proteção de dados pessoais. O assunto é debatido internacionalmente há 40 anos. Já existem 101 legislações específicas vigentes no mundo. De acordo com Doneda, o texto proposto pelo Ministério da Justiça procurou estar alinhado com algumas técnicas, formatos e princípios presentes nessas legislações estrangeiras.

“Hoje em dia não há como você propor critérios de proteção de dados em um país sem querer que eles não se comuniquem, possam ser interoperáveis com o estabelecido em outros países. Sempre foi uma preocupação nossa manter uma compatibilidade com as legislações de outros países, porque não podemos fechar os olhos para o fato de que os dados transitam com muita facilidade de uma país para o outro”, afirma Doneda.

Na opinião de Doneda, a existência de uma legislação específica de proteção de dados no país ajudará o Brasil a entrar no jogo mundial da transferência de dados, a ser mais competitivo. O país tem perdido negócios relevantes na área de outsourcing.

“Por exemplo, incluímos regras específicas para tratar vazamentos de dados, incidentes de segurança da informação. Em que casos um órgão público será obrigado a relatar vazamentos… Nossa preocupação foi no sentido de proteger o cidadão no sentido de minimizar os danos de um vazamento. A empresa, pública ou privada, vai ter que comprovar que atuou no melhor interesse do cidadão no sentido de ter tomados as precauções para que o incidente tivesse o mínimo de consequências”, diz Doneda.

A intenção é criar práticas mais transparentes para cidadãos, deixar claro para a administração pública e as empresas privadas o que eles podem ou não fazer. A lacuna na legislação provoca tanto insegurança para o cidadão quanto para o próprio mercado.

“Veja, uma empresa da Espanha que queira colocar seus dados no Brasil não faz isso agora porque não há uma legislação efetiva. Isso tem prejudicado vários negócios. Alguns investimentos podem não ser feitos também por incerteza jurídica. Uma enorme parte do parte do setor privado, empresarial, se sentiria melhor tendo mais segurança jurídica para fazer negócios baseados em dados”, admite Doneda. “Uma empresa multinacional hoje não tem certeza se pode ou não fazer uma operação de transferência de dados entre a matriz e a filial brasileira. Com a lei, isso ficará mais claro”, comenta.

Por outro lado, tanto o Marco Civil quanto a Lei de Dados Pessoais obrigarão as empresas públicas e privadas a fazerem investimentos para se adequarem ao arcabouço legal. Razão que faz o Ministério do Planejamento olhar com lupa o projeto proposto.