Neutralidade | CGI.br

Ir para o conteúdo

As contribuições são de responsabilidade de cada autor e o CGI.br não se compromete com seu teor.

Contribuição do Centro de Tecnologia e Sociedade da FGV DIREITO RIO sobre a definição de termos relativos à proteção de dados presentes no Marco Civil.

Autor: Centro de Tecnologia e Sociedade (CTS) Setor: Comunidade Científica e Tecnológica Estado: RIO DE JANEIRO Tópico: Definições técnicas e de termos relevantes ao Marco Civil da Internet

O Centro de Tecnologia e Sociedade (CTS) da FGV DIREITO RIO tem o prazer de apresentar comentários à consulta consulta aberta pelo Comitê Gestor da Internet, buscando contribuir para que a regulamentação do Marco Civil da Internet reflita os melhores argumentos acerca dos temas em discussão.

a) Definições relativas à privacidade: dados pessoais, tratamento de dados, controlador de dados e processador de dados.

Embora o Marco Civil se refira a "dados pessoais" em 10 ocasiões diferentes e a "tratamento de dados" em dois artigos (art. 7°, incisos VIII e IX e art. 11 caput e parágrafo 3°), esses termos não são explicitamente definidos. Espera-se que essas definições sejam abordadas em uma futura lei de proteção de dados pessoais. Entretanto, enquanto o Brasil ainda carece de uma lei específica, a ausência de um entendimento compartilhado sobre esses termos pode ser um empecilho à plena aplicação do Marco Civil.

Algumas definições presentes na legislação europeia, particularmente na Convenção do Conselho da Europa para a Proteção de Indivíduos relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal (Convenção 108) podem servir de inspiração para a interpretação desses conceitos no âmbito brasileiro. A Convenção 108 é um dos principais instrumentos internacionais em vigor sobre o tema e encontra-se aberta à adesão de Estados não-europeus (o Brasil não é um dos seus signatários). As definições presentes no Anteprojeto de Lei para Proteção de Dados Pessoais, atualmente em debate público, se alinham em grande medida com esse texto legal. É preciso destacar ainda que a compatibilização entre os quadros legais europeu e brasileiro poderia ser benéfica em termos econômicos, criando segurança jurídica e maior possibilidade de negócios.

A definição de "dados pessoais" encontra-se no artigo 2° da Convenção 108, segundo o qual "os dados pessoais, são qualquer informação relativa a uma pessoa singular identificada ou identificável", ou seja, ao titular dos dados (data subject). O atual marco europeu de proteção de dados clarifica que uma "pessoa singular identificada ou identificável" é qualquer pessoa que "pode ​​ser identificada, direta ou indiretamente, particularmente por referência a um número de identificação ou por um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social" (ver EU Data Protection Directive 95/46/EC, disponível em: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML)

No que diz respeito à expressão "tratamento de dados", pode-se defini-la, com inspiração na Convenção 108, como "qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou conjuntos de dados pessoais, com ou sem meios automatizados, tais como a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou combinação, eliminação ou destruição”. O tratamento de dados refere-se a atividades manuais e automatizadas, que abrangem, portanto, todos os tipos de processamento online e offline. Deve ser guiado por princípios essenciais de proteção de dados a fim de evitar eventuais abusos.

A fim de esclarecer as responsabilidades das entidades de tratamento, o que é extremamente útil para a aplicação efetiva dos artigos que tratam da guarda e proteção de registros no Marco Civil, parece aconselhável adotar, como a Convenção 108 e o Anteprojeto de Lei para Proteção de Dados Pessoais uma definição de "controlador de dados" ("responsável", no texto do APL para Proteção de Dados Pessoais), ou seja qualquer um que sozinho ou em conjunto com outras pessoas tem o poder de decidir os fins e os meios de tratamento de dados pessoais; e de "processador de dados" ("operador", no APL) ou seja, qualquer pessoa física ou jurídica responsável pelo tratamento em nome de um controlador de dados. O processador, portanto, caracteriza-se por ser uma entidade separada e por receber instruções do controlador. A responsabilidade de cumprir a legislação de proteção de dados encontra-se com o controlador (ver OECD Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (2013), art. 14, disponível em: http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf) A responsabilidade do controlador implica uma obrigação geral de colocar em prática medidas técnicas e de organização adequadas, bem como documentar a sua implementação. É importante ressaltar que um processador se torna controlador quando ele decide utilizar dados pessoais para fins que diferem do estabelecido pelo controlador original.

Particularmente, o controlador tem a responsabilidade pelo tratamento de dados, devendo: (i) assegurar que os dados pessoais permaneçam confidenciais; (ii) definir e documentar a lógica de tratamento de dados; (iii) fiscalizar a transferência de dados a terceiros, quando essa operação é permitida; (iv) ser acionado em caso de necessidade de acesso a dados pessoais, tanto por parte do titular dos dados e das autoridades, quando possível; (iv) notificar violações de dados ao titular dos dados afetados, bem como às autoridades competentes.


b) Necessidade de clarificar o significado de "dados cadastrais", de dados que permitem a "qualificação pessoal" e também quais são as autoridades administrativas às quais o art. 10, § 3º faz referência.

O art. 10, § 3º do Marco Civil especifica que a norma contida no caput — o dever de preservação da intimidade, vida privada honra e imagem na guarda e disponibilização de registros de conexão e acesso a aplicações de internet, dados pessoais e conteúdo de comunicações privadas —, "não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição”.

Uma interpretação recorrente acerca do Marco Civil é a de que os dados a que o artigo 10, § 3º faz referência poderiam ser obtidos sem a necessidade de prévia ordem judicial, tendo em vista a existência de leis que explicitamente admitem tal possibilidade. Como se trata, aqui, de casos excepcionais, é de fundamental importância delimitar exatamente em que situações isso poderia ocorrer, e entender o conteúdo exato de determinados termos inseridos no art. 10.

Primeiramente, é necessário maior clareza no que diz respeito aos tipos de dados que devem ser considerados como "dados cadastrais". A depender da natureza do serviço ou da plataforma, o usuário pode ser instado a prestar uma ampla gama de dados pessoais a título de cadastro. É possível que até mesmo dados considerados sensíveis sejam obtidos, como aqueles que revelam origem racial, as opiniões políticas, filiação sindical, crenças religiosas ou outras informações sobre a saúde ou vida sexual. Os dados sensíveis merecem medidas reforçadas de proteção e o acesso a eles sempre deve estar sujeito à obtenção prévia de uma ordem judicial. Dessa forma, seria importante delimitar a expressão "dados cadastrais".

Em segundo lugar, de modo a esclarecer o conteúdo do dispositivo, é importante que o decreto presidencial explicite que por “autoridades administrativas”, no âmbito do art. 10, § 3º do Marco Civil, entende-se: (1) a autoridade policial e (2) o Ministério Público. Conforme o art. 17-B da Lei 9.613/98 (Lavagem de Bens, Direitos ou Valores) e o art. 15. da Lei 12.850/13 (Crime Organizado), a autoridade policial e o Ministério Público podem solicitar, sem ordem judicial, dados cadastrais que informem "qualificação pessoal, filiação e endereço” de investigados em procedimentos que apurem crimes de lavagem de bens, direitos ou valores, bem como praticados por organizações criminais.

Ainda para melhor esclarecer o dispositivo, cabe ao decreto explicitar o que se entende por “qualificação”. Usualmente, “dados de qualificação pessoal” são aqueles necessários à individualização de uma pessoa, de modo que tenhamos certeza de que nos referimos a um indivíduo específico e não a outro. Ou seja, informações que indiquem que fazemos referência a João e não a José. O Código de Processo Civil indica, no art. 282, II, como informações necessárias para a qualificação das partes em uma petição inicial, os "nomes, prenomes, estado civil, profissão” (além de residência e domicílio) do autor e do réu. Não especifica outros dados usualmente encontrados tanto em petições iniciais quanto contratos, como RG e CPF, por exemplo.

Uma maneira de tornar mais claro o art. 10, § 3º no decreto poderia ser a seguinte:

"Art. XXX. Para efeito do disposto no art. 10, § 3º, da Lei 12.965/14, entende-se por autoridades administrativas a autoridade policial e o Ministério Público, conforme estabelecido pelo art. 17-B da Lei 9.613/98 e pelo art. 15 da Lei 12.850/13, no contexto de investigações criminais envolvendo lavagem de bens, direitos ou valores, e organizações criminosas.
§ 1.º Os dados solicitados sem ordem judicial podem apenas ser os de qualificação pessoal, filiação e endereço do investigado.
§ 2.º Dados de qualificação pessoal são aqueles estritamente necessários à individualização de uma pessoa, como nomes, prenomes, estado civil e profissão"