22/03/2018 - 14:48
Todos nós atualmente temos ideia da infinidade de informações que as redes sociais e os sites de busca obtêm de nossos acessos, baseados em nossos cliques e nas informações que preenchemos em nossos perfis. É evidente que há um cruzamento de informações entre Facebook, Instagram, Whatsapp, Google, e quaisquer outros sites que acessamos habitualmente. Quem nunca fez uma pesquisa no Google por um determinado produto e depois não se deparou com o anúncio da mesma mercadoria no Facebook? Pois bem.
Será que sabemos exatamente quais dados essas empresas estão acessando? O que estão fazendo com nossas informações? Será mesmo necessária a coleta de informações tão específicas? Há limites para isso? E as empresas, como fazem essa coleta e tratamento de dados? Será que essas atividades estão dentro da lei? Como uma empresa pode se precaver de problemas jurídicos relacionados à privacidade de seus usuários?
Do ponto de vista do usuário, há pouca transparência na relação com as empresas, no que se refere à coleta e ao tratamento de dados. Basicamente, toda a atividade de coleta, armazenamento e tratamento de dados deverá ser descrita nos termos de uso e política de privacidade do site, rede social ou aplicativo. Tais documentos são essenciais a qualquer plataforma online, e deverão contar com a anuência prévia do usuário para uso do serviço.
No Brasil, não há legislação específica sobre privacidade e proteção de dados pessoais. Temos disposições na Constituição Federal e Código Civil, e nada além disso. Alguns países da América Latina possuem legislação específica sobre privacidade. Nos EUA não há legislação federal uniforme, o cenário americano é descentralizado. A autonomia dos estados convive com ordenamentos federais e autorregulações.
Na Europa há boa legislação sobre o mesmo tema. Inclusive em 27 de maio deste ano, entrará em vigor uma nova lei que afetará toda a comunidade europeia: GDPR – General Data Privacy Regulation, que será a alteração legislativa mais importante sobre privacidade já ocorrida nos últimos 20 anos no continente europeu.
Entre as mudanças a serem inseridas pela nova lei, está o consentimento expresso e específico: para cada atividade relacionada à captura, armazenamento e tratamento de dados, as empresas europeias deverão ter o consentimento prévio, expresso e específico do usuário. Isso significa ter que possuir tal consentimento para cada etapa do processo de captura, armazenamento, tratamento e compartilhamento de dados. Sendo assim, deverá automaticamente existir transparência muito maior no tratamento dos dados pelas empresas europeias, bem como uma maior burocratização na tomada desses consentimentos, sob pena de qualquer etapa do procedimento ser invalidada se a autorização do usuário não foi respectiva.
E o que as empresas brasileiras ou que operam no Brasil tem a ver com isso?
Se são empresas brasileiras cujas atividades visam atingir residentes no continente europeu, ou se são empresas que operam também na Europa, por exemplo, deverão adequar-se também à essa nova legislação do Velho Continente.
E no Brasil, há algo parecido?
Por enquanto, não. O Marco Civil da Internet, em seu artigo 3º, incisos II e III, garante a privacidade e a proteção dos dados pessoais, e no artigo 7º, incisos VIII e IX, determina somente que deverá haver consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, e que tais dados deverão ser coletados, utilizados, armazenados e tratados conforme sua finalidade. Ou seja: requerer quaisquer dados dos usuários que não sejam intrínsecos àquela finalidade específica pode violar tal dispositivo (exemplo: solicitar orientação sexual do usuário no seu cadastramento em um de site de e-commerce).
Contudo, se for aprovado o Projeto de Lei nº 5279, de 2016, as empresas terão maiores obrigações a cumprir no Brasil, para atender dispositivos específicos que tratam da coleta obrigatória de consentimento prévio, expresso e específico do usuário, atrelado à finalidade à qual aquele dado se destina.
Este PL, se aprovado, será aplicável a qualquer operação de tratamento automatizado de dados, independentemente do país de origem do usuário ou da origem do banco de dados, desde que a operação ocorra em território nacional, ou que os dados coletados estejam no Brasil ou que a pessoa esteja em nosso país.
O projeto também define o que são dados pessoais, dados sensíveis e dados anonimizados, algo inédito em nossa legislação, e estipula princípios que deverão nortear toda operação de coleta, armazenamento e tratamento de dados. Também cria a figura do Privacy Officer, responsável pela atividade vinculada à privacidade e proteção de dados em uma empresa e determina a obrigação de comunicação à imprensa e usuários sobre casos de vazamento de informações, o que deverá impactar setores vinculados ao gerenciamento de riscos e Compliance.
Esse novo dispositivo legal, se aprovado em nosso país, impactará diretamente as empresas brasileiras e as estrangeiras que operam em nosso país, que deverão reestruturar-se para atender às obrigações legais.
Nota-se que a preocupação com a privacidade dos usuários de internet vem crescendo na atualidade, haja vista casos em que a captura, tratamento e manipulação de dados à revelia dos usuários, e com desvio de finalidade têm tomado espaço na mídia. Como exemplos, podemos citar dois casos recentes. :
O primeiro é referente à Decolar.com, que foi alvo de ação civil pública proposta pelo Ministério Público do Rio de Janeiro (MPRJ), acusada de diferenciar preços de passagens e hospedagens com base na localização de seus consumidores. Segundo o MP, foi constatada a existência de preços de passagens aéreas e de hospedagens diferentes conforme o IP de localização do usuário, em total afronta ao Código de Defesa do Consumidor. Tal prática é conhecida como geo-pricing: discriminação (abusiva) de consumidores com base em dados de localização.
O segundo é o caso envolvendo a rede social Facebook, que no último dia 20 se viu no meio de um escândalo de violação de dados pessoais, devido ao uso desmesurado de dados pessoais de seus usuários por intermédio de um aplicativo de análise de dados comportamentais.
Portanto, por mais que nosso País ainda não possua legislação específica sobre privacidade e proteção de dados pessoais, isso não significa que tudo é permitido. Temos dispositivos legais básicos que impedem práticas abusivas, tais como Constituição Federal, Código Civil, Marco Civil da internet e Código de Defesa do Consumidor.
É importante que as empresas estejam cientes do ordenamento jurídico atual e do que está por vir, bem como adotem melhores práticas de Segurança da Informação, para que não sejam surpreendidas negativamente.
E quanto ao usuário, é imprescindível que este tenha cautela com seus dados e questione se as empresas de fato estão cumprindo com a legislação, e não hesite em cessar seu relacionamento com determinada empresa, ao menor sinal de violação de privacidade ou infração legislativa.
Afinal de contas, parafraseando Edward Snowden, “alegar que você não liga para privacidade porque não tem nada a esconder é como alegar que não liga para a liberdade de expressão porque não tem nada a dizer”.
Gisele Truzzi é advogada especialista em Direito Digital
e fundadora da Truzzi Advogados.