A proteção de dados como direito humano fundamental

Se você já pesquisou por um eletrodoméstico no Google para fazer uma cotação de preço, já deve ter passado pela seguinte situação: anúncios sobre o aparelho que você pesquisou começam a pulular e se multiplicar nos outros sites que você visita. Aquela geladeira que você pensou em comprar, colocou no carrinho virtual, mas desistiu na hora da compra vai te perseguir nos anúncios de sites, redes sociais, e-mails e plataformas de vídeo.

Ou ainda, se você começar a curtir e interagir muito com determinados conteúdos ou pessoas nas redes sociais, verá cada vez com mais frequência e em primeiro lugar os conteúdos relacionados aquilo que você tem mais interagido. É quase como se a internet estivesse se “adaptando” para lhe proporcionar conteúdo que você mais gosta com mais frequência, “prevendo” o tipo de conteúdo que vai mais te agradar e manter conectado. Como isso é possível?

Finalidade econômica dos dados pessoais

Ao navegar na internet, você deixa um “rastro”, uma série de “pegadas digitais”, como os sites que você visitou, as interações que você fez, quanto tempo ficou em determinada página, o que curtiu e descurtiu...  E essa informação tem valor econômico. Quanto mais alguém sabe sobre o como você se comporta na internet, mais vai saber sobre seu perfil: seu gênero, sua orientação sexual, sua religião, sua orientação política, seu endereço, seu estado de saúde, profissão e muito mais. Empresas coletam estas informações através de vários mecanismos tecnológicos de vigilância e a partir dos dados obtidos, podem desenvolver modelos complexos para predizer o comportamento dos consumidores e para extrair inferência potencialmente sensíveis sobre eles.

Nestes processos de coleta e processamento de dados dos usuários, muito abusos podem ser cometidos.  Em 2018, o Ministério Público do Rio de Janeiro ajuizou uma ação contra a empresa Decolar.com, porque a empresa utilizava a localização dos dispositivos dos usuários e, com base nisso, fixava preços diferentes para as mesmas hospedagens:

Em 2018, o Ministério Público do Rio de Janeiro (MPRJ) entrou com ação civil pública contra a empresa Decolar.com, uma das principais do setor de passagens aéreas e hospedagens. A acusação é de que a empresa discriminou consumidores com base na origem de sua conexão na hora da compra e ofereceu preços mais caros para consumidores brasileiros do que para os de outros países, como Argentina e Estados Unidos. Os valores eram até 40% mais caros para brasileiros.

Em resumo: pela internet, com base em dados de localização, seria mais caro para um Beltrano de São Paulo se hospedar no Rio de Janeiro do que um norte-americano. E isso, como apontam promotores cariocas, apresenta vários problemas jurídicos e vai contra o Código de Defesa do Consumidor.

“Essa prática é chamada de geo-pricing, que é a discriminação abusiva de consumidores na internet violando diversos dispositivos de proteção ao consumidor”, explicou Guilherme Magalhães Martins, promotor de Justiça do Rio de Janeiro.

Como Decolar.com e outras empresas mudam preços de acordo com seus dados.

Um outro exemplo clássico e corriqueiro é o seguinte: se você já digitou seu CPF nas farmácias para obter desconto, saiba que as informações de quais remédios você comprou, a frequência de ida as farmácias e outros dados, poderiam estar sendo compartilhados com planos de saúde. No final das contas, se o plano de saúde descobre através de bancos de dados de farmácias que aquele CPF compra remédios para diabetes, ou vai muito à farmácia, isto pode indicar um problema de saúde preexistente. Com isso, os preços de pagamento do plano podem ser cobrados de forma diferente.

“Existe uma verdadeira obsessão das farmácias em dar desconto. E no capitalismo, não existe obsessão de graça. Há um interesse por trás.”

O promotor de Justiça Frederico Meinberg explica: “Imagine que você comprou no seu CPF um remédio para sua avó que está sofrendo de câncer. Se esse histórico sai da farmácia e é compartilhado para outros setores, numa análise, o plano de saúde pode acreditar que você está fazendo um tratamento e não avisou. Daí aumentam o valor do contrato e você nem fica sabendo. Além disto, antes de liberar um financiamento, empresas consultam um cadastro para saber se a pessoa consegue pagar as dívidas. Com alguém que está comprando muito remédio, podem interpretar que ela está com risco de vida. Ou seja, negariam o empréstimo ou subiriam muito os juros por entender que ela não vai conseguir arcar com essa dívida.”

Ou seja, em mãos erradas, isso poderia trazer como consequência um contrato mais caro no plano de saúde ou até mesmo a recusa do empréstimo tão sonhado.

É justamente por isto que o direito à privacidade e à proteção de dados tem sido cada vez mais levantados como uma bandeira. Em uma sociedade onde nós geramos dados e um rastro digital o tempo inteiro e de forma voluntária, o controle sobre os nossos dados é uma ferramenta importante par evitar abusos.

No entanto, o direito à privacidade, como originalmente concebido, não é suficiente para proteger consumidores dos potenciais abusos cometidos por grandes companhias. Perceba que muitas informações coletadas são transmitidas pelos titulares voluntariamente, como no preenchimento de formulários de redes sociais e sites, informações para obtenção de desconto, upload de fotos, e indicação geográfica de lugares onde estivemos e pessoas com quem estamos. Pense que toda vez em que postamos uma foto no Instagram e marcamos a localização e os amigos que estão conosco, nós estamos voluntariamente cedendo informações sobre onde estamos, quando estivemos e com quem estávamos, fora as legendas que podem trazer detalhes ainda maiores sobre as nossas vidas.

Diante desta geração e entrega voluntária de dados e informações, não podemos falar em um direito ao segredo, à privacidade em sentido estrito, pios isto é incompatível com a vida online, onde geramos e transferimos informações sobre nós o tempo todo, voluntariamente. No entanto, estas informações devem ser usadas de maneira responsável, para fins legítimos e da forma como autorizada pelo titular. As informações sobre localização que você cedeu para uma rede social não podem (pelo menos, não deveriam) ser usadas para, por exemplo, fazer ofertas diferentes de preço. Se antes o controle sobre as nossas informações era representado pelo trinômio “pessoa-informação-sigilo”, o eixo agora é composto por quatro elementos: “pessoa-informação-circulação-controle”. Ou seja, é preciso que nossos dados estejam protegidos e sua circulação seja controlada.

O direito à proteção de dados pessoais angaria autonomia própria. É um novo direito da personalidade que não pode ser amarrado a uma categoria específica, em particular ao direito à privacidade. Pelo contrário, demanda-se uma correspondente ampliação normativa que clareie a sua tutela.

Neste sentido, a proteção de dados ganha relevo como um novo direito fundamental, que surge a partir de aumento do fluxo de informações pessoais na internet. Não apenas como um direito de manter seus dados em segredo (privacidade), e o direito de o titular permitir, autorizar, retificar, solicitar exclusão, reduzir, e contestar o tratamento de suas informações pessoais por terceiros.

Lei geral de Proteção de Dados

Considerando a evolução no tratamento de dados pessoais no espaço virtual, o Brasil, seguindo uma tendência da Europa e de países ao redor do globo, promulgou a Lei 13.709/18, a Lei Geral de Proteção de Dados, onde são disciplinas as permissões, os limites, as bases legais e os procedimentos para o tratamento de dados pessoais no país.

No artigo 6º a Lei estabelece os princípios gerais de tratamento de dados:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

E no seu artigo 7º a lei trazas bases legais que autorizam o tratamento dos dados pessoais:

 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Proteção de dados como direito humano fundamental: a decisão do STF

Embora a Lei Geral de Proteção de Dados não reconheça expressamente a proteção de dados como um direito fundamental autônomo, estabelece já no artigo 1º e artigo 17 a sua relação com outros direitos humanos fundamentais, como a liberdade e privacidade.

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Apesar do não reconhecimento expresso pelo legislador deste novo direito fundamental, a doutrina especializada já há alguns anos vem sustentando a existência deste direito fundamental, e que seu reconhecimento independe da existência de uma regra explícita

O direito à proteção dos dados pessoais deve ser alocado como uma nova espécie do rol aberto dos direitos da personalidade, dando elasticidade à cláusula geral da tutela da pessoa humana. Caso contrário, corre-se o risco de ele não se desprender das amarras conceituais e da dinâmica do direito à privacidade e, em última análise, inviabilizar uma normatização própria para regular o fluxo informacional como fator promocional da pessoa humana

BIONI, Bruno. Proteção de Dados: Limites e Funções do Consentimento. p. 127

O reconhecimento da proteção de dados como um direito autônomo e fundamental, portanto, não deriva de uma dicção explícita e literal, infere-se da consideração dos riscos que o tratamento automatizado traz à proteção da personalidade à luz das garantias constitucionais de igualdade substancial, liberdade e dignidade pessoal humana, juntamente com a proteção da intimidade e da vida privada

 DONEDA, Danilo. A proteção de dados pessoais nas relações de consumo: para além da informação creditícia.  p. 49).

A partir deste entendimento, o STF reconheceu a existência, no ordenamento jurídico brasileiro de um direito autônomo a proteção de dados. O entendimento foi proferido em maio de 2020, no julgamento do plenário que referendou a Medida Cautelar nas Ações Diretas de Inconstitucionalidade n. 6387, 6388, 6389, 6393, 6390, suspendendo a aplicação da Medida Provisória 954/2018, que obrigava as operadoras de telefonia a repassarem ao IBGE dados identificados de seus consumidores de telefonia móvel, celular e endereço.

O julgamento é um marco, pois tornou expressa a tutela dos dados pessoais como direito fundamental. Fazendo referência julgamento da Corte Constitucional alemã, e a Carta de Direitos Fundamentais da União Europeia (art. 8o), os Min. Rosa Weber, Gilmar Mendes e Luiz Fux trataram de um direito fundamental à proteção de dados pessoais garantido pela Constituição Federal. Nos votos, a proteção de dados é tratada como um direito autônomo, que se diferencia da proteção à intimidade e privacidade, vez que o objeto protegido é distinto. Com a ascensão de métodos sofisticados de processamento e tratamento de dados pessoais, carregando consigo riscos maiores para a personalidade do cidadão, esse direito ganha contornos próprios, nos termos do voto do Min. Gilmar Mendes:

A autonomia do direito fundamental em jogo na presente ADI exorbita, em essência, de sua mera equiparação com o conteúdo normativo da cláusula de proteção ao sigilo. A afirmação de um direito fundamental à privacidade e à proteção de dados pessoais deriva, ao contrário, de uma compreensão integrada do texto constitucional lastreada (i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do compromisso permanente de renovação da força normativa da proteção constitucional à intimidade (art. 5º, inciso X, da CF/88) diante do espraiamento de novos riscos derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do Habeas Data enquanto instrumento de tutela material do direito à autodeterminação informativa.

Avançando, então, em seus contornos, pode-se dizer que o direito fundamental à proteção de dados enseja tanto um direito subjetivo de defesa do indivíduo (dimensão subjetiva), como um dever de proteção estatal (dimensão objetiva). Na dimensão subjetiva, a atribuição de um direito subjetivo ao cidadão acaba por delimitar uma esfera de liberdade individual de não sofrer intervenção indevida do poder estatal ou privado. A dimensão objetiva representa a necessidade de concretização e delimitação desse direito por meio da ação estatal, a partir da qual surgem deveres de proteção do Estado para a garantia desse direito nas relações privadas. Isso significa que os atos do Estado passam a ser controlados tanto por sua ação, como também por sua omissão.

Proteção de dados nos concursos públicos

Com a promulgação da Lei Geral de Proteção de Dados e o reconhecimento pelo STF de um direito à proteção de dados, cada vez mais questões sobre o tema aparecerão em concursos. Vejamos algumas questões que já abordaram o tema:

Ano: 2019 Banca: FUNDEP (Gestão de Concursos) Órgão: DPE-MG Prova: FUNDEP (Gestão de Concursos) - 2019 - DPE-MG - Defensor Público

Leia o texto a seguir.

Diante da apropriação e utilização em massa das novas tecnologias da informação, pode-se perceber alterações diretas no que tange ao comportamento humano, questões contratuais, influência sobre a democracia, nos meios de prova, etc. Por envolver o aspecto de uma sociedade e economia informacional, dados ficam sob permanente vigilância e apropriação, seja(m) sob o aspecto on-line e / ou off-line. Assim, conclui-se que se está diante de uma nova vulnerabilidade, a digital, sob a qual deve-se ater às legislações de proteção de dados de forma geral, setorial e daquelas integradas parcialmente nas codificações.

Sob amplo espectro, tais legislações têm por objetivo garantir e proteger, no âmbito do tratamento de dados pessoais, a dignidade e os direitos fundamentais da pessoa natural, particularmente em relação a sua liberdade, privacidade, intimidade, honra e imagem.

Considerando tal contexto analise as afirmativas a seguir.

I. É lícita a apreensão do celular quando efetuada no ato da prisão em flagrante, bem como o acesso aos dados nele contido quando existente autorização para perícia do seu conteúdo.

II. Tratando-se de abertura de contrato bancário, a impossibilidade de contratação do serviço sem a opção de negar o compartilhamento dos dados do consumidor não se revela exposição que o torna indiscutivelmente vulnerável, já que o serviço é facultativo.

III. A circunstância de se exigir os dados documentais, a exemplo do CPF, para viabilizar formação de cadastro perante farmácias gerando desconto não pode ser considerada abusiva, caso seja facultativa ou, não sendo, exista um real programa que gere benefícios ao consumidor, assim como seja esclarecido a finalidade do tratamento de dados, modo de retificação e exclusão e se há, ou não, repasse de dados a terceiros e a opção de aceite ou discordância de todos os itens.

IV. O sistema de transporte público ao utilizar “portas interativas digitais”, visando identificar o estado emocional das pessoas, gênero e faixa etária para venda de tais dados para terceiros e, então, direcionar suas estratégias de publicidade a partir das reações identificadas, não pode ser considerado abusivo, já que se trata de espaço público e somente a coleta de dados de imagens de crianças é que exige autorização, seja dos pais e / ou responsáveis.

Apresenta(m) contexto(s) em que não se garante nem tampouco se protege tais direitos a(s) afirmativa(s)

A - I e III, apenas.

B - II, apenas.

C - II e IV, apenas.

D - I, II, III, e IV.

Gabarito: C

Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Desenvolvimento)

A Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) prevê a realização do tratamento de dados pessoais, mediante o consentimento do titular dos dados, para o cumprimento de obrigação legal ou regulatória e para a realização de estudos ou execução de contratos a pedido do titular. As hipóteses em questão são exemplos de

A - princípios das atividades de tratamento de dados pessoais.

B - requisitos para o tratamento de dados pessoais sensíveis.

C - tratamento de dados pessoais de crianças e adolescentes.

D - direitos do titular dos dados.

E - requisitos para o tratamento de dados pessoais.

Gabarito: E

Ano: 2020 Banca: CESPE / CEBRASPE Órgão: TJ-PA Prova: CESPE / CEBRASPE - 2020 - TJ-PA - Analista Judiciário - Análise de Sistemas (Suporte)

De acordo com a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), as atividades de tratamento de dados pessoais devem observar a boa-fé e o princípio

A - de dado pessoal, segundo o qual a informação é relacionada à pessoa natural identificada ou identificável.

B  - de banco de dados, como um conjunto estruturado de dados pessoais estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

C  - da anonimização, com a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

D  - da prevenção, com a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

E - da eliminação, que é a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Gabarito: D

Gostou do conteúdo?

Continue acompanhando os artigos do Blog do Master Juris. Toda semana tem conteúdo novo sobre o mundo dos concursos públicos para aumentar seus conhecimentos.

Fichas para estudo:

Artigos Mais Lidos:

Respostas