Sobre o direito à proteção de dados pessoais

João Pedro Seefeldt Pessoa

Os avanços das tecnologias de informação e comunicação na sociedade em rede revolucionaram o direito à privacidade, que não pode mais ser entendido somente como o “direito de ser deixado só” (right to be alone ou right to be let alone) ou como a lógica “pessoa-informação-sigilo”. Isso, porque, desde meados do século XX, com a profusão da microeletrônica e dos meios informáticos, especialmente da Internet, a profusão dos dados pessoais fez com que o direito à privacidade assumisse novas dimensões, dentre elas, o direito à autodeterminação informativa e o direito à proteção de dados pessoais, passando a também tratar sobre a perspectiva de controle sobre as informações pessoais.

Assim, novas normativas relacionadas à privacidade e, especificamente, relativas à proteção de dados pessoais foram sendo editadas. Dentre elas, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares (naturais) no que diz respeito ao tratamento de dados pessoais, também chamado de Regulamento Geral de Proteção de Dados, ou RGPD (GPDR, em inglês), com aplicação obrigatória desde maio de 2018, é, atualmente, um marco normativo internacional, que regula o tratamento, automatizado ou não, de dados pessoais, isto é, qualquer informação relativa a uma pessoa natural identificada ou identificável.

A Lei nº 13.709, de 14 de agosto de 2018, que institui a Lei Geral de Proteção de Dados Pessoais, popularmente conhecida pela sigla LGPD, inaugura, no Brasil, um regime jurídico de proteção dos dados pessoais, inclusive nos meios digitais, com forte inspiração no RGPD/GPDR. Embora a Lei nº 12.965, de 23 de abril de 2014, o Marco Civil da Internet, já preveja que a disciplina do uso da internet no Brasil tem, como um dos princípios, a proteção dos dados pessoais, na forma da lei, a LGPD, publicada somente em agosto de 2018, ainda não entrou em vigor, tendo, inicialmente, uma vacatio legis de 18 (dezoito) meses, posteriormente aumentada para 24 (vinte e quatro) meses, pela Lei nº 13.853/2019, e, agora, postergada para janeiro de 2021, quanto à proteção, e para agosto de 2021, quanto às penalidades (ainda em votação pelo Congresso Nacional), mas modificada para maio de 2021, em razão da pandemia da COVID-19.

A LGPD elenca, inicialmente, que as atividades de tratamento de dados pessoais deverão observar a boa-fé e alguns princípios, dentre eles o princípio da finalidade, adequação, necessidade, livre acesso, qualidade, transparência, dentre outros. Especificamente, o art. 6º, inc. VII, da LGPD, descreve o princípio da segurança, pelo qual o tratamento de dados pessoais deve utilizar-se de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, sendo que o art. 46, do mesmo regime, elenca como dever dos agentes de tratamento a adoção de tais medidas, sob pena de responsabilização civil e administrativa.

Os agentes de tratamento de dados pessoais, ainda, devem comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, mencionando, dentre outros detalhes, a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. 

Em relação à responsabilidade civil sobre os incidentes de segurança, a LGPD determina que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Nessa mesma perspectiva, estabelece que o tratamento de dados pessoais será irregular quando não fornecer a segurança que o titular dele pode esperar, respondendo pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança, der causa ao dano.

Embora a legislação não traga uma definição de incidente de segurança na Internet, abstrai-se que pode ser caracterizado pelo acesso não autorizado ou situações acidentais ou, ainda, situações ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados pessoais, podendo abranger, dentre outras ocasiões, a ocorrência de falhas e brechas digitais, a exploração de vulnerabilidades e ameaças de sistemas de informação, o sequestro, a destruição e o vazamento de dados e informações pessoais. 

Por sua vez, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, o CERT.br, grupo mantido pelo Comitê Gestor da Internet no Brasil e responsável por receber, analisar e responder a incidentes de segurança no ciberespaço brasileiro, conceitua incidente de segurança como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. Para exemplificar, o grupo elenca a) tentativas de ganhar acesso não autorizado a sistemas ou dados; b) ataques de negação de serviço; c) uso ou acesso não autorizado a um sistema; d) modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema; e) desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

O CERT.br informa que, em 2019, foram reportados 875.327 incidentes de segurança no território brasileiro, dentre eles: 100.477 worms, atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede; 301.308 ataques DoS, ataques de negação de serviço, onde o atacante tira de operação um serviço, computador ou rede; 527 invasões, ataques bem sucedidos que resultem no acesso não autorizado a um computador ou rede; 22.334 ataques webs, ataques visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet; 409.748 scans, varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados; 39.419 fraudes, das quais aproximadamente 87% eram páginas falsas; e 1.514 outros ataques não categorizados.

Desse modo, a coleta, manipulação, compartilhamento e tratamento de dados pessoais é realidade da sociedade em rede e exige uma grande adaptação por parte dos titulares de dados, agentes de tratamento e poder público, em favor de um regime de proteção desses ativos. O avanço das tecnologias de informação e comunicação pressupõe, para além de uma nova forma de relacionamento com os usuários do ciberespaço, a adoção de medidas de segurança, técnicas e administrativas, capazes de conferir um grau de proteção aos dados pessoais, às informações pessoais e aos sistemas de informação, sob pena de responsabilização civil e administrativa.

Leituras elementares:

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 21 abr. 2020.

DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. In: Espaço Jurídico, v. 12, n. 2, pp. 91-108, jul./dez. 2011. Disponível em: https://portalperiodicos.unoesc.edu.br/espacojuridico/article/view/1315/658. Acesso em: 21 abr. 2020.

DONEDA, Danilo. Da privacidade à proteção dos dados pessoais. Rio de Janeiro: Renovar, 2006.

MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. Porto Alegre: Arquipélago Editorial, 2018. Disponível em: http://eduardomagrani.com/wp-content/uploads/2019/07/Entre-dados-e-robo%CC%82s-Pallotti-13062019.pdf. Acesso em: 21 abr. 2020 (Trilogia Cultura Digital, 3)

NISSENBAUM, Helen. Privacidad amenazada: tecnología, política y la integridad de la vida social. México: Editorial Océano, 2011.

PESSOA, João Pedro Seefeldt. El Efecto Orwell en la sociedad en red: ciberseguridad, régimen global de vigilancia social y derecho a la privacidad en el siglo XXI. 2019. 85 f. Dissertação (Mestrado) – Curso de Derecho de La Ciberseguridad y Entorno Digital, Facultad de Derecho, Universidad de León, León, 2019. Disponível em: https://drive.google.com/file/d/1LHzPT-am3BSqrAxuZ0DbFdPWB7iq1Ijm/view?usp=sharing. Acesso em: 21 maio 2020.

RODOTÀ, Stefano. A vida na sociedade de vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008.

SOARES, Ismar Oliveira. Educomunicação: o conceito, o profissional, a aplicação – contribuições para a reforma do Ensino Médio. São Paulo: Paulinas, 2011.

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679. Acesso em: 20 maio 2020.

Vazamentos famosos que vale a pena conferir

Banco de dados com informações da Netflix, LinkedIn, MySpace, Last.FM, Minecraft e YouPorn

Ano: 2017

Vazamento: 1,4 bilhão de dados

Cambridge Analytica (coleta de dados por meio de quizz no facebook)

Ano: 2018

Vazamento: 87 milhões de dados

MyHeritage (rede social de criação e manutenção de árvores genealógicas)

Ano: 2018

Vazamento: 92 milhões de dados

Banco Inter (banco/instituição financeira digital)

Anos: 2018 e 2019

Vazamento: 19 mil dados em 2018 e 1,45 milhões de dados em 2019

Netshoes (e-commerce de artigos esportivos)

Ano: 2017 a 2018

Vazamento: 2 milhões de dados

Verifications.io (empresa que fazia validação de e-mails para empresas de telemarketing)

Ano: 2019

Vazamento: 800 milhões de dados

OBS: https://haveibeenpwned.com/ (site para descobrir se o e-mail foi vazado)

Microsoft (fabricante de sistemas operacionais e produtos eletrônicos)

Ano: de 2005 a 2019

Vazamento: 250 milhões dados

Zoom (aplicativo para videoconferências)

Ano: 2020

Vazamento: 500 mil dados

Veja, em tempo real, um mapa de ciberameaças:

view-source:https://cybermap.kaspersky.com/pt/