Sumário:1. privacidade, 2. identificação, 3. radiofreqüência, 4. direito civil e penal, 5. legislação.6.Conclusão.
Resumo
A tecnologia de Identificação por Radiofreqüência, que utiliza sinais de rádio para a comunicação entre etiquetas eletrônicas com um leitor de identificação computadorizado, não possibilita apenas identificar qualquer objeto ou ser, mas também possibilita o rastreamento de diversas informações sobre a vida privada das pessoas, uma vez que os sinais de rádio transmitidos por etiquetas eletrônicas nem sempre são rastreados com o conhecimento do cidadão.
A falta de regulamentação legal do direito de privacidade, principal- mente frente ao desenvolvimento das tecnologias, incluindo a Identificação por Radiofreqüência, oportuna o abuso contra os direitos de personalidade do cidadão. A legislação brasileira, que constitucionalmente protege esse direito de privacidade, não especifica, entretanto, os detalhes necessários ao correto julgamento das violações deste direito. O direito brasileiro acaba entregando os julgamentos de privacidade à subjetividade das autoridades judiciárias.
Urge então o estabelecimento de normas capazes de proteger a privacidade quanto ao uso da Identificação por Radiofreqüência, por meio do envolvimento do Estado, dos operadores e representantes dos cidadãos, restabelecendo os limites entre o que é vida privada e o que é vida pública.
Acabar-se-á protegendo os direitos básicos do cidadão conforme as noções de democracia e direitos individuais conquistados recentemente no Brasil, se ocorrer uma análise cuidadosa do alcance de tal tecnologia e o estabelecimento de uma legislação capaz de coibir os abusos contra os direitos individuais, principalmente o de privacidade.
Palavras-chave: privacidade, identificação, radiofreqüência, direito civil e penal, legislação.
Abstract
The Radio Frequency Identification technology, which basically comprises the communication between eletronic tags and a computer-based scanner, allows not only for the identification of objects and individuals but also for tracking information related to the private life of those individuals who are either themselves tagged or carrying tagged objects. This may happen because the radio signals which are transmitted by electronic tags can be tracked without the knowledge of the individual.
In face of recent developments and uses of technologies, including the Radio Frequency Identification technology, the lack of a specific norm about privacy may cause abuse of civil rights. By one hand, the Brazilian laws have shown some concerns about the right of privacy. By the other hand, however, this legislation has not provided specific details on how the violation of such rights should be addressed. As such, the Brazilian legislation allows a subjective understanding and judgement of the matter.
The new developments in techonology urge the stablishment of norms and laws to protect the citizen’s privacy. It is even more urgent in the case of technologies which are already widely spreaded, as the Radio Frequency
Identification. In order to stablish those norms, the government, operators and controllers of systems based in such technology, as well as citizen’s representatives should be involved in this process. The main goal is to defining the limits between private and public life. After careful analisis of how this technology can affect the citizens, it is possible to stablish norms that prevent the abuses of the civil rights, specially the right of pivacy.
Such norms are desirable since they end up by protecting the basics rights of their citizens, according to the democratic rights and civil liberties which have been recently acquired in this country.
Keywords: privacy, identification, radiofrequency, civil rights, law.
Capítulo 1
Diante do surgimento contínuo e cada vez mais rápido de novas aplicações das tecnologias computacionais, o atendimento das demandas humanas deve ter prioridade sobre as possíveis aplicações de qualquer ferramenta. Por isso, a manutenção do respeito aos direitos da pessoa humana deve ser defendida tanto por meios tecnológicos como por meio da ciência jurídica. O respeito aos direitos individuais passa pelo respeito ao direito de privacidade. A privacidade, entretanto, encontra-se cada vez mais ameaçada. Internet, telefones celulares, radiotransmissores, tudo isso que se encontra cada vez mais presente nas atividades humanas pode ser usado para quebrar o direito de privacidade.
Dentre as tecnologias capazes de facilitar a exposição da vida privada de um cidadão está a Identificação por Radiofreqüência, que, como veremos no Capítulo 2 , é uma tecnologia resultante da junção da velha tecnologia do rádio com a tecnologia da computação moderna. Serão apresentadas a capacidade que esta tecnologia possui e as aplicações que pode encontrar em segurança, finanças, gestão de negócios, entre outros.
No Capítulo 3 será mostrado, porém, que, como toda tecnologia, a Identificação por Radiofreqüência tem seus reveses. Será exposto como esta tecnologia pode proporcionar a quebra de privacidade dos cidadãos e como isto poderia ocorrer em várias formas de aplicação desta tecnologia.
Mas saber como a Identificação por Radiofreqüência pode quebrar a privacidade é inútil se não se utilizar esta informação para defender os direitos do cidadão. Com este objetivo, os Capítulos 4 e 5 analisam o que já existe na legislação para proteger a privacidade e apresentam algumas sugestões para auxiliar a criação de uma possível lei específica sobre a Identificação por Radiofreqüência, informando quais destes pontos já estão elencados em legislações a serem votadas no Congresso Nacional.
O objetivo do presente trabalho é principalmente demonstrar que a disseminação de novas tecnologias deve ser antecipada pela compreensão dos impactos sociais que esta tecnologia causa, incluindo os impactos nos direitos do cidadão. Propõe-se que e legislação nacional proteja, frente ao desenvolvimento da tecnologia de informação, os direitos civis fundamentais e democráticos, principalmente os individuais. Deve-se direcionar os profissionais da computação a utilizar a tecnologia e o conhecimento de suas capacidades como ferramentas de proteção do estado democrático e dos direitos individuais.
O que motivou a presente análise foi a observação de que a tecnologia de Identificação por Radiofreqüência já vem sendo aplicada no Brasil sem que a população esteja ciente das implicações de seu uso em termos de responsabilidade sobre cessão de direitos de privacidade. O método utilizado foi o de análise bibliográfica de artigos, teses e palestras, bem como da legislação existente no Brasil e no exterior sobre o tema.
Espera-se que o trabalho contribua a análises críticas quanto ao uso disseminado de novas tecnologias, bem como as formas de sua implementação no cotidiano social.
Capítulo 2
A melhor forma de começar este estudo é entender o que é a tecnologia de Identificação por Radiofreqüência, também conhecida pela sigla RFID (do inglês Radio Frequency Identification), que é tida como solução para diversos problemas de identificação de objetos e de identificação pessoal, especialmente no que concerne à autenticação e confiabilidade do ente identificado.
De acordo com (Lockton e Rosenberg 2005), a RFID, no modo como é conhecida hoje, é atribuída ao trabalho de Charles Walton, que em 1973 patenteou um sistema com etiquetas eletrônicas e leitores. A pesquisa sobre a RFID é baseada na necessidade de identificar um objeto remoto. Um objeto pode ser reconhecido e identificado à distância, utilizando-se ondas de rádio que transmitem dados de identificação. Antes, entretanto da concessão da patente a Walton, a RFID já havia sido abordada em pesquisas militares durante a Segunda Grande Guerra. Durante a Segunda Guerra Mundial, os radares, que já eram capazes de informar a presença de aeronaves, não podiam, porém, identificar se estas aeronaves eram Aliadas ou do Eixo. Para solucionar este problema, foram colocados transponders nos aviões aliados. Transponder é um dispositivo que transmite um sinal específico do equipamento a ser identificado. Este sinal é capaz de informar qual é o avião detectado e qual sua localização, também por meio de ondas analógicas de rádio. Atualmente, a RFID é utilizada em aplicações não concebidas inicialmente pela Real Força Aérea Britânica
A RFID é uma forma de etiquetar eletronicamente qualquer objeto ou mesmo ser vivo. No ente a ser identificado é colocada uma etiqueta eletrônica, da qual são transmitidos os códigos de identificação. Geralmente este sinal consiste em números de identificação do objeto previamente configurados no sistema de identificação (Lockton e Rosenberg 2005). De fato, a tecnologia para RFID é bastante simples, sendo constituída de dois componentes básicos: uma etiqueta e um leitor. A etiqueta, geralmente um microprocessador, consiste de um circuito integrado, que armazena dados, e de uma antena transmissora. O leitor, também conhecido como scanner , possui uma antena receptora e transmissora de dados; um demodulador, que é responsável por transformar o sinal analógico de rádio em informações digitais; e o processador de informações, que irá lidar com os dados recebidos do objeto e verificar sua autenticidade (Lockton e Rosenberg 2005). A Figura 2.1 exibe um esquema gráfico com os componentes básicos. Alguns autores defendem que o leitor não deve ser assim chamado, uma vez que ele é a base do sistema. Do leitor são emitidos comandos para as etiquetas responderem; assim, para este segmento de autores, o leitor deveria ser chamado de estação base ou interrogador (Dominique 2005).
Após analisar as possibilidades de usos da RFID deve-se observar os possíveis inconvenientes que uma etiqueta eletrônica pode acarretar. Observando cada aplicação da RFID pode-se facilmente concluir que a privacidade do usuário é fortemente ameaçada.
Privacidade significa vida íntima, ou intimidade (Lima 2005 ). Mais precisamente, o conceito de privacidade pode ser entendido como aquilo que a pessoa vive individualmente, sem que isso seja dividido com a sociedade ou na vida pública. É na esfera privada que a pessoa exerce então os seus direitos de personalidade. Consiste assim a vida privada como o local onde a pessoa pode manter-se incógnita. Observa-se que o local onde o indivíduo exerce os direitos personalíssimos não se limita apenas à sua casa. O que o indivíduo compra, vende, os locais por onde circula, os indivíduos que o acompanham, o que faz daquilo que lhe pertence, tudo isso pode ser objeto do que uma pessoa considera parte de sua vida privada. Em outras palavras, parte de sua vida que a pessoa gostaria de manter oculta à coletividade.
No entanto, a RFID é capaz de expor muitas das atividades comuns dos indivíduos. Começando pelo uso da RFID como meio de identificação e autenticação pessoal, se a etiqueta eletrônica transmite não apenas a identificação, mas também a localização de um indivíduo, torna-se possível rastrear os passos de um indivíduo utilizando RFID. O fator agravante, relativo à identificação pessoal, é que, no caso de implantes, o indivíduo pode ser rastreado 24 horas por dia. Quando isso é utilizado exclusivamente para a segurança contra a criminalidade e incolumidade do usuário, esta capacidade se torna benéfica. Entretanto, definir padrões de segurança é uma atividade que deve ser realizada de maneira cuidadosa. Trata-se aqui do risco de que a definição de segurança ultrapasse o direito à privacidade.
Quem definiria os limites do que é seguro em oposição aos limites de vida privada? E com que interesse? Este é um quesito que exige amplo debate. Há de se lembrar que, na maioria dos casos, o usuário que compra um sistema do comércio de segurança, não foi o definidor deste conceito de segurança.
É quase impossível afastar a idéia de que mal utilizada, a identificação pessoal por RFID pode colocar usuários em uma situação de prisão sem grades. Ao contrário do que buscam os defensores de sistemas de segurança baseados na RFID, a tecnologia pode servir como instrumento de ameaça ao usuário. Em um possível cenário, governos totalitários podem obrigar cidadãos a utilizarem o sistema para observar possíveis atividades de oposição a estes regimes, quebrando também a privacidade destes indivíduos. Se o sistema escolhido for o de implantes em humanos, cabe ressaltar que a etiqueta só poderia então ser retirada por cirurgia.
Não somente a governos totalitários serve a utilização de tecnologias de identificação remota para controle da segurança do Estado. Há casos de implantes iniciados por entidades estatais do México que merece atenção.
Autoridades e oficiais do governo daquele país, a título da segurança contra criminosos, estão sendo etiquetados. A proposta do programa mexicano afirma que o usuário adere voluntariamente, após a sugestão do Estado, ao sistema remoto de identificação. Neste caso o cargo governamental que o indivíduo ocupa tem sido a base da argumentação de possível insegurança.
Nos Estados Unidos, em alegada defesa da democracia, os cidadãos têm seus e-mails e outras formas de comunicação rastreados. Utilizar a RFID como aliada neste rastreamento não seria nenhuma surpresa. Fica caracterizada como urgente a atenção que deve ser dada a programas como o TIA - Total Information Awareness , que pode ser traduzido como Conhecimento (ou Monitoramento) Total de Informações. Este programa do governo dos Estados Unidos busca centralizar informações de milhares de fontes possíveis para órgãos de segurança daquele país, a título de se proteger de eventuais terroristas. Este tipo de programa é alvo de preocupações de entidades de proteção de direitos civis nos Estados Unidos. O sistema do programa e as preocupações alegadas contra possíveis atos terroristas ocasionaram uma coleta de informações pessoais de cidadãos americanos em larga escala. Para concretizar uma vigilância total nos Estados Unidos, o crescimento do uso da RFID e o simples acréscimo de rotinas nos programas coletores de dados do TIA já seria suficiente. Não é à revelia que alguns representam o TIA graficamente por meio da Figura 3.1 , obtida em (ACLU 2004). A preocupação se justifica, já que, embora banido pelo congresso americano em 2003, foi anunciado recentemente que a Agência Nacional de Segurança daquele país estaria de fato implementando tal programa ( ACLU 2008).
O fato de obrigar cidadãos a utilizarem a tecnologia não se limita, entretanto, à ação de governos. Na verdade, os primeiros casos reportados de coerção à utilização de tecnologia implantável são atribuídos a empresas privadas, que têm aplicado a tecnologia na identificação funcional. Na certa, alguns indivíduos, mesmo que não queiram utilizar a tecnologia, acabam aceitando implantes para evitar um desgaste que poderia levar à perda de seus postos de trabalho. Em ambos os casos, ou seja, sugeridos/impostos por governos ou empresas, não estão claros os padrões de necessidade de identificação, segurança, enfim, os motivos reais do etiquetamento.
Após a apresentação sobre a RFID, vista nos capítulos anteriores, devemos questionar: como o direito brasileiro protege a privacidade? Ao contrário de outras nações, como a Grã-Bretanha, que não possui uma constituição escrita, o Brasil possui sim uma carta magna e a partir dela define-se a noção de direitos fundamentais do cidadão brasileiro. Desde a Revolução Francesa, a noção do respeito aos direitos individuais, entre eles o direito à privacidade, é bem difundido. Assim, no mundo ocidental, essa noção de respeito é característica intrínseca à maioria das legislações de suas nações.
Se no Brasil, por um lado, a noção do indivíduo público é afetada pelo passado colonial, o mesmo não ocorre com a vida privada (Vieira 2003). Ou seja, o direito à privacidade no Brasil ainda é visto como um direito fundamental a ser respeitado.
A Constituição Federal de 1988 diz, em seu artigo 5 , inciso X, "são in- o violáveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação". Este inciso constitucional demonstra como a privacidade faz parte dos direitos a serem protegidos, entre os demais direitos individuais. Segundo Victor Lima (Lima 2005), "o direito à privacidade pode encampar distintas ações objetivando cessar práticas lesivas e reparar danos patrimoniais e morais, visando sancionar todo tipo de divulgação indevida de informação sobra a privacidade alheia". Na Constituição Federal há outros incisos que buscam proteger a privacidade. Por exemplo, o inciso XI do mesmo artigo 5 defende que "a casa é o asilo inviolável do indivíduo, o ninguém nela podendo penetrar sem consentimento do morador, salvo em caso de agrante delito ou desastre, ou para prestar socorro, ou durante o dia, por determinação judicial". No inciso XII, é assegurado o sigilo de comunicações e telecomunicações.
O direito brasileiro vai ainda mais longe. No Código Civil, também se encontra um artigo no qual se busca proteger a privacidade. No artigo 21, Capítulo dos Direitos de Privacidade, estabelece-se que "a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma" (Lima 2005). Assim, mais uma vez a legislação ressalta que a privacidade é direito fundamental. Portanto, verifica-se que o direito brasileiro buscou assegurar limites de invasão de privacidade.
Entretanto, alguns juristas entendem que essa proteção não é eficaz.
Observam que se trata de norma genérica e que casos de violação de privacidade devem ser analisados um a um. "Adicionalmente a este fato, muitos juristas consideram que nem sempre é fácil definir a privacidade em situações concretas, e encaram a privacidade como um conceito eminentemente subjetivo, pois algumas pessoas não se sentem invadidas na sua intimidade ao serem observadas e até gostam disso" (Lima 2005). Além disso, "nem toda informação sobre a vida privada pode ser considerada ilícita (...) porque existe uma linha tênue entre o que pode ou não ser informado e inexiste legislação específica sobre o tema". (Savadintzky 2006). Assim, embora exista norma constitucional que visa proteger a privacidade, entende-se que o direito brasileiro ainda é ineficaz neste objetivo.
Mesmo, porém, que se leve em consideração que alguns indivíduos apreciem ver suas vidas expostas em virtude, por exemplo, de in uências da mídia, não há que se questionar que parcela de privacidade as pessoas querem expor. Ao contrário, deve-se procurar compreender qual parcela de suas vidas as pessoas querem manter privada. Com este entendimento, muitos juristas defendem que a privacidade pode ser definida "como uma faculdade inerente a todo e qualquer indivíduo de manter fora do alcance de terceiros o conhecimento sobre fatos inerentes a sua própria pessoa ou atividades particulares. Ou ainda, privacidade é o poder de controlar o que os outros podem saber sobre você" ( Lima 2005). Convém ser lembrado que o direito coletivo não se deve sobrepor ao individual, no entendimento brasileiro, salvo em casos de finalidade científica ou de segurança.
Entretanto, deve-se tomar cuidado com a crença de que a definição de privacidade é de fato vaga. O argumento baseado no fato de que a privacidade é definida de forma subjetiva pode ser utilizado como ferramenta para a exposição do cidadão e, portanto, para a violação de seus direitos.
Ainda em relação à definição de direito à privacidade, há também o entendimento de que este pode ser visto como o direito de separar as diferentes identidades de uma pessoa. Identidade pode ser definida a partir do modo de reconhecer alguém (Clarke 1994). Assim, separa-se, por exemplo, a identidade doméstica da identidade pública de um indivíduo.
Controla-se então o que pode ser conhecido de uma pessoa de acordo com os interesses do indivíduo frente ao papel social que exerce em determinado momento. Ao exercer um determinado papel social, o indivíduo controla a quantidade de informações que pode ser deduzida de outro papel social que desempenha. Pode-se portanto entender que há diferentes níveis de privacidade separados pelos diferentes contextos sociais freqüentados pelo indivíduo (Clarke 2006b).
Aprofundando, a identificação é um processo de reconhecimento. Para que haja identificação, ocorre antes a entificação (Clarke 2006a). Entificação é uma associação de uma marca a um ser (Rezende 2004). Por exemplo, associar uma assinatura a uma pessoa. Só depois pode ocorrer identificação, que seria o reconhecimento do ser. A entificação acarreta porém a existência de um conhecimento prévio de informações de identidade, que por conseqüência pode conduzir à idéia de que a privacidade seria também o poder de controlar a identificação.
No direito dos Estados Unidos, há normas mais específicas acerca da privacidade. Por exemplo, Right of Privacy, Freedom of Information, Family Educational Rights and Privacy Act , entre outros (Savadintzky 2006).
Ou seja, o direito americano busca especificar melhor os limites entre a liberdade da informação e direitos de privacidade e vida íntima. Entretanto, este não é o padrão nas legislações de diferentes países. Conforme Savadintzky (2006), o autor François Rigaux, em (Rigaux 2000), afirma que
"a jurisprudência americana faz a balança pender para o lado da liberdade de expressão, ao passo que o Tribunal Constitucional Federal Alemão parece mais atento ao direito de personalidade da vítima do caricaturista".
No caso britânico, onde o direito é determinado pelos costumes, é provável que certas ações consideradas no Brasil ou em outros países como violações da privacidade não sejam assim vistas na Grã-Bretanha, já que naquele país a subjetividade também é imperante na questão da privacidade.
Cabe destacar que mesmo que hajam normas específicas sobre privacidade, as legislações de diversos países não se encontram prontas para lidar com privacidade e tecnologia da informação. Entretanto, é certo que a conceituação do que é lícito ou ilícito em direito de informação e privacidade é urgente frente ao advento da utilização de tecnologias avançadas como a Identificação por Radiofreqüência.
É claro que a RFID não é a única tecnologia capaz de permitir a quebra de privacidade de usuários de sistemas computacionais. Por isso, muitos países têm buscado aperfeiçoar a sua legislação acerca do tema de coleta e controle de informações eletrônicas referentes a seus cidadãos, antes mesmo da disseminação mais ampla da RFID. Aliás, em alguns países esta preocupação já é bem antiga e antecede inclusive o surgimento da RFID em seu formato atual. O motivo, ressalta-se, é que a RFID é apenas mais uma tecnologia eletrônica capaz de gerar informações pessoais sobre os indivíduos. Assim, muitos países, após o advento e disseminação da computação se preocuparam em legislar acerca da proteção de dados pessoais frente à tecnologia da informação. Na próxima seção, são apresentados exemplos das propostas implementadas em alguns países (Zorzo e Grande 2006).
Na Seção 4.2 são apresentados alguns dos instrumentos legais do direito brasileiro, propostos e existentes, referentes à proteção do cidadão no que tange ao uso de tecnologias da informação.
4.1 Legislação em Outros Países
Nesta seção, apresenta-se brevemente tópicos referentes à abrangência das legislações de diversos países no que diz respeito à proteção do cidadão frente às tecnologias da informação. Dos países pesquisados, o México não possui nenhuma lei que trate diretamente da proteção de dados. Os demais casos são apresentados a seguir.
4.1.1 Chile
Primeiro país latino-americano a criar uma lei de proteção de dados (Lei 19.628 - Proteção de Dados de Caráter Pessoal, 1999), assegurando o acesso e o controle de dados pessoais.
4.1.2 Peru
A constituição (1993) determina a existência do direito de privacidade e proteção de dados. Em 2002, foi criada comissão para detalhar melhor a proteção de dados.
4.1.3 Estados Unidos
No texto constitucional não há especificação do direito à privacidade.
Entretanto há o Decreto de Privacidade, de 1974, que como já dito, trata especificamente do tema. Tal decreto restringe a coleta, o uso e a disseminação de informações por agências do governo. Porém, não há leis referentes ao setor privado, embora existam no congresso americano textos referentes ao tema.
4.1.4 Canadá
Dois decretos protegem a privacidade. O Decreto Federal de Privacidade (1982) e o Decreto de Informações Pessoais e Documentos Eletrônicos (2001). O decreto de 1982 é muito semelhante ao Decreto de Privacidade
dos Estados Unidos. Já o de 2001 estabelece dez princípios que as organizações devem respeitar no que concerne à coleta, uso, divulgação e armazenamento de dados pessoais.
4.1.5 Portugal
A constituição cobre o direito à privacidade e à proteção de dados. O cidadão tem o direito de saber quais são os dados armazenados ao seu respeito e o objetivo da coleta. O Decreto de Proteção de Dados Pessoais (1998) limita a coleta, uso e disseminação das informações pessoais. A Comissão Nacional de Proteção de Dados fiscaliza o setor.
4.1.6 Espanha
Existe o Decreto Espanhol para Proteção de Dados (1992). O decreto regula tanto setor público quanto o privado. O cidadão tem o direito de conhecer, corrigir e apagar os dados armazenados.
4.1.7 França
Na França também existe um Decreto de Proteção de Dados (1978). Este decreto regula os setores público e privado, como na Espanha. As empresas privadas que pretendem manipular dados dependem de autorização da Comissão Nacional de Informática e Liberdades.
4.1.8 Alemanha
Regulando também os setores público e privado, a Lei Federal de Proteção de Dados (2002) é a mais rigorosa da Europa, abordando coleta, uso, armazenamento, processamento e disseminação da informação. O órgão responsável pela fiscalização é a Comissão Federal de Proteção de Dados.
4.1.9 Japão
Existe o Decreto para Proteção de Dados Pessoais Processados por Computador e Armazenados por Órgãos Administrativos (1998) com regras para a segurança, acesso e atualização de dados. No mesmo ano em que este decreto entrou em vigor, foi criada uma entidade para supervisionar as empresas no respeito e proteção de dados pessoais dos consumidores.
4.1.10 Rússia
Na Lei sobre Informação, Informatização e Proteção da Informação, todo dado pessoal é considerado confidencial. Por isso, coleta, uso, processamento e disseminação de qualquer informação pessoal sem consentimento do indivíduo é proibido. Entretanto, uma lei federal deverá regular melhor aquilo que é considerado informação pessoal, o que ainda não foi feito.
4.1.11 Austrália
No Decreto de Privacidade (1988) estão elencados onze princípios que se aplicam ao setor público e ao setor privado, existindo ainda a Comissão Federal de Privacidade para a fiscalização do setor.
4.2 Legislação no Brasil
O que se pode observar é que o Brasil, embora com algumas falhas na legislação acerca da privacidade, não está inativo frente ao choque que a computação pode gerar na vida privada, naquilo que concerne à proteção da informação. Se por um lado não está o país inativo, por outro está caminhando a passos lentos. Até o mês de abril de 2008, o Projeto de Lei de Crimes Digitais não havia sido votado no Congresso Nacional. Um agravante maior, especialistas dizem que a referida lei possui tantas falhas, que na certa ocorreriam muitos casos de pessoas pagarem pelos crimes alheios, já que o projeto de lei não levou em conta diversas tecnologias e procedimentos que os criminosos podem utilizar para cometer crimes, por exemplo, como a identificação de outros na rede.
Em 1999, foi proposto o Projeto de Lei da Câmara dos Deputados nº 84, que descreve os crimes de informação que envolvem coleta, processamento e divulgação da informação. O projeto acabou por condensar propostas do Senado (Projeto de Lei do Senado nº 137 de 2000 e nº 76 de 2000). A forma final é apresentada no Projeto de Lei da Câmara n 89 de 2003. o O projeto inicial e suas posteriores apresentações referem-se a crimes de informática. Entre os pontos polêmicos, que acabaram por gerar discussões que têm postergado a votação do projeto, encontram-se questões referentes à privacidade. O projeto prevê, por exemplo, que haveria a obrigação de o usuário da internet se cadastrar junto aos provedores de e-mail com validação de acesso dos internautas com base em dados pessoais a cada conexão à rede. Além disso, os provedores seriam obrigados a manter os registros de acesso por no mínimo três anos. Positivamente o projeto prevê uma pena de dois a quatro anos de detenção para a obtenção indevida de dados nas redes de computadores; e pena de um a dois anos de detenção para violação ou divulgação indevida de dados privados na internet. Críticos da proposta consideram a exigência de cadastro e identificação um risco às liberdades civis, sendo ainda essa medida uma forma de "burocratizar" a rede. Defensores da proposta por sua vez dizem que, por outro lado, esta identificação obrigatória permitiria uma melhor identificação de criminosos da rede.
A Resolução 212 de novembro de 2006 do CONTRAN, citada no Capítulo 3 , também não é muito específica no que diz respeito à proteção da privacidade. Afirma, porém, em seu Anexo II, item 4, que " O SINIAV terá as seguintes características de segurança:
a. Segurança de integridade de dados da placa eletrônica: os dados de identificação da placa eletrônica nela gravados por seu fabricante, bem como os dados de identificação do veículo gravados pelo órgão executivo de trânsito do Estado ou do Distrito Federal, onde estiver registrado o veículo, conforme determina o Artigo 3º desta Resolução, devem possuir características de gravação tais que seja impossível alterá-los.
b. Segurança dos dados entre a placa eletrônica e antena leitora: devem ser utilizadas chaves de criptografia para autenticação da comunicação entre as placas eletrônicas e as antenas leitoras, ou outro meio que garanta a segurança necessária destes dados.
c. A arquitetura do SINIAV deve garantir a segurança das informações protegidas pelo sigilo de dados, nos termos da Constituição Federal e das leis que regulamentam a matéria".
É importante ressaltar que o texto insiste que os dados devem ser mantidos em sigilo. Tomando o sigilo como ferramenta auxiliar na manutenção da privacidade, há apenas uma proteção tênue na legislação sobre o SINIAV.
A violação dos dados não pode ser considerada crime, pois não se encontra indiscutivelmente definido o delito. O prejuízo resultante do vazamento de informações geralmente só é percebido a partir do uso indevido das informações ilegalmente obtidas, ou seja, após a ocorrência de tal prejuízo.
Além disso, em caso de vazamento de informações, tanto do SINIAV como de qualquer outro banco de dados, pode ocorrer dificuldade em identificar o responsável. Não sendo identificado o responsável, há problema em tipificar o crime. A dificuldade consiste em que a acusação de delito qualquer precisa de autor. Na esfera privada, sem a identificação do autor não há possibilidade de aplicação de pena. No entanto, se o banco de dados estiver em poder de órgão público, estaria caracterizada a falta de zelo com as informações. Há, neste caso, penalidades, ainda que pequenas, previstas na Lei 8.112 de 1990, que rege os direitos e obrigações do servidores públicos. Deve-se lembrar, contudo, que este regime não se aplica a qualquer órgão, pois alguns setores do governos não tem os servidores regidos por esta lei. Porém, a maioria dos regimes disciplinares prevê ferramentas semelhantes, inclusive em governos estaduais e municipais.
Se na visão de juristas, a proteção à privacidade é falha, conclui-se que se faz necessária uma lei mais específica acerca de privacidade e vida íntima no Brasil. Observa-se que, na forma atual, a legislação confere muitos dos casos judiciais sobre privacidade ao julgamento subjetivo das autoridades judiciárias (Savadintzky 2006).
Semelhante às legislações de alguns países, apresentadas na seção anterior, a legislação brasileira protege o direito de conhecimento de informações sobre um indivíduo, por parte do próprio cidadão, no texto constitucional. Trata-se mais uma vez do artigo 5º , no inciso LXXII, onde encontra-se que "conceder-se-á habeas data :
a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo".
Alguns juristas defendem que a figura do habeas data é fundamental na proteção da privacidade do cidadão brasileiro. Isso ocorreria porque se o cidadão pode retificar os dados, ele teria, pelo menos em parte, conhecimento das informações coletadas e mantidas a seu respeito. Figurando então como ferramenta de proteção da privacidade, tal mecanismo está referenciado também no Projeto de Lei 3.494 de 2000, que dispõe sobre proteção de dados e ritos processuais do habeas data.
Outra importante ferramenta legal para a proteção da privacidade seria o Mandado de Injunção. O inciso LXXI do artigo 5 da Constituição o brasileira determina que o Mandado de Injunção será concedido sempre que a falta de norma regulamentadora torne inviável o exercício dos direitos e liberdades constitucionais e das prerrogativas inerentes à nacionalidade, à soberania e à cidadania. Sendo a privacidade um direito fundamental, conforme determinado pela nossa Constituição, o Mandado de Injunção poderia ganhar destaque entre os mecanismos já existentes para a proteção deste direito. Já que as normas protetoras de privacidade no direito brasileiro são normas gerais, o que poderia ocasionar interpretações desfavoráveis aos direitos de um indivíduo, mandados de injunção poderiam preencher parte desta lacuna.
4.2.1 Norma Técnica
No campo das normas e diretrizes da área de sistemas de informação está a Norma Técnica 27.002 da Associação Brasileira de Normas Técnicas.
Essa diretriz estabelece alguns procedimentos para avaliação da segurança de dados, considerando que "a informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida". A privacidade depende em certo nível do não vazamento de informações.
Já em sua introdução, a diretriz recomenda que "seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente".
Estabelece, portanto, recomendação para quaisquer organizações detentoras de informação, incluindo aquelas que operam sistemas baseados na RFID, objeto deste trabalho.
Ressalvas são apresentadas na própria Norma, destacando-se que "esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes específicas para a organização. Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Além disto, controles adicionais e recomendações não incluídos nesta Norma podem ser necessários. Quando os documentos são desenvolvidos contendo controles ou recomendações adicionais, pode ser útil realizar uma referência cruzada para as seções desta Norma, onde aplicável, para facilitar a verificação da conformidade por auditores e parceiros do negócio". Em outras palavras, a Norma 27.002 pode em alguns pontos não ser suficiente para proteção adequada de privacidade.
Considerando-se o âmbito deste trabalho, cabe destacar, mais que os aspectos técnicos, os objetivos de proteção que a 27.002 estabelece. No campo da política de informação, o objetivo da Norma é "prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização". Nestes termos e nos dos apresentados no parágrafo anterior, a Norma prevê a adaptação de políticas de segurança de acordo com os objetivos de cada organização gestora/detentora de informações, impondo que tal política esteja de acordo com a legislação e as regulamentações relevantes para atividade da organização.
A Norma destaca ainda que "convém que todas as responsabilidades pela segurança da informação, estejam claramente definidas". Aqui, a Norma estabelece o grau de responsabilidade em eventuais vazamentos. Definições de responsabilidade, o papel de cada setor da organização, bem como aspectos procedimentais para avaliações periódicas da segurança de dados são normatizados na 27.002. Todo este aparato pode servir como ferramenta auxiliar na proteção da privacidade.
A proteção de informações é estabelecida pelo nível de confidencialidade do dado a ser protegido. Neste entendimento, a 27.002 orienta que "convém que os requisitos para confidencialidade ou acordos de não divulgação que re itam as necessidades da organização para a proteção da informação sejam identificados e analisados criticamente, de forma regular". Em detalhe, estabelece que "convém que os acordos de confidencialidade e de não divulgação considerem os requisitos para proteger as informações confidenciais, usando termos que são obrigados do ponto de vista legal". A Norma recomenda a definição explícita, em termos de confidencialidade ou não, da informação a ser protegida. Uma vez que a organização define o nível de confidencialidade da informação e se compromete legalmente a mantê-lo, existe respaldo jurídico para imputabilidade da organização em caso de vazamento.
As diretrizes apresentadas na 27.002 recomendam que o profissional de sistemas de informação observe as normas legais na proteção de dados. A 27.002 é uma orientadora, portanto, a ser seguida pelos profissionais para que cumpram tecnicamente aquilo que a lei estabelece. Assim, a proteção de dados sigilosos, que resulta em certa proteção da privacidade, também é responsabilidade destes profissionais e das organizações para as quais trabalham.
Mais uma vez, porém, têm-se apenas diretrizes. O profissional de sistemas de informação não será responsável por uso de informações que a lei não proteja. A 27.002 então, como ferramenta auxiliar depende de que a lei estabeleça os padrões de proteção de informações.
Logo, a lacuna existente na legislação de proteção de dados e de proteção da privacidade, pode ocasionar vários dos problemas possíveis apresentados no capítulo anterior. Diante do advento da RFID e da iminência de seus riscos de facilitar a violação de direitos fundamentais, urge a instalação de normas regulamentadoras do tema. A análise de algumas propostas relativas a esta necessidade será o tema do próximo capítulo.
