3.CONTROLE DA CIRCULAÇÃO DE INFORMAÇÕES PESSOAIS
3.1 Tutela da privacidade dos bancos de dados
A privacidade é um elemento da personalidade fundamental para a saúde mental do indivíduo. Merece ser tutelada integralmente pelo Estado, de maneira que a vida privada de seus cidadãos seja protegida e amparada.
Os bancos de dados, em muitos casos, violam esse direito.
A tutela repressiva, baseada na reparação (geralmente pecuniária) do dano causado não é a melhor forma de amparar os direitos da personalidade, pois essa forma de proteção não se adapta completamente ao direito que visa a proteger. O seu conteúdo não é patrimonial.
O caráter peculiar desse direito faz com que a tutela mais indicada seja a preventiva, impedindo que a ofensa à privacidade se consume, pois, uma vez atacada, dificilmente essa parte da personalidade do individuo será restituída ao seu status quo ante. Doutrinadores afirmam que, sem proteção preventiva, não há direitos da personalidade.
A proteção deve impedir a prática de violações, prevenindo o ilícito (a conduta anti-social de uma pessoa natural ou jurídica, que viola a privacidade).
Danilo Doneda assevera que a personalidade não corresponde a um direito, mas a um valor. Por isso deve ser tutelada integralmente, nas diversas situações existenciais. E continua:
A proteção da privacidade, elemento indissolúvel da personalidade, merece esta tutela integrada, sendo provavelmente um dos casos em que ela é mais necessária. A cotidiana redefinição de forças e meios que possibilitam a intromissão na esfera privada dos indivíduos demanda uma tutela de caráter incessantemente mutável. Face a miríade de possibilidades de manipulação de informações pessoais em bancos de dados informatizados, muitas delas originando alguma espécie de desnudamento de assuntos privados, sequer se pode pretender possuir a noção exata de seus efeitos quanto à privacidade. A única tutela eficaz é a dinâmica e integral. [44]
O direito à privacidade, atualmente, difere muito daquele conteúdo formulado no direito a estar só de Wareen e Brandeis. Os avanços tecnológicos mudaram a sociedade e o caráter de isolamento de sua teoria não encontra mais projeção na realidade.
Importantes inovações contribuem com a invasão à intimidade. Dentre elas, destacam-se a globalização, que remove limitações geográficas na troca de dados, sendo a Internet o mais conhecido exemplo de tecnologia global; a convergência, que elimina barreiras tecnológicas entre os sistemas de informação, que cada vez mais interagem uns com os outros, mesmo utilizando linguagens diferentes; e a utilização de multimídias, que fundem diferentes formas de transmissão e expressão de dados e imagens, de modo que a informação obtida de uma forma pode ser facilmente traduzida em outra. [45]
A tutela da vida privada deverá ser orientada por um novo marco, baseado em um novo "direito à autodeterminação informativa", para que apresente uma eficaz proteção a esse direito da personalidade.
Alessandro Bellavista propõe que há de se considerar uma transformação na definição do direito à privacidade, do "direito a ser deixado em paz" para o "direito a controlar o uso que outros fazem das informações que me digam respeito". [46]
3.2 Da necessidade de legislação específica
Além das disposições acerca da privacidade na Constituição Federal e no Código Civil, há também no ordenamento jurídico brasileiro regramento específico sobre os bancos de dados e cadastro de consumidores no Código de Defesa do Consumidor (lei 8.078/90), nos artigos 43 e 44.
O CDC inovou ao estabelecer que o consumidor tem livre acesso às informações existentes nos cadastros e poderá exigir a imediata correção de dados incorretos.
Os bancos de dados e cadastros relativos a consumidores passaram a ser considerados entidades de caráter público, o que possibilita a utilização do habeas data caso ocorra recusa no fornecimento de informações por parte do seu mantenedor.
Previsto no artigo 5º, inciso LXXII da Constituição, o habeas data pode ser enquadrado nos meios subjetivos de controle de dados pessoais, por iniciativa do interessado. Será concedido para assegurar o conhecimento de informações relativas à pessoa do impetrante, constante de registros ou bancos de dados de entidades governamentais ou de caráter público, assim como para retificar dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.
As medidas do CDC e do habeas data mostram-se limitadas ao controle de informações pessoais. O primeiro por estar restrito à área do consumo e, o segundo, por excluir da sua aplicação os bancos de dados privados e exigir prova da recusa da administração (ou outro entre) em fornecer a informação.
O exame da legislação pertinente demonstra que, até o momento, não há limites concretos estabelecidos a priori ao tratamento das informações pessoais pelos bancos de dados.
Todavia, há divergência de opiniões no que tange à necessidade de lei nova e específica no Brasil para a matéria, uma vez que, para alguns, o sistema jurídico em vigor seria suficiente para regular os conflitos emergentes neste campo.
A utilização do sistema atual é a atitude normal que o operador do direito toma diante das novas situações da vida. Patrícia Peck, analisando a privacidade na Internet, diz que
[...] não há lacuna jurídica no tocante à solução da privacidade na Internet. Há, sim, falta de entendimento quanto à aplicação de leis em vigor para questões relativamente novas, que exigem interpretação da norma e sua adequação ao caso concreto. Este é um princípio fundamental para aplicação do Direito, e, conseqüentemente, deve ser adotado também no Direito Digital. [47]
Parece razoável aplicar a receita que a autora preconiza para a privacidade na Internet para os bancos de dados informatizados, no sentido de que deve se aplicar o saber construído e a lei já existente. Tal argumento, entretanto, parece não ser o mais correto.
Neste sentido contrário, William Smith Kaku sustenta que
[...] tais situações e as soluções criadas foram desenvolvidas para um mundo que não poderia imaginar o que o ser humano tem agora à disposição com a tecnologia da informática. O seu uso aliado às telecomunicações ampliou o espaço e modificou o tempo de ação dos seus usuários tanto para conseqüências prejudiciais como benéficas para a sociedade e a individualidade de cada um [...]. O sistema jurídico, ao lidar com tal realidade, que é virtual como efeito da tecnologia, mas concreto em seus efeitos no mundo da vida, há que considerar todos esses fatores, observando que um agente pode praticar atos nessa esfera e produzir efeitos jurídicos em qualquer parte do planeta. O desconhecimento técnico do funcionamento do mundo virtual e do grande desenvolvimento da tecnologia desse meio também obstaculiza a perfeita visão dos perigos que se quer evitar através do sistema jurídico. [48]
Na mesma corrente, Danilo Doneda conclui com propriedade:
O exame do ordenamento jurídico brasileiro indica a ausência de mecanismos capazes de proporcionar eficaz proteção da privacidade de informações privadas quando processadas por meios informatizados. Assim, a delimitação deste problema e da fixação de parâmetros para uma eficaz regulação jurídica é uma providência fundamental, perfeitamente inserida na rediscussão contemporânea do direito civil. [49]
3.3 Modelos legislativos
Há basicamente dois tipos de legislação nessa matéria.
O primeiro, adotado pela União Européia e outros países, é o de uma lei abrangente, regulando a coleta, armazenamento e uso de dados pessoais, tanto para o setor privado como para o público. [50] Mantém em alta conta os valores da pessoa humana.
Tal abrangência é regulada pela Diretriz 95/46/CE [51] que objetiva harmonizar a legislação dos diferentes países membros garantindo um nível consistente de proteção aos dados pessoais e regulando sua transferência pelos países da Comunidade. Os direitos dos cidadãos são mencionados explicitamente e cada país terá uma agência regulatória independente.
A diretiva obriga os países membros a assegurar que as informações pessoais concernentes a cidadãos europeus deverão ter o mesmo nível de segurança quando exportadas e processadas em outros países que não sejam membros da Comunidade Européia. Essa exigência causou um aumento na pressão internacional para que a privacidade de dados seja regulada nos demais países, pois aqueles que se recusarem a adotar políticas de proteção de dados adequadas poderão ser impedidos de trocar certos tipos de informações com a Europa, principalmente aquelas que envolvam dados sensíveis.
Alguns creditam a importância que o continente dispensa à privacidade eletrônica à experiência nazista alemã nas décadas de 30 e 40. A polícia secreta de Hitler utilizava, nos países invadidos, os cadastros governamentais e de entidades privadas, com o propósito de identificar os indivíduos que apresentavam maior ameaça à ocupação germânica. A Europa do pós-guerra percebeu então o perigo de permitir que informações privadas potencialmente danosas fossem coletadas, mesmo que por governos democráticos.
Países de outras regiões estão criando ou revisando legislações para assegurar que suas relações comerciais internacionais com a Europa não sejam atingidas pelas normas da diretiva
Adotado pelos Estados Unidos e outros países, o segundo modelo legislativo é bastante sensível às necessidades comerciais e econômicas da utilização dos dados pessoais informatizados, partindo do princípio de que o processamento de dados pessoais estaria permitido, salvo quando expressamente disposto o contrário. [52] Evita uma legislação geral, preferindo um regramento específico para cada setor como, por exemplo, dados de locação de vídeos ou privacidade financeira. Uma das desvantagens desse tipo legislativo é que, como é necessária uma regra para cada fato, uma nova lei deve ser introduzida no sistema para regular cada nova tecnologia, de forma que o sistema está sempre atrás dos avanços tecnológicos. Nos EUA não há, por exemplo, lei sobre a privacidade na internet. Percebe-se igualmente uma tendência de auto-regulamentação, na qual as empresas aderem a um código de conduta e policiam suas atividades. Tal prática tem se mostrado pouco eficaz na proteção dos dados.
3.4 Propostas regulatórias
A preocupação com o trânsito de informações pessoais é mundial e o Brasil precisa coadunar-se com os avanços legislativos internacionais, ainda que esteja excluído do bloco dos países que compõem a vanguarda tecnológica e lideram a produção das tecnologias de informação.
De acordo com o relatório de abril de 2004 da organização independente Privacy International [53] o Brasil está classificado entre os países nos quais "pendem esforços para promulgar lei" que proteja os dados pessoais, juntamente com a Rússia, Peru e México, entre outros.
Na América Latina, somente o Chile e a Argentina estão no grupo no qual existe "lei abrangente sobre a proteção de dados promulgada", juntamente, por exemplo, com a União Européia, Canadá e Austrália.
A União Européia reconheceu, em decisão emitida em junho de 2003, que a Argentina fornece um adequado nível de proteção aos dados pessoais de seus cidadãos. Esta medida, tomada em consonância com a referida diretiva sobre proteção de dados, permite que as informações pessoais contidas em bases de dados de empresas e órgãos públicos europeus sejam transferidas para entidades sediadas na Argentina, sem necessidade de outras garantias. Confere maior segurança às empresas da União Européia, além de contribuir para o livre fluxo das informações, o que implica na facilitação das relações comerciais entre eles. A Argentina foi o primeiro país da América Latina a ser considerado um "país adequado" do ponto de vista da proteção de dados. A comissão européia encarregada do reconhecimento, em nota oficial, enfatizou que espera que a decisão sirva de estímulo aos demais países da região, para que dimensionem os direitos individuais relacionados à proteção de dados pessoais.
O Legislativo brasileiro fez várias proposições com relação à privacidade e bancos de dados.
Destaca-se o Projeto de Lei 3660/2000, que regula a privacidade de dados e a relação entre usuários, provedores e portais em redes eletrônicas, que está tramitando na Comissão de Ciência e Tecnologia, Comunicação e Informática.
Outro exemplo é o PL 3494/2000 que dispõe sobre a estruturação e o uso de bancos de dados sobre a pessoa e disciplina o rito processual do habeas data, atualmente na Comissão de Constituição e Justiça e de Cidadania.
Esta proposta define dado pessoal como
a representação de fatos, juízos ou situações referentes a uma pessoa física ou jurídica, passível de ser captada, armazenada, processada ou transmitida, por meios informatizados ou não.
Também define o que vem a ser banco de dados de caráter público, diferencia os dados de acesso restrito, declara a propriedade dos dados de identificação pessoal a seu titular, confere responsabilidade ao usuário ou gestor pelas modificações que efetuar nas informações mantidas no banco de dados, garante ao titular ou ao representante legal o direito ao acesso e correção dos dados pessoais, além de disciplinar todo o procedimento do habeas data.
O inciso VIII do artigo 2º define dados de acesso restrito como
dados pessoais que se referem à raça, opiniões políticas e religiosas, crenças e ideologia, saúde física e mental, vida sexual, registros policiais, assuntos familiares, profissão e outros que a Lei assim definir, não podendo ser divulgados ou utilizados para finalidade distinta da que motivou a estruturação do banco de dados, salvo por ordem judicial ou com anuência expressa do titular ou seu representante legal.
O projeto passou por todos os trâmites legais no Senado Federal, tendo sido aprovado em caráter terminativo pela Comissão de Constituição, Justiça e Cidadania, com o argumento de que "com o crescimento quase ilimitado das redes de comunicação de dados e dos meios de armazenamentos de informações, passam a ser passíveis de vigilância e intrusão grande parte dos atos corriqueiros do cidadão". [54]
3.4.1 Princípios orientadores
As regras sobre a proteção de informações surgidas a partir da década de 80 refletem a imensa proliferação dos bancos de dados, bem como a necessidade de uma tutela flexível, impossível de ser estabelecida por leis que se pretendam definitivas, dada a dinâmica do avanço tecnológico. Nesta legislação [55] é possível identificar alguns princípios comuns, presentes em diversos graus. [56]
Pelo princípio da publicidade, a obtenção de informações pessoais deve ser realizada com honestidade; a existência dos bancos deve ser de conhecimento público ou os envolvidos que tenham dados pessoais utilizados devem estar cientes de sua inclusão.
O princípio da finalidade assevera que toda informação deve ser usada somente para o objetivo específico original, assim como deve ser adequada, relevante e não excessiva a esse propósito.
De acordo com o princípio do livre acesso, o banco de dados deve ser acessível ao sujeito a que se refere, que tem a possibilidade de controlá-las: corrigi-las, atualizá-las ou suprimir as impertinentes.
Por derradeiro, o princípio da segurança física e lógica, preconiza que a informação deve ser armazenada com segurança e destruída após seus objetivos terem sido satisfeitos. O administrador do banco de dados é o responsável pela sua proteção contra os riscos de seu extravio, destruição, modificação, transmissão ou acesso não autorizado.
