Onde estamos

Al. Joaquim Eugênio de Lima, 680 - 1º andar - Jardim Paulista, São Paulo - SP

Entre em contato

Postado originalmente em: Jota

A legislação brasileira, desde a Constituição Federal de 1988, protege, mesmo que de maneira esparsa, a privacidade das pessoas, o que engloba, doutrinariamente, a proteção aos dados pessoais, independentemente do meio físico ou digital. Assim, a Carta Magna garante, dentre os direitos fundamentais previstos em seu artigo 5º, a inviolabilidade da intimidade e da vida privada.

Ao encontro do quanto estipulado pela Constituição Federal, o Código Civil,[1] o Código de Defesa do Consumidor,[2] e, mais recentemente, o Marco Civil da Internet,[3] disciplinaram de forma mais específica referida proteção, especialmente no que diz respeito ao último diploma ora mencionado.[4]

É a partir de referidas previsões legais que o conceito de privacy by design começa a ganhar relevância no ordenamento jurídico brasileiro, merecendo atenção especial dos desenvolvedores de aplicações.

A expressão foi cunhada na década 1990, por Ann Cavoukian, ex-comissária de Informação e Privacidade da Província de Ontário, no Canadá, correspondendo a uma forma de abordagem à proteção da privacidade, por meio da qual esta é incorporada diretamente às estruturas tecnológicas desenvolvidas, aos modelos de negócio e às infraestruturas físicas por eles utilizadas[5].

Ou seja, por referido conceito, a privacidade é incorporada à própria arquitetura dos sistemas e processos desenvolvidos, de modo a garantir, pela infraestrutura do serviço prestado, condições para que o usuário seja capaz de preservar e gerenciar sua privacidade e a coleta e tratamento de seus dados pessoais.

Na privacy by design, portanto, a proteção à privacidade advém da seguinte trilogia: (i) sistemas de tecnologia informação (IT systems); (ii) práticas negociais responsáveis (accountable business practices); e (iii) design físico e infraestrutura de rede (physical and networked infrastructure)[6].

Ainda, para atingir seus objetivos, o conceito em tela é fundado em sete princípios fundamentais: (i)Proactive not Reactive; Preventative not Remedial, pelo qual é adotada postura preventiva, de modo a evitar incidentes de violação à privacidade; (ii) Privacy as the Default Setting, pelo qual a configuração padrão de determinado sistema deve preservar a privacidade do usuário; (iii) Privacy Embedded into Design, pelo qual a privacidade deve estar incorporada à arquitetura de sistemas e modelos de negócio; (iv) Full Functionality — Positive-Sum, not Zero-Sum, pelo qual devem ser acomodados todos os interesses envolvidos, evitando falsas dicotomias que levam à mitigação de direitos; (v) End-to-End Security — Full Lifecycle Protection, vez que, na medida em que a segurança de dados é incorporada ao sistema antes da coleta de qualquer informação, esta é estendida para todo o ciclo de vida da informação; (vi) Visibility and Transparency — Keep it Open, pelo qual deve ser assegurado a todos os envolvidos que os sistemas e negócio são operacionalizados de acordo com as premissas e objetivos informados; e (vii) Respect for User Privacy — Keep it User-Centric, que exige que os operadores dos serviços respeitem os interesses dos usuários, mantendo altos padrões de privacidade.

Assim, embora ainda não expressamente previstos na lei brasileira, os princípios estabelecidos pela privacy by design estão de acordo com a ratio legis do Marco Civil da Internet no que concerne à proteção de dados pessoais, ao princípio da finalidade que rege seu tratamento e à necessidade de obtenção de consentimento do usuário para tal finalidade.

Privacy as the Default Setting, por exemplo, remete à exigência de obtenção de consentimento constante no Marco Civil, pois, ao estabelecer como configuração padrão a maior privacidade possível ao usuário, exige que a coleta de informações, como por meio de cookies, dependa de interação do usuário com o sistema e, portanto, de seu consentimento expresso[7].

O Decreto nº 8.771/2016, que regulamenta o Marco Civil, entre outros aspectos, aproxima ainda mais a legislação brasileira da privacy by design, ao estabelecer, em seu artigo 13, padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas[8], reforçando a importância da segurança dos dados e o respeito à privacidade dos usuários, por meio da adoção de medidas de tecnologia da informação e de práticas de negócio adequadas, estabelecendo a necessidade da criação de infraestrutura condizente com a preservação da privacidade dos usuários.

Por sua vez, o Projeto de Lei nº 5.276/2016, específico sobre proteção de dados pessoais, também se aproxima do conceito da privacy by design, especialmente no que diz respeito aos princípios da transparência, segurança e prevenção, indicados em seu artigo 6º, possuindo clara inspiração nas novas normatizações europeias[9], que, ampliando o quanto já disposto nos “Considerandos” da antiga diretiva de 1995[10], incorporam a concepção do instituto em estudo.

Assim, o novo Regulamento para a Proteção de Dados Pessoais europeu (Regulamento 2016/679 do Parlamento Europeu e do Conselho), que se encontra em período de vacatio legis e substituirá a Diretiva 45/96 em maio de 2018[11], também traz em seus “Considerandos” a necessidade de respeito aos conceitos de privacy by design e privacy by default[12], além de dedicar seu artigo 25 a estabelecer obrigações relacionas a referidos conceitos, indicando, entre elas, a necessidade de implementação de medidas técnicas e operacionais que, por padrão, restrinjam o processamento de dados àqueles necessários para o propósito específico para os quais foram coletados.[13]

O novo Regulamento europeu, portanto, indica a tendência evolutiva da legislação de incorporar expressamente obrigações decorrentes da privacy by design, sendo provável a expansão de tal tendência legislativa e de mercado ao Brasil, tornando-se cogente que os provedores de serviços de internet e demais empresas do mercado digital acompanhem a evolução normativa relacionada à privacidade e proteção de dados pessoais e os potenciais impactos em suas atividades empresariais e modelos de negócio.

[1] Inclui o direito à privacidade e à intimidade dentre os direitos da personalidade, conforme capítulo II, do Código Civil.

[2] Estabelece regras relacionadas à formação de bancos de dados referentes a consumidores, conforme Seção VI, do Capítulo V, do Código de Defesa do Consumidor.

[3] A Lei nº 12.965/2014, conhecida como Marco Civil da Internet (“MCI”), estabeleceu como um dos princípios do uso da internet no Brasil a proteção da privacidade e dos dados pessoais, conforme art. 3º, II e III, assim como, nos incisos do seu artigo 7º, disciplina os direitos e garantias dos internautas, dentre os quais a “inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação”, estabelecendo regras com o intuito de dar efetividade a referidas garantias.

[4] O MCI inovou ao determinar a necessidade de que provedores de serviços de internet forneçam aos seus usuários informações claras e completas acerca da coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, obtendo seu consentimento expresso para a realização de referidos atos, indicando, ainda, que dados pessoais e registros de conexão e de acesso a aplicações somente poderão ser compartilhados com terceiros mediante consentimento livre, expresso e informado do usuário.

[5] Como disponível em https://www.ipc.on.ca/english/Privacy/Introduction-to-PbD/. Acesso em 03.07.2016.

[6] Disponível em https://www.ipc.on.ca/images/Resources/7foundationalprinciples.pdf. Acesso em 03/07/2016.

[7] LIMA, Cíntia Rosa Pereira; BIONI, Bruno Ricardo. “A Proteção dos Dados Pessoais na Fase de Coleta: Apontamentos sobre a Adjetivação do Consentimento Implementado pelo Artigo 7, Incisos VIII e IX do Marco Marco Civil da Internet a partir da Human Computer Interaction e da Privacy By Default”. In Direitos & Internet III –Marco Civil da Internet. Tomo I. São Paulo: Quartier Latin, 2015. p. 281.

[8] Referido artigo do Decreto prevê, em seus incisos: (i) o estabelecimento de controle estrito sobre o acesso aos dados pessoais e registros coletados, mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso a tais informações; (ii) a previsão de mecanismos de autenticação de acesso aos registros, de modo a assegurar a individualização do responsável pelo tratamento dos registros; (iii) a criação de inventário detalhado dos acessos aos registros armazenados, contendo o momento, a duração, a identidade do responsável pelo acesso e o arquivo acessado; e (iv) o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

[9] Os textos oficiais do regulamento e da diretiva foram publicadas no Jornal Oficial da EU em 04 de maio de 2016. O Regulamento EU – 2016/679 será aplicável a partir de 25 de maio de 2018. Pela Diretiva EU – 2016/680, os Estados-Membros da UE têm até 06 de maio de 2018 para adequarem as suas Leis.

[10] Diretiva 95/46: ” Deliberando nos termos do procedimento previsto no artigo 189º B do Tratado (3),  (…) (46) Considerando que a protecção dos direitos e liberdades das pessoas em causa relativamente ao tratamento de dados pessoais exige que sejam tomadas medidas técnicas e organizacionais adequadas tanto aquando da concepção do sistema de tratamento como da realização do próprio tratamento, a fim de manter em especial a segurança e impedir assim qualquer tratamento não autorizado; que compete aos Estados-membros zelar por que os responsáveis pelo tratamento respeitem estas medidas; que estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos que o tratamento implica e a natureza dos dados a proteger;”

[11] Como informado em http://ec.europa.eu/justice/data-protection/. Acesso em 03.07.2016.

[12] Regulamento 2016/679: “Whereas: (…) (78) The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders.”

[13] Regulamento 2016/679: “Article 25. Data protection by design and by default. 1.Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

  1. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.
  2. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.”

Carla Segala Alves – Advogada, associada do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Especialista em Propriedade Intelectual pela Escola de Direito de São Paulo da Fundação Getúlio Vargas e pesquisadora externa no Grupo de Ensino e Pesquisa em Inovação – GEPI da Escola de Direito de São Paulo da Fundação Getúlio Vargas

Rony Vainzof – Advogado, sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados; Coordenador e Professor do MBA em Direito Eletrônico da Escola Paulista de Direito (EPD); Vice-Presidente do Conselho de IT Compliance e Educação Digital da Federação de Comércio/SP; Diretor do Departamento de Segurança (DESEG) da FIESP e Coordenador do Grupo de Trabalho de Segurança Cibernética; Integrante da Câmara de Segurança e Direitos na Internet do Comitê Gestor da Internet no Brasil; Secretário da Confederação Israelita do Brasil; Co-autor dos livros Marco Civil da Internet e Educação Digital

Share: