Governo brasileiro inicia consulta pública sobre anteprojeto de lei sobre privacidade e proteção de dados pessoais

 

ENGLISH ABSTRACT:

Brazilian Government Launches Public Consultation on New Data Protection Bill

The Brazilian government recently launched a public consultation about a new data protection legislative proposal.  Trailing Mexico and Uruguay, the proposal features broad information security and data breach notification obligations for data controllers.  In the meantime Phorm, the company that was lambasted in the United Kingdom two years ago for using “deep packet inspection” technology without obtaining Internet users’ consent and for that reason currently the subject of a two-year criminal investigation, is testing its tracking technology with two of Brazil’s largest ISPs.  We discuss why it is about time for Latin America’s largest economy to promote a public debate about privacy and come up with its own data protection and breach notification rules.

Qual a importância da Internet? Teria ela se tornado um ativo essencial em nossas vidas? Como seria o mundo atual caso ela não existisse? Quais são as reais repercussões dela em nossas vidas? Alguns autores já definiram “a Internet é o tecido de nossas vidas. Se a tecnologia da informação é hoje o que a eletricidade foi na Era Industrial, em nossa época a Internet poderia ser equiparada tanto a uma rede elétrica quanto ao motor elétrico, em razão de sua capacidade de distribuir a força da informação por todo o domínio da atividade humana.” (Manuel Castells, A Galáxia da Internet: reflexões sobre a internet, os negócios e a sociedade (2003), p. 7.)

"Privacidade" (Original title: "Sufocante" - Photo by Adriana Cecchi, February 16, 2010.)  Available at http://www.flickr.com/photos/drics/4509232674/ (Creative Commons "Attribution-NonCommercial-ShareAlike 2.0 Generic" license.)

"Privacidade" (Photo by Adriana Cecchi, Feb. 16, 2010)

Nessa esteira, o ato de realizar um clique pode ter reverberações que ultrapassam a maioria das expectativas do usuário descuidado. Através de um simples clique em uma página na Internet ou no enviar de uma mensagem eletrônica contratos milionários podem ser celebrados. Através de um clique contatos são feitos com pessoas do outro lado do mundo. Através de um clique nossa privacidade pode ser exposta e vidas podem ser destruídas. O clique se tornou um dos atos mais importantes da nossa sociedade. O grau de penetração das tecnologias da informação é tamanho que determinados setores da sociedade teriam que ser redesenhados – ou até desapareceriam – caso estas fossem abolidas.

No Brasil, todavia, apesar do crescimento pelo qual o país passa, ainda não temos legislação que trate adequadamente a matéria da proteção de dados pessoais, embora nossa constituição eleve a intimidade e a privacidade ao patamar de direito fundamental.

Uma das principais questões discutidas no âmbito da internet é a privacidade. O tema em si não é novo, mas atingiu dimensões inéditas. Anos atrás o termo “especialista em privacidade” era algo inexistente. Atualmente, existem experts atuando no mais variados ramos tendo por objeto de trabalho a manutenção da privacidade de empresas, pessoas e instituições. Vários países elaboraram leis que tratam especificamente sobre temas ligados a privacidade, como a proteção de dados, informações pessoais e falhas de segurança.

O Brasil recentemente  iniciou uma discussão pública sobre um anteprojeto de lei sobre privacidade e proteção de dados pessoais

No Brasil, país que irá em poucos anos sediar eventos como Copa do Mundo e as Olimpíadas, e que passa por uma explosão econômica exponencial, passando a ser um player na comunidade internacional, ainda não temos legislação específica sobre a temática, qual seja, proteção de dados pessoais. Leis esparsas, como o Código de Defesa do Consumidor, discorrem sobre temas como bancos de dados públicos e o direito de acesso a eles.  Todavia, a definição sobre o que estaria protegido pela esfera de privacidade e intimidade é incerta, o que leva as mais diversas interpretações por parte dos tribunais de nosso país, revelando uma insegurança jurídica que por vezes se demonstra prejudicial ao cidadão.

O Estado da California, nos EUA, em 2002, promulgou o California Security Breach Notification Act que obriga as empresas e instituições a revelarem eventuais vazamentos de informações que contenham dados de indivíduos, mesmo que nenhum dano decorrente da falha de segurança venha que ser comprovado. Esse corpo legislativo foi conseqüência direta de vários incidentes de grande monta que tornaram públicos desde simples nomes de pessoas clientes das empresas até registros médicos completos e dados de cartões de crédito. Caso a empresa não revele o acontecido, pode ser multada em valor proporcional a extensão do evento. A lei foi rapidamente reproduzida em mais de 46 Estados (lista de tudas as leis dos Estados Unidosde notificação de violação da segurança dos dados pessoais (en inglês)) e já é objeto de Diretiva 2009/136/EC da União Européia.

Na América Latina, a legislação de alguns países já abarca a proteção de dados pessoais. Argentina e Uruguai criaram órgãos nacionais específicos para lidar com o tema e contam com várias decisões judiciais nesse sentido. A proteção aos dados no país hermano se tornou política de Estado após o processo de revisão dos eventos da ditadura militar. Além disso dois  países, México e Uruguai, já dispõem de provisões que obrigam as empresas a notificar falhas da segurança dos dados pessoais.

O pais também é sobre o ponto de dispôr de uma legislação de notificação de falhas de segurança

No Brasil no caso de vazamento de informações confidenciais ou até mesmo dados pessoais de consumidores, não dispomos de uma legislação que obrigue as empresas a reportar tal incidente as autoridades ou a um órgão regulatório, o que somente agora começou a ser discutido. Eventual incidente somente chega ao conhecimento público quando algum dano oriundo do vazamento acontece. Isso se dá devido ao fato que nenhuma empresa ou instituição deseja trazer para si má publicidade, visto que a mera flutuação no sentimento que estas passam para o mercado pode ter repercussões econômicas catastróficas. Portanto, uma regulação sobre o correto tratamento dos dados e que metodologia deve ser aplicada em caso de falhas de segurança traria segurança jurídica não só para os cidadãos, mas também ao mercado.

O governo brasileiro iniciou a discussão pública no fim de novembro sobre um anteprojeto de lei sobre privacidade e proteção de dados pessoais, incluindo, entre as obrigações das entidades responsáveis pelo tratamento dos dados pessoais, como provedores de serviços de Internet ou que cadastrem dados sobre usuários, está a necessidade de informar ao Conselho Nacional de Proteção de Dados Pessoais, órgão ser funcionará como Autoridade de Garantia (Art. 38), entidade responsável por fiscalizar a aplicação da Lei de Proteção de Dados Pessoais, quando da ocorrência de uma falha de segurança (Art. 27), adequando, por maneira, o cenário legislativo brasileiro ao internacional.

Phorm, “deep packet inspection” e monitoração

O início da discussão de tal lei, se não tardia, veio em momento propício, quando a efervescência econômica do país atrai investimentos como os feitos pela empresa Phorm, que oferece aos provedores de acesso à Internet serviços conhecidos como “deep packet inspection”, capaz de ler e analisar pacotes de dados navegando pela Internet e podem ser usados para monitorar todas as atividades dos usuários. A título de exemplo, este tipo de protocolo é utilizado por agências de inteligência para espionar atividades suspeitas.

 

"Monitoração" (Orig. title: "Internet cafe". Photo by Jared; shot in Taipei, Taiwan, Nov. 8, 2004). Available at http://www.flickr.com/photos/generated/1475474/ (Creative Commons "Attribution 2.0 Generic" license.)

"Monitoração" (Photo by Jared, Nov. 8, 2004).

 

A companhia Phorm fechou contrato em março de 2010 com os maiores provedores de acesso à Internet do Brasil para que pudesse analisar as conexões dos seus usuários em troca de parte do lucro oriundo da publicidade orientada.

Como forma de garantia, a empresa fez um adiantamento de quase 10 milhões de reais. A parceria foi amplamente divulgada pela mídia brasileira e deu ensejo em junho a uma audiência no Senado Federal sobre a questão da privacidade na Internet. Todavia, nada foi finalizado e a empresa continua  atuar em território nacional. Em recente artigo do Wall Street Journal, o Diretor de Tecnologia do maior provedor de Internet do Brasil informou sobre o uso de tecnologia como as oferecidas pela Phorm:

Everyone is going to get there. It’s just a matter of timing.”

Um sentimento de falsa privacidade, ou de ausência desta

A Internet traz consigo um sentimento de falsa privacidade ou de ausência desta. Cada vez mais as pessoas publicam informações de natureza pessoal sem ter a mínima consciência dos danos que tais atos podem causar. O sentimento de privacidade vem sendo substituído pelo de sociabilidade. As novas gerações não mais carregam consigo a idéia de violação ao direito de privacidade, simplesmente por não compartilhar dele. A completa exposição tornou-se um dogma e estudiosos afirmam que no futuro todos teremos direito a “15 minutos de privacidade”. Somos campeões mundiais no uso de redes sociais. Em 2009, pesquisa informa que 67,9 milhões de pessoas declararam ter usado a Internet.

As repercussões jurídicas dessa exposição e da falta de segurança no manejo de dados pessoas são enormes. Todos os dias verificamos na mídia notícias de pessoas que tiveram identidades furtadas ou que foram alvo de difamações.

Somos o país que mais faz requisições de retirada de conteúdo ao Google e nosso poder judiciário está inundado de demandas que poderiam ser evitadas caso os usuários pensassem duas vezes antes de postar algo na Internet.

É necessária uma conscientização da população sobre o fato que atos na Internet têm repercussão no mundo real; dos nossos membros do legislativo e do executivo na feitura e aplicação de leis que protejam adequadamente dados pessoais e as esferas de privacidade e intimidade dos cidadãos; do judiciário, que precisa estar preparada para receber tais demandas; e o corpo jurídico que assessora empresas e pessoas deve ter conhecimento específico sobre a matéria.


Renato Leite Monteiro & Cédric Laurant


Documentos de referência:

Manuel Castells, A Galáxia da Internet: reflexões sobre a internet, os negócios e a sociedade. Tradução de Maria Luiza X. de A. Borges. Rio de Janeiro: Jorge Hazar Ed., 2003.

Leis:

– Brasil: Lei Nº 8.078, de 11 de setembro de 1990 – Dispõe sobre a proteção do consumidor e dá outras providências.

– Brasil: Anteprojeto de Lei: “Dispõe sobre a proteção de dados pessoais, a privacidade e dá outras providências” , novembro 2010.

– Argentina: Lei No. 25.326 de protección de los datos personales.

– Uruguai: Decreto No. 414/009 (31 agosto 2009).

– Estados Unidos: California Security Breach Information Act, SB 1386 (“An act to amend, renumber, and add Section 1798.82 of, and to add Section 1798.29 to, the Civil Code, relating to personal information”), 12 fevereiro 2002, Cal. Civ. Code 1798.82 and 1798.29.

Página Alfa-Redi de busca de legislações em América latina.

Blog do Ministério da Justiça: Debate Público: Proteção de Dados Pessoais (Novembro 2010).

Artigos:

– Steve Stecklow e Paul Sonne, “Shunned Profiling Technology on the Verge of Comeback”, Wall Sreet Journal, 24 novembro 2010.

– Douglas MacMillan, “Google Says Brazilian Officials Make Most Demands to Pull Content From Web”, Bloomberg, 21 setembro 2010.

“Audiência no Senado debate privacidade de usuários na web”, Folha.com, 30 junho 2010.

– Gilberto “Knuttz”, “A Oi Velox e a ameaça à sua privacidade”, CyberVida, 6 junho  2010.

– Bruno Ferrari e Camila Guimarães, “Um espião em seu computador”, Epoca, 3 junho 2010.

– Maija Palmer, “Phorm wins ad-tracking deals in Brazil”, Financial Times, 26 março 2010.

– Ralf Bendrath, “Global technology trends and national regulation: Explaining Variation in the Governance of Deep Packet Inspection”, 3 março 2009.


Share

Brazilian Government Launches Public Consultation on New Data Protection Bill
Comments
2 Responses to “Governo brasileiro inicia consulta pública sobre anteprojeto de lei sobre privacidade e proteção de dados pessoais”
  1. Espectacular blog, digamos que nao concordo com umas coisas que aqui disseste embora em aspecto geral até tens um bom ponto de vista!

  2. NEX-5N says:

    Eu gosto da valiosa informação que você fornecer em seus artigos. Vou marcar o seu blog e verifique novamente aqui regularmente. Tenho certeza de que vou aprender muitas coisas novas aqui mesmo! Melhor da sorte para os próximos!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 42,622 hits
%d bloggers like this: