A Câmara dos Deputados precisa deliberar em breve, sobre as regras de proteção dos direitos à privacidade, no tratamento de dados pessoais na internet. Nesse momento ao menos dois textos se encontram em tramitação: o PL 5276/2016, elaborado no Ministério da Justiça e apensado ao PL 4060/2012, esse de autoria do Deputado Milton Monti.
Os referidos Projetos de Lei procuram regular um dos temas de maior importância da atualidade, não apenas no contexto da “nova” economia da sociedade da informação, mas sobretudo, para a conformação institucional da proteção dos direitos da personalidade humana nesse novo e ainda desconhecido contexto do ambiente virtual.
Há grande urgência no tratamento do tema. É cada vez mais barato coletar, manter, processar e transmitir grandes volumes de dados. De outro lado o ambiente digital inaugurado pelas redes sociais, virtualmente inundou a rede mundial de computadores com informações pessoais de usuários, seus interesses mais íntimos e outras informações individuais, muitas sensíveis. Celulares e outros dispositivos (como novos meios de pagamento, RFIDs, etc.) rastreiam usuários, mercadorias e, igualmente, inundam a internet de informações detalhadas sobre os hábitos, atividades e interesses dos usuários, cada vez mais facilmente identificáveis pelos critérios que interessarem ao “minerador” de dados brutos. Para piorar esse cenário assustador, proliferam pelos ambientes públicos e privados, câmeras de segurança coletando imagens de transeuntes e seus veículos, equipamentos que se prestam a tarefas cada vez mais sofisticadas de identificação, seja dos veículos, seja dos indivíduos, com a grave circunstância de que são alvo fácil de “hackers”, sempre que não façam parte de um sistema em que a segurança da informação não tenha sido definida “by design”, ou seja, sempre que a segurança não tenha sido projetada, antes da implantação, garantindo-se que todos os equipamentos envolvidos possuam as configurações necessárias para esse nível seguro de serviço.
Os grandes interesses comerciais em torno do tratamento dos dados pessoais de consumidores, portanto, tem impulsionado a preocupação com a proteção dos direitos da pessoa humana nesse cenário em que, virtualmente, milhões de pessoas “renunciam inadvertidamente” à sua privacidade, compartilhando sua vida privada em ambientes digitais amplamente rastreados e controlados, tendo tudo registrado, arquivado e, portanto, apto a ser acessado remotamente, agregado, processado ou tratado segundo qualquer critério que se queira.
Na dianteira desse processo a União Europeia editou, no ano passado, sua segunda geração de regras de proteção dos direitos individuais em matéria de tratamento de dados pessoais. E o fez adotando, simultaneamente, um Regulamento de vigência imediata, o Regulamento (EU) 2016/679, e a Diretiva (EU) 2016/680, ambas do Parlamento e do Conselho Europeus, publicadas em 27 de abril de 2016. Enquanto a Diretiva orienta os Parlamentos dos Estados membros sobre regras a internalizar nos sistemas nacionais para a proteção dos dados pessoais submetidos ao tratamento por Autoridades Públicas em atividades de prevenção, investigação, detecção ou repressão de infrações penais; o Regulamento tem vigência imediata, consolidando o regramento de proteção da circulação de dados pessoais em geral, passando a integrar imediatamente o sistema jurídico de todos os Estados Membros, revogando a Diretiva 95/46/CE, que vigorava desde 24 de outubro de 1995.
A atenção da União Europeia com o tema tem conduzido os debates mundo afora e tem servido para impulsionar a adoção de uma regulação no restante do planeta, dado que as empresas ou entidades atuantes no âmbito da União Europeia não podem realizar intercâmbio de dados pessoais com empresas ou entidades de países onde tais dados não tenham um nível de proteção adequado.
Embora a orientação mais remota desse movimento global seja atribuída às recomendações adotadas pela Organização de Cooperação e Desenvolvimento Econômico – OCDE, nos anos 80, o fato é que a Diretiva 95/46, da União Europeia, iniciou a concretização institucional desses princípios, não apenas por promover a adoção de legislações nacionais de seus Estados membros, mas também pelo fato de já haver estabelecido duas gerações de regulações acordadas com os Estados Unidos.
A primeira geração de regras foi concretizada ainda em 2000 e é conhecida como “Safe Harbour Privacy Principles”. Nela se prevê que as empresas americanas interessadas no intercambio de dados no ambiente europeu se submetiam a uma certificação de conformidade com os princípios e boas práticas empregados pela União Europeia nessa matéria. Essa estrutura normativa perdurou até 06 de outubro de 2015, quando a Corte de Justiça de União Europeia julgou invalido aquele arranjo, em caso aberto pelo cidadão austriaco Maximillian Schrems, com base da divulgação feita por Edward Snowden do fato de que Agências de Inteligência dos Estados Unidos mantinham ampla vigilância sobre todos os dados pessoais de cidadão americanos e estrangeiros, através do acesso “informal” e criminoso, aos servidores de empresas americanas de serviços como o Facebook, etc. Inevitável reconhecer que os Estados Unidos da América não mantinham um nível adequado de proteção aos dados pessoais dos seus cidadãos que pudesse merecer a confiança da Europa.
Em julho de 2016, entretanto, a União Europeia aprovou a versão final de um novo tratado com os Estados Unidos, conhecido como EU-US PRIVACY SHIELD, pelo qual se pretende garantir proteção mais efetiva à privacidade dos cidadãos europeus quando intercambiada para o outro lado do atlântico, através da reafirmação daqueles princípios anteriormente consagrados, aos quais se acrescentaram novos instrumentos que permitirão aos cidadãos que se julguem prejudicados, submeter suas queixas às empresas aderentes ao mecanismo. Isso passa a ser feito pela possibilidade de reclamações dirigidas à Autoridades de Proteção de Dados (como as existentes na Europa) ou organismos independentes de resolução de disputas indicadas e mantidas pelas empresas reclamadas. As reclamações ainda poderão alcançar o Departamento de Comércio ou a Comissão Federal de Comercio dos Estados Unidos e, no limite, serem submetidas a um mecanismo arbitral geral do tratado, o Privacy Shield panel. A cereja desse bolo, entretanto, é a instituição de um Ombudsperson, um funcionário de alto nível do Departamento de Estado Americano, desvinculado das Agências de Inteligência, com staff e autoridade para averiguar e remediar reclamações que envolvam a violação da privacidade sobre dados pessoais por ação de órgãos do poder público nos Estados Unidos. Não é garantia de solução mas é uma forma de dar uma expressão política de alto nível ao cidadão comum que seja alvo de violações à privacidade.
A liderança europeia na construção de um escudo de proteção do direito à privacidade, no novo ambiente digital, tem um fundamento histórico que não devemos perder de vista. Em meados do século passado a emergência do autoritarismo nazifascista deixou cicatrizes profundas por toda a Europa. A intolerância, a discriminação e a perseguição de comunidades inteiras de cidadãos europeus são uma lembrança ainda presente sobre o mal que pode se abater sobre as comunidades humanas e a gravidade da necessidade de se proteger a vida privada e se evitar a exposição da intimidade do indivíduo. Aqui o interesse público está e só pode estar na preservação do direito de cada um dos indivíduos. Cada indivíduo. Cada família. A possibilidade de se negar esse direito a um único indivíduo, sempre representará a submissão de todos à opressão.
Um exame das iniciativas em tramitação no Congresso Nacional revela que os textos refletem, em boa medida, o receituário institucional contido na Diretiva 95/46/CE - sobretudo o PL 5276/2016, bastante assentado sobre a estrutura daquele regramento Europeu. Por essa razão os textos referem-se a um “órgão competente” que, nos moldes das Autoridades Nacionais de Proteção de Dados Pessoais instituídas pelos Estados Membros da UE, deverá se encarregar da supervisão do cumprimento das medidas protetivas instituídas.
O referido “órgão competente”, entretanto, não chega a ser instituído, embora sua competência seja amplamente descrita pelo PL 5276/2016. Isso se deve, provavelmente, ao fato de que, para a criação de uma nova Agência Federal, a matéria teria que ser de iniciativa do Chefe do Poder Executivo, por envolver a criação de despesa orçamentária.
Como a experiência internacional revela, todavia, a instituição de “veículos institucionais” para a supervisão ou arbitramento de reclamações dos indivíduos prejudicados é imprescindível para garantir a operacionalidade prática do leque de direitos deferidos aos cidadãos.
À falta de meios para a instituição de uma Agência Autônoma para a implementação dessas tarefas, entretanto, abre-se espaço para a instituição de soluções alternativas como aquelas previstas no EU-US PRIVACY SHIELD. Refiro-me aos organismos independentes de resolução de disputas a serem indicados e mantidos pelas empresas que manipulam dados pessoais e que serviriam como alternativa para a solução rápida de conflitos suscitados pelos usuários. A reiteração dos temas tenderia a criar um parâmetro para as boas práticas do mercado, acelerando o processamento de críticas, sem impedir o intercâmbio de dados. Isso, naturalmente, sem prejuízo da possibilidade do emprego das competências institucionais já existentes para a defesa de direitos e para o acolhimento de representações contra o tratamento inadequado (e ilegal) de dados pessoais por parte de entidades públicas, bastando, para tanto, que a lei descreva com clareza o direito individual de autorizar, conhecer, retificar ou obter a eliminação de seus dados pessoais tratados por terceiros ou buscar a reparação decorrente do uso desviado, abusivo, inadequado ou, sob qualquer forma, violador da intimidade e da dignidade humana.
NOTA
O artigo do sócio Eduardo Augusto de Oliveira Ramires, publicado nesse Littera, foi também publicado na sua coluna no site Jota nesta quarta-feira, dia 22/02.