Notícias

Senado: Lei vai coibir violação e mau uso de dados

11-07-2018

Regras valem para o mundo analógico e para a rede mundial de computadores

No dia a dia, o brasileiro é solicitado a fornecer uma série de dados pessoais, que incluem até mesmo contracheques e extratos bancários, para verificação da sua capacidade de pagamento. Com o pé em práticas que já expunham a privacidade dos cidadãos no mundo analógico, o país chegou à era do chamado big data e da rastreabilidade agressiva sem uma lei que proteja os dados pessoais de seus habitantes.

Instados a se relacionar com um gigantesco sistema de armazenamento, classificação, transmissão e mesmo comercialização de dados, as chamadas pessoas naturais estão vulneráveis: seus hábitos, preferências de consumo, características étnicas, posições políticas, condições de saúde, orientação sexual, patrimônio, situação creditícia e muitos outros aspectos são observados, coletados e “tratados” para diversos usos, incluindo estratégias de venda e direcionamento de propaganda eleitoral.

A coleta pode ser feita de maneira mais ou menos clara, como quando um internauta permite o acesso a seus dados para entrar em aplicações na internet ou disponibiliza a localização do aparelho celular. No entanto, muitos não percebem, por exemplo, que as fotos que tiram no celular estão sendo armazenadas pelo Google numa nuvem por causa de uma sincronização disponível no aplicativo de fotos da empresa. Nem quando a coleta é feita por órgãos públicos é possível ter a certeza de que o sigilo será mantido.

Não muito tempo depois do escândalo da venda de dados de usuários do Facebook à empresa Cambridge Analytics, o Serviço Federal de Processamento de Dados (Serpro), empresa ligada ao Ministério da Fazenda, viu-se envolvido numa acusação de comercialização de dados pessoais sob sua responsabilidade.

O Senado não só analisa o caso, por meio da Comissão de Transparência, Governança, Fiscalização e Controle e Defesa do Consumidor (CTFC), como acaba de aprovar e enviar à sanção presidencial um projeto para disciplinar o relacionamento de responsáveis por bancos de dados com as pessoas físicas. Em 65 artigos, o PLC 53/2018 estabelece uma série de restrições para instituições privadas e públicas que armazenem ou vierem a armazenar dados de internautas, consumidores, partes em um contrato, usuários de serviços públicos ou alvos de políticas públicas (ver infografia mais abaixo).

Para o relator da matéria na Comissão de Assuntos Econômicos (CAE), senador Ricardo Ferraço (PSDB-ES), o assunto é tão urgente que ele preferiu apresentar um relatório a projeto de autoria do deputado Milton Monti (PR-SP) e arquivar matérias sobre o mesmo assunto com origem no Senado.

“Foi um debate feito de modo concomitante na Câmara e no Senado. Ao longo desse processo, dialogamos muito e os textos se aproximaram. A proposição votada na Câmara se aproximou muito do que queríamos aqui, por isso nossas emendas são apenas para aprimorar a técnica legislativa”, explicou Ferraço quando da aprovação da matéria na CAE, no dia 3.

Na ocasião, ele observou que, para a maioria das pessoas, a proteção de dados pessoais é vista de forma simplificada, como mera exposição em redes sociais ou na internet, de modo geral. Porém, a questão vai muito além: o senador deu um exemplo de como essas informações podem impactar decisões empresariais na relação comercial com consumidores. É o caso, por exemplo, da definição do valor de passagens aéreas com base na localização geográfica do cidadão, prática conhecida como geopricing (precificação geográfica). Recentemente, segundo ele, uma grande empresa argentina de turismo foi multada por essa conduta abusiva.

A exposição a que Ferraço se referiu cresce com o acesso dos brasileiros à internet. Segundo o Instituto Brasileiro de Geografia e Estatística (IBGE), 70,5% dos domicílios estavam conectados à rede em 2017. Em 92,7% das residências, pelo menos um morador possuía telefone celular, enquanto o telefone fixo era encontrado em apenas 32,1% — um sinal de queda na privacidade.

Com o crescimento do acesso à internet via telefone celular, de 60,3% dos domicílios em 2016 para 69% em 2017, cresce também a utilização desse instrumento para compras, pagamentos, homologações, além de navegação pelas redes sociais. Logo, o consumidor fica mais exposto ao fornecer número de CPF, telefone, endereço e outros dados pessoais, que podem ser utilizados de forma inadequada.

Em maio de 2015, a NET demitiu um atendente por ter assediado, pelo aplicativo Whatsapp, a jornalista Ana Prado depois de esta ter recusado uma oferta de pacote pelo telefone. O texto enviado pelo então funcionário falava de sua curiosidade em relação à voz da jornalista, e, em determinada altura, mencionava o fato de os atendentes terem acesso a “todos os dados dos clientes”. Ele também tratou com ironia a reclamação dela de invasão de privacidade e a desafiou a processá-lo. Em nota oficial, a NET informou sobre a demissão, o registro de uma ocorrência policial e a abertura de um canal de denúncias.

Em maio deste ano, entrou em vigor o chamado Regulamento Geral sobre a Proteção de Dados na União Europeia. Este documento estipula uma série de regras sobre como empresas e órgãos públicos devem lidar com os dados pessoais da população. Os dados pessoais apenas devem ser tratados se a finalidade não puder ser atingida por outros meios. E, sempre que possível, é preferível utilizar dados anônimos.

Quem desrespeitar as regras pode pagar multas que vão de 10 milhões de euros (cerca de R$ 43 milhões) até 20 milhões de euros (quase R$ 86 milhões). A multa prevista no PLC 53/2018 é de no máximo R$ 50 milhões por infração.

Conforme o ministro-conselheiro da embaixada da União Europeia no Brasil, Carlos Oliveira, o Brasil é um aliado nessa discussão, já que a segurança da informação ultrapassa fronteiras. Ele chama a atenção para o fato de o país permitir que dados sejam usados para análise de crédito.

— A legislação na União Europeia não coloca fim a esses procedimentos, mas impõe rigor quanto à sua indevida utilização — esclareceu.

Apesar de não ser muito perceptível a curto prazo, Carlos Oliveira afirma que regras claras quanto ao uso de dados protege cidadãos e diminui a vulnerabilidade das empresas. Segundo ele, até o desenvolvimento de modelos de negócios é mais seguro quando tem embasamento jurídico e enquadramento nas normas legalmente aceitas.

Período eleitoral

O professor do Instituto de Direito Público (IDP) e membro do Centro de Direito Internet e Sociedade Alexandre Sankievicz critica a demora do Brasil em estabelecer regras claras para o uso de dados pessoais, enquanto países como Uruguai, Chile e Argentina já o fizeram. Segundo ele, roubos de dados, casos de intolerância e vários crimes cibernéticos somente passaram a receber atenção recentemente no Brasil. Para o especialista, além de proteger os dados dos cidadãos, é preciso combater notícias falsas e a disseminação do ódio na internet.

— A década de 1990, quando o serviço se expandiu para toda a população, foi uma época em que a rede era vista e usada de forma romântica, tratada como um mundo à parte, livre e com regras definidas pelos próprios usuários. Continua sendo um instrumento fantástico, de comunicação direta entre as pessoas, mas hoje com muito mais percepção dos riscos, principalmente relacionados às questões de privacidade e pornografia infantil — ressaltou.

Outra preocupação em relação à insegurança na rede refere-se ao período eleitoral que se aproxima. Isso porque a divulgação indevida de dados pessoais também aumenta as chances de difusão de notícias falsas — ou fake news. Candidatos mal-intencionados podem colocar em risco a credibilidade do pleito ao manipular fatos e direcionar eleitores pré-selecionados. Segundo Sankievicz, apesar de ser um problema comprovado, não é de simples solução porque todas as alternativas encontram barreiras na probabilidade de censura.

— Antigamente, os governos recorriam à supressão da informação. Como é difícil suprimir a informação na internet hoje, as táticas mudaram. Agora, a tentativa é desviar a atenção do usuário, por meio do descrédito, combatendo a informação verdadeira por meio da desinformação. Quanto mais sensacionalista, maior o poder de disseminação, e isso se agrava pela falsa sensação de segurança e anonimato na rede — destaca.

Sankievicz lembra que muitos crimes cibernéticos já têm penalidades previstas no Código Penal. Mas ressalta que, devido à maior capacidade de disseminação e de danos às pessoas, essas condutas podem ter penas agravadas. Para ele, uma legislação de qualidade é a melhor ferramenta para evitar que informações pessoais sejam mal utilizadas, causando prejuízos difíceis de corrigir depois.

O senador Ricardo Ferraço negou que o PLC 53/2018 traga algum tipo de amarra para as empresas. Segundo ele, trata-se apenas de conjunto de normas, limites e consequências para quem insiste em continuar achando que a internet é um mundo sem regras, onde vale tudo. Na fase de debates, houve apoio de todos os senadores, que consideraram importante o Brasil se juntar a outros países que já aprovaram suas normas sobre o tema.

Segundo a assessoria do senador, qualquer dado pode ser considerado pessoal. Para exigir o contracheque, por exemplo, a empresa terá de informar para quê quer o documento, como vai utilizá-lo e garantir que ficará em local seguro. Isso vale para qualquer outro dado, que tem de estar protegido do ataque de hackers e funcionários displicentes ou mal intencionados, como o ex-atendente da NET.

Transformado em lei, o projeto foi redigido de modo a garantir ao titular dos dados a possibilidade de verificar as condições de segurança oferecidas por quem os coletou por meio da exigência de um relatório. Movidas pelos limites impostos na Europa, empresas como o Facebook já permitem que o usuário faça o download de todos os seus dados armazenados.

A assessoria de Ferraço frisa que companhias, instituições e pessoas físicas só poderão exigir um dado se comprovarem a real necessidade e a compatibilidade entre a exigência e os fins a que se destina. Portanto, o cidadão poderá questionar se a exigência do dado não seria um excesso. Mesmo em setores sensíveis como o financeiro, que lida com o risco de crédito. Daí a insatisfação dos bancos e seguradoras que apresentaram propostas de alteração do PLC.

O projeto traz regras específicas para a interação de aplicações da internet com crianças e adolescentes, que se baseiam nos mesmos princípios gerais da necessidade e da compatibilidade. Se o menor de idade entra na rede para jogar palavras cruzadas, dele não se poderá pedir, por exemplo, que forneça acesso à lista de contatos, à localização, à câmera e ao microfone. O sigilo de alguns dados dos pais poderá ser quebrado para alertá-los sobre contatos inconvenientes na web.

Apoios

Representantes dos setores acadêmico, industrial, de serviços, do comércio e de defesa do consumidor defenderam a aprovação rápida do projeto, sem novas modificações, a fim de que o texto não voltasse à Câmara dos Deputados. Segundo eles, a proposição representa um avanço e alinhará o Brasil a outros países que já aprovaram legislações sobre o assunto.

“O PLC 53 é um resultado possível e maduro. Não é o texto que a sociedade civil desejaria em todos os sentidos, mas é adequado ao contexto tecnológico, não engessa a inovação e concilia direitos dos titulares dos dados e de empresas”, opinou a jornalista Bia Barbosa, coordenadora do coletivo Intervozes e integrante da Coalizão Direitos na Rede.

Os representantes da Associação Brasileira das Empresas de TI e Comunicação, Sérgio Paulo Galindo, e do Instituto Brasileiro de Defesa do Consumidor (Idec), Igor Britto, informaram que estão satisfeitos com o texto final do projeto aprovado na Câmara e acreditam que novas alterações podem desconstruir o trabalho feito até aqui.

“O PLC 53 é fruto de um debate que ocorreu em paralelo nas duas Casas legislativas. Isso causou um ciclo virtuoso, com influências recíprocas. Há espaço para emendas de redação, mas assuntos particulares podem ser tratados por outros instrumentos do próprio Legislativo. Até porque há vacatio legis [prazo para a lei entra em vigor] de 18 meses”, disse Galindo.

A professora da Universidade de Brasília (UnB) Laura Schertel disse estar surpresa com o nível de maturidade atingido pelo assunto no Parlamento e vê riscos se a atual oportunidade de votação não for aproveitada.

“Não temos uma regulamentação geral sobre dados pessoais. Temos o código de Defesa do Consumidor, a Lei de Defesa da Concorrência e não temos como se dá o fluxo de informação. Com isso, todos saem perdendo, não só os cidadãos, mas empresas e o Estado porque não sabem qual o limite do compartilhamento de dados”, observou.

Outras opiniões

O assunto motiva muitos outros brasileiros. E o encaminhamento das opiniões e sugestões pode ser feito por meio do portal e-Cidadania.

Robert Wagner, por exemplo, critica o fato de o governo obrigar operadoras de telefonia a armazenar os históricos de navegação de internet de todas as pessoas por um período de 3 anos sem prévia autorização judicial. Segundo ele, em qualquer outro lugar do mundo, essa conduta é considerada violação de privacidade gravíssima. Já Celia de Paula passou a receber telefonemas de bancos oferecendo empréstimos logo após deferimento do seu processo de aposentadoria. Célia questiona: “Quem repassou informações, principalmente números de telefone, para esses bancos?”.

Marcelo Almeida, de Minas Gerais, disse que a proteção de dados pessoais não pode e não deve servir de escudo para criminosos e infratores da lei. Para ele, os interesses coletivos precisam prevalecer sobre os particulares. E Bruno Soares, de São Paulo, defendeu a otimização da estrutura do Estado e o uso de tecnologias como a blockchain, que visa a descentralização como medida de segurança.

Apesar de considerar que o Brasil chega atrasado nessa discussão, o procurador da República e representante do Ministério Público Federal, Carlos Bruno Ferreira, comemorou a oportunidade de elaborar uma Lei de Proteção de Dados brasileira adequada e moderna.

Exemplos de dados pessoais:

  • Nome e apelido;
  • Endereço de residência;
  • Endereço eletrônico;
  • Número de um cartão de identificação;
  • Dados de localização (por exemplo, a função de dados de localização em um celular);
  • Endereço IP (protocolo de internet);
  • Testemunhos de conexão (cookies);
  • Identificador de publicidade do telefone; e
  • Dados obtidos por um hospital ou médico que permitam identificar uma pessoa de forma inequívoca.

Exemplos de dados considerados não pessoais:

  • Número de registro de empresa;
  • Endereço eletrônico de empresa; e
  • Dados anônimos.

 

Fonte: Agência Senado