Dizem que quem não deve não teme. Mas quem gostaria de ter todas as fotos do celular, os sites que visitou e os lugares por onde passou analisadas pelo delegado de polícia da cidade, mesmo se não tiver cometido um crime? A hipótese não é só exercício de imaginação. No ano passado, para investigar um roubo a uma transportadora de valores, a polícia de Ribeirão Preto pediu para a Justiça todas essas informações de todas as pessoas que tivessem passado num raio de 500 metros do local do crime em um intervalo de quatro dias. Esse é um caso extremo em um país que ainda não tem uma lei geral de proteção de dados pessoais. No dia 27, porém, a discussão sobre o direito à privacidade ganhou novos contornos com a publicação do segundo relatório “Quem Defende Seus Dados?”, elaborado pelo Internetlab.
O trabalho publicado pelo centro de pesquisas foca uma das peças do quebra-cabeça das informações na internet, que são os provedores de conexão, ou seja, as empresas que concedem acesso à internet, como Vivo, Oi, Tim e NET—outras peças desse quebra-cabeça são os chamados provedores de aplicações, como Facebook, Twitter e Google, responsáveis pelos sites da rede mundial, que não foram objeto do estudo. Juntas, as empresas de conexão analisadas pelo relatório respondem por cerca de 90% dos acessos à internet no Brasil, seja na banda larga fixa, seja na internet móvel. Atualmente, o Marco Civil da Internet determina que os provedores de conexão devem guardar os registros da conexão dos usuários, como endereço de IP e data e hora da conexão, por no mínimo um ano e estão proibidos de guardar os dados dos provedores de aplicações que trafegam pelas redes. A lei também prevê regras para os agentes públicos terem acesso a esses dados.
O estudo do Internetlab pretende revelar quão bem as empresas cuidam dos dados gerados pela navegação na internet, se as empresas assumem posturas protetivas da privacidade perante o Legislativo e o Judiciário e se elas são transparentes na forma como cooperam com as autoridades governamentais. “O objetivo do relatório é que a privacidade seja vista pelas empresas como um elemento de competitividade e que os usuários possam escolher seus provedores de conexão com base em como as empresas estão tratando os seus dados”, afirma Jacqueline Abreu, pesquisadora do Internetlab. A ideia é gerar entre as empresas uma “corrida pelo topo” nas práticas de privacidade e transferência, transformando-as em ativos de mercado.
Queremos transformar a proteção da privacidade em um ativo de mercado
Jacqueline diz que as empresas brasileiras ainda estão atrasadas nas práticas de mercado nessa área, mas ressalva que a culpa por esse estado de coisas não é só das companhias, mas do atraso regulatório do setor no Brasil. “Aqui no Brasil não temos uma lei de proteção de dados pessoais, então existe pouca cultura nesse setor sobre esse assunto”, diz. A pesquisadora ressalta que as empresas europeias, como Vivo e Tim, estão trazendo práticas do exterior para o país, como a publicação de um relatório de transparência, o que foi feito pela primeira vez este ano pela Telefônica. “As respostas que mais recebemos das empresas é que elas não são obrigadas a fazer isso, que não é prática no setor, mas já há bastante avanço nesse sentido lá fora, algumas empresas já estão atentas e estão incorporando isso a suas práticas”, completa.
O relatório analisou seis grandes questões a partir de informações públicas das empresas e do engajamento de algumas delas, que responderam a questionamentos dos pesquisadores. A primeira questão diz respeito a se as empresas oferecem informações claras e precisas sobre a coleta, o uso, o armazenamento, o tratamento e a proteção dos dados do usuário, o que é garantido pelo Marco Civil da Internet (Lei 12965/2014). A segunda refere-se à cooperação da empresa com autoridades estatais: que tipo de informação a empresa cede, para quais autoridades, com ou sem autorização judicial, diante de várias incertezas que existem sobre o tema no Brasil (ver abaixo). A terceira investiga se a empresa defende os dados dos usuários no Judiciário, diante de pedidos considerados abusivos.
A quarta questão busca saber se a empresa tem um posicionamento público pró-defesa da privacidade, participando de audiências públicas nas diversas discussões sobre projetos de lei e de regulamentação do tema. A quinta avalia se a empresa divulgou ou não relatórios de transparência, informando quantas vezes recebeu pedidos de interceptações de dados e quantas vezes entregou esses dados, por exemplo. Essa prática não é exigida por lei no Brasil, mas é comum no exterior. A sexta questão, finalmente, se refere à notificação dos usuários pela empresa quando recebe pedidos de dados referentes a eles, o que também não é exigido por lei. Embora isso não possa ser feito nas investigações criminais que estejam sob sigilo, o relatório entende que, em demandas de natureza cível, a pronta notificação do usuário poderia auxiliá-lo no exercício de seu direito de defesa.
No gráfico interativo abaixo, a pontuação das empresas e a explicação detalhada do Internetlab sobre os critérios.
O que diz a lei
A Constituição brasileira protege, em seu artigo 5º, a liberdade de expressão, a intimidade e o sigilo das comunicações. A maioria dos juristas e da jurisprudência, inclusive o Supremo Tribunal Federal (STF), quando interpreta o inciso XII do artigo, entende que apenas a comunicação enquanto fluxo, e não o conteúdo em si, está protegido pelo texto constitucional. Esse entendimento, porém, foi firmado em uma época na qual os maiores riscos de interceptação das comunicações eram justamente enquanto em fluxo, como no caso dos telefonemas. Atualmente, com o surgimento da internet, são os registros de navegação e informações armazenadas, como mensagens e fotos, que mais revelam sobre a vida privada das pessoas.
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal
De qualquer maneira, os entendimentos mais protetivos à privacidade defendem que a comunicação está protegida também pelo inciso X do artigo 5º da Constituição, enquanto parte da intimidade do indivíduo. As diversas leis sobre dados no Brasil e os tribunais conferem graus diferentes de proteção aos dados das pessoas na hora de concretizar esse direito. A ideia é que restrições à privacidade devam sempre ser necessárias e proporcionais ao atender finalidades como investigações de crimes, por exemplo. Algumas decisões do STF caminhavam no sentido de exigir ordem judicial mesmo para a coleta de dados cadastrais —como nome, sobrenome e endereço— de usuários por delegados de polícia e pelo Ministério Público (MP), mas algumas leis mais recentes estabeleceram o contrário.
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
É o caso da Lei das Organizações Criminosas (Lei 12850/1993) e da Lei 12683/2012, que alterou a Lei de Lavagem de Dinheiro. Essas normas facultam a delegados e promotores o acesso a dados cadastrais de usuários, independentemente de autorização judicial, perante empresas telefônicas e provedores de internet. Interpretações mais expansivas dessas competências, aceitas pelos tribunais, têm defendido que elas estão previstas para todo tipo investigação criminal, e não apenas para casos de desmantelamento de organizações criminosas e lavagem de dinheiro.
No caso das empresas de telefonia fixa e móvel, essa linha de interpretação mais expansiva tem entendido também que os investigadores podem ter acesso, sem autorização judicial, aos registros de identificação dos terminais de origem e de destino das ligações telefônicas, para garantir a eficácia das investigações criminais. No caso da Lei 12850/2013, por exemplo, essa interpretação é feita combinando a leitura dos artigos 15, 17 e 21. Alguns delegados chegam a pedir até a localização dos aparelhos celulares às empresas sem autorização judicial. O alcance dos dados a que as autoridades públicas podem ter acesso, num cenário de insuficiência regulatória, tem levantado muitas polêmicas: a Ação Direta de Inconstitucionalidade (ADI) 5063, que questiona essa previsão, ainda aguarda julgamento no STF.
No caso da internet, a proteção ao usuário é um pouco maior desde a promulgação do Marco Civil da Internet (Lei 12965/2014). Isso porque a lei deixou claro que o acesso a dados pessoais depende de autorização judicial e o Decreto 8.771/2016, que regulamentou a lei, definiu dado pessoal como “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”. Essa definição coloca sob proteção, a princípio, os chamados metadados — dados gerados pela navegação que, embora não sejam propriamente conteúdo de comunicação, permitem uma identificação das pessoas. É o caso de data e hora da navegação e localização do terminal de acesso, por exemplo.
Os registros de conexão e os registros de aplicação também são protegidos pela lei. Registros de aplicação devem ser guardados pelos provedores por no mínimo seis meses e registros de conexão devem ser armazenados por pelo menos um ano. O acesso ao conteúdo desses registros só pode se dar mediante autorização judicial e a lei estabelece os motivos que podem fundamentar decisões desse tipo. O Marco Civil, em seu artigo 14, também determina que os provedores de conexão não podem guardar os registros de aplicação. Isso significa que o conteúdo dos sites provedores trafega pelas redes das empresas como Vivo e TIM, mas não pode ser armazenado por elas.
Da mesma forma, o decreto regulamentador deixou claro que os dados cadastrais a que as autoridades competentes podem ter acesso sem autorização judicial compreendem apenas a filiação (nome dos pais), o endereço, e a qualificação pessoal do usuário (nome, prenome, estado civil e profissão), quando as empresas tiverem essas informações. Isso porque nem todo provedor de aplicação requisita esses dados para cadastro. No caso de provedores de conexão, como NET, Vivo e Oi, por exemplo, a Anatel exige, por meio de regulamentação, a coleta desses dados quando o serviço é contratado.
A hipótese mais grave de restrição à privacidade regulada por lei ocorre quando o poder público tem acesso ao conteúdo da comunicação dos indivíduos, como no caso de interceptação de telefonemas e e-mails, regulada pela Lei 9.296/96, que estabelece critérios mais rígidos para a autorização judicial e o sigilo sobre o conteúdo interceptado. Diante do avanço da tecnologia, muitas questões ainda estão em aberto: em 2015, por exemplo, noticiou-se que a Polícia Federal estudava infectar celulares interceptados com softwares espiões, o que levantou resistências das empresas e de especialistas acerca dos dados aos quais os investigadores teriam acesso.
A questão sensível, quando se pensa na interceptação de celulares, é que hoje existem meios técnicos de grampear praticamente tudo nestes aparelhos, com explica o engenheiro de telecomunicações João Marcos Meirelles da Silva, professor da Universidade Federal Fluminense (UFF). É possível não apenas ter acesso a e-mails e telefonemas, mas a tudo que está armazenado no aparelho, incluindo mensagens não enviadas e fotos, e até fazer o monitoramento em tempo real do que o usuário faz com seu sistema, além de acessar o microfone e a câmera do telefone. “Dá até para abrir até a tela que alguém está vendo”, diz Meirelles. “Se a informação será útil ou não, depende de o aparelho estar criptografado e da qualidade da criptografia”, completa.
Congresso
Está em discussão no Congresso Nacional a edição de uma lei geral de proteção de dados no Brasil. Em maio de 2016, poucos dias antes de ser suspensa pelo processo de impeachment, a presidente Dilma enviou ao Congresso o Projeto de Lei (PL) 5276/2016, que já tinha sido objeto de consultas públicas no Ministério da Justiça. Em outubro, o projeto foi apensado ao PL 4060/2012, de autoria do deputado Milton Monti (PR-SP). No Senado, tramita sobre o mesmo tema o PLS 330/2013, que atualmente está sob relatoria do senador Ricardo Ferraço (PSDB-ES) na Comissão de Assuntos Econômicos.
Para Laura Schertel Ferreira Mendes, diretora do Centro de Direito, Internet e Sociedade do Instituto Brasiliense de Direito Público, o Brasil precisa de uma lei geral de proteção de dados que crie uma autoridade de proteção de dados no país. Na visão de Laura, que é também professora da UnB, essa deve ser a prioridade nas discussões atuais. “Hoje, as leis preveem que cada autoridade — como a ANATEL, os órgãos de defesa do consumidor e os órgãos financeiros — atuará no seu ramo, mas os dados pessoais são uma matéria muito específica que precisa de uma expertise própria”, afirma.
“Outro aspecto central que a lei precisa prever é que ela tem de tratar tanto do setor público, quanto do setor privado”, acrescenta Laura. “Muitos setores querem sair da regulamentação, alegando que já têm regulamentação específica, mas todos os setores precisam ser abarcados”, completa. A professora destaca que a regulação dos dados do Brasil deve espelhar-se em outras experiências bem-sucedidas no país, como foi o caso da defesa do consumidor e da defesa da concorrência, que abrangem todos os setores da atividade econômica e criaram verdadeiros “microssistemas” de proteção aos cidadãos.
O Brasil precisa urgentemente de uma lei de proteção de dados e de uma autoridade de proteção de dados
Alexander Costa, diretor de regulamentação do Sinditelebrasil, salienta que a preocupação das empresas é garantir um marco legal que equilibre proteção da privacidade do usuário e o fomento da inovação tecnológica. Para Costa, a revolução tecnológica está gerando cada vez mais dados: desde no comércio até nos avanços em internet das coisas—o nome que se dá ao cenário tecnológico que pretende conectar à internet todos os utensílios do dia-a-dia. Se o volume de dados aumenta a preocupação com a vida íntima, a competitividade das empresas na economia digital vai, por outro lado, depender do tratamento desses dados.
“Nós temos oferecido contribuições buscando uma lei principiológica, mais genérica, trazendo direitos e fundamentos e deixando o detalhamento para uma regulamentação posterior. Se for detectada uma falha de mercado, aí você faz uma regulamentação específica para saná-la”, afirma. “O que nós defendemos é que o assunto é tão complexo e tão amplo que nenhum político, técnico ou cidadão deve se arvorar a entender que tem a competência para fazer uma legislação ex ante, cheia de detalhes”, completa.
É preciso equilibrar proteção da privacidade do usuário e inovação tecnológica
As empresas têm buscado, de acordo com o diretor, poder fazer o tratamento de dados de forma anônima, ou seja, sem saber a qual pessoa aqueles dados pertencem. “A lei não se aplica nesse caso. Essa é uma simplificação extremamente positiva do processo. Por exemplo, quando estamos tratando dados e detectamos um padrão que parece um vírus ou um ataque, eu posso tomar uma ação”, afirma Costa. Para o diretor, no entanto, os projetos de lei que estão tramitando no Congresso engessariam a atuação dos provedores de conexão, porque exigem o consentimento do usuário no tratamento de dados se existir alguma técnica que permita a identificação do usuário de alguma forma. “Isso é ampliar o escopo da lei. É muito difícil existir uma situação em que você não possa identificar, por uma técnica qualquer, o titular dos dados”, diz.
Atualmente, no entanto, o Decreto que regulamentou o Marco Civil da Internet já trouxe esse entendimento para o direito brasileiro. A norma define como dado pessoal não apenas o dado relacionado à pessoa natural identificada, mas à pessoa identificável. “Nós temos a proposta que o dado pessoal deveria ser apenas em relação à pessoa identificada. Nós temos buscado sensibilizar o legislador para mudar isso. Achamos prematuro que o decreto regulamentador falasse de definições de dados pessoais antes de os projetos de lei serem aprovados”, diz Costa.
Laura salienta, ao contrário, que os conceitos elaborados pelo campo e as melhores práticas internacionais entendem os dados pessoais como aqueles que englobam também dados relacionados a pessoas identificáveis. “A lei precisa guardar uma relação com os conceitos teóricos e práticos desenvolvidos há muitas décadas no Brasil e no exterior”, diz Laura. “Para que a lei possa ser eficaz, o conceito de dados pessoais precisa ser amplo. Mas isso não significa que leis específicas posteriores não possam dar tratamento específico a situações diversas; o que não se pode é excluir de antemão da aplicação da lei determinados tipos de dados”, completa.
Outra simplificação que as empresas têm tentando fazer é em relação ao consentimento. Para Costa, se o usuário tem conhecimento de que o tratamento dos dados pessoais pode ser contrapartida para a oferta de um serviço gratuito, quando ele opta por receber o serviço, esse “consentimento tácito” deveria ser suficiente para permitir o tratamento dos dados. “Hoje, existem inúmeras situações em que há necessidade de consentimento explícito, mas no momento em que você adere ao serviço não há necessidade de um consentimento explícito para isso [tratamento de dados], porque é intrínseco ao serviço”, salienta.
Passado e futuro
A professora Laura Schertel estuda os desafios jurídicos da sociedade da informação e tem uma longa experiência prática no campo. Foi na década de 1970 que surgiram as primeiras leis de proteção de dados no mundo, na Europa e nos Estados Unidos. “Percebeu-se que esses dados começaram a ser processados e tratados e que, a partir de dados aparentemente inofensivos, informações valiosas sobre as pessoas poderiam ser extraídas”, explica Laura. Cruzando dados esparsos das pessoas, era possível estabelecer um perfil bastante detalhado delas, o que ameaçava não só sua privacidade, mas sua liberdade, na medida em que se pode negar ou conceder a elas crédito financeiro ou planos de saúde, por exemplo. Foi o que motivou a regulação do tema. “Como era um assunto muito específico, percebeu-se também que eram necessários órgãos específicos de proteção de dados”, acrescenta.
Quando a internet surgiu e se disseminou, na década de 1990, o volume de dados coletados das pessoas cresceu exponencialmente e só fez aumentar as preocupações de especialistas e gestores. “Hoje, é determinante o fato de estarmos em rede o tempo todo, com a mobilidade de aparelhos celulares e notebooks e, logo mais, toda nossa casa estará conectada”, diz Laura. Essas inovações rápidas têm levado a mudanças de legislação em inúmeros países. Atualmente, os europeus estão na vanguarda das discussões sobre o tema, buscando reformar a legislação da União Europeia.
No Brasil, a professora destaca que o desenvolvimento das preocupações com dados foi diferente. Elas surgem na Constituição de 1988, com a previsão do habeas data, que tinha em vista o acesso a arquivos da ditadura militar, e da inviolabilidade da intimidade e da vida privada. “Mas a primeira norma moderna de proteção de dados que surge no Brasil é o Código de Defesa do Consumidor em 1990”, diz. Todas as leis que surgiram depois do CDC foram setoriais e esparsas. “O Brasil não tem uma lei geral de proteção de dados e é urgente que tenha”, ressalta Laura.