[especial] O que são dados públicos?
Para reforçar a importância da discussão sobre o Projeto de Lei de Proteção de Dados Pessoais e para fomentar consolidação de ambiente propício para inovação e o avanço da efetivação de direitos fundamentais em tempos de Internet, damos continuidade à Semana Especial de Proteção de Dados Pessoais, no qual discutimos 5 temas centrais da lei em 5 dias, com comentários de representantes do setor privado, da academia e da sociedade civil.
Hoje, o terceiro tema abordará os fatores que podem autorizar o tratamento de dados pessoais. Os demais textos da série podem ser acessados aqui e aqui.
O que são dados públicos?
Como sabemos, o Estado detém enormes bancos de dados pessoais, muitos deles formados a partir de informações fornecidas obrigatoriamente pelos cidadãos e cidadãs. Como deve ser o regime de proteção desse tipo de banco de dados? Com eles podem (ou não) ser utilizados por entidades privadas? Semana passada, a pesquisadora do InternetLab Jacqueline Abreu publicou texto que aborda alguns problemas do recente decreto que permite que diferentes entidades públicas possam compartilhar suas bases de dados – como o Estado poderia poderia tornar acessível dados a outras entidades públicas?
No debate público online realizado sobre o Projeto de Lei nº 5.276 de 2016 (e mapeado pelo InternetLab) o debate foi intenso e dividiu opiniões. O texto final enviado ao Congresso não menciona exatamente a expressão “dados públicos”, mas sim “dados pessoais cujo acesso é público” – ou seja, dados que ficariam disponíveis, em algum nível, para o público geral. Segundo a redação do PL,”[o] tratamento de dados pessoais cujo acesso é público deve ser realizado de acordo com esta Lei, considerados a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização” (§ 4º do art. 7º).
Que tipos de dados pessoais se encaixam na definição de “acesso público”? Várias sugestões para essa definição foram apresentadas durante o debate do texto, como dados que o titular tenha tornado público por própria iniciativa (sugerido pelo setor de empresas de telecomunicações – SindiTeleBrasil e Vivo), ou dado pessoal que esteja disponível à consulta pública gratuita por obrigação legal (sugerido pela ABRANET, que reúne provedores de Internet, e a CNseg, que representa seguradoras).
Representantes de diferentes setores abordaram a polêmica envolvendo tal definição e a sua relação com o tema de ontem, sobre quando tais dados podem ser tratados sem o consentimento de seu titular. Veja os comentários abaixo.
PERGUNTAS AOS SETORES – Como deve ser a lei nesse ponto?
O PL 5.276/2016 faz menção a “dados públicos” e condiciona o seu tratamento à boa-fé e interesse público mas não define claramente que tipos de dados são esses. Na sua opinião, que tipos de dados podem ser considerados públicos? O tratamento desses dados pode ser realizado sem o consentimento do titular? Em quais circunstâncias?
Veridiana Alimonti (Intervozes)
Veridiana Alimonti é formada pela Faculdade de Direito da Universidade de São Paulo e mestre em direito econômico pela mesma instituição com projeto voltado ao estudo das políticas de comunicação no Brasil. Foi advogada e pesquisadora do Instituto Brasileiro de Defesa do Consumidor (Idec) com atuação específica na área de telecomunicações e Internet. Até 2015, esteve como uma das representantes o terceiro setor no Comitê Gestor da Internet no Brasil (CGI.br) e faz parte do Comitê de Defesa dos Usuários dos Sereiços de Telecomunicações (CDUST), da Agência Nacional de Telecomunicações (Brasil). Atualmente faz parte da coordenação executiva do Intervozes.Tudo o que alguém compartilha voluntariamente pelas redes sociais pode ser utilizado por quem quer que seja para os mais variados fins? E os dados constantes em bancos de dados públicos como da Receita Federal, do TSE e de outros registros cuja obrigação de publicidade da informação deriva de lei, podem ser transferidos ou apropriados por qualquer um independente de qual será a destinação conferida a esses dados? As recentes decisões acerca dos sites “Nomes Brasil” e “Tudo Sobre Todos” demonstram que não é bem assim, e mais, que as pessoas, embora cientes de que suas informações estão presentes em diferentes bancos de dados públicos ou expostas em aplicações online, não consideram isso como uma autorização para que eles sejam utilizados à sua revelia e por qualquer um. A questão aqui não é o uso dessas informações para fins jornalísticos, artísticos, literários e acadêmicos (excluídos da aplicação do PL 5276/2016), mas a comercialização de dados para a constituição de perfis destinados à publicidade direcionada e outras finalidades que possam levar à discriminação e perseguição, ou mesmo facilitar a prática de fraudes e outros crimes. Não é porque o seu CPF consta de cadastros públicos e pode ser facilmente encontrado na Internet que essa e outras informações semelhantes não mereçam a devida proteção.
A Constituição brasileira garante a proteção à privacidade e à intimidade, assim como a legislação de defesa do consumidor assegura que este tenha acesso e seja informado da criação de qualquer banco de dados ou registro sobre ele (Código de Defesa do Consumidor). Além disso, sejam ou não de acesso público, os dados devem ser tratados de acordo com a finalidade para a qual foram coletados (Lei n. 12.414/2012). No âmbito da Internet, o Marco Civil já estabelece a necessidade de expressa autorização do titular dos dados no caso de transferência a terceiros e, novamente, a obrigação de respeitar a finalidade informada e autorizada no momento da coleta. Neste sentido, uma Lei Geral de Proteção de Dados deve consolidar e fortalecer esse regime, garantindo que o tratamento de dados públicos respeite suas normas, que o titular dos dados seja informado de novas utilizações e que a destinação à finalidade diversa seja autorizada por ele (frisando a nulidade de autorizações genéricas previstas no art. 9, §4º, do PL). A premissa central é que dados públicos não deixam de ser dados pessoais e devem ser protegidos como tal.
Marcel Leonardi (Google Brasil)
Marcel Leonardi é Diretor de Políticas Públicas do Google no Brasil. Bacharel, Mestre e Doutor em Direito pela USP, com pós-doutorado pela Berkeley Law. Autor de “Responsabilidade Civil dos Provedores de Serviços de Internet”, “Tutela e Privacidade na Internet”, co-autor de “Responsabilidade Civil na Internet e nos demais meios de comunicação” e da obra coletiva “Marco Civil da Internet”. Professor de pós-graduação da FGV DIREITO-SP.O projeto de lei não fala em “dados públicos”, mas sim em “dados de acesso público” – são conceitos distintos, que não se confundem. As normas europeias que servem de base para o projeto de lei, por exemplo, sequer mencionam esses conceitos.
Seja como for, entende-se que dados de acesso público são dados cuja divulgação pública é obrigatória por lei – o fato de alguém ser proprietário de um imóvel, ou sócio de uma empresa, por exemplo, ou os dados acerca das atividades de órgãos públicos, nos termos da Lei de Acesso a Informações.
Nesses cenários, a justificativa para o tratamento desses dados de acesso público pode ser facilitada – notadamente, por exemplo, no caso do tratamento desses dados com base no legítimo interesse. Mas isso não altera o fato de que o tratamento deve da mesma forma se enquadrar em uma das modalidades que autorizam esse tratamento – o que, como mencionado anteriormente, pode ocorrer com o consentimento, englobando também, entre outras modalidades de autorização, o cumprimento de uma obrigação legal pelo responsável; a execução de um contrato ou os procedimentos preliminares relacionados a um contrato; o exercício regular de direitos em processo judicial ou administrativo, e a já mencionada existência de legítimo interesse do responsável ou de terceiro.
Vanessa Butalla (Serasa Experian)
Vanessa Butalla é Gerente Jurídica da Serasa Experian em São Paulo, onde é responsável pela área de regulamentação. Vanessa é Bacharela em Direito pela Universidade Presbiteriana Mackenzie e possui mais de 12 anos de experiência com temas relacionados a privacidade de dados e proteção de crédito, tendo participado de vários seminários e conferências no Brasil e no exterior.Entendo que os dados públicos, no âmbito deste projeto de lei, são aqueles geridos pela Administração Pública, como, por exemplo, a distribuição de ações judiciais, os protestos, os registros de nascimento e a inscrição em cadastro de contribuintes. Entendo que não há necessidade de consentimento do titular para o seu tratamento pois são necessários para atender ao interesse público, sendo, inclusive, direito da sociedade conhecê-los, haja vista o direito constitucional de acesso a informação previsto no art. 5º, inc. XXXIII, e o princípio da transparência que deve nortear a Administração Pública.
Muito embora entenda que o tratamento de tais dados não requer consentimento, conforme as razões acima, pode ser necessário, caso, a depender do potencial ofensivo à intimidade e à privacidade de determinados dados, ser necessário o controle de sua divulgação de forma individualizada pela Administração Pública, admitindo-se, tão somente nestes casos, a comprovação do legítimo interesse para justificar o acesso ou a comunicação prévia ao titular.
Laura Schertel Mendes (Instituto Brasiliense de Direito Público – IDP)
É doutora summa cum laude em direito privado pela Universidade Humboldt de Berlim, mestre em “Direito, Estado e Constituição” pela Universidade de Brasília (UnB) e graduada em direito pela UnB. É diretora da Associação Luso-Alemã de Juristas (DLJV-Berlin) e membro do Grupo de Trabalho Consumo e Sociedade da Informação da Secretaria Nacional de Consumidor (SENACON) do Ministério da Justiça. Tem experiência nas áreas de direito civil, direito do consumidor e direito da concorrência, atuando principalmente nos seguintes temas: direitos da personalidade, proteção de dados pessoais, direito e internet, interface entre direito constitucional e direito civil, bem como políticas públicas na Sociedade da Informação. Gestora Governamental em exercício no Conselho Administrativo de Defesa Econômica – CADE.A norma proposta deve ser lida com bastante cuidado: se, por um lado, o requisito do consentimento parece não ser necessário para o tratamento de dados públicos, por outro, todas as demais normas relativas à proteção de dados são aplicáveis, inclusive os princípios da finalidade, adequação, não discriminação, entre outros. Para não dar margem a interpretações equivocadas, violadoras dos direitos à privacidade do titular, o dispositivo proposto poderia ser complementado com uma ponderação de interesses, nos moldes da cláusula do legítimo interesse. Essa foi a opção do legislador alemão, que possibilita o tratamento de dados públicos, desde que no caso concreto não prevaleçam os interesses e direitos do titular.
Equipe responsável pelo conteúdo: Dennys Antonialli, Francisco Brito Cruz, Beatriz Kira, Juliana Pacetta Ruiz e Fabiane Midori Nakagawa.