Dados públicos são dados pessoais?

Dados públicos são dados pessoais?

Publicado 26 de Junho, 2016

@pixabay
@pixabay

Infelizmente, as seguintes cenas são bem comuns: você chega em casa e se depara com uma conta a pagar de uma determinada empresa que nunca teve contato, ou muito menos ouviu falar; ou um novo cartão de crédito que você nunca requisitou; ou o aviso de que seu nome foi parar no rol de maus pagadores devido a uma dívida que você nunca adquiriu. Todos esses exemplos têm algo em comum: dados pessoais como Nome, RG, CPF e endereço, entre outros, foram indevidamente utilizados para contratar serviços sem que os seus titulares tivessem qualquer conhecimento do que estava acontecendo. Tais situações são cada vez mais corriqueiras.

No ano de 2015 foram noticiados vários casos de serviços na Internet que permitiam a consulta livre, praticamente irrestrita, de dados pessoais de quase toda a população brasileira. Os mais famosos foram os sites “Tudo sobre Todos” e “Nomes Brasil“. Em ambos, bastava digitar o nome ou o CPF de qualquer cidadão para se ter acesso a toda uma gama de dados como RG, endereço, CPF (caso o nome tenha sido digitado), e até mesmo idade, telefone, profissão e dados de vizinhos e familiares.

Ambos os sites, apesar de terem sido bloqueados no Brasil após procedimentos investigatórios concluírem que havia um grande potencial de violação de direitos, se valiam do argumento que todos os dados disponibilizados por eles eram públicos. Eles teriam sido obtidos de fontes públicas, de livre circulação e acesso, razão pela qual eles poderiam ser utilizados por qualquer um, para qualquer fim, e que o único diferencial dos seus serviços era organizá-los, facilitando o seu acesso. Entretanto, essa livre circulação só facilita a violação de direitos, como eventual dano econômico oriundo da criação de identidades falsas ou a contratação de serviços online via cadastro eletrônico, conforme evidenciado em recente precedente judicial:

“Restou incontroverso nos autos que há comercialização de dados cadastrais pela ré para ações de marketing, sem autorização prévia dos consumidores, através do site (…). Ao fornecer um amplo e circunstanciado relatório com informações pessoais minudentes a ré viola a intimidade e a privacidade dos consumidores, (…).

A disponibilização ampla e irrestrita de dados pessoais podem dar ensejo a um sem número de delitos civis e criminais, aí incluídos fraudes contratuais e sequestros, inclusive de familiares, não sendo demais mencionar que segurança pública eficiente tornou-se uma quimera.

Diversos dispositivos legais cuidam de determinar que a divulgação de dados dos consumidores seja submetida à ciência prévia destes, como é o caso dos 43 § 2º do CDC e do art. 3º, da Lei nº 14.414/2011.

Cabível, assim, que a demandada seja compelida a proceder o cancelamento do registro de consumidores que não tenham expressamente autorizado a inserção de seus dados cadastrais e informações pessoais nos bancos de dados (001/1.14.0178998-7 (CNJ:.0220078-81.2014.8.21.0001), TJ/RS, Agosto de 2015)

Tal argumento não vingou, mas ele continua a ser amplamente empregado no Brasil. Entidades que se valem de modelos de negócio baseados no uso e tratamento massivo de dados pessoais como nome, RG, CPF, profissão etc afirmam que estes devem ser considerados meros dados cadastrais e/ou dados sociais. Que por supostamente serem de livre circulação, passíveis de obtenção em bancos de dados públicos, como os da Receita Federal e de cartórios, poderiam ser utilizados para qualquer finalidade, sem que ao menos fosse necessário o conhecimento, muito menos a autorização, do titular para tanto.

Todavia, é importante esclarecer que a característica de um dado ser de acesso público não tem o condão de retirar deste a qualidade de ser um dado pessoal. Essa é, aliás, uma conclusão (semântica) óbvia, pois um dado pode ser, ao mesmo tempo, público e/ou privado, e estar relacionado a uma pessoa. A lógica da proteção de dados pessoais opera fora, portanto, da dicotomia entre o público e privado. Mantido o conceito de dados pessoais, deve-se garantir ao seu titular formas transparentes sobre as finalidades para as quais seus dados serão tratados, conferindo-lhes meios efetivos para autorizar tais tratamentos.

Porém, nem a Constituição Federal, nem o Código de Defesa do Consumidor, nem o Código Civil e o Marco Civil da Internet conferem ao cidadão todas as ferramentas necessárias para que ele exerça controle adequado sobre seus dados pessoais, pouco importando serem estes públicos ou privados.

Por isso, atualmente, se discute a criação de uma Lei Geral de Proteção de Dados Pessoais. Em trâmite na Câmara dos Deputados sob o nº PL 5276/2016, essa iniciativa legislativa visa estabelecer um regime legal abrangente de proteção de dados pessoais e, ao discorrer sobre dados pessoais de acesso público, constante em bases de dados gerenciadas pela administração pública ou considerados como dados cadastrais e/ou sociais, estabelece que:

Art. 7o, Parag. 4º O tratamento de dados pessoais cujo acesso é público deve ser realizado de acordo com esta lei, considerando a finalidade, a boa-fé e o interesse público que justificou a sua disponibilização.

Portanto, o Projeto permite o uso destes dados, não retirando a sua característica de públicos, mas expressamente conferindo-lhes proteção por serem, sim, dados pessoais. Tais dados estão adstritos às premissas da lei e o seu uso deve se dar em consonância com o interesse público que justificou a sua disponibilização, como no caso de consulta de CPFs no site da Receita Federal, que têm o propósito de mera confirmação da titularidade para operações financeiras. O Projeto não veda o uso do CPF para outras finalidades, desde que o titular tenha conhecimento destas e as autorize, ou seja o tratamento baseado em outra hipótese legítima.

Assim, ao contrário do que se afirma, o PL não irá inviabilizar alguns modelos de negócio, como os chamados birôs de credito. Pelo contrário, há expressamente permissivos legais para tanto. Além disso, é importante esclarecer que o mercado de crédito já é altamente regulado pelo Código de Defesa do Consumidor e pela Lei do Cadastro Positivo (Lei 12.414/2012). Esta última lei é, inclusive, o mais próximo do que existe atualmente no ordenamento jurídico brasileiro a uma lei geral de proteção de dados pessoais. Ela opera na lógica que os dados pessoais, sejam ele públicos ou privados, devem ser somente tratados para a finalidade para a qual eles foram coletados. O Superior Tribunal de Justiça, inclusive, teve a oportunidade de se manifestar sobre o uso inadequado de dados pessoais no contexto creditício:

“O desrespeito aos limites legais na utilização do sistema “credit scoring”,  (pontuação de crédito), configurando abuso no exercício desse direito (art. 187 do CC), pode ensejar a responsabilidade objetiva e solidária do fornecedor do serviço, do responsável pelo banco de dados, da fonte e do consulente (art. 16 da Lei n. 12.414⁄2011) pela ocorrência de danos morais nas hipóteses de utilização de informações excessivas ou sensíveis (art. 3º, § 3º, I e II, da Lei n. 12.414⁄2011), bem como nos casos de comprovada recusa indevida de crédito pelo uso de dados incorretos ou desatualizados” (RESP Nº 1.419.697 – RS (2013⁄0386285-0).

Repita-se: a afirmação de que uma lei geral de proteção de dados pessoais, nos moldes do PL 5276/2016, irá inviabilizar a criação de bancos de dados de crédito é infundada. Tal iniciativa legislativa em nada deveria alterar o modo de funcionamento destes modelos de negócio, que já estão adstritos a uma legislação setorial e a uma jurisprudência que desenha uma moldura regulatória a ela bastante similar. Essa projetada lei geral de proteção de dados só conferiria uma maior segurança jurídica a esse e a todos os outros segmentos que se valem de dados pessoais para operar, fomentando o desenvolvimento econômico e tecnológico, premissas basilares do referido projeto, que incluem ainda, a livre iniciativa, a livre concorrência e a defesa do consumidor.

Na medida em que se arquiteta um arcabouço regulatório que é contrário a banalização desenfreada da circulação dos dados pessoais dos cidadãos, alcança-se, aliás, um fluxo de informações com uma qualidade melhor. Efeito imediato seria, por exemplo, a redução do impacto econômico oriundos de fraudes praticadas por meio de “roubos de identidades”, que geram, hoje, perdas significativas não só para o próprio mercado de crédito, mas para todo o setor financeiro. Sob os mesmos argumentos, várias nações asiáticas se reuniram para fortificar suas leis de proteção de dados pessoais visando diminuir a prática de ilícitos através da Internet:

“Regulators from markets in the Pacific are working to strengthen data protection guidelines and the enforcement of privacy rules to combat costly cyberattacks (…)”.

O fluxo de dados pessoais de melhor qualidade, poderia, inclusive, trazer ganhos financeiros para o próprio mercado de birôs de crédito, pois alguns acordos de cooperação com entes públicos, como o polêmico tentado entre a Serasa e o TSE, posteriormente anulado, visavam, supostamente, verificar a qualidade e a precisão dos dados pessoais constantes de suas bases de dados:

“Objeto: Constitui objeto deste acordo a prestação, pelo TSE à SERASA, de informações contendo o nome do eleitor, número e situação da inscrição eleitoral, além de informações sobre eventuais óbitos e validação do nome da mãe e data de nascimento

Parágrafo Primeiro – As informações fornecidas pelo TSE à Serasa poderão ser disponibilizadas por esta aos seus clientes nas consultas aos seus bancos de dados.

Parágrafo Segundo – Poderá haver cruzamento de dados previamente fornecidos pela SERASA com retorno pelo TSE sobre a ratificação ou não das informações;

Parágrafo Terceiro – Em contrapartida à disponibilização pelo TSE das informações citadas no Caput, a SERASA emitirá ao TSE a quantidade de 1.000 (hum mil) certificados digitais modelo e-CPF A3, com validade de 2 (dois) anos, em cartão, com as respectivas leitoras.”

A problemática parece ser, portanto, outra do que a inviabilização do mercado de crédito e o combate às fraudes. Mas, sim, a indústria dos chamados data brokers que se utilizam de dados pessoais para finalidades que vão além da análise de crédito ou combate à fraudes bancárias, a exemplo da sua comercialização para finalidades diversas e não previamente autorizadas, como marketing direcionado.

Portanto, caso a referida legislação já estivesse em vigor, a tendência seria a consolidação do mercado de crédito, e não sua inviabilização. Além de contar com uma base legal que lhe conferiria uma segurança jurídica maior, o mercado seria alimentado com informações mais exatas e fidedignas para operar. Ao mesmo tempo, os cidadãos teriam formas mais efetivas de combater e evitar que seus dados pessoais, como os expostos pelo “Nomes Brasil” e pelo “Tudo Sobre Todos”, fossem utilizados de forma indevida e não autorizada. É justamente devido a essa dupla faceta em proteger o cidadão e fomentar a economia que é necessária a aprovação de uma Lei Geral de Proteção de Dados Pessoais no Brasil.

 

Por Renato Leite Monteiro Especialista em Proteção de Dados e Privacidade. Professor de Direito Digital e Internacional da Faculdade de Direito da Universidade Presbiteriana Mackenzie. Coordenador do Grupo de Estudos em Direito, Tecnologia e Inovação da Faculdade de Direito do Mackenzie. Doutorando em Engenharia da Computação pela Universidade de São Paulo. LL.M. em Direito e Tecnologia pela New York University e pela National University of Singapore. Mestre em Direito Constitucional pela UFC. Study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa.

Por Bruno Bioni Mestre em Direito Civil na Faculdade de Direito da Universidade de São Paulo (2016), pós-graduado em Direito Civil e Consumidor pela Escola Paulista de Direito (2013) e graduado em Direito pelo Centro Universitário das Faculdades Metropolitanas Unidas (2012). Foi study visitor do Departamento de Proteção de Dados Pessoais do Conselho da Europa (2015) e pesquisador visitante no Centro de Pesquisa de Direito, Tecnologia e Sociedade da Faculdade de Direito da Universidade de Ottawa (2014-2015). Atualmente é pesquisador do Grupo de Políticas Públicas para o Acesso à Informação/GPoPAI da Universidade de São Paulo (Projeto Privacidade e Vigilância no Brasil) e advogado do Núcleo de Informação e Coordenação do Ponto Br/NIC.br.

FONTE:JOTA

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s