Direitos da Criança na Sociedade da Informação - Ed. 2020

Capítulo 2. Da Privacidade aos Dados Pessoais

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

A comunidade em rede e as tecnologias da informação estão remodelando a noção jurídica de privacidade. Bernal (2014, p. 62) lembra que os perfis das redes sociais são construídos pelos próprios usuários, quando são convidados a informar dados biográficos, de educação, vida profissional e gostos pessoais nos mais variados aspectos (religião, política, lazer etc.). Como lembra Sarat (2015, p. 16), muitas dessas informações, cujos usuários são convidados a divulgar, eram em outros tempos consideradas privadas, o que fez com que as ameaças à privacidade não se originassem mais exclusivamente da vigilância do Estado, mas também da vontade individual dos usuários de exporem a vida privada a milhões de pessoas.

De um ponto de vista jurídico, pode-se dizer que a privacidade é um conceito contextual e temporal, 1 ou seja, “uma noção cultural induzida no curso do tempo por condicionantes sociais, políticos e econômicos” (DONEDA, 2006, p. 114). Sua extensão e âmbito de aplicação dependem do momento e do local em que é analisada. A ideia de privacidade não é a mesma entre diferentes gerações, bem como em diferentes comunidades. 2 Na sociedade da informação, em especial, não é simples acompanhar a evolução desse conceito, que consiste numa “equação complexa e contingente” (BARRETO, 2012, p. 157). 3 Além disso, como aponta Powell (2011, p. 162), as leis sobre privacidade não conseguem acompanhar o ritmo da tecnologia.

O ambiente digital, ademais, proporciona uma falsa sensação de privacidade, na medida em que, ao não conviver diretamente (fisicamente) com outras pessoas, cria-se a impressão de que se está em uma espécie de fortaleza eletrônica, em um ambiente controlado. Em ambientes desse tipo, a tendência é que as informações eventualmente divulgadas sejam menos formais e mais autênticas, desprovidas de filtros e cuidados que as pessoas têm quando estão em público, diante de outras pessoas que sabidamente podem usar a informação transmitida para obter algum tipo de vantagem. 4 A ausência de convívio social no mundo físico transmite a impressão de que, no ambiente digital, não há um controle sobre as atitudes e os comportamentos. Um consumidor, que não quer ser flagrado adquirindo pornografia, pode, por exemplo, realizar uma compra on-line sem que as pessoas mais próximas fiquem sabendo, pois, no mundo físico, ninguém o viu numa loja de produtos eróticos. No entanto, a verdade é que a atuação on-line desse consumidor pode representar uma privacidade menor do que a atuação off-line, na medida em que mais pessoas (empresas, anunciantes, sites de internet etc.) tomarão conhecimento do seu comportamento. O que ocorre é que as formas tradicionais de controle social são substituídas por “controles mais penetrantes e globais, tornados possíveis pelo tratamento eletrônico das informações” (RODOTÀ, 2008, p. 95). 5 Esses controles são cada vez mais refinados e precisos, 6 pois a informação acurada se mostra essencial para que se atinjam as finalidades dos atores da sociedade da informação.

O objetivo deste capítulo é justamente analisar a evolução do conceito de privacidade e suas facetas na sociedade da informação, assim como o conceito de dado pessoal, as regras para o seu tratamento e o impacto destes assuntos no universo infantil.

2.1. A EVOLUÇÃO DO CONCEITO DE PRIVACIDADE

Para analisar a evolução do conceito jurídico de privacidade e as suas relações com o universo digital, este subcapítulo verificará alguns parâmetros traçados pelas decisões judiciais e pelos autores brasileiros e estrangeiros para compreender tal conceito, e como tais parâmetros podem se aplicar ao universo digital, notadamente na problemática do conteúdo gerado por terceiros (que, muitas vezes, expõe informações de pessoas sem que elas tenham dado consentimento para isso).

2.1.1. Aspectos gerais da privacidade

Privacidade é um termo bastante amplo e reflete uma série de interesses e direitos que, de tempos e tempos, ganham novos contornos. 7 A tutela jurídica da privacidade pode trazer benefícios e malefícios à sociedade, dependendo do ângulo pelo qual o assunto é analisado. Leonardi (2012, p. 114) cita a promoção do bem-estar (pela diminuição das tensões nas relações sociais), a criação de espaços para relações de intimidade (necessárias ao amor e à amizade), o desenvolvimento da personalidade (permitindo que a pessoa aja sem ter que medir suas palavras e atitudes) e a manutenção do Estado Democrático de Direito (em razão do encorajamento da autonomia moral do cidadão) como elementos positivos da proteção da privacidade. Doneda (2006, p. 7) acrescenta que a busca da privacidade abrange “a busca da igualdade, da liberdade de escolha, da não discriminação” 8 . Por ouro lado, entre os possíveis malefícios da proteção à privacidade, Leonardi (2012, p. 116) menciona o isolamento social (privação da pessoa do convívio), a proteção do indivíduo em detrimento da coletividade, o mascaramento de práticas ilícitas (dificultando o controle social), 9 o embaraçamento das relações (em face da dificuldade de conhecer a reputação alheia), a restrição de práticas comerciais (por conta da interferência no acesso a informações que permitam às empresas a tomada de decisões rápidas e relevantes), além das restrições à livre circulação de informações.

No direito brasileiro, a privacidade é reconhecida como um direito fundamental (CF, art. , X) e da personalidade (CC, art. 21), cuja proteção deve ser entendida como um comando de caráter principiológico (com diretrizes gerais de comportamento), que não constitui um direito absoluto, já que é limitado por (e deve estar em harmonia com) outros princípios e direitos fundamentais. 10 Assim, a privacidade pode ser relativizada em situações nas quais existam outros interesses protegidos pelo direito que possuam igual ou maior peso, como ocorre nos constantes “conflitos” com a liberdade de expressão (o exemplo clássico é o do jornalista que deseja divulgar uma informação de caráter privado que possui um interesse coletivo).

A natureza principiológica da privacidade conduz a uma infinidade de possibilidades de interpretação e de aplicação concreta deste direito. Analisando a doutrina e a jurisprudência brasileiras, em uma tentativa de buscar uma classificação para o termo, Leonardi (2012, p. 52) propõe quatro categorias de conceitos unitários de privacidade que seriam: “a) o direito de ser deixado só [...]; b) o resguardo contra interferências alheias; c) o segredo ou sigilo; d) controle sobre informações e dados pessoais”. Essa classificação constitui um norte consistente para a abordagem do tema em seus aspectos mais importantes, motivo pelo qual servirá como diretriz para o desenvolvimento deste subcapítulo.

O direito de ser deixado só (a primeira das quatro categorias acima mencionadas) é bem explicado no texto publicado na Harvard Law Review, em 1890, por Warren e Brandeis. Os autores, naquela época, já debatiam sobre a possibilidade de proteção de direitos e de interesses que não fossem propriamente materiais. 11 Uma das preocupações manifestadas naquele momento era com os meios tecnológicos, como máquinas fotográficas e microfones, que estavam sendo utilizados pela imprensa para revelar fatos da vida de pessoas. Os autores desenvolveram a ideia de privacidade como o direito de não ser incomodado e sustentaram que as pessoas, ao manifestarem pensamentos, sentimentos e emoções, têm a prerrogativa de determinar a extensão e os limites da publicidade que deve ser dada a tais manifestações, ou seja, podem estabelecer em que medida terceiros têm acesso a informações sobre a sua vida privada (WARREN; BRANDEIS, 1890, p. 198). Como lembra Simitis (1987, p. 731), essa ideia de privacidade possui um caráter racional capitalista, viabilizando as expectativas daqueles que, em nome da expansão industrial, propunham estruturas econômicas e políticas, a fim de eliminar os obstáculos da iniciativa empresarial, o que legitimava, por exemplo, distinções sociais. 12

Nesse contexto patrimonialista, um dos conflitos mais marcantes, que envolve a privacidade, ocorre com o direito à liberdade de expressão, 13 – em cujas palavras de Simitis (1987, p. 732) – é um produto do constante ajuste da fronteira entre a privacidade (no sentido de direito de ser deixado só) e a necessidade coletiva de conhecer uma determinada informação (ou seja, o direito fundamental de acesso à informação). 14 Aparentemente, essa contraposição de interesses conduz a uma tensão entre aspectos privados e coletivos da privacidade, que deve ser endereçada caso a caso, considerando as vicissitudes de cada situação. No âmbito dessa discussão, surge a segunda categoria do rol de conceitos unitários da privacidade, que é o resguardo das pessoas contra interferências alheias. Com efeito, a privacidade também serve para assegurar uma estabilidade social, ou seja, uma segurança de que questões privadas não serão devassadas sem um interesse ou uma justificativa extremante relevante. Solove (2007, p. 763), nessa linha, ressalta que a privacidade não é tão somente o símbolo da tensão dos interesses individuais e coletivos, mas também a proteção do indivíduo baseada em normas e valores sociais. Em outras palavras, existe um interesse social em preservar o direito à privacidade, já que, conforme Leonardi (2012, p. 121), a privacidade “molda as comunidades sociais e fornece a proteção necessária aos indivíduos contra diversos tipos de danos e intromissões, possibilitando que desenvolvam sua personalidade e devolvam à sociedade novas contribuições”.

Algumas circunstâncias são determinantes para a realização de análises casuísticas. De fato, quando se está diante de uma situação de divulgação de um fato de caráter eminentemente privado, a exemplo de uma fotografia do interior de um quarto tirada por um drone através da janela de um prédio de apartamentos, a ofensa ao princípio da privacidade fica clara, pois, diante dessa situação, evidencia-se a falta de interesse social que justifique a divulgação de tal tipo de imagem, porque a não proteção do indivíduo ofendido pode gerar incertezas e instabilidades. No entanto, quando se está diante da divulgação de fatos ocorridos em ambientes púbicos, a interpretação pode ser duvidosa, especialmente se os fatos envolverem pessoas notórias ou caso haja algum tipo de interesse público envolvido na divulgação. A análise da jurisprudência permite entender esse viés da privacidade, bem como os critérios para a sua proteção, a partir de um interesse individual e também de uma tutela desse direito sob o ponto de vista coletivo (no sentido de garantir o acesso da coletividade a determinada informação).

Um caso emblemático foi julgado pelo Tribunal de Justiça do Estado de São Paulo (TJSP), em 2008, envolvendo a modelo Daniella Cicarelli Lemos e seu namorado Renato Aufiero Malzoni Filho, que foram filmados na praia de Cadiz, na Espanha, em “cenas de intimidade”, cujo vídeo foi publicado em redes sociais, notadamente no site YouTube (BRASIL, 2008). O Tribunal, em tal julgamento, analisou diversos aspectos relativos ao princípio da privacidade, tais como a notoriedade de um dos envolvidos e o fato de se tratar de um local público. Nesse sentido, chegou-se à conclusão de que “não é porque os dois namoraram ou transaram na praia que se legaliza a exploração, na internet e outros meios, das cenas que não foram produzidas para deleite do público”. Embora o julgado admita ser tolerável a divulgação de notícia que relatou o fato, por ter ocorrido em local púbico, o uso da tecnologia (gravação feita pelas lentes de longo alcance de um paparazzo e divulgação e manutenção do vídeo na internet) dimensionou exageradamente a situação, por isso caracterizou a invasão da intimidade dos envolvidos. Em razão disso, o Tribunal determinou a exclusão dos vídeos no site Youtube e das fotografias divulgadas na internet.

Em outro caso, julgado quatro anos antes pelo Superior Tribunal de Justiça (STJ) (BRASIL, 2004), foi analisada a situação de uma pessoa que estava de topless em uma praia e foi fotografada. Nesse precedente, o STJ havia entendido que “a proteção à intimidade não pode ser exaltada, a ponto de conferir imunidade contra toda e qualquer veiculação de imagem de uma pessoa”; bem como “não se pode cometer o delírio de, em nome do direito de privacidade, estabelecer-se uma redoma protetora em torno de uma pessoa”. Em uma primeira leitura, essa decisão pode parecer contraditória com aquela descrita no parágrafo anterior. Contudo, as situações não são idênticas, e a comparação entre os casos ajuda a entender alguns dos parâmetros ligados à privacidade, inclusive no âmbito da internet.

O primeiro parâmetro está ligado à liberdade de expressão. No caso do jornal, que divulgou a fotografia da pessoa de topless, a proteção da liberdade de expressão permite a divulgação da referida cena, desde que inserida em um contexto adequado (sem distorções, retratando exatamente a situação noticiada), ou que tenha sido realizada com razoabilidade (sem sensacionalismo ou exploração comercial). Vale ressaltar que no caso da modelo filmada na praia com seu namorado, a superexposição do vídeo, captado da forma como foi, torna desarrazoada a sua manutenção em sites de internet. Como frisou o julgado, a divulgação da notícia em si é razoável, mas a superexposição dos vídeos e fotografias, não. Um segundo aspecto que decorre da análise dos dois casos acima diz respeito ao direito à imagem. Isso significa que pessoas flagradas em ambientes públicos, ao terem suas imagens divulgadas, não podem, a princípio, alegar ofensa em relação ao direito de personalidade. No entanto, se houver algum tipo de exploração dessa imagem (exploração comercial e até mesmo de caráter sensacionalista), ou se a natureza do ato for eminentemente privada, aí sim a exposição, sem o devido consentimento pode ser considerada ilegal. Por fim, o terceiro parâmetro corresponde ao fato de a pessoa estar em lugar público, o que afasta a expectativa de privacidade absoluta, mas não autoriza invasões à vida íntima das pessoas. De fato, as pessoas, muitas vezes, praticam, em público, atos que fazem parte de sua privacidade; contudo, elas não desejam que tais atos se tornem de conhecimento geral, pois isso pode deixá-las mais expostas ou vulneráveis. 15 Assim, embora não se deseje um segredo absoluto, o titular do direito tem uma expectativa de confidencialidade, ou seja, “de que as informações privadas compartilhadas com um grupo selecionado de pessoas não deverão ser divulgadas a terceiros, a não ser somente dentro desse círculo de confiança” (LEONARDI, 2012, p. 65).

A expectativa de privacidade, acima descrita, reflete a terceira categoria de conceito unitário, associada não somente à privacidade, mas também ao segredo ou sigilo. Nessas situações, o resguardo da privacidade deve ser sopesado com os interesses públicos decorrentes da divulgação de certas informações. 16 No caso da pessoa fotografada de topless, em púbico, em uma praia lotada, o fato, de acordo com o STJ, contextualizou uma exposição levada a cabo por quem se expôs publicamente e, por isso, teve a própria imagem coletada e divulgada pelo jornal. Ou seja, não haveria uma expectativa razoável de segredo ou de “controle” (sigilo, confidencialidade) do fato. Por outro lado, no caso da modelo flagrada com seu namorado, embora os dois estivessem em local público, a natureza do ato de intimidade praticado (dentro da água, em local distante, sem poder ser percebido nem mesmo por quem estava no local, tendo sido captado por um paparazzo, fazendo uso de lentes de longo alcance) afasta o contexto de exposição pública por parte das pessoas envolvidas, pois a captação e ampla divulgação do vídeo foi entendida como invasão de privacidade. Isso ocorre em razão de a natureza do ato impor uma expectativa razoável de “proteção” e de “controle” em relação ao ato. Essa distinção é extremamente relevante, na medida em que as ferramentas tecnológicas existentes na atualidade permitem captar imagens, dados, falas, reações, sentimentos e informações de inúmeras pessoas, em inúmeros contextos, em que alguns deles terão uma natureza menos privada do que outros. Para entender se há ou não ofensa à privacidade, é preciso analisar cada caso concreto, levando-se em consideração o contexto (público ou privado), a ciência da pessoa sobre a existência de câmeras, microfones e outros meios que possam captar sons e imagens, além da natureza do ato praticado e a pertinência de sua divulgação pública. 17

As acepções de privacidade analisadas até este momento possuem um viés patrimonialista, na medida em que refletem interesses que, mesmo quando possuem uma ótica coletiva (como a questão do direito de acesso à informação), levam para a balança interesses que possuem uma roupagem individual, de direito subjetivo (como o direito de alguém não ser importunado em contraposição ao interesse de outro acessar, individual ou coletivamente, determinada informação). Na sociedade contemporânea, contudo, a privacidade tem um sentido mais amplo que exige um afastamento “da lógica patrimonialista que, tendo acompanhado a sua formação, se apresenta agora como portadora de um complexo de valores diverso daqueles representados na privacidade” (DONEDA, 2006, p. 143). McThomas (2013, p. 1), nesse sentido, divide a privacidade em duas espécies: (i) a privacidade proprietária (“proprietary privacy”), que é baseada na ideia de propriedade e cobre assuntos como dados e informações médicas e direitos de imagem; e (ii) a privacidade decisional (“decisional privacy”), que está associada ao poder de tomar decisões sobre questões envolvendo a intimidade e relativas ao direito de morrer, ou, ainda, ao casamento entre pessoas do mesmo sexo e ao aborto. 18 De acordo com a autora, a privacidade decisional é a privacidade sobre a mente, a liberdade de poder tomar as próprias decisões sobre questões íntimas e escolhas de vida (MCTHOMAS, 2013, p. 24).

Esse viés positivo da privacidade aumenta a autonomia das pessoas, favorecendo ambientes em que se pode praticar a diversidade e a democracia. É aqui que se encaixa o conceito de privacidade ligado ao controle sobre os DP, 19 que remete à questão do “dataveillance” (tratado no subcapítulo 1.1.3), e dos efeitos inibidores de comportamento decorrentes da eternização de uma infinidade de informações que podem ser geradas, catalogadas e compartilhadas nos dias de hoje. 20 A existência de registros a respeito de todos os aspectos da vida das pessoas remete a novas preocupações 21 e é bastante potencializada pela tecnologia. 22

2.1.2. Privacidade e conteúdo gerado por terceiros na internet

Leonardi (2012, p. 89) entende ser necessário buscar, no Brasil, um conceito de privacidade genérico e amplo, “para sua tutela em face das novas modalidades de violação proporcionadas pelo uso de computadores e da internet.” De fato, os mecanismos da sociedade da informação demandam uma releitura do conceito de privacidade, especialmente em razão de muitas pessoas acreditarem que a internet é um ambiente para práticas anônimas (ou, de certo modo, controláveis), pois, na verdade, trata-se de um meio em que as informações podem ser geradas, identificadas, compartilhadas e rastreadas por terceiros. 23 Há dois elementos principais a serem considerados para moldar a privacidade no ambiente virtual, que são a existência de intermediários e o comportamento humano propriamente dito.

Em relação ao comportamento humano na sociedade da informação, pressupõe-se que as pessoas, atualmente, se importam menos com a privacidade do que no passado. Como indica Powell (2011, p. 177), os executivos ligados aos provedores de redes sociais advogam que o conceito de privacidade evoluiu e deve ser considerado em função das atuais expectativas dos usuários; no caso das redes sociais, por exemplo, os internautas compartilham informações da vida pessoal (pensamentos, hobbies, opiniões, sentimentos etc.), mas não compartilham informações financeiras ou números de documentos, porque entendem que esse tipo de informação possui caráter privado. O problema desse tipo de raciocínio é que os efeitos de uma ofensa à privacidade só são conhecidos quando os danos se concretizam. O fato de as pessoas continuarem guardando segredo sobre seus números de documentos e de informações financeiras não significa, necessariamente, que elas tenham aberto mão da privacidade em relação a outros fatos que manifestam na internet. O dano decorrente da divulgação de uma informação financeira é evidente e, por isso, as pessoas mantêm tais dados em sigilo. O dano decorrente de informações sobre hábitos pessoais não é tão evidente, o que faz com que as pessoas não se sintam tão desconfortáveis em expressá-las. Contudo, caso o dano se concretize, não se pode dizer que a situação não merece tutela, sob o argumento de que o titular dos dados, ao declará-los, teria renunciado ao seu direito à privacidade. 24

Na verdade, ocorre um comportamento mais transparente das pessoas no ambiente virtual que, de certo modo, é incentivado por agentes econômicos (os intermediários) que possuem modelos de negócios baseados em ferramentas tecnológicas que utilizam a internet, 25 promovendo, no âmbito de suas atividades, a coleta e o tratamento de DP. A esse respeito, Gal e Rubinfeld (2015, p. 2), lembram que um dos estímulos para a denominada “economia do grátis”, é o peso menor que os consumidores dão à privacidade e à leniência em fornecer informações em troca de produtos e serviços gratuitos. 26 Essa relação é, praticamente, uma análise de custo benefício, 27 ou seja, de colocar de um lado da balança os benefícios provenientes de serviços gratuitos e, do outro, os custos que a transmissão e tratamento de DP podem significar para a privacidade. Essa lógica econômica que orienta muitos modelos de negócios conduzidos por intermediários pode gerar efeitos importantes em relação aos direitos de personalidade dos usuários, quando as ferramentas, que viabilizam e incentivam a exposição pública de fatos ligados a pessoas determinadas, são bastante significativas na sociedade da informação. 28

Além disso, os usuários de serviços on-line muitas vezes desconhecem o quanto as suas informações pessoais podem ser utilizadas por terceiros. Powell (2011, p. 170), por exemplo, sugere que as pessoas ao divulgarem pensamentos, sentimentos e emoções em redes sociais acreditam que apenas seus amigos e seguidores terão acesso à informação compartilhada. Isso gera uma expectativa quanto ao uso e à publicidade em si mesma, no entanto, essa sensação vai sendo construída em cada contexto dos sites e dos serviços oferecidos. Uma pessoa que usa constantemente a ferramenta de buscas do Google, por exemplo, talvez desconheça que todos os termos de busca digitados, nesse ambiente, são armazenados, analisados e tratados para se traçar, algumas vezes, de maneira automática, o seu perfil. Além disso, também pode ficar insatisfeita com uma eventual divulgação pública de todos os termos de busca por ela utilizados, já que se espera, de maneira legítima, que o Google não divulgue essa informação para ninguém.

Outro aspecto do comportamento humano relacionado à privacidade no âmbito da internet diz respeito à já mencionada sensação de anonimato que, de certo modo, faz parte da cultura digital e encoraja as pessoas a manifestarem-se, violando, algumas vezes, a privacidade alheia. 29 Como sustenta Benkler (2006, p. 220), as práticas da sociedade da informação transformam em atores do discurso público, inclusive em arenas políticas, um grande número de pessoas que antes eram receptoras passivas de informações. 30 De fato, há muitos intermediários (aplicativos) disponíveis para que as pessoas expressem aquilo que não querem, postem informações, e arrependam-se em seguida. Podem ainda manifestar opiniões e sentimentos a respeito de todos os assuntos, estimular ou serem estimuladas a praticar o discurso do ódio, bem como a mudar de opinião sem cerimônia ou compromisso, praticar crimes (como a pedofilia 31 ), além de espalhar notícias falsas sob o “conforto” da sensação de anonimato 32 . Ao agir assim, os usuários da rede podem divulgar informações a respeito de terceiros e, até mesmo, violar direitos alheios. 33

Embora o conteúdo gerado na internet pelos próprios internautas seja uma manifestação da liberdade de expressão, esse posicionamento pode entrar em conflito com a privacidade de quem tem informações pessoais expostas. A tensão entre a liberdade de expressão e a proteção de dados no mundo virtual relaciona-se com o fato de a internet ser um ambiente em que os usuários podem, de maneira relativamente livre, manifestar ideias e opiniões, caracterizando-se, assim, a essência dessa ferramenta, que consolida o entendimento de que a rede mundial de computadores possui fóruns de caráter público que asseguram o direito à livre manifestação. 34 É preciso, no entanto, compreender como devem ser sopesados os princípios da privacidade e da liberdade de expressão nas situações de conflito entre tais interesses e, também, como deve ser efetivada a responsabilização no caso de danos decorrentes de ofensa à privacidade.

Para endereçar esse assunto, Erdos (2017, p. 4) aponta dois atores que publicam informações na internet: aqueles que postam diretamente a informação (“original publisher” ou publicador original) e o intermediário, que é a aplicação de internet que trabalha com essas informações – de maneira independente ou sob as instruções de quem controla os dados (“intermediary publisher”). Pode-se dizer que um publicador original é quem divulga as próprias informações ou de terceiros nas redes sociais ou preenche fichas de cadastro em sites, e que o intermediário é o site que realiza algum tipo de processamento da informação, como a rede social que pública o que foi postado por um de seus usuários. 35 A partir desse conceito, é relativamente fácil construir a argumentação necessária para responsabilizar o publicador original por ofensas à privacidade, quando ficar demonstrado que alguma postagem na internet divulgou informações de caráter privado, sem autorização, ou mediante ofensa a um direito de personalidade (por exemplo, a publicação de fotografias íntimas). A dificuldade reside na responsabilização dos publicadores intermediários, por serem ferramentas da internet que viabilizam todo o ambiente para que as possíveis ofensas à privacidade sejam concretizadas.

A esse respeito, na Europa, existe uma norma sobre a prestação de serviços na sociedade da informação (Diretiva 2000/31/CE), estabelecendo que não deve existir responsabilidade dos prestadores de serviços que exerçam atividades de mera transmissão ou armazenamento de informações de terceiros pelas consequências da ilicitude dessas informações, o que é entendido como um mecanismo de proteção às ferramentas que podem viabilizar a liberdade de expressão. Essa ausência de responsabilidade, no entanto, está condicionada ao fato de a atividade do intermediário ser totalmente neutra, ou seja, não deve haver nenhum tipo de modificação, obtenção de dados ou seleção de destinatários em relação às informações armazenadas. 36 Essa Diretiva, contudo, convive com o GDPR, que traz várias obrigações no sentido oposto, de responsabilização dos provedores, de modo que a interpretação conjunta dessas normas faz com que os publicadores intermediários tenham que assumir a responsabilidade de efetuar um controle autônomo sobre o processamento das informações, pois estão, ao mesmo tempo, sujeitos a uma série de obrigações (decorrentes da legislação sobre proteção de DP – GDPR) e protegidos para atuar de modo a preservar a liberdade de expressão (Diretiva 2000/31/CE) (ERDOS, 2017, p. 21). Na prática, isso significa que é o risco assumido pelo provedor, ao desenvolver a sua atividade, que vai determinar a sua responsabilização. 37 Quanto mais o provedor tratar as informações que pública, maior será sua responsabilidade.

Enquanto a Europa demonstra uma preocupação com a proteção da privacidade, mesmo em situações que discutem sobre a liberdade de expressão, há outros modelos, como o norte-americano, que tornam secundária a proteção da privacidade em relação a outros interesses (SCHWARTZ; SOLOVE, 2014, p. 880). 38 Nos EUA, é comum, por exemplo, encontrar precedentes nos quais a liberdade de expressão ou a segurança nacional prevalecem em relação à privacidade. 39

Nesse debate sobre a responsabilidade dos intermediários pela divulgação de informações de terceiros na internet, o direito brasileiro se posiciona de uma maneira intermediária entre o modelo europeu (que privilegia a privacidade), e o estadunidense (que privilegia a liberdade de expressão), oscilando entre os dois entendimentos de acordo com cada situação concreta. Com efeito, no Brasil, liberdade de expressão e privacidade são garantias fundamentais cuja efetividade é guiada pela dignidade da pessoa humana, fundamento da República Federativa do Brasil, conforme art. , III, da CF. O MCI, no entanto, restringe as responsabilidades dos intermediários, pois exige decisão judicial para que eles sejam obrigados a remover conteúdo da internet, ainda que exista ofensa à privacidade, dando certa preferência à garantia da liberdade de expressão. De fato, o MCI estabeleceu uma regra segundo a qual os publicadores intermediários (provedores de aplicações) somente serão responsabilizados por danos decorrentes de conteúdo gerado por terceiros se deixarem de cumprir uma ordem judicial específica, “no âmbito e nos limites técnicos do seu serviço” (art. 19 da Lei 12.965). Caso o conteúdo publicado contenha “cenas de nudez ou de atos sexuais de caráter privado”, o provedor deve adotar medidas imediatas, independentemente de ordem judicial, mas ainda assim “no âmbito de e nos limites técnicos do seu serviço” (art. 21 da Lei 12.965). 40

Não obstante as normas do MCI, há vários autores brasileiros que já questionaram a exigência criada pelo MCI, 41 o que é importante já que, após o advento da LGPD, a releitura do tema tornou-se ainda mais necessária. Com efeito, embora a LGPD aponte a “liberdade de expressão, de informação, de comunicação e de opinião” como um fundamento da disciplina da proteção de DP (art. 2º, III), esta previsão está ao lado do “respeito à privacidade” (art. 2º, I) e da “inviolabilidade da intimidade, da honra e da imagem” (art. 2º, IV), não havendo a imposição de filtros judiciais para garantia desse direito. Assim, uma interpretação que objetive equilibrar os interesses envolvidos deve analisar os termos de uso dos provedores de serviços e, também, as expectativas de privacidade e segurança de dados criadas em torno da atividade do intermediário, punindo-o quando houver negligência no cumprimento de tais expectativas. 42 Assim, em um possível endereçamento sobre esse tema, pode-se entender qual é a efetiva atividade do intermediário e quais seriam, em decorrência disso, suas obrigações em relação ao equilíbrio entre privacidade e liberdade de expressão.

Nessa linha, pode-se pensar em parâmetros como o sugerido por Erdos (2017, p. 21), que classifica os provedores em três espécies, de acordo com o tipo de atividade exercida: (i) o mero processador de informações, que simplesmente armazena e comunica dados de terceiros, por exemplo, um provedor de hospedagem (“processor host”); (ii) o processador de informações que, além de armazenar e comunicar dados de terceiros também é um controlador desses dados, na medida em que trabalha a forma de comunicação das informações, a exemplo do Facebook e do Youtube (“controller host”) e (iii) o provedor intermediário, que desenvolve suas atividades de maneira totalmente independente do titular dos DP, como é o caso de sites de avaliação e de ferramentas de busca especializadas (“independent intermediary”). Na primeira situação (“processor host”), o provedor simplesmente pública informações na internet obedecendo as instruções de um terceiro e não fica, a princípio, sujeito às obrigações referentes às regras de proteção de dados, já que não possui nenhuma ingerência em relação a estes (ERDOS, 2017, p. 22). Na segunda hipótese (“controller host”), apesar de o provedor estar isento de responsabilidade, em situações nas quais terceiros possam publicar informações ilegais, este possui alguns deveres de cuidado em relação à privacidade e aos DP. Isso ocorre em razão de esse tipo de provedor efetuar uma atividade de tratamento das informações (determinando, por exemplo, a forma como os dados serão comunicados a terceiros, como ocorre nas redes sociais), o que lhes impõe o dever de tomar medidas razoáveis todas as vezes que tomarem conhecimento da postagem de conteúdo ilegal ou inadequado (ERDOS, 2017, p. 25). 43 Por fim, no caso dos intermediários independentes (“independent intermediary”), por não efetuarem armazenamento e publicação de informações sob as instruções de terceiros, os mesmos possuem deveres claros em relação à coleta, ao tratamento e à divulgação de DP. Um exemplo mencionado por Erdos (2017, p. 27) seria a situação de uma ferramenta de busca especializada em obter informações de caráter personalíssimo, como números de documentos, de cartões de crédito, de telefone ou informações de contato semelhante a um e-mail. 44 Outro exemplo seriam alguns sites de avaliação que armazenam informações sobre terceiros sem que eles necessariamente saibam e possam controlar a veracidade dessas informações. 45 Tais provedores devem observar todas as regras e deveres de conduta, preventivos e corretivos, inerentes à proteção de DP, por exemplo, garantir a veracidade dos dados e não tratar dados sensíveis (ERDOS, 2017, p. 27). 46

A introdução da LGPD no sistema brasileiro pode conduzir a um caminho semelhante, compreendendo a necessidade (e a responsabilidade 47 ) de os intermediários, no escopo de suas atividades, analisarem as situações concretas e, levando em conta os parâmetros a respeito da privacidade construídos ao longo dos anos (ver subcapítulo 2.1.1), assegurarem que a liberdade de expressão no âmbito da internet não atropele o direito à privacidade, sobretudo quando não houver interesses coletivos relevantes que justifiquem a divulgação de fatos e situações privadas, incluindo DP.

2.1.3. Privacidade e dados pessoais

Como visto anteriormente, a tutela da privacidade e os deveres de cuidado com as informações pessoais, decorrentes do conteúdo gerado por terceiros, possuem contornos mais complexos na Europa do que no Brasil. Uma das possíveis causas para essa diferença é a heterogeneidade da população brasileira e a existência de preocupações mais básicas em grande parte da população. 48 Contudo, com a LGPD e o avanço da economia digital em nosso país, a discussão sobre a privacidade e a proteção de dados tende a desenvolver-se, e os parâmetros europeus podem servir de inspiração.

Nesse sentido, o caso “Google Spain” (UNIÃO EUROPEIA, 2014) é emblemático na Europa e demonstra bem o aspecto descrito no parágrafo anterior. No referido caso, o autor da ação, Sr. Costeja González, afirmava que, ao pesquisar o próprio nome, a ferramenta de buscas da Google apresentava duas páginas do jornal La Vanguardia, do ano de 1998, com informações sobre a venda de imóveis decorrentes de um arresto, em função de dívidas que ele possuía. Diante desse fato, aduzia que o processo de arresto já havia sido resolvido há vários anos e que não era pertinente a citada dívida no site de busca, motivo pelo qual requereu que seus DP deixassem de aparecer nos resultados de pesquisa. A Google, por seu turno, alegou não ter controle sobre o conteúdo postado por terceiros e que o Autor deveria adotar as providências que entendesse pertinentes diretamente com o site que publicou as aludidas informações. O Tribunal de Justiça da UE (União Europeia) entendeu que a atividade realizada pela Google se enquadra no conceito de tratamento de DP, estando sujeita às obrigações respectivas, entre as quais se encontram a de assegurar a correção e exatidão dos dados. O Tribunal também analisou a necessidade de sopesar os interesses do autor e os da coletividade, especialmente daqueles que, por qualquer motivo, queiram ter acesso à informação. Neste aspecto, a conclusão alcançada foi no sentido de reconhecer o direito ao esquecimento no caso concreto, por não haver razões especiais que justificassem um interesse preponderante da coletividade. Como visto anteriormente, a mesma situação, se julgada no Brasil, teria um desfecho diferente.

O caso descrito anteriormente, além de fomentar a discussão a respeito da responsabilidade pela divulgação de fatos da vida privada na internet, traz um segundo aspecto importante desse princípio, que se vincula especificamente à sociedade da informação. No caso Google Spain, a privacidade do autor da ação também foi protegida, no sentido de dar-lhe o direito de eleger quais informações a seu respeito deveriam ser disponibilizadas a terceiros, numa linha muito semelhante àquela sustentada por Warren e Brandeis (1890, p. 198). Esse entendimento tem sido constantemente reforçado nas discussões sobre a privacidade. Rodotà (2008, p. 93), por exemplo, reforça a ideia de que a privacidade está vinculada à garantia de ferramentas para que o titular dos DP possa exigir a circulação controlada das informações a seu respeito. 49

De fato, a vida cotidiana possui inúmeras peculiaridades que envolvem coleta de dados e possíveis intervenções na vida privada. Antes mesmo da consolidação da internet como uma ferramenta massificada, Posner (1978, p. 420) mencionava mecanismos invasivos à privacidade, como a vigilância fotográfica dentro de casas ou o roubo de registros para descobrir informações sobre indivíduos. Nos dias atuais, a obtenção de informações privadas não parece mais algo tão invasivo ou ilícito, pois, de algum modo, as pessoas habituaram-se aos mecanismos de vigilância, como as câmeras de segurança espalhadas pelas ruas, a obrigação de se identificarem (ou se deixarem fotografar) para ingressar em edifícios, a transmissão de informações sobre gastos e renda ao Estado (declarações de renda), entre outras (Tomasevicius Filho, 2014, p. 137). 50 Algumas tecnologias, como o reconhecimento facial, farão com que, em breve, ninguém passe despercebido, mesmo em ambientes públicos. 51

A quantidade de DP e as diversas formas pelas quais eles são coletados, conduzem a uma situação em que o titular não conhece todas as informações a seu respeito, armazenadas em um site ou que estão em poder de uma empresa. Como aponta Powell (2011, p. 165), as técnicas de rastreamento das redes sociais, associadas ao compartilhamento de dados e às políticas de privacidade, que são alteradas a todo o momento, criaram uma falta de controle sobre as informações pessoais, bem como a desinformação sobre as inúmeras possibilidades de uso de cada uma delas. 52 Além da alteração de políticas de privacidade, a própria complexidade dos artefatos tecnológicos e a lógica do cruzamento das informações 53 contribuem para que o usuário perca a dimensão a respeito do armazenamento e utilização de seus DP. 54

Em razão disso, desenvolveu-se a ideia da autodeterminação informativa, que é uma forma de expressão da privacidade na sociedade contemporânea. Dessa forma, os dados só devem ser utilizados de acordo com a finalidade para a qual eles foram coletados, uma vez que o titular das informações deve ter o direito de desautorizar o tratamento de seus DP, apesar dele mesmo as ter fornecido. Qualquer utilização da informação, desalinhada da finalidade para qual foi coletada, seria ilegal e antiética. 55 Bernal (2014, p. 17) avança nesses estudos quando menciona que os titulares de DP também devem ter o direito de monitorar quem os monitoram, ou seja, de saber quem, por que razões e em que contextos realizam vigilância sobre o titular dos DP. Dessa maneira, possibilita-lhes também compreender quem está do outro lado da tela durante a navegação na internet. Esse princípio, em função dos mecanismos de tratamento de dados na internet, pode encontrar algumas dificuldades para ser implementado, por causa da enorme quantidade de dados disponíveis e da dificuldade de controle em relação ao seu uso e as consequências da própria agregação de dados. 56

Em termos jurídicos, a relação entre privacidade e DP 57 fomenta discussões a respeito de uma possível natureza jurídica autônoma do direito à proteção de DP (ou seja, a proteção de DP não seria uma espécie ou derivação do direito à privacidade, mas sim um direito independente, com vertentes e aplicações próprias). 58 Lynskey (2015, p. 90), a este respeito, indica três possíveis modelos para relacionar a privacidade e a proteção de DP: (i) o que entende que DP e privacidade são direitos distintos, mas complementares entre si; (ii) o que entende que a proteção de dados decorre do princípio da privacidade; e (iii) o modelo segundo o qual a proteção de dados é um direito totalmente independente, mais amplo, que possui inúmeras funções, incluindo a proteção da privacidade. A ideia de complementariedade entre os conceitos (modelo i) conduz a um entendimento segundo o qual privacidade e proteção de dados seriam, de certo modo, interdependentes. Apesar de fazer sentido nos aspectos comuns entre privacidade e proteção de dados, é certo haver inúmeros aspectos ligados aos dois interesses que não necessariamente se relacionam por serem independentes entre si. 59 Quanto ao modelo “ii”, a quantidade de discussões, direitos e interesses que decorrem da proteção de dados não permite afirmar que a mesma seja uma simples evolução do conceito de privacidade na era digital. Há, sim, aspectos referentes à evolução da privacidade dentro do conceito de proteção de dados. No entanto, há inúmeros outros aspectos que se descolam da privacidade e que permitem afirmar que a proteção de dados é, na verdade, um direito autônomo, independente, exatamente como propõe o modelo “iii” acima mencionado.

Para corroborar essa conclusão, vale ressaltar que as discussões referentes à proteção de dados surgiram em diversos momentos históricos e em função de contextos políticos, econômicos e tecnológicos específicos. Algumas vezes, esses contextos revelavam preocupações com aspectos da privacidade, mas em outras ocasiões as preocupações eram diversas (receio do controle e manipulação de comportamentos, bem-estar do consumidor, proteção dos direitos de crédito, entre outras). Mendes (2014, p. 37) sintetiza a evolução das leis referentes à proteção de dados em quatro gerações. A primeira, na década de 1970, era fruto da preocupação das pessoas em relação aos bancos de dados das administrações públicas e do poder que esses dados conferiam ao Estado sobre a vida dos cidadãos. 60 Nessa fase, as leis estabeleciam procedimentos para novos bancos de dados (como, por exemplo, a exigência de uma autorização pública prévia para criação de um sistema de armazenamento). 61 Na segunda geração, a preocupação não era mais restrita aos procedimentos dos governos, mas sim às normas de proteção de DP e de privacidade. A terceira geração, a partir da década de 1980, consagrou a ideia de autodeterminação informativa, ou seja, as pessoas passam a participar do processamento de dados “como um envolvimento contínuo em todo o processo, desde a coleta, o armazenamento e a transmissão e não apenas como opção entre ‘tudo ou nada’” (MENDES, 2014, p. 42). Finalmente, a quarta geração reduziu o papel da decisão individual de autodeterminação informativa, quando estabeleceu categorias de dados que “necessitam de uma proteção no seu mais alto grau, que não pode ser conferida exclusivamente a uma decisão individual” (DONEDA, 2011, p. 98), como é o caso dos “dados sensíveis”, marcando, ainda, o surgimento de normas setoriais a respeito do tema. 62

A proteção de DP também pode revelar aspectos orgânicos de uma sociedade, que ultrapassam os limites da proteção da privacidade sob o aspecto individual. De fato, há autores, em consonância com Rodotà (2008, p. 144), que explicam que a tutela dos DP contribui para o equilíbrio dos poderes, pois a não preservação desse direito, além de colocar em risco as liberdades individuais, pode prejudicar a própria democracia. 63 Pariser (2012, p. 146), por exemplo, sustenta que mecanismos como as redes sociais minam a democracia, porque criam bolhas que reduzem de maneira expressiva a capacidade de enxergar, compreender e discutir pensamentos e ideias diferentes. 64 Desse modo, ferramentas jurídicas que reduzam a vigilância e viabilizem a autonomia e o dissenso 65 podem conduzir à transparência e à concretização da autodeterminação informativa 66 .

A importância e o caráter cada vez mais independente da proteção de DP faz com que surjam normas igualmente autônomas a respeito do assunto, que tendem a uniformizar-se 67 nas sociedades democráticas, o que é desejável, em razão do caráter cada vez mais global dos meios de coleta de dados. 68

2.2. PRINCIPAIS MODELOS JURÍDICOS DE PROTEÇÃO DE DADOS PESSOAIS

Embora seja um processo importante e desejável, a uniformização das leis sobre proteção de DP ainda está em andamento, havendo diferenças importantes entre os dois principais modelos regulatórios sobre esse assunto, que são o europeu e o americano. Em síntese, pode-se dizer que a legislação sobre privacidade na UE exige de maneira bastante rigorosa um consentimento explícito do titular dos DP ou outra autorização legal para que seja autorizado o processamento de DP, ao passo que, nos EUA, a regra é de que os dados podem ser processados, a menos que alguma lei específica proíba (SOLOVE, 2013, p. 1897). 69 O objetivo deste subcapítulo é analisar mais detidamente os principais elementos dos modelos jurídicos europeu e norte-americano em relação ao tratamento de DP, bem como a sua influência nas normas que versam sobre o assunto ao redor do mundo.

2.2.1. Modelo europeu: necessidade de fundamento legal para tratamento de DP

Para garantir certa uniformização das leis internas dos países que compõem o bloco econômico europeu, a UE utiliza mecanismos jurídicos que tentam assegurar a existência de parâmetros normativos semelhantes nos seus países-membros. Nesse sentido, as Diretivas são normas comunitárias, elaboradas conjuntamente pelos países da Comunidade Europeia, que estabelecem entre si diretrizes a respeito de assuntos julgados relevantes e comuns. Para que uma Diretiva tenha efeitos jurídicos dentro de um país-membro, é preciso que esse país internalize a norma comunitária de acordo com suas próprias leis. Algumas vezes essa internalização é integral, outras vezes, é parcial.

Nesse contexto, a legislação comunitária europeia sobre DP entre 1995 e 2018 foi pautada pela Diretiva 95/46/CE (UNIÃO EUROPEIA, 1995). 70 Seguindo o mecanismo descrito no parágrafo anterior, essa diretiva orientou as leis internas de proteção de dados pessoais dos países europeus, criando certa uniformização a respeito do assunto. Os dois grandes objetivos dessa Diretiva estão nos seus artigos 1º e 2º e correspondem à proteção das liberdades e direitos fundamentais e à garantia de livre circulação de DP entre países europeus. 71 Como aponta Erdos (2017, p. 14), essa legislação obrigava os países-membros a assegurarem uma série de direitos ligados à proteção de dados (transparência, retificação ou eliminação dos DP, oposição ao processamento de dados, bloqueio do processamento ilegal, prévio consentimento para tratamento de dados sensíveis, entre outros). A fiscalização do cumprimento da norma comunitária é feita pelos países membros, por meio de órgãos específicos de controle, 72 sendo que o artigo 29 dessa Diretiva criou um colegiado, composto de representantes das autoridades de supervisão de cada um dos estados membros da UE. 73

A partir de maio de 2018, passou a vigorar na UE o Regulamento (UE) 2016/679 (UNIÃO EUROPEIA, 2016), o GDPR, que é o atual marco normativo para proteção de DP naquele continente. Diferentemente do que ocorre com as Diretivas, o fato de tratar-se de um Regulamento significa que a norma se torna imediatamente aplicável e eficaz, independentemente da legislação nacional de cada Estado membro (SCHWARTZ; SOLOVE, 2014, p. 885). O GDPR, assim, não representou uma reforma legislativa radical na matéria, mas sim, como assinala Erdos (2017, p. 20), um regulamento que esclarece o estado da arte em relação à proteção de DP. A norma é completa, há 173 “considerandos” que explicitam as intenções e os critérios para interpretação dos seus 99 artigos, tendo revogado expressamente a Diretiva 95/46/CE.

A proteção de DP foi considerada, pelo GDPR, como um direito fundamental (art. 1º, 2) que, no entanto, não é absoluto e deve ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. 74 A caracterização da proteção de dados como direito fundamental é importante, porque impede que os titulares dos dados possam renunciar completamente às garantias relativas ao tema (LYNSKEY, 2015, p. 80), impondo certa restrição à autonomia da vontade. Em se tratando de um direito fundamental, como lembra Lynskey (2015, p. 242), não pode ser alienado em função do princípio da dignidade da pessoa humana. Isso permite ao Estado a imposição de limites a respeito do que pode e do que não pode ser objeto de concessão em termos de DP, e coloca sobre a mesa a discussão referente à autonomia individual para dispor de seus próprios DP (em troca de um benefício econômico ou de um serviço gratuito), além de um eventual paternalismo estatal, que proíbe o indivíduo de abrir mão de seus dados, a partir de um determinado limite (LYNSKEY, 2015, p. 244). 75 A livre circulação dos DP na UE, de modo a facilitar as relações econômicas, também foi reafirmada como um dos objetivos da norma (art. 1º, 3). Essa faceta da regulação europeia demonstra que a norma também almeja atender os interesses do mercado, na medida em que a livre circulação dos dados permite a integração de servidores de informação e a utilização dos dados em todos os países membros.

O GDPR se aplica apenas aos DP propriamente ditos, ou seja, informações processadas que permitem identificar uma determinada pessoa. 76 Fica fora deste conceito a informação que não permita a identificação (direta ou indireta) dos indivíduos a quem os dados se referem. 77 Também não é regulado pelo GDPR o tratamento de dados pelos Estados-Membros no exercício de atividades relacionadas com a política externa e segurança (art. 2º, 2). Na UE, os DP protegidos pelo GDPR são os mais diversos e incluem informações genéticas, dados biométricos, relativos à saúde, além de informações gerais para pesquisa científica. 78

O alcance da norma e a aplicação de suas regras e penalidades dependem da ocorrência do tratamento dos dados pessoais. A definição do que vem a ser esse “tratamento”, à luz da jurisprudência do Tribunal de Justiça da UE, é bastante ampla. Um dos precedentes emblemáticos a respeito é o caso “GoogleSpain”, referido no subcapítulo 2.1 (UNIÃO EUROPEIA, 2014), que entendeu que a ferramenta de buscas é uma entidade que realiza o tratamento de DP, ainda que exerça uma atividade restrita à realização de buscas e indexações de conteúdo produzido por terceiros. 79

No GDPR, os princípios relativos ao tratamento dos dados estão estabelecidos no art. 5º e são: (i) licitude, lealdade e transparência em relação ao titular dos dados; (ii) limitação das finalidades (dados devem se restringir à finalidade para a qual foram colhidos); (iii) minimização (deve ser utilizada a menor quantidade possível de informações pessoais); (iv) exatidão; (v) limitação da conservação (dados devem ser destruídos uma vez atingida a finalidade para a qual foram obtidos); (vi) integridade e confidencialidade; e (vii) responsabilidade de quem realiza o tratamento. 80 Ainda, no GDPR, a licitude do tratamento depende da obtenção do consentimento (art. 6º) ou da existência de outra hipótese de tratamento, como o cumprimento de obrigações jurídicas, defesa dos interesses do titular dos dados, interesse público, exercício da autoridade pública e a existência de interesses legítimos do responsável pelo tratamento. O pedido de consentimento deve ser destacado de outros assuntos ligados à contratação; deve ser claro e simples de compreender e não pode ser condição para a prestação do serviço ou venda do produto, a menos que o tratamento seja essencial para a prestação do serviço/venda do produto (art. 7º). 81 O responsável pelo tratamento também deve possuir ferramentas que permitam a retirada do consentimento de maneira tão simples quanto a sua obtenção.

O GPDR também cria uma série de regras referentes à segurança dos dados (arts. 32 a 34); estabelece obrigações de avaliação prévia do impacto do tratamento sobre a proteção de DP (arts. 35 e 36); restringe a transferência de informações a países fora da UE apenas àqueles que possuam padrões equivalentes de proteção (arts. 44 a 50); formaliza regras para as autoridades de controle dos Estados-Membros (arts. 51 a 67) e sua coordenação com o Comitê Europeu para a Proteção de Dados (arts. 68 a 76); além de prever procedimentos para imposição de responsabilidades e penalidades (arts. 77 a 93).

No GDPR, o princípio da autodeterminação informativa (que assegura ao titular o controle sobre o que é feito com os seus DP) assegura uma série de direitos subjetivos, ou seja, direitos que podem ser exigidos do controlador e do operador de DP pelo titular. Neste contexto, pode-se mencionar o direito de informação e acesso aos DP (arts. 13 a 15 do GDPR); os direitos de retificação e apagamento das informações, incluindo a possibilidade de oposição ao tratamento e de portabilidade dos dados (vale dizer, a obtenção dos DP num formato estruturado para ser entregue ao titular ou a um terceiro por ele indicado – arts. 16 a 20 do GDPR); o direito de oposição e o de não ficar sujeito a nenhuma decisão tomada exclusivamente com base em tratamento automatizado de dados (inclusive a criação de perfis) (arts. 21 e 22 do GDPR).

Esses direitos subjetivos, em especial os direitos de oposição e apagamento, representam a positivação do direito ao esquecimento no marco regulatório europeu. O art. 17 do GDPR, que trata do “direito ao apagamento dos dados”, refere-se a esse direito como “direito a ser esquecido”. O tema, no entanto, não é pacífico. De fato, o apagamento de DP, por si só, pode ser uma forma de preservar o nome de pessoas específicas e determinadas na apresentação de uma determinada situação. Isso não significa, necessariamente, esquecer ou apagar a história como um todo. 82 Um determinado fato, quando houver interesse social e pertinência que justifiquem, pode ser contado ou resgatado com a preservação, quando cabível, da identidade (DP) dos envolvidos. Visto dessa maneira, o direito ao apagamento dos dados pode ser entendido como um direito subjetivo, de caráter potestativo, 83 que não necessariamente conduza ao esquecimento. O direito ao esquecimento, por seu turno, dependeria do sopesamento entre os interesses envolvidos (direito à privacidade, à honra, à imagem, à dignidade versus direito de acesso à informação e à liberdade de expressão), em uma determinada situação concreta.

O GDPR ainda atribui ao responsável pelo tratamento de DP a obrigação de cumprir códigos de conduta (arts. 40 e 41 do GDPR) e procedimentos de certificação (arts. 42 e 43 do GDPR), além de procedimentos específicos para subcontratação do tratamento de dados (art. 28 do GDPR).

A marca do regulamento europeu, como se vê, é a imposição de inúmeros deveres de conduta a todos aqueles que realizem o tratamento de DP, restringindo esse tipo de atividade às situações autorizadas pela legislação. Na Europa, se a lei não autorizar, um DP não pode ser tratado. Este modelo é o que mais inspira as novas normas de proteção de DP ao redor do mundo. No entanto, não se trata de uma sistemática unânime, sendo que o principal contraponto ao GDPR é o sistema norte-americano.

2.2.2. Modelo norte-americano: normas setoriais e autorregulação

Como visto no subcapítulo anterior, a UE possui um Regulamento protetivo e uniforme entre os países membros. Nos EUA, por outro lado, não existe um marco legal único e específico que trate a questão dos DP. O entendimento acerca do tema, considerando tratar-se de um sistema de “common law” (em que as decisões judiciais, mais do que as leis, estabelecem as diretrizes do sistema jurídico), baseia-se na análise de uma série de atos normativos específicos e da jurisprudência, que atualmente é essencialmente administrativa, no âmbito da “Federal Trade Commission Bureau of Consumer Protection” (FTC). 84 Um aspecto que constitui uma diferença importante entre os sistemas europeu e estadunidense diz respeito ao entendimento da privacidade e da proteção de dados em meio aos direitos fundamentais. Na UE, como já mencionado, a proteção de DP é expressamente reconhecida como um direito fundamental que pode prevalecer quando em conflito com outros direitos fundamentais, como a liberdade de expressão. No modelo americano a tendência é diferente: a garantia da liberdade de expressão, muitas vezes, é vista como uma preocupação primária em relação à privacidade. Além disso, uma característica marcante da legislação norte-americana é a existência de mecanismos que autorizam a vigilância massificada em nome da segurança nacional, 85 que vieram à tona com as revelações feitas por Edward Snowden, ex-funcionário do governo americano, no ano de 2013. 86 Apesar dos amplos debates que seguiram às revelações, o governo norte-americano dá sinais de que não pretende interromper essas práticas. 87

Um elemento essencial para a compreensão do direito à privacidade nos EUA é o entendimento que a Suprema Corte atribui à quarta emenda da Constituição daquele país. Tal emenda, explica Bernal (2014, p. 124), veda a violação do direito das pessoas de não sofrerem procuras e buscas sem que exista um mandado que descreva o lugar a ser revistado, as motivações razoáveis da busca, assim como as pessoas e coisas a serem apreendidas. De acordo com a jurisprudência norte-americana, se não houver uma causa provável e um mandado, a privacidade deve ser protegida todas as vezes que os cidadãos manifestarem (expressamente ou em função do seu comportamento) um desejo de privacidade, que deve ser considerado legítimo para a população. 88 Essa interpretação gera uma série de discussões em função do julgamento subjetivo sobre as “expectativas de privacidade” individuais. 89 No âmbito da internet, considerando os mecanismos de coleta de DP existentes nos serviços conectados, pode-se discutir a existência de uma expectativa razoável de privacidade em relação a tudo o que se faz no ciberespaço. 90

A proteção de DP também não é reconhecida como um direito autônomo nos EUA. Schwartz e Solove (2014, p. 887) explicam que, naquele país, não há uma definição única sobre dado pessoal, mas várias definições contidas em legislação federal e estadual, que, algumas vezes, competem entre si. 91 A legislação sobre...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
6 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1196996369/capitulo-2-da-privacidade-aos-dados-pessoais-direitos-da-crianca-na-sociedade-da-informacao-ed-2020