Grupo de estudos em Direito, Tecnologia e Inovação - DTI
Data da reunião: 09/04/2019
Tema: Diferenças entre Privacidade e Proteção de Dados
Relatoras: Amanda Fuso e Julia D’Agostini
Relação entre Proteção de Dados e Privacidade
Controle dos dados pessoais: o título do artigo de Christophe Lazaro e Daniel Le Métayer, não poderia ser mais explícito quanto ao seu conteúdo - as diversas caracterizações, abordagens e finalidades em que o termo “controle” é relacionado a gestão de dados pessoais. O texto, primeiramente, trata sobre os percalços da doutrina sobre a conceituação do termo, depois se utiliza de dois documentos próprios da União Europeia para operacionalizar a questão de controle de dados, e por fim, considera a partir do ponto de vista da ciência da computação instrumentos de controle tecnológicos.
Para melhor situar a questão sobre “controle” os autores, de pronto, trazem duas perspectivas:
a) Controle como vigilância, que pressupõe o poder sendo exercido por uma instituição pública ou companhias privadas, a fim de monitorar, influenciar ou regular o comportamento das pessoas.
b) Controle como agência, que faz referência a autodeterminação sobre suas informações e autogestão da privacidade.
É a partir desta segunda noção de controle, que são trabalhadas suas caracterizações e consequências normativas. A primeira teoria que relaciona controle e privacidade surge como uma reação a noção de privacidade como “o direito de ser deixado só”, e se atrela a noção de restrição ao acesso de informações a ser exercida pelo próprio indivíduo, sua autodeterminação. Referente a essa perspectiva individualista e ativa, também foi desenvolvida a teoria de controle de dados em termos de proteção da propriedade, em que o agente autônomo e racional possuía poder e autonomia para dispor de seus dados, inclusive negociá-los como se mercadoria fosse.
Foram, então, colocadas objeções a essas teorias, principalmente no sentido de desconstruir esse agente autônomo e racional, através do reconhecimento de fatores intrínsecos que cientificamente influenciam a autogestão dos dados:
a) Acesso incompleto a informação
b) Racionalidade limitada
c) Desvios psicológicos sistemáticos da racionalidade
Ademais, reconhece-se implicações sociais das transações individuais de dados, que trouxe a consideração do esquema de controle não apenas bilateral, mas a presença de terceiros envolvidos e a consideração da privacidade um valor social. Outros autores ainda vão além, e consideram a privacidade como uma questão democrática e de construção da própria realidade: Antoinette Rouvroy, a respeito:
Datamining e profiling, baseando-se na disponibilidade efetiva de quantidades enormes de dados digitais brutos, instauram um novo “regime de verdade” – que eu chamo de “behaviorismo de dados” – criando a mais ampla zona de indistinção possível entre a realidade e o mundo, e erodindo a “parte desconhecida da incerteza radical”, reduzindo, igualmente, o alcance da crítica.
Nesse ponto do texto é feita, então, uma importante consideração sobre a dificuldade de distinção entre controle das informações pessoais e outros tipos de ações relacionadas à privacidade. Porém, considera, se o controle de dados for tomado de forma unicamente gerencial, se torna característica essencial para qualquer noção de privacidade e perde muito do seu potencial. Por isso, preza-se pela diferenciação da noção gerencial de controle, enquanto instrumento de proteção da privacidade, e a dimensão conceitual de controle.
Para operacionalizar essa noção de controle são selecionados dois documentos da União Europeia que relacionam o conteúdo ao contexto de tais enunciados:
I - Safeguarding Privacy in a Connected World. A European Data Protection Framework for the 21st Century
II - Take control of your personal data
Quanto ao primeiro documento, nota-se o controle de dados partindo do próprio indivíduo, que deve ser empoderado, a fim de desenvolver sua habilidade de gestão de dados. Para tanto, também são apresentados os seguintes instrumentos organizacionais e tecnológicos:
a) Melhoria dos remédios administrativos e judiciais pelo reforço das autoridades de proteção de dados nacionais.
b) Incentivo ao reforço de medidas de segurança de dados
c) Aumento da responsabilidade e responsabilização dos processadores de dados com a noção de “privacy by design”
Sobre o segundo documento, reconhece-se a natureza dual do controle de dados, tanto individual/subjetiva quanto estrutural/organizacional. Tais instrumentos são melhor exemplificados, e adequados à realidade, quando se observa a noção de controle pelo prisma da tecnologia:
a) A partir de uma análise do objeto de controle, reconhece-se:
1) Tecnologias de Reforço a transparência
2) Direitos ativos
3) Direitos negativos
b) A partir de uma análise do sujeito:
1) Visão individualista
2) Visão coletiva
Depreende-se dos diversos exemplos e alternativas estruturais apresentados, que a tecnologia já possui instrumentos com a potencialidade de uso para a proteção de dados. Porém, necessita-se, para tanto, que o conceito de controle seja redimensionado, a fim de operacionalizar tais sistemas, e trazer novos modos de cooperação entre os atores envolvidos (sujeito dos dados, instituições públicas e companhias privadas), distribuindo-se, de forma mais balanceada, as responsabilidade e os riscos envolvidos.
Orla Lynskey em “The Foundations of EU Data Protection Law” faz uma análise da relação entre o direito à privacidade e a proteção de dados, sobretudo sob um estudo de decisões proferidas pela Corte Europeia de Direitos Humanos e por cortes nacionais de alguns Estados membro. Neste aspecto, Lynskey discute aspectos referente a três teorias sobre a relação entre estes conceitos:
Modelo 1 - Proteção de dados e privacidade são direitos distintos, mas complementares, sendo que ambos visam a garantia da dignidade humana;
Modelo 2 - Proteção de dados é uma faceta do direito à privacidade - proteção de dados como a fase mais recente da evolução do direito à privacidade;
Modelo 3 - Proteção de dados é um direito independente com diversas funções, inclusive a proteção da privacidade;
No Brasil, o Marco Civil da Internet, em vigor desde 2014, identificou privacidade e proteção de dados como princípios distintos:
Art. 3o A disciplina do uso da internet no Brasil tem os seguintes princípios:
I - garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal;
II - proteção da privacidade;
III - proteção dos dados pessoais, na forma da lei;
A Lei Geral de Proteção de Dados traz a privacidade como fundamento da proteção de dados:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Artigo 8º da Convenção Europeia de Direitos Humanos:
Everyone has the right to respect for his private and family life, his home and his correspondence
Elementos levados em consideração pela Corte ao analisar violações ao art. 8º da ECHR
a) O mero armazenamento de dados relacionados à vida privada do indivíduo pode ser reconhecido como violação
b) Ainda que a informação não seja privada, a coleta e o armazenamento sistematizado pode representar violação
c) A Corte leva em consideração se o uso da informação coletada vai além do que poderia ser razoavelmente previsto pelo indivíduo
d) Quando se trata de dado pessoal sensível, a corte tende a reconhecer a violação
e) A Corte leva em consideração se houve consentimento que autorizou o processamento de informações pessoais
Embora a Convenção Europeia seja destinada a regular os Estados-membros, ela se aproxima das regulações de proteção de dados na medida em que esta restrição é flexibilizada e a Convenção passa a ser aplicada, em alguns casos, em relações estritamente privadas.
Outro aspecto a ser estudado na relação entre privacidade e proteção de dados está na abrangência destes direitos. Por mais que a Corte aplique o Direito à Privacidade previsto no artigo 8º da Convenção de forma extensiva, tal aplicação não alcança a abrangência da Proteção de Dados. Isso porque a proteção atribuída a dados pessoais engloba mais informações do que o direito à privacidade.
Além disso, tem-se que, enquanto para a devida aplicação do art. 8º seja levado em consideração o fato de a informação em questão estar ou não disponível publicamente, quando é feita uma análise sob o aspecto da proteção de dados, as regras de proteção se aplicam independentemente da suposta publicidade dos dados.
Ainda, enquanto as regras de proteção de dados viam proteger tanto indivíduos identificados quanto identificáveis, o direito à privacidade se preocupa tão somente com indivíduos já identificados.
Assim, tem-se que o direito à proteção de dados não é mera evolução da privacidade, principalmente porque atrai garantias mais amplas ao indivíduo do que as advindas da proteção da privacidade. Esses direitos devem ser vistos como autônomos, mas que se sobrepõem em parte.
REFERÊNCIA BIBLIOGRÁFICA
LAZARO, Christophe; MÉTAYER, Daniel Le. Control Over Personal Data: True Remedy or Fairy Tale? SCRIPTed - Journal of Law, Technology & Society. Edinburgh: University of Edinburgh School of Law. v. 12, n. 01, p. 03-34, June. 2015
Lei nº 13.709, de 14 de agosto de 2018 - Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
LYNSKEY, Orla. The Foundations of EU Data Protection Law. Oxford: Oxford University Press, 2015.
SOLOVE, Daniel. Understanding Privacy. Cambridge: Harvard University Press, 2008.
ROUVROY, Antoinette. O fim da crítica: behaviorismo de dados versus o devido processo. Disponível em: https://docgo.net/viewdoc.html?utm_source=rouvroy-2013-o-fim-da-critica-behaviorismo-de-dados-versus-devido-processo-20p
Comments