Os conceitos de dados pessoais

É possível uma lei que proteja a privacidade e fomente a inovação e o empreendedorismo

As discussões continuam na Câmara dos Deputados e no Senado Federal em torno da construção de uma lei de proteção dos dados pessoais. Três são os principais projetos de lei sobre o tema que tramitam na Congresso Nacional: dois na Câmara e um no Senado.

Provavelmente o ponto mais relevante nos debates diz respeito ao conceito de dados pessoais, afinal toda a futura lei gravitará sobre esta definição, com impactos expressivos na economia nacional e nos empreendedores.

A base constitucional para a construção do conceito de dados pessoais pode ser encontrada na Constituição Federal[1] quando ela dispõe que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, bem como que é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas. Não podendo esquecer que a Carta constitucional também afirma que a ordem econômica, fundada na livre iniciativa, observa aos princípios da livre concorrência e do tratamento favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras e que tenham sede e administração no País[2].

A construção equilibrada do conceito de dados pessoais passa, ao meu ver, pela devida compreensão da importância dos dados para a nova economia digital. Tecnologias revolucionárias que estão mudando as vidas e o mercado mundial tradicional como Big Data, Internet das Coisas (Internet of Things – IoT), Inteligência Artificial (Artificial Inteligence – AI) e Machine Learning tem como “combustível”[3], por assim dizer, os dados.

Uma lei de proteção dos dados muito restritiva e com conceitos extremamente abrangentes terá o condão de prejudicar a economia digital, o desenvolvimento e a livre iniciativa brasileira.

De forma equivocada, alguns acreditam que a futura lei de proteção deva ser formatada com um viés exclusivamente consumerista clássico, que foi  construído com base num mundo físico, palpável, off-line. Por este olhar,  teremos, necessariamente, de um lado o consumidor hipossuficiente e de outro os gigantes da tecnologia, como Facebook, Alphabet (Google), Microsoft, Apple e Amazon[4]. Algo que se assemelharia a um duelo nos moldes de Davi contra Golias, onde a legislação funcionária como a pedra a ser atirada na direção dos gigantes.

Não percebem que a futura lei de dados terá incidência sobre quase todos os setores da economia brasileira e em especial sobre as chamadas startups[5] nacionais que muitas das vezes tem como matéria prima de suas inovações, os dados e que segundo o comando constitucional devem ter um tratamento favorecido e não esmagas por uma lei pensada exclusivamente em abater os gigantes.

Em continuidade, outros diplomas legais trazem disposições ligadas à proteção dos dados pessoais como o Código de Defesa do Consumidor[6], Lei do Cadastro Positivo[7], Lei de Acesso à Informação, Marco Civil da Internet e Decreto regulamentador do Marco Civil da Internet.

O próprio Código de Defesa do Consumidor[8], promulgado nos anos 90, já vislumbrava a ideia de que a Política Nacional das Relações de Consumo atenderia, inclusive, ao princípio da harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica constitucional.

A Lei de Acesso à Informação[9], por seu turno, diz que informação pessoal é aquela relacionada à pessoa natural identificada ou identificável. Entretanto, é importante frisar que a LAI é aplicável, principalmente, aos órgão públicos, conforme diretrizes expostas no parágrafo único de seu artigo 1º.

O Marco Civil da Internet[10], por sua vez, tratou em diversos artigos sobre a proteção da privacidade e dos dados pessoais, sem contudo definir o conceito de dados pessoais. Aqui é importante enfatizar que o Marco Civil da Internet é um diploma normativo que disciplina o uso da internet no Brasil e não almeja ser uma lei geral de proteção dos dados pessoais.

Ainda segundo o Marco Civil, a disciplina do uso da internet no Brasil tem como fundamento o respeito à liberdade de expressão, bem como o exercício da cidadania em meios digitais, a abertura e a colaboração a livre iniciativa, a livre concorrência e a defesa do consumidor, além da finalidade social da rede. Diz que a liberdade dos modelos de negócios promovidos na internet faz parte de seus princípios norteadores e que objetiva a inovação e o fomento de novas tecnologias e modelos de uso e acesso.

O Decreto[11] presidencial que regulamentou o Marco Civil da Internet de forma inconstitucional e/ou ilegal ofereceu um conceito de dado pessoal como sendo um dado relacionado à pessoa natural identificada ou identificável, inclusive números identificadores, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa. A ressalva feita acima é válida neste ponto também, afinal o Decreto auxilia na interpretação e aplicação do Marco Civil que disciplina o uso da internet no Brasil.

Obviamente os negócios baseados na internet serão claramente impactados pela futura lei de proteção dos dados, entretanto a lei terá um escopo muito amplo e incidirá sobre outros tantos setores da economia não necessariamente ligados à tecnologia ou à internet. Basta citar como exemplo uma pequena academia de ginástica que usa a biometria de seus alunos (impressões digitais) para permitir a entrada no estabelecimento. Neste caso a academia em tela faz tratamento de dados na modalidade armazenamento.

Aparentemente, o Decreto ao definir dado pessoal buscou sua inspiração no conceito exarado pela Diretiva Europeia 95/46/EC[12]The Data Protection Directive. Legislação esta que será substituída pela General Data Protection Regulation – GDPR no ano de 2018, conforme será visto a frente.

Directive 95/46/EC – The Data Protection Directive

Article 2

Definitions

For the purposes of this Directive:

(a) “personal data” shall mean any information relating to an identified or identifiable natural person (“data subject”); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

Usar a legislação europeia como influência pode trazer um certo conforto técnico ao elaborador da norma, mas não significa que o regulamento irá cumprir os comandos constitucionais de fomento à livre iniciativa, livre concorrência e tratamento favorecido para as empresas de pequeno porte brasileiras – startups.

É notório que o ambiente regulatório europeu não está permitindo o desenvolvimento de empresas e de produtos revolucionários que usam os dados como insumo. Pelo contrário, a legislação de proteção de dados europeia, infelizmente, acabou se tornando um grande empecilho para a inovação.

Como já dito no começo deste texto, atualmente existem três principais projetos de lei que tramitando no Congresso Nacional objetivando tornar-se a futura lei de proteção dos dados pessoais brasileira.

O Projeto de Lei n. 4.060/2012[13], da Câmara dos Deputados, de autoria do deputados Milton Monti, define dado pessoal como qualquer informação que permita a identificação exata e precisa de uma pessoa determinada[14]. Além de afirmar que a proteção aos direitos e garantias deverá ser promovida com observância dos princípios constitucionais da Defesa do Consumidor, Livre Iniciativa, Liberdade de Comunicação e Ordem Econômica, nos termos da Constituição Federal.

O conceito de dado pessoal expresso no PL 4.060 é extremamente restritivo, pois para ser classificado como dado pessoal a informação sob análise deverá ser capaz de identificar de forma exata e precisa uma determinada pessoa. Portanto, poucas informações estariam protegidas pelo manto deste projeto de lei, como por exemplo, o número do Cadastro de Pessoas Físicas – CPF emitido pela Receita Federal do Brasil e os dados biométricos. Em regra, grande parte dos nomes dos brasileiros não seriam abarcados PL, tendo em vista a grande quantidade de homónimos existentes em nosso país.

Já o Projeto de Lei n. 5.276/2016[15], que tramita também na Câmara dos Deputados e que teve origem no Poder Executivo, considera dado pessoal como aquele dado relacionado à pessoa natural identificada ou identificável, inclusive números identificadores, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa[16].

Mais uma vez os ecos europeus são notados, seja pela semelhança com o conceito de dados pessoais da Diretiva Europeia 95/46/EC, seja pelo texto da General Data Protection Regulation – GDPR[17], que traz, da mesma forma, um rol exemplificativo de dados pessoais.

General Data Protection Regulation – GDPR

Article 4

Definitions

(1)

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural[18] person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

O PL 5.276 vai além ao dispor que poderão ser igualmente considerados como dados pessoais para os fins da lei os dados utilizados para a formação do perfil comportamental de uma determinada pessoa natural, ainda que não identificada[19].

Este tipo de formação de perfil é conhecido por profiling e foi objeto de recentes Guidelines[20] elaboradas pelo Article 29 Working Party, grupo de trabalho composto por todas as autoridades de dados europeias.

Assevera o PL 5.267, ainda, que a disciplina da proteção de dados pessoais tem como fundamento o respeito à privacidade e a autodeterminação informativa; liberdade de expressão, de comunicação e de opinião; a inviolabilidade da intimidade, da vida privada, da honra e da imagem; o desenvolvimento econômico e tecnológico; e a livre iniciativa, a livre concorrência e a defesa do consumidor[21].

Acredito que o profiling só deve ser considerado como dado pessoal se a pessoa natural é efetivamente identificada. A informação em comento deve ser capaz de identificar determinada pessoa, com potencial real de gerar risco à sua privacidade. Por isso, defendo a retirada desta disposição do PL 5.276.

Já o conceito de dados pessoais propriamente dito, ao meu ver, não deve trazer exemplos, mesmo que não exaustivos, como números identificadores, dados locacionais e identificadores eletrônicos. O conceito de dados pessoais deve ser restringir a dado relacionado à pessoa natural identificada ou identificável.

O rol exemplificativo do PL 5.276 cria uma situação em que as informações meramente relacionadas à pessoa natural tornam-se dados pessoais. Na prática, ficariam sujeitos à legislação todos os dados produzidos pela atividade do indivíduo, como exemplo: cookies de navegação; históricos de buscadores como Google e Bing; números de IP – Internet Protocol; dados locacionais produzidos por aplicativos como Waze[22] e Uber que são usados por prefeituras para gerenciar o trânsito.

A existência de um rol exemplificativo no bojo do conceito de dados pessoais do PL 5.276 irá, na verdade, criar barreiras para o desenvolvimento econômico, tecnológico e para a livre iniciativa no lugar de simplesmente proteger a privacidade dos indivíduos. Quando lidamos com tecnologia os conceitos ficam obsoletos muito rápido e acabam por gerar dúvidas no momento da aplicação da lei.

Por fim, o Projeto de Lei do Senado n. 330/2013[23], em seu texto inicial[24], dizia que dado pessoal é toda informação, de qualquer natureza e independentemente do respectivo suporte, passível de ser armazenada, processada ou transmitida, relativa a pessoas identificadas ou identificáveis. E acrescentava ao afirmar que considera-se identificável a pessoa passível de reconhecimento, direta ou indiretamente, mediante referência a um número de identificação ou a um ou mais elementos específicos de sua identidade física, fisiológica, psíquica, econômica, cultural ou social.

Como se vê, um conceito muito amplo e aberto com grande potencial de gerar problemas no momento da aplicação da futura lei.

Em 18 de agosto de 2015, foi realizada audiência pública na Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática – CCT do Senado Federal objetivando debater o citado PLS 330.

Na ocasião o Instituto Brasileiro de Direito Digital – IBDDIG[25] apresentou aos senadores a Nota Técnica n. 35[26] com críticas ao conceito de dados pessoais constante do PLS. Na Nota dizíamos que tal como redigido o artigo, a definição englobaria dados que não identificam uma pessoa natural, mas que estão meramente relacionados a ela. Com isso, ficariam sujeitos à lei praticamente todos os dados produzidos pela atividade humana, ainda que não possam ser razoavelmente utilizados para identificar esse titular.

Na Nota Técnica externamos aos senadores o conceito adotado pelo Canadá sobre dados pessoais, que se mostrou mais adequado para equilibrar a proteção dos titulares dos dados com o livre fluxo de informações, bem como apresentamos a ideia de dados anonimizados e as técnicas de anonimização usadas na União Europeia[27].

Importante pontuar a razão de termos usado a legislação canadense como exemplo. Na atualidade, o Canadá[28] se transformou em um polo de inovação e desenvolvimento, principalmente nos campos da inteligência artificial e de machine learning. Em parte, devido à legislação canadense de proteção de dados pessoais e privacidade.

A título de exemplo, cito outras legislações que tem conseguido equilibrar a defesa da privacidade dos cidadãos com o fomento da economia e da inovação. Em Singapura, dados pessoais são definidos como dados, verdadeiros ou não, sobre um indivíduo que pode ser identificado a partir destes dados. Já no México, são considerados dados pessoais qualquer informação relativa a um indivíduo identificado ou identificável. Na Colômbia, dados pessoais são definidos como qualquer informação relacionada a uma ou várias pessoas identificadas ou identificáveis ou que podem ser associadas a uma pessoa física ou jurídica. Nos Estados Unidos da América poucas são as leis de privacidade federais ou estaduais que definem informações pessoais. Ao que parece, para os americanos, o conceito de Personally Identifiable Information – PII[29] é mais importante do que um conceito estanque.[30]

As sugestões apresentadas foram acolhidas pelo então relator do PLS 330 na CCT, senador Aloysio Nunes Ferreira, que apresentou a Emenda 01 (Substitutivo)[31] alterando o conceito de dados pessoais originalmente exposto no projeto de lei. No substitutivo aprovado pela CCT, dado pessoal passou a ser conceituado como qualquer informação referente a pessoa natural identificável ou identificada. Conceito alinhado com legislações internacionais avançadas que conseguem proteger os dados pessoais e a privacidade dos indivíduos e ao mesmo tempo fomentar os negócios e a economia de dados.

Atualmente o PLS 330 esta sob análise da Comissão de Assuntos Econômicos – CAE do Senado Federal, sob a relatoria do senador Ricardo Ferraço. Em 03 de outubro de 2017, o senador Ferraço apresentou o seu parecer[32], constando a sugestão de aprovação de subemenda à Emenda n. 31 – CCT/CMA – CAE que altera, mais uma vez, o conceito de dado pessoal. Pelo teor da subemenda dado pessoal será considerado qualquer informação relacionada a pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos.

Por todo o exposto, concluo que a definição de dados pessoais da futura lei de proteção de dados repercutirá de forma significativa na economia, já que irá impactar diversos setores, com ênfase nos negócios nacionais baseados em dados. Em razão disto, o conceito deve estar alinhado com os ditames da nossa Constituição, principalmente sob a ótica da ordem econômica, fundada na livre iniciativa,  observada a livre concorrência e o tratamento favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras – startups.

Além disso, o debate não pode ser visto como uma batalha entre os gigantes da tecnologia internacional e o consumidor, sob pena de prejudicarmos as empresas nacionais e o empreendedor brasileiro de pequeno porte.

Entendo que as referências normativas europeias são importantes, desde que não sejam as únicas. Existem diversas experiências internacionais exitosas como Canadá, Singapura, México, Colômbia e Estados Unidos da América que não podem ser descartadas durante a construção da futura legislação nacional de proteção dos dados pessoais.

Defendo que o conceito de dados pessoais na futura legislação não deve trazer um rol, mesmo que exemplificativo, sob pena da lei iniciar sua vigência com conceitos tecnológicos ultrapassados ou que, na pior da hipóteses, irá injetar dúvidas sobre a devida aplicação do diploma legal.

A nova economia digital está em rápido desenvolvimento. Esta economia é baseada em dados que impulsionam tecnologias como Big Data, Internet das Coisas (IoT), Machine Learning e Inteligência Artificial (AI). Uma lei que prejudica o fluir destes dados simplesmente irá catapultar o Brasil para o atraso, sem apresentar uma efetiva defesa dos dados pessoais e da privacidade dos brasileiros.

É possível a construção de uma lei que proteja os dados pessoais e a privacidade e ao mesmo tempo fomente a inovação e o empreendedorismo, basta mudarmos os nossos paradigmas tradicionais para outros que poderão nos proporcionar maiores avanços nestes campos.

 

 

—————————————-

[1] Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;

[2] Art. 170. A ordem econômica, fundada na valorização do trabalho humano e na livre iniciativa, tem por fim assegurar a todos existência digna, conforme os ditames da justiça social, observados os seguintes princípios:

I – soberania nacional;

II – propriedade privada;

III – função social da propriedade;

IV – livre concorrência;

V – defesa do consumidor;

VI – defesa do meio ambiente;

VI – defesa do meio ambiente, inclusive mediante tratamento diferenciado conforme o impacto ambiental dos produtos e serviços e de seus processos de elaboração e prestação;

VII – redução das desigualdades regionais e sociais;

VIII – busca do pleno emprego;

IX – tratamento favorecido para as empresas brasileiras de capital nacional de pequeno porte.

IX – tratamento favorecido para as empresas de pequeno porte constituídas sob as leis brasileiras e que tenham sua sede e administração no País.

[3]https://www.economist.com/news/leaders/21721656-data-economy-demands-new-approach-antitrust-rules-worlds-most-valuable-resource

[4]Frightful Five” na terminologia cunhada pelo articulista do jornal “The New York Times”, Farhad Manjoo.

[5]http://idgnow.com.br/ti-corporativa/2017/07/03/conheca-as-startups-brasileiras-que-integram-nova-turma-da-aceleradora-ace/

[6] Lei n. 8.078/1990

Dos Bancos de Dados e Cadastros de Consumidores

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.

§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.

§2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.

§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.

§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.

§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.

§ 6º Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.

[7] Lei n. 12.414/2011

Art. 3º  Os bancos de dados poderão conter informações de adimplemento do cadastrado, para a formação do histórico de crédito, nas condições estabelecidas nesta Lei.

§ 1o Para a formação do banco de dados, somente poderão ser armazenadas informações objetivas, claras, verdadeiras e de fácil compreensão, que sejam necessárias para avaliar a situação econômica do cadastrado.

[8] Lei n. 8.078/1990

Art. 4º A Política Nacional das Relações de Consumo tem por objetivo o atendimento das necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das relações de consumo, atendidos os seguintes princípios:

III – harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica (art. 170, da Constituição Federal), sempre com base na boa-fé e equilíbrio nas relações entre consumidores e fornecedores;

[9] Lei n. 12.527/2011

Art. 4º Para os efeitos desta Lei, considera-se:

IV – informação pessoal: aquela relacionada à pessoa natural identificada ou identificável;

Das Informações Pessoais

Art. 31.  O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:

I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e

II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.

§ 2º Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.

§ 3º O consentimento referido no inciso II do § 1o não será exigido quando as informações forem necessárias:

I – à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;

II – à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;

III – ao cumprimento de ordem judicial;

IV – à defesa de direitos humanos; ou

V – à proteção do interesse público e geral preponderante.

§ 4º A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.

§ 5º Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.

[10] Lei n. 12.965/2014

Art. 3º  A disciplina do uso da internet no Brasil tem os seguintes princípios:

II – proteção da privacidade;

III – proteção dos dados pessoais, na forma da lei;

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:

  1. a) justifiquem sua coleta;
  2. b) não sejam vedadas pela legislação; e
  3. c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;

X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;

Art. 10.  A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

Art. 11.  Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

Art. 16.  Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:

I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente, respeitado o disposto no art. 7º; ou

II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.

[11] Decreto n. 8.771, de 11 de maio de 2016

Art. 14. Para os fins do disposto neste Decreto, considera-se:

I – dado pessoal – dado relacionado à pessoa natural identificada ou identificável, inclusive números identificadores, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e

[12] https://www.dataprotection.ie/docs/EU-Directive-95-46-EC-Chapter-1/92.htm

[13] http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=548066

[14] Projeto de Lei n. 4.060/2012

Artigo 7º. Para fins da presente lei, entende-se como:

I – dado pessoal: qualquer informação que permita a identificação exata e precisa de uma pessoa determinada;

[15] http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=2084378

[16] Projeto de Lei n. 5.276 de 2016

Artigo 5º Para os fins desta Lei, considera-se:

I – dado pessoal: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificadores, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa;

[17] A General Data Protection Regulation é posterior ao Projeto de Lei n. 5.276/2016.

[18] General Data Protection Regulation – GDPR

Recital (30)

Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them.

[19] Projeto de Lei n. 5.276 de 2016

Art. 13. Os dados anonimizados serão considerados dados pessoais para os fins desta Lei quando o processo de anonimização ao qual foram submetidos for revertido ou quando, com esforços razoáveis, puder ser revertido.

Parágrafo 1º Poderão ser igualmente considerados como dados pessoais para os fins desta Lei os dados utilizados para a formação do perfil comportamental de uma determinada pessoa natural, ainda que não identificada.

[20] Article 29 Working Party

Guidelines on Automated individual decision-making and Profiling

Adopted on 3 October 2017

[21] Projeto de Lei n. 5.276 de 2016

Artigo 2º

[22]http://www1.folha.uol.com.br/mercado/2016/01/1725398-aplicativo-waze-e-usado-pela-prefeitura-do-rio.shtml

[23] https://www25.senado.leg.br/web/atividade/materias/-/materia/113947

[24] Texto inicial datado de 13/08/2013

http://legis.senado.leg.br/sdleg-getter/documento?dm=2931559&disposition=inline

[25] http://www.ibddig.com.br

[26] http://docs.wixstatic.com/ugd/d43cf3_7d5194ff19294eb4a9599766495691b0.pdf

[27] Article 29 Data Protection Working Party – Opinion 05/2014 on Anonymisation Techniques – Adopted on 10 april 2014

[28] https://www.nytimes.com/2017/04/10/technology/tech-roundup-canada-spends-to-keep-ai-experts-home.html

[29] Personal Identifiable Information (PII) is defined as: Any representation of information that permits the identity of an individual to whom the information applies to be reasonably inferred by either direct or indirect means. Further, PII is defined as information: (i) that directly identifies an individual (e.g., name, address, social security number or other identifying number or code, telephone number, email address, etc.) or (ii) by which an agency intends to identify specific individuals in conjunction with other data elements, i.e., indirect identification. (These data elements may include a combination of gender, race, birth date, geographic indicator, and other descriptors). Additionally, information permitting the physical or online contacting of a specific individual is the same as personally identifiable information. This information can be maintained in either paper, electronic or other media.

https://www.dol.gov/general/ppii

[30] https://www.dlapiperdataprotection.com/index.html?t=definitions&c=AO

[31] Emenda n. 01 – CCT (Substitutivo) – Senador Aloysio Nunes Ferreira – Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática – CCT13/10/2015

Art. 3º Para os efeitos desta Lei, considera-se:

I – dado pessoal: qualquer informação referente a pessoa natural identificável ou identificada;

Parágrafo 1º Considera-se identificável a pessoa passível de reconhecimento, direta ou indiretamente, mediante referência a um número de identificação ou a um ou mais elementos específicos de sua identidade física, fisiológica, psíquica, econômica, cultural ou social.

http://legis.senado.leg.br/sdleg-getter/documento?dm=3928444&disposition=inline

[32] Comissão de Assuntos Econômicos – CAE – Senador Ricardo Ferraço – 03/10/2017 – Subemenda à Emenda n. 31 – CCT/CMA – CAE

Artigo 3º Para os efeitos desta Lei, considera-se:

I – dado pessoal: qualquer informação relacionada a pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos;

http://legis.senado.leg.br/sdleg-getter/documento?dm=7215365&disposition=inline

Os artigos publicados pelo JOTA não refletem necessariamente a opinião do site. Os textos buscam estimular o debate sobre temas importantes para o País, sempre prestigiando a pluralidade de ideias.

Comentários