No dia 28 de janeiro é celebrado o Dia Internacional da Proteção de Dados, com o objetivo de conscientizar empresas e usuários e promover a privacidade e as melhores práticas de proteção de dados. É uma oportunidade de promover iniciativas educacionais globalmente, buscando levar conhecimento aos titulares de dados, tanto sobre os seus direitos, tanto sobre as ferramentas necessárias para que eles possam exerce-los com a finalidade de proteger a sua privacidade e seus dados pessoais.
A data comemorativa surgiu por meio de uma iniciativa do Conselho da Europa, em 2007, e foi rapidamente adotada pela comunidade internacional como o Dia Internacional da Proteção de Dados. Desde então, o dia 28 de janeiro comemora a assinatura da Convenção 108, o primeiro marco legal transnacional sobre privacidade e proteção de dados pessoais.
Para prestigiar essa data comemorativa, o Baptista Luz apresenta um pequeno histórico das legislações internacionais de proteção de dados, bem como a evolução dessa matéria no Brasil, desde a aprovação da LGPD até a edição da Medida Provisória nº869 no final do ano passado.
O surgimento das primeiras leis de proteção de dados
Duas décadas após a aprovação da Declaração Universal de Direitos Humanos pela ONU em 1948, a qual tornou o direito à privacidade um direito fundamental, foi criada a primeira legislação a regular o tema de proteção de dados. Aliada ao avanço da tecnologia computacional, bem como verificada a necessidade de se ter uma legislação específica sobre proteção dos dados dos cidadãos, foi aprovado, em 1970, o Hessiches Datenschutzgesetz (Ato de Proteção de Dados de Hesse) no Estado de Hesse na Alemanha.
Ao Ato de Hesse se seguiu a primeira lei nacional de proteção de dados, a sueca Sw. Datalagen (Ato de Dados Sueco), de 1973. Assim como sua congênere alemã, a lei sueca não tratava da proteção de dados de maneira objetiva e pormenorizada, se omitindo, por exemplo, de regular em que situações os dados poderiam ser coletados.
Ainda assim, a movimentação para a proteção de dados gerou um debate internacional, que possibilitou que, em 1979, apenas seis anos depois, diversas nações europeias já tivessem sua própria lei de proteção de dados, como a França, a Dinamarca e a Alemanha, dentre outras. No entanto, essas legislações sofriam do mesmo problema das suas antecessoras, pois eram mais genéricas e programáticas do que práticas e específicas na regulação do tema, o que dificultava por si só a sua aplicação e o seu entendimento.
Outro efeito importante do debate foi a inclusão do direito à privacidade de dados nas Constituições de Portugal, Espanha e Áustria. Isso porque esses países trataram o direito à privacidade de dados como direito fundamental, demonstrando a importância que cercava o tema no final da década de 70.
Essas movimentações culminaram na aprovação, em 1981, da Convenção 108, que trata da proteção de indivíduos relativamente ao tratamento de dados de caráter pessoal, por considerar: “desejável alargar a proteção dos direitos e das liberdades fundamentais de todas as pessoas, nomeadamente o direito ao respeito pela vida privada, tendo em consideração o fluxo crescente, através das fronteiras, de dados de carácter pessoal susceptíveis de tratamento automatizado”[1].
Em 1992, com a aprovação do Tratado de Maastricht, foi criada a União Europeia como bloco unificado. Ainda nos seus primeiros anos, o bloco promulgou, em 1995, a Diretiva 95/46/CE, que trata da proteção de indivíduos em relação ao tratamento de dados pessoais e a livre circulação desses dados.
Além de unificar o tratamento de dados e o direito dos usuários em todos os países do bloco, a Diretiva traz medidas específicas sobre o tema e princípios que devem ser seguidos em tais circunstâncias. Dela, destacam-se os princípios da licitude do tratamento, da limitação dos propósitos, da adequação, da necessidade e da transparência, entre outros.
No ano passado, a Diretiva foi substituída pela General Data Protection Regulation (“GDPR”), aprovada em 2016 e considerada a mais legislação de proteção de dados mais completa do mundo. Isso porque a GDPR avança na ampliação dos direitos dos usuários e na responsabilização das organizações e empresas que realizam o processamento de dados pessoais, buscando garantir aos titulares dos dados um maior controle sobre os dados que lhes dizem respeito.
Proteção de dados no contexto da América do Sul
Na América do Sul, por sua vez, apesar de diversos avanços ao longo da última década, as legislações de proteção de dados ainda estão em um estágio de desenvolvimento anterior, quando comparadas com o cenário europeu.
Dos doze países do continente, sete possuem leis gerais que tratam da proteção de dados de indivíduos, quatro possuem leis setoriais sobre proteção de dados e um não possui qualquer lei sobre o tema. Além disso, temos a Guiana Francesa, que, enquanto parte da França, adota a GDPR.
A Argentina possui uma legislação avançada, aprovada em 2000, que prevê os direitos titulares dos dados, a responsabilidade das organizações que realizam o tratamento de dados pessoais, sanções aplicáveis e medidas de proteção. Além disso, a Lei argentina está passando por processo de modernização que irá aproximá-la do Regulamento Europeu.
O Chile, por sua vez, aprovou sua Lei em 1999. A legislação chilena prevê os direitos dos titulares e algumas obrigações referentes ao uso dos dados, tais como sua limitação ao propósito informado pelo responsável pelo tratamento.
Já Colômbia e Peru aprovaram suas legislações no começo da década, respectivamente em 2012 e 2011, que trazem princípios gerais sobre o tratamento de dados pessoais, bem como direitos dos titulares desses dados e a responsabilização dos responsáveis por seu tratamento.
O Uruguai, por outro lado, se aproxima da Argentina, pois sua legislação, aprovada em 2011, foi considerada com níveis adequados de proteção de dados pela União Europeia, o que faz dos dois países platinos os únicos da América do Sul com esse status.
O cenário de proteção de dados no Brasil
No Brasil, a evolução até a aprovação de uma lei geral sobre proteção de dados foi longa e demorada. O processo se iniciou ainda em 2010, quando o Ministério da Justiça redigiu um Anteprojeto de Lei de Proteção de Dados e deu início a uma Consulta Pública sobre o tema. Então, a consulta deu origem a um Projeto de Lei, o PL 4060/2012 (“PL 4060/12”), proposto pelo Deputado Milton Monti. O PL 4060/12 passou relativamente despercebido até 2013, quando o tema dos dados pessoais ganhou os noticiários graças as denúncias do Whistleblower americano Edward Snowden.
Snowden denunciou uma série de irregularidades e práticas de vigilância em escala global promovidas pela Agência Nacional de Segurança (“NSA”), órgão vinculado ao governo norte americano. A repercussão impulsionou o debate sobre a vigilância em massa de usuários de plataformas digitais, e com ela o PL 4060/12.
No entanto, passada a ênfase momentânea, o tema da proteção de dados não avançou de forma significativa no debate legislativo do País.
Em 2015, o Ministério da Justiça promoveu nova consulta pública sobre o tema, que retomou a pauta e deu origem ao Projeto de Lei nº 5276/2016 (“PL 5276/16”), com texto mais completo que o do Projeto de Lei anterior, devido ao amplo debate que envolveu sua redação.
Impulsionada pela entrada em vigor da GDPR, em 2018, a agenda de proteção de dados ganhou novo folego no País, o que finalmente levou a promulgação de uma Lei Geral de Proteção de Dados no Brasil (“LGPD”), bem como a recente alteração desta pela Medida Provisória nº 869/18.
A partir do exposto, nota-se que a evolução da área de proteção de dados foi gradual, surgindo em legislações esparsas após a Declaração Universal de Direitos Humanos até o cenário que temos hoje, em que a adoção da GDPR na Europa vem influenciando países ao redor do mundo a adotarem também legislações específicas sobre o tema. No Brasil, não foi diferente. Aproximadamente três meses após a entrada em vigor da GDPR na Europa, foi sancionada em território nacional pelo então Presidente Michel Temer a nossa Lei Geral de Proteção de Dados, Lei nº 13.709/18.
Concluindo, o Dia Internacional da Proteção de Dados do ano de 2019 traz reflexões tanto para o ano que passou no sentido da enorme evolução legislativa que tivemos nesse período, quanto para o futuro sobre os desafios de implementação dessas novas leis, garantindo inovação ao mesmo tempo que oferece uma maior proteção da privacidade e proteção de dados para os indivíduos.
