ISSN 1518-5974Michael A. Stanton <michael@ic.uff.br>
Instituto de Computação
Universidade Federal Fluminense
1. A situação nos EUA
2. A visão européia
3. O habeas data
1. A situação nos EUA
A coleta de dados sobre as pessoas é muito antiga, sendo realizada por governos e empresas no cumprimento dos seus diferentes objetivos. Os governos montam cadastros de pessoas físicas para emitir documentos de identidade, para realizar censos, para tratamento de saúde, para coleta de impostos e pagamento de benefícios sociais, e assim em diante. As empresas cadastram clientes. Inicialmente, estes cadastros eram criados e mantidos manualmente, com grande custo de manuseio e utilização. No final do século 19, o censo dos EUA procurou maneiras mais eficientes de montar e manusear seus cadastros, e acabou adotando um sistema automático com a utilização de cartões perfurados e equipamento para classificá-los, criados por Herman Hollerith. A empresa montada em 1896 por Hollerith, a Tabulating Machine Company, acabou sendo absorvida em 1911 por outra que, mais tarde, passou a se chamar International Business Machines Corporation ou, simplesmente, IBM.
As máquinas do Hollerith e da IBM eram eletromecânicas, e relativamente modestas nas suas capacidades. Porém, depois da invenção dos computadores eletrônicos nos anos 1940, uma das suas principais aplicações era no processamento comercial, que tratava do manuseio de grandes coleções de dados, inclusive os cadastros pessoais. Uma das possibilidades então abertas seria cruzar os dados coletados sobre uma mesma pessoa para finalidades diferentes. Um exemplo corrente disto é o interesse da Secretaria da Receita Federal (SRF) no cruzamento de dados de Imposto de Renda (IR) e da Contribuição Provisória sobre Movimentação ou Transmissão de Valores e de Créditos e Direitos de Natureza Financeira (CPMF), para apontar possível sonegação de impostos. Para facilitar este cruzamento, seria desejável introduzir uma identificação universal, que seria usada em todos os cadastros. Para evitar os problemas de homônimos, o que decorre do uso de nomes próprios, acaba sendo criado um número de identificação, por exemplo o número do registro no Cadastro de Pessoas Físicas (CPF) da SRF, criado inicialmente para identificar contribuintes, mas agora largamente usado como identificação de propósito geral.
Em 1965, quando foi revelada pelo governo dos EUA a intenção de informatizar e integrar num Centro Nacional de Dados a administração de diferentes cadastros pessoais que mantinham, foram exaltadas as vantagens que isto traria para a eficiência do governo. Porém, a reação crítica foi forte e negativa, sendo apontado o perigo de concentrar em poucas mãos o poder decorrente de possuir tanta informação sobre as pessoas. Foram lembrados os abusos praticados na Alemanha nazista, quando os registros supostamente confidenciais do censo caíram nas mãos de extremistas políticos, que puderam usá-los para identificar mais facilmente seus antagonistas. Foi abandonado o projeto de um Centro Nacional de Dados, e foram colocados empecilhos ao cruzamento dos dados colecionados pelo governo. Por outro lado, não foram criadas restrições ao uso de dados pessoais por empresas privadas.
Além de sistemas de recursos humanos internos, o uso de dados pessoais por empresas privadas, aqui e nos EUA, pode ser classificado entre financeiro, especialmente crédito, e marketing. A colaboração entre empresas para identificar maus pagadores vem evoluindo e, no Brasil, passa por entidades como o Serviço de Proteção do Crédito (SPC) e a SERASA ( www.serasa.com.br ). Estas entidades de referência de crédito têm uma influência muito grande na vida das pessoas hoje em dia. Pode atrapalhar muito a presença, mesmo incorreta ou indevida, de uma referência negativa no cadastro de um indivíduo, comprometendo sua credibilidade para obter crédito. Mesmo depois de corrigidos estes cadastros, é complicado remover os registrros das empresas usuárias desses serviços que tenham incorporado as referências negativas em suas próprias bases de dados.
Na área de marketing, o objetivo é definir mais precisamente o mercado de compradores de um determinado produto ou linha de produtos, baseado em dados sobre idade, educação, renda, padrões de consumo e de lazer, e assim em diante. Isto permite determinar qual o veículo de comunicação deverá ser utilizado para campanhas de publicidade. Para suprir dados para esta finalidade, é muito importante o cruzamento de informações de diferentes origens. Se puderem ser obtidas de uma vez, melhor ainda. Em outro caso, será necessária a troca de informações entre empresas, na forma de comercialização de cadastros, ou talvez apenas de listas dos nomes e endereços de pessoas apropriadamente selecionadas.
A versão mais nova desta coleta de informações vem pela Internet, de duas maneiras. Em primeiro lugar, a venda on-line de produtos e serviços requer o fornecimento do nome, endereço, endereço eletrônico, telefone e cartão de crédito do comprador. Até o trabalho de digitação destas informações é feito pelo próprio consumidor. Com isto, a empresa acumula um rico acervo de clientes, que poderá ser comercializado. A outra forma de acumular informações pessoais é através do rastreio da navegação do usuário individual pela Rede. O mecanismo usado é o cookie, pequeno marcador colhido de um sítio que visitamos, e retornado automaticamente a esse sítio em futuras visitas. Alguns sítios usam os cookies para reconhecer clientes antigos e oferecer-lhes um serviço individualizado, evitando, por exemplo, a necessidade de fornecer novamente os dados necessários para efetuar compras. Porém, boa parte dos cookies existentes na Rede é de outro tipo. São administrados por sítios que provêem serviços de propaganda terceirizados por sítios "de conteúdo", e incluem exemplos tais como DoubleClick ( www.doubleclick.net/br ). Cada vez que é carregada uma propaganda do sítio da DoubleClick, este sítio recebe um cookie oriundo do seu browser, identificando você como um usuário e o sítio que incluiu esta propaganda, permitindo, desta forma, o rastreio. Apesar de ser anônimo, o perfil do usuário montado pela DoubleClick é valioso. Se ainda pudesse ser conjugado com informação de um sítio que já obteve sua identificação, aumentaria muito mais de valor.
Nos EUA, e também no Brasil, ainda não há legislação a respeito da coleta, uso e comercialização de cadastros de dados pessoais por empresas privadas, apesar do fato de que o alcance destes poderá, de longe, extrapolar as propostas vistas como intrusas nos anos 1960 nos EUA. A população começa a tomar consciência dos abusos que podem representar o manuseio irrestrito de dados pessoais por empresas privadas e, para tentar evitar a introdução de regulamentação legal, começa a ser praticada a auto-regulamentação voluntária, onde entidades classistas adotam um código de conduta apropriada para seus membros. Evidencia-se isto, hoje em dia, pela publicação em sítios da Rede de declarações de uma política de privacidade da empresa envolvida, geralmente se comprometendo a não divulgar para outros as informações colhidas dos seus clientes, e nem utilizar as informações para finalidades diversas daquela usada para pedir as informações. Adicionalmente, é dada a oportunidade a um cliente de excluir seu nome de listas de circulação da própria empresa que administra o sítio.
Resta ver se serão adequadas estas práticas voluntárias. Há novidades no pedaço que poderão trazer mudanças. A União Européia (UE), há vários anos, vem adotando legislação em defesa da privacidade pessoal, seguindo modelo bem diferente do norte-americano. Com a globalização do comércio eletrônico, há um conflito fundamental entre os dois enfoques.
Em seguida, examinaremos a situação na Europa e, também, na América Latina, onde um número crescente de países vem adotando o conceito de "habeas data", que foi incorporado na constituição brasileira em 1989.
2. A visão européia
O mercado livre de dados pessoais nos Estados Unidos, atualmente, está sendo ameaçado por pressões internas e externas. Talvez a pressão maior esteja sendo exercida pela União Européia (UE), parceira e concorrente no comércio eletrônico, que tem uma tradição legislativa forte na proteção de dados pessoais. O Conselho da Europa ( www.coe.int ), associação política de países europeus criada dos escombros deixados pela Segunda Guerra Mundial, assumiu seu caminho com a adoção, em 1950, da Convenção Européia de Direitos Humanos. As convenções do Conselho são de adoção obrigatória por seus países membros, que são obrigados a criar legislação apropriada para torná-las efetivas em cada país. Com o advento e a expansão da computação, adotou em 1981 outra convenção, para "a proteção de indivíduos com respeito ao processamento automático de dados pessoais" ( europa.eu.int/comm/internal_market/en/media/dataprot/inter/con10881.htm ).
Um exemplo da implementação desta última convenção foi a Lei de Proteção de Dados britânica, de 1984. A partir desta lei, foi criado um registro de cadastros de dados pessoais, e definidas restrições sobre sua coleta, manuseio e divulgação. Também foi criado um órgão do governo para supervisionar a aplicação desta lei. A tônica desta etapa legislativa era de restringir o uso dos dados pessoais apenas para a finalidade para a qual haviam sido coletados, proibindo o cruzamento de dados obtidos sobre uma mesma pessoa por meio de coletas de dados independentes. O indivíduo também ganhava o direito de conhecer e corrigir seus dados pessoais.
A evolução dos negócios e do comércio internacional desde 1981 levou a uma revisão da legislação, e em 1995 foi aprovada pelo Conselho da União Européia diretiva relativa "à proteção de indivíduos no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados" ( europa.eu.int/eur-lex/pt/lif/dat/1995/pt_395L0046.html ). Esta diretiva também vem sendo transformada em leis nacionais nos países da UE, como na Grã Bretanha, onde a Lei de Proteção de Dados britânica, de 1984, foi substituída por outra, homônima, de 1998. A nova lei reforça a anterior e, entre outras provisões, estipula:
- a criação de um órgão governamental forte e de tribunais especiais para a proteção de dados;
- determinação de quando é permitido legalmente o processamento de dados pessoais;
- regras severas para governar o processamento de dados pessoais sensíveis, como raça, religião, preferência sexual, informação de saúde e afiliação política ou sindical;
- criação de direitos para o indivíduo em causa, por exemplo: acesso a dados, retificação ou bloqueio de dados incorretos, impedir que dados sejam usados para marketing direto; certas exceções, para fins de jornalismo ou direito de liberdade de expressão;
- restrição de exportação de dados pessoais para países onde não é respeitada sua privacidade.
Esta diretiva entrou em vigor em 1998 e tem criado atritos com os EUA, por causa da aplicação desta última provisão às empresas norte-americanas com filiais na Europa, pois estas estariam sujeitas às leis européias. Numa tentativa de acomodar as óbvias diferenças de tratamento legal de dados pessoais nos dois lados do Atlântico Norte, o governo dos EUA vem negociando com a Comissão da UE um acordo para não interromper repentinamente o fluxo de dados internacional.
Para evitar a introdução de legislação específica, o governo dos EUA, através do seu Departamento de Comércio (DoC), criou o conceito de "porto seguro" (Safe Harbor) para dados pessoais, que satisfaria a UE quanto à privacidade dos dados exportados ( www.export.gov/safeharbor ). O DoC já criou e mantém um cadastro de empresas que se autocertificaram, que seguem certos princípios no tratamento de dados pessoais, consistentes com os demandados pela diretiva da UE. O cadastramento como porto seguro é voluntário. A conduta inapropriada da empresa seria justificativa para uma ação do governo por "atos injustos ou dolosos", utilizando legislação existente. O conceito do porto seguro foi aceito pela UE como solução pelo menos temporária das suas diferenças com os EUA, mas a situação do seu uso deverá ser reavaliada até 2003.
Quando parece que vão conseguir manter a atual situação de não criar legislação própria para bases de dados pessoais nos EUA, vem aflorar um movimento interno, popular, de rejeição dos malefícios do esquema de auto-regulamentação. Os abusos das empresas, especialmente de crédito pessoal, e também de marketing, têm sido tantos que geraram um clamor popular para seu controle através de legislação própria. Tantas são as iniciativas de legislação em nível estadual que uma das principais associações de comércio, a American Electronics Association (AeA), pediu publicamente no início de 2001 que fosse criada legislação federal de privacidade de dados pessoais, provavelmente para que seja gerado apenas um regime de legislação sobre privacidade, ao invés de 50 distintos, um para cada estado dos EUA ( http://www.terra.com/technology/articulo/html/tec2322.htm ).
Também foi publicado um apelo ao presidente dos EUA, George W. Bush, feito por uma lista de 17 entidades da sociedade civil, encabeçada pelo EPIC (Electronic Privacy Information Center), para que seu governo apresentasse uma legislação de privacidade de dados pessoais ( www.epic.org/privacy/coalition_letter_0101.html ). As duas propostas são bastante diferentes, pois a segunda segue mais fielmente a linha da prática européia da criação de uma autoridade própria para administrar a situação. Ainda não está claro qual será a postura do governo norte-americano.
Vemos, portanto, que a situação nos EUA está em fluxo, e tendendo a seguir mais de perto a linha traçada pelos europeus. Na próxima seção, examinaremos mais detalhadamente a situação nacional, onde a base da legislação vigente é o conceito constitucional de "habeas data".
3. O habeas data
A adoção pelos países da União Européia (UE) de legislação uniforme sobre as bases de dados pessoais vem gerando seqüelas por causa do dispositivo que proíbe a exportação de dados pessoais da UE para outros países que não possuam um tratamento adequado da privacidade destes dados. As leis européias criam órgãos governamentais e procedimentos específicos para lidar com a privacidade dos dados, o que difere da tradição de países como os EUA, onde o governo não vem atuando nestes assuntos, sendo preferida a auto-regulamentação das empresas, sem envolver o governo e leis específicas. Como já vimos, a exigência européia de adequação do tratamento norte-americano de privacidade resultou em iniciativas do governo nos EUA, com a criação do conceito de Safe Harbor para empresas que adotam voluntariamente medidas compatíveis com as novas práticas européias. Por causa da polêmica entre a UE e os EUA, outras soluções para a privacidade dos dados pessoais ficaram em segundo plano. O objetivo desta seção é examinar uma terceira tradição legislativa, que vem sendo adotada em países da América Latina - o habeas-data.
Um dos mais antigos dos direitos constitucionais do indivíduo é o habeas corpus, que limita a detenção arbitrária de uma pessoa pelo poder público. Este princípio apareceu primeiro no direito inglês na Idade Média e, segundo o dicionário Aurélio, uma tradução aproximada do latim de habeas corpus seria "que tenhas teu corpo". Em caso de detenção de uma pessoa, um pedido de habeas corpus é uma ordem judicial para que esta pessoa seja apresentada perante um juiz para examinar a legalidade da ordem de sua prisão. O habeas data, literalmente "que tenhas teus dados", é outro direito constitucional do indivíduo, que apareceu primeiro na Constituição brasileira de 1988, como uma das suas cláusulas pétreas. No artigo 5º da Constituição, o item LXXII permite conceder o habeas data nas seguintes situações ( www.planalto.gov.br/ccivil_03/Constituicao/Nova-consti/Main.htm ):
a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público;
b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.
O direito de habeas data foi regulamentado em 1997 pela Lei nº 9.507 ( www.planalto.gov.br/ccivil_03/Leis/L9507.htm ), que define o rito processual e as instâncias onde ele deve ser iniciado. Além da retificação de dados prevista na Constituição, esta lei permite também que seja anotada numa base de dados uma contestação pelo interessado da inexatidão dos dados pessoais mantidos (art. 4º, item 2º).
A novidade principal do conceito de habeas data, comparado com a legislação européia, é que ele aproveita a infra-estrutura legal existente, evitando a criação de novas entidades governamentais e processos. Como elemento constitucional, o habeas data vem sendo incorporado às constituições de outros países da América Latina: Paraguai (1992), Peru (1993) e Argentina (1994). Um estudo apresentado pelo advogado costarriquenho, Andres Guadamuz, mostra a evolução nos detalhes da proteção efetivamente dada, com a inclusão, por exemplo, do direito de suprimir dados considerados incorretos ou que afetem ilegitimamente os direitos do indivíduo, ou de classificar certas informações como confidenciais ( http://elj.warwick.ac.uk/jilt/00-2/guadamuz.html ).
Uma conseqüência imprevista do habeas data, destacada no artigo de Guadamuz, é sua utilização para obter acesso a informações governamentais sobre o passado recente, quando os governos dos países envolvidos eram ditaduras militares. Na Argentina, por exemplo, o direito de acesso aos dados pessoais foi estendido pela justiça às famílias de desaparecidos da época da repressão militar, possibilitando desvendar informações oficiais sobre o destino dessas pessoas.
A adequação de habeas data para efetivamente proteger dados pessoais mantidos em computadores dependerá da agilidade dos processos contra abusos. Embora seja potencialmente eficiente a utilização da infra-estrutura existente da justiça para ações de habeas data, sabe-se que estão sobrecarregadas as cortes, ocasionando atrasos na resolução de processos. Com o crescimento do uso de bases de dados pessoais no comércio eletrônico, é possível que o habeas data não tenha a agilidade necessária para acompanhar as necessidades. Outro problema previsível é sua aplicação em casos onde os dados em questão estão armazenados fora do país e, portanto, da jurisdição nacional. Uma solução possível seria a existência de acordos regionais, como dos países da UE, para uniformizar a aplicação do conceito legal.
Em suma, com o seu aprimoramento e difusão, o habeas data oferece uma terceira via para a proteção das bases de dados pessoais, diferente da legislação específica da Europa e da auto-regulamentação dos EUA. É provável que o conceito seja considerado adequado para permitir a exportação de dados por países da UE, embora isto ainda não tenha sido posto à prova. Finalmente, o habeas data pode oferecer uma solução geral para o problema de privacidade de informações pessoais, podendo ser exportado ainda mais amplamente.
NewsGeneration, um serviço oferecido pela RNP – Rede Nacional de Ensino e Pesquisa
Copyright © RNP, 1997 – 2004