Quando falamos de proteção de dados no mundo jurídico, iremos passar por termos extremamente subjetivos, como direito à privacidade, ao esquecimento, preservação da honra e imagem das pessoas. Cada um desses termos poderia ser tratado com alto teor filosófico, o que não é de agrado de muitos.
Ocorre que, do ponto de vista prático, não são os operadores do Direito os mais afetados pelas questões de segurança e proteção de dados, mas sim os programadores e desenvolvedores de software, que, no final das contas, deverão implementar ferramentas e procedimentos que observem as disposições legais.
Pode parecer custoso adequar-se para atendimento da lei, mas depende da forma como se enxerga a questão. Um tratamento mais apurado na proteção de dados poderá ser autêntico diferencial de mercado, não apenas para aqueles que comercializam as soluções, mas também para aqueles que as contratam.
Onde encontrar os parâmetros legais para tratamento de dados? Se oriundos da utilização da internet (aplicações), foi o Marco Civil da Internet (MCI) que lançou as bases, estabelecendo a privacidade como princípio do uso da rede mundial no Brasil. Princípio é um dos elementos mais importantes do Direito.
Nenhuma legislação ou interpretação posterior poderia contrariar um princípio. Todavia, foi o Decreto n. 8.771/2016 que se ocupou com detalhes da proteção, na medida do possível, vez que, no tratamento de matérias ligadas à tecnologia, é fácil ficar para trás, ou seja, quando uma legislação finalmente é produzida, já pode estar ultrapassada ou inadequada.
O Decreto n. 8.771/2016 definiu o conceito de “dado pessoal”, como sendo aquele “relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”. Em outras palavras, todos os dados que me possibilitam identificar uma pessoa entre outras é um dado pessoal.
O Cadastro de Pessoa Física (CPF) é um dado pessoal? Sim, tendo em vista que o CPF é um número único. Cédula de Identidade é um dado pessoal? Sim, apesar de oferecer maior dificuldade de identificar a pessoa do que o CPF. E o endereço IP é um dado pessoal? Aí começam as dificuldades. Sabemos que o endereço IP identifica a conexão, mas se por meio de geolocalização se possa chegar numa residência, seria possível identificar o usuário? Depende de quantas pessoas moram no local e de suas características.
Sendo assim, todos os dados pessoais oriundos da utilização da internet devem ser protegidos de acordo com as definições do Decreto n. 8.771/2016.
Principais diretrizes
1. Deve haver controle estrito sobre o acesso aos dados, com definição de responsabilidade das pessoas que terão possibilidade de acesso e de privilégios. Em outras palavras, é necessário que o banco de dados seja estruturado de tal forma que se saiba o que cada categoria de usuário possa fazer e a que dados poderá acessar.
2. A implementação de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo acesso dos dados. Isso quer dizer que não basta saber as categorias de usuários, mas deve ser possível identificar a pessoa que acessou os dados, justamente para que possa haver a responsabilização civil e penal no caso de prática ilegal.
3. A criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo ou dado acessado. Nesse item se amplia o item anterior, ou seja, é necessário se identificar a pessoa e o dado acessado.
4. Garantir a inviolabilidade dos dados, utilizando encriptação ou medidas de proteção equivalentes.
5. A estruturação da base de dados de forma que possa atender às eventuais ordens judiciais que visem a quebra de sigilo.
Até então estamos falando da proteção de dados oriundos da internet, sejam recolhidos por provedores de acesso, sejam colhidos pela aplicação. Nesse aspecto, o Decreto n. 8.771/2016 não se aplicaria aos bancos de dados formados por informações que não transitaram na Internet. Para abranger essa possibilidade, estão em trâmite no Congresso diversos projetos de lei (PL), entre os quais os mais importantes são os PL 4.060/2012, PL 5.276/2016 e o PLS 330/2013 (Senado).
Dados pessoais x dados anonimizados
Tais projetos têm a vantagem de distinguir dados pessoais (cuja definição é similar à vista no Decreto n. 8.771/2016) dos dados anonimizados, ou seja, aqueles que não permitem a identificação da pessoa natural de seu titular. Se e quando aprovadas, as respectivas leis provavelmente abrangerão todos os tipos de tratamento de dados pessoais, incluindo os recolhidos na Internet.
Entretanto, nenhum dos Projetos de Lei descreve com tanta minúcia os padrões de segurança que deverão ser adotados, fazendo referência a regulamento posterior. Acreditamos que tal regulamento não deverá ser muito diferente do que consta no Decreto n. 8.771/2016, pois neste último foram contemplados os pontos essenciais de qualquer sistema de segurança eficaz: criptografia (ou medida similar) para o banco, controle de níveis de acesso, autenticação segura e possibilidade de auditoria das ações praticadas dentro do banco de dados. Dessa forma, o mais adequado aos desenvolvedores seria pensar seus produtos levando em conta tais premissas.
*Ricardo Oliveira e Márcio Cots são advogados e sócios COTS Advogados