Páginas

junho 24, 2014

[Segurança] O Marco Civil e a Proteção de Dados

O Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014) está prestes a entrar em vigor e, na minha opinião, uma das suas contribuições mais importantes foram os vários artigos que tratam da proteção dos dados pessoais online.

Hoje em dia compartilhamos muitas informações pessoais. A popularização da Internet, do e-commerce e das redes sociais trouxe o hábito de compartilharmos fotos, opiniões e dados pessoais. E isso trouxe o risco de roubo e vazamento de dados, além do mal uso por terceiros (como, por exemplo, empresas que vendem dados cadastrais de seus usuários para outras). Por isso mesmo, muitos países já desenvolveram leis específicas para a proteção de dados. A União Européia, por exemplo, possui uma lei de proteção de dados desde 1995. No Brasil, o Ministério da Justiça trabalhou em criar uma legislação específica sobre a proteção de dados pessoais em 2011 (veja alguns detalhes aquiaqui) e também existe o Projeto de Lei 3558/2012, que dispõe sobre a proteção de dados pessoais e sobre a utilização de sistemas biométricos.

Mas o Marco Civil chegou bem antes !

Diversos artigos do Marco Civil abordam a privacidade e a proteção dos dados pessoais dos internautas, incluindo as responsabilidade dos sites provedores de conteúdo (como, por exemplo, a não responsabilização dos provedores ao publicar um conteúdo criado por seus usuários).

Mas a proteção de dados não deve ser confundido com a guarda de registros de acesso (logs): os logs indicam quem acessou o que e quando em um determinado ambiente, enquanto a proteção dos dados pessoais trata da responsabilidade pela guarda dos dados em si, ou seja, das informações que os usuários inserem nos diversos serviços online (incluindo dados cadastrais, informações pessoais, fotos, etc).

Assim, o Marco Civil dita os seguintes aspectos:
  • a garantia de não fornecimento a terceiros de dados pessoais;
  • os provedores devem prestar informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais;
  • deve haver o consentimento expresso do usuário sobre a coleta, uso, armazenamento e tratamento de dados pessoais;
  • a obrigação de remover os dados pessoais após o cliente encerrar o serviço (isto é uma parte do chamado "direito ao esquecimento");
  • os provedores somente serão obrigados a disponibilizar dados pessoais e o conteúdo das comunicações privadas mediante ordem judicial;
  • os sites (provedores de aplicação) não podem solicitar e guardar dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo usuário;
  • o Marco Civil inova ao definir a responsabilização dos provedores referente a danos causados por dados publicados pelos usuários e como deve ser o processo de retirada de conteúdo:
    • o provedor de conexão à internet não é responsabilizado civilmente por danos decorrentes de conteúdo de terceiros;
    • o provedor de aplicações de internet somente poderá ser responsabilizado civilmente se não tomar as providências para retirada do conteúdo após ordem judicial específica (nos limites técnicos do seu serviço e dentro do prazo);
    • o provedor de aplicações deve comunicar ao usuário as informações relativas à indisponibilização de seu conteúdo, de forma a permitir sua ampla defesa em juízo;
  • o Art. 21. é bem interessante: ele define que o provedor de aplicações de internet será responsabilizado pela violação da intimidade decorrente da divulgação não autorizada de imagens, vídeos ou outros materiais com nudez ou atos sexuais de caráter privado, caso deixe de remover este conteúdo quando solicitado pelo seu dono ou algum participante dele.

Segue abaixo uma transcrição parcial do texto final do Marco Civil com os artigos relacionados a proteção de dados pessoais.

CAPÍTULO II
DOS DIREITOS E GARANTIAS DOS USUÁRIOS

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
(...)
III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
(...)
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
XI – publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
(...)
CAPÍTULO III
DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET

(...)

Seção II
Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas

Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
§ 1º O provedor responsável pela guarda somente será obrigado a disponibilizar os registros mencionados no caput, de forma autônoma ou associados a dados pessoais ou a outras informações que possam contribuir para a identificação do usuário ou do terminal, mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo, respeitado o disposto no art. 7º.
§ 2º O conteúdo das comunicações privadas somente poderá ser disponibilizado mediante ordem judicial, nas hipóteses e na forma que a lei estabelecer, respeitado o disposto nos incisos II e III do art. 7º.
§ 3º O disposto no caput não impede o acesso aos dados cadastrais que informem qualificação pessoal, filiação e endereço, na forma da lei, pelas autoridades administrativas que detenham competência legal para a sua requisição.
§ 4º As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.
§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.
§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.
§ 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.
(...)

Subseção III
Da Guarda de Registros de Acesso a Aplicações de Internet na Provisão de Aplicações

(...)
Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
(...)
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.
(...)

Seção III
Da Responsabilidade por Danos Decorrentes de Conteúdo Gerado por Terceiros

Art. 18. O provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros.
Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário.
§ 1º A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que permita a localização inequívoca do material.
§ 2º A aplicação do disposto neste artigo para infrações a direitos de autor ou a direitos conexos depende de previsão legal específica, que deverá respeitar a liberdade de expressão e demais garantias previstas no art. 5º da Constituição Federal.
(...)
Art. 20. Sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo a que se refere o art. 19, caberá ao provedor de aplicações de internet comunicar-lhe os motivos e informações relativos à indisponibilização de conteúdo, com informações que permitam o contraditório e a ampla defesa em juízo, salvo expressa previsão legal ou expressa determinação judicial fundamentada em contrário.
(...)
Art. 21. O provedor de aplicações de internet que disponibilize conteúdo gerado por terceiros será responsabilizado subsidiariamente pela violação da intimidade decorrente da divulgação, sem autorização de seus participantes, de imagens, de vídeos ou de outros materiais contendo cenas de nudez ou de atos sexuais de caráter privado quando, após o recebimento de notificação pelo participante ou seu representante legal, deixar de promover, de forma diligente, no âmbito e nos limites técnicos do seu serviço, a indisponibilização desse conteúdo.
(...)

Um comentário: