A proteção de dados pessoais no direito brasileiro
por Danilo Doneda
A proteção de dados pessoais é um tema de discussão bastante recente no Brasil, país no qual a matéria até o momento vem sendo regulada por normas de amplitude setorial e fundamentada em previsões constitucionais de caráter genérico.
O eixo básico em torno do qual se desenha o perfil atual da proteção de dados no ordenamento brasileiro compreende: (i) as garantias constitucionais a ela relacionadas; (ii) a ação constitucional de hábeas data; (iii) as disposições de proteção de dados presentes no Código de Defesa do Consumidor; além destas há várias outras disposições esparsas que em diversos graus podem abranger aspectos da proteção de dados.
No mencionado plano da Constituição Federal, são consideradas invioláveis a vida privada e a intimidade (art. 5º, X), bem como a interceptação de comunicações telefônicas, telegráficas ou de dados (artigo 5º, XII), bem como instituiu a ação de habeas data (art. 5º, LXXII), que basicamente estabelece uma modalidade de direito de acesso e retificação dos dados pessoais.
A Constituição ainda protege alguns aspectos específicos relacionados à privacidade, proibindo a invasão de domicílio (art 5º, XI) e a violação de correspondência (art 5º, XII).
O Habeas Data no Brasil
O habeas data foi introduzido pela Constituição de 1988. Com um nomen iuris original, é essencialmente uma ação constitucional que introduziu o direito de acesso, carregando com si algo da carga semântica do já existente habeas corpus (correspondente à ação de amparo de outros países). A sua influência em outras legislações latino-americanas chegou a provocar a discussão sobre a existência de um modelo de proteção de dados que circule dentro do subcontinente.
Cabe ressaltar que o habeas data brasileiro surgiu basicamente como um instrumento para a requisição das informações pessoais em posse do poder público, em particular dos órgãos responsáveis pela repressão durante o período de ditadura militar e sem maiores vínculos, portanto, com uma eventual influência da experiência européia ou norte-americana relativa à proteção de dados pessoais.
O habeas data foi introduzido pela Constituição brasileira de 1988, em seu artigo 5º, LXXII:
"Conceder-se-á habeas data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo"
Posteriormente o habeas data foi regulamentado pela Lei 9507 de 1997.
A ação de habeas data visa a assegurar um direito presente em nosso ordenamento jurídico, ainda que não expresso literalmente. Por meio dela, o cidadão pode acessar e retificar seus dados pessoais em bancos de dados "de entidades governamentais ou de caráter público" (posteriormente ampliou-se o sentido deste “caráter público”, incluindo-se os bancos de dados referentes a consumidores, mesmo que administrados por privados).
A ação não é acompanhada, porém, de instrumentos que possam torna-la ágil e eficaz o suficiente para a garantia fundamental de proteção dos dados pessoais. Alguns fatores, dentre tantos, que impedem até mesmo uma maior utilização da ação são (i) a necessidade de sua interposição através de advogado; (ii) a necessidade de demonstração de recusa de fornecimento dos dados por parte do administrador de banco de dados. Fatores como estes, aliados à escassa utilização da ação nos tribunais fizeram com que a doutrina brasileira assumisse posição majoritariamente crítica em relação à ação, tratando-a ora como “um remédio de valia, no fundo, essencialmente simbólica" (Luís Roberto Barroso), ou de “uma ação voltada para o passado” (Dalmo de Abreu Dallari).
O Código de Defesa do Consumidor
O Código de Defesa do Consumidor, Lei 8.078 de 1990, marcou fortemente o ordenamento civil brasileiro, tendo sido marco de uma modernização que irradiou-se para além das relações de consumo. Em seu artigo 43, é estabelecida uma série de direitos e garantias para o consumidor em relação às suas informações pessoais presentes em "bancos de dados e cadastros":
Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.
§ 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.
§ 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores.
As disposições do Código de Defesa do Consumidor pretendem o estabelecimento de equilíbrio na relação de consumo através da interposição de limites ao uso pelo fornecedor de informação sobre o consumidor. Assim, por exemplo, o registro de dados negativos sobre um consumidor não poderá ser mantido por um período maior de 5 anos; é prevista a necessidade de comunicação escrita sobre o tratamento da informação ao consumidor em certos casos, assim como o direito de acesso, correção e, implicitamente, o cancelamento justificado. Note-se ainda que o Código, em seus artigos 72 e 73, tipifica como crime a negação do acesso aos dados pessoais e a não correção da informação não verídica.
É possível reconhecer neste diploma legislativo a presença de princípios de proteção de dados pessoais comuns a outras legislações mais abrangentes, ainda que de uma forma resumida e inserida em um contexto – o das relações de consumo - que impede que esta disciplina assuma os contornos de um sistema geral de proteção de dados pessoais, muito embora possa fornecer parâmetros interpretativos úteis para outras situações.
Ao que pese o grande avanço representado pelas disposições do Código de Defesa do Consumidor e também pela sua interpretação extensiva, trata-se de uma tutela de certa forma limitada; o que se verifica não somente em relação à sua incidência – em situações caracterizadas como relações de consumo – porém pelo caráter de suas disposições. Verifique-se, quanto a isso, que a origem material das disposições do seu artigo 43 foi inspirada, de acordo com o próprio responsável pela elaboração do anteprojeto desta seção do CDC, na normativa norte-americana de proteção ao crédito estabelecida pelo National Consumer Act e pelo Fair Credit Reporting Act – FCRA, de 1970.
Perspectivas e conclusão
Apesar do pioneirismo na criação do habeas data e da importância das regras de defesa do consumidor, a atenção do ordenamento brasileiro pelo tema da proteção de dados pessoais em uma perspectiva integrada é muito recente. Com freqüência, questões relativas a dados pessoais são resolvidas dentro de esquemas setoriais (sejam estes as normas de defesa do consumidor, de sigilo profissional, bancário, fiscal ou outros), através da ação de habeas data ou então simplesmente não encontram uma resposta específica e eficaz dentro do ordenamento. Há, porém, claros sinais da existência de demanda por normas específicas sobre a matéria, como confirma a tendência à utilização de regras estipuladas para a defesa do consumidor em situações que extrapolam o âmbito do consumo, ou então a existência de casos onde a utilização de dados pessoais assume vestes de abusividade (como em recentes denúncias que envolvem a alienação de bancos de dados pessoais entre sujeitos públicos e privados), sem que seja possível, no entanto, apontar com facilidade os remédios presentes no ordenamento capazes de conter esta prática.
Neste panorama, vários projetos de lei relacionados à matéria foram apresentados nos últimos anos. Em sua maioria, propõem apenas soluções pontuais para problemas relacionados à proteção de dados (como o SPAM e vários aspectos da proteção ao crédito), sem realizar uma abordagem sistemática e integrada da proteção de dados pessoais. Um projeto de lei que, originariamente, fugia à esta regra e propunha uma abordagem semelhante ao modelo europeu de proteção de dados foi, em seu trâmite, bastante modificado e reduzido em escopo, tramita hoje como o Projeto de lei 321/2004. Outros projetos circulam com finalidades bastante espepecíficas, como por exemplo a regulação da atividade das centrais de risco positivas na atividade de análise creditícia.
Além destas iniciativas, encontra-se atualmente em preparação por alguns setores do poder executivo um projeto de lei interministrial que procura realizar uma abordagem integral e moderna do problema da proteção de dados, apto a inserir o Brasil em um grupo de países que proporcionam efetiva tutela ao direito fundamental à proteção de dados pessoais.
Danilo Doneda
[danilo AT doneda.net]
http://www.doneda.net/