Escolar Documentos
Profissional Documentos
Cultura Documentos
Franca
2019
UNIVERSIDADE ESTADUAL PAULISTA “JÚLIO MESQUITA FILHO”
FACULDADE DE CIÊNCIAS HUMANAS E SOCIAIS
Franca
2019
S237i
Santos, Priscila Maria dos
BANCA EXAMINADORA
Presidente:__________________________________________________________
Prof. Dr. Eduardo Mei
1º Examinador: ______________________________________________________
Prof. Dr. Marcelo Passini Mariano
2º Examinador:_______________________________________________________
Prof. Dr. Marcos Alves de Souza
With the popularization of the internet and social media, and the scandals involving
leaks of personal data in this environment, the concern of the countries regarding the
security of personal data is becoming bigger and bigger. In this context, the European
Union, which has always been a pioneer in information security and personal data
protection, has put forward a response that would reshape the way information security
is handled in the most diverse sectors. The present essay seeks, through historical
contextualization and documentary analysis, to ascertain the extent of the impacts of
the application of The General Data Protection Regulation (GDPR). Their probable
influence on the International System and, consequently, on International Relations,
through impacts generated beyond their frontiers, whether on States or on possible
changes in the positioning of companies dealing with the processing and storage of
personal data around the world.
1 INTRODUÇÃO .............................................................................................. 1
REFERÊNCIAS ............................................................................................. 36
1
1 INTRODUÇÃO
“[...] no final de 1995, o primeiro ano de uso disseminado do world wide web
[a rede “www”], havia cerca de 16 milhões de usuários de redes de
comunicação por computador no mundo. No início de 2001, eles eram mais
de 400 milhões” (CASTELLS, 2003, [8] p.).
Apesar da internet per se ter se originado nos EUA (Castells, 2003), a Europa
vem demonstrando uma preocupação positiva com a privacidade de dados desde a
disseminação da world wide web, despontando como importante ator no que tange a
defesa e securitização do tema através da história. O presente trabalho se propões
então a se debruçar sobre questão da relação europeia e a normatização dessa
defesa a privacidade de dados.
Em um momento no qual a internet demonstra ser um ambiente tão propício
para a proliferação da vigilância digital e do uso indevido do processamento e
armazenamento de dados, tanto por parte de Estados como por parte de empresas,
quais medidas a União Europeia vem tomando em prol da segurança de dados
pessoais nas redes sociais?
Na tentativa de encontrarmos uma resposta para tal pergunta, nos utilizaremos
de uma contextualização histórica do desenvolvimento das legislações na Europa,
bem como de uma análise documental das próprias normas, focando principalmente
nas implementações propostas pelo Regulamento Geral sobre a Proteção de Dados
2016/679, no inglês General Data Protection Regulation (GDPR).
Por fim, considerando o caráter integrativo do Sistema Internacional,
buscaremos fazer um levantamento das consequências práticas decorrentes do
GDPR, tanto no interior do bloco, quanto a nível de alcance para com os Estados e
grandes empresas de tecnologia ao redor do globo.
Dessa maneira, trataremos no item dois da relação histórica inicial da Europa
com o tema de privacidade de dados. Abordaremos rapidamente as primeiras
iniciativas individuais dos Estados-membros, e passaremos a um panorama dos
esforços multilaterais dos quais a comunidade europeia participou como grupo, e por
fim passaremos a uma análise do primeiro grande aparato normativo sobre
privacidade de dados individuais proposto pelo conselho europeu, apresentando
algumas de suas falhas e inovações.
No item três trataremos da maior reforma legislativa no que tange a privacidade
de dados, o GDPR, suas alterações chave e os direitos assegurados por ela. Ao passo
que, no item quatro, investigaremos dois importantes acontecimentos que inspiraram
a instauração direta de algumas concepções no regulamento, para a correção de
conteúdos sensíveis quanto a privacidade de dados ligados a casos práticos,
seguindo então para as consequências do GDPR após sua entrada em vigor.
3
1
Segundo a definição de Manuel Castells (2003), a rede de internet é composta por uma série de nós
(nodes, no inglês) interconectados. Esses nós são os pontos em que uma curva de rede se conecta a
outra. Essa interconexão gera uma malha as mais diversas malhas de rede ao redor do globo, as quais
podem ser usadas para os mais diversos fluxos e que irmão caracterizar propriamente a função daquele
“nó”.
4
outubro de 1970, Gesetzuno Veroronungsblatt [GVBI] 625), seguido pela Suécia com
o Datalegen (Lei 289 de 11 de maio de 1973). Subsequentemente, novamente na
Alemanha, o estado federado de Rhein-Pfalz também aprovou o Ato de Proteção de
Dados de 24 de Janeiro de 1974 (GVBI 31), antes mesmo da legislação federal
publicada em 1977, que opunha-se ao uso ilícito de dados pessoais. A seguir, a
Dinamarca presidiu a questão, promulgando em 08 de julho de 1978 as Leis 243 e
244, cujo arcabouço se estendia à proteção de dados não só das pessoas físicas,
bem como das jurídicas. Também em 78, a França veio em assistência ao direito à
privacidade de dados pessoais com a Lei 78-77, de 06 de janeiro de 1978.
Não podemos deixar de assinalar ainda os casos particulares da Espanha e
Portugal, cujas constituições federais já versavam sobre o tema. Tendo, no caso da
Espanha, o art. 18 par. 1° resoluções sobre a proteção à privacidade em detrimento
de “invasões da atividade informática”. Já a Constituição Portuguesa, datada de 1977,
possui uma redação ainda mais intrincada, prevendo em seu art. 35 “o direito do
cidadão de conhecer os dados que lhe são concernentes”, e ainda deliberando que
tais dados “sejam utilizados de acordo com a finalidade para a qual foram recolhidos”
e até mesmo estabelece a possibilidade de retificação, em caso de erro, e sua
atualização (REINALDO FILHO, 2013).
Posteriormente outros países da Comunidade Europeia acabaram por publicar
normas de proteção à privacidade e regimentos do adequado processamento de
dados pessoais, os quais no geral, segundo Fred H. Cate (apud REINALDO FILHO,
2013, p. 01), caracterizam-se essencialmente por quatro aspectos, sendo eles:
Isso posto, a proteção da rede passa a ter visibilidade na agenda mundial, visto
que, conforme nos explica Castells (2003) a segurança de um nó em específico,
mesmo de expressivo poder, apenas será tão acentuada quanto a totalidade da
segurança da rede que, via de regra, não possui uma média tão resistente.
Além disso, em seu curto – quando comparadas a outras tecnologias –, porém
efervescente histórico de desenvolvimentos inovativos, a internet gerou uma
necessidade de escalonamento do aparato legal dos temas que a ela se referem. Não
sendo diferente em relação a segurança de dados. Assim, gerando consequências no
mundo cinético, na realpolitik, conforme a própria rede evolui, moldando e sendo
moldada pela forma com que interagimos com ela.
Analisaremos em seguida a gradual evolução histórica das legislações
multilaterais em matéria de proteção de dados, das quais originaram-se os
instrumentos legislativos vigentes, que serão tratados no capítulo 3.
automatizado dos dados de caráter pessoal no que lhe concerne (‘data protection’)”.
(COUNCIL OF EUROPE, 1981, p. 1, tradução e grifo nosso).
Dessa maneira, a Convenção 108 acaba por reforçar um direito fundamental
previsto na Convenção Europeia dos Direitos do Homem (CEDH), expresso em seu
artigo 8°, referente ao direito ao respeito pela vida privada e familiar, categórico ao
afirmar que: “Qualquer pessoa tem direito ao respeito da sua vida privada e familiar,
do seu domicílio e da sua correspondência”. (COUNCIL OF EUROPE, [2013], p.11).
Apesar dos trunfos estabelecidos após 1985, data de sua promulgação, a
Convenção deixou a desejar em alguns aspectos. Por um lado, alguns países já
possuíam aparato legal quanto à proteção de dados pessoais pregressos à adesão
da mesma.
Por outro, devido à maneira com que foi engendrada, permitia aos países que
a ratificaram uma implementação variada de seus termos, e além disso, pecou em
não agregar ou especificar definições essenciais como, por exemplo, quanto ao grau
de segurança considerado “adequado” para a proteção de dados pessoais
(REINALDO FILHO, 2013).
Em consequência disto, coube a cada Estado-membro a diligência de
preencher as lacunas deixadas pelo tratado. Assim, instituindo suas próprias ideias e
juízos na adaptação das normas para seu Direito interno, reproduzindo mais uma vez
a heterogeneidade legislativa já praticamente consolidada como um signo para a
época.
Além da busca pela harmonização do aparato legal dos países membros, que
deveriam adotar medidas em conformidade a regras estabelecidas pelo Conselho, a
legislação também concernia à interação de terceiros com o bloco. Se por um lado
estipulava um nível de proteção de dados equivalente entre seus membros, em se
10
Além disso, em 2017 foi apresentada pela Comissão Europeia uma nova
proposta ainda em análise de implementação: o Regulamento do parlamento europeu
e do conselho relativo ao respeito pela vida privada e à proteção dos dados pessoais
nas comunicações eletrônicas e que revoga a Diretiva 2002/58/CE (Regulamento
relativo à privacidade e às comunicações eletrônicas). The ePrivacy Regulation (ePR)
como ficou conhecido, faz parte da Estratégia para o Mercado Único Digital (UNIÃO
EUROPEIA. Comissão Europeia, 2019), que atesta a necessidade da legislação se
adaptar e alinhar suas regras as novas possibilidades da era da informação, ainda
assegurando a proteção de dados, mas buscando um novo rompimento de barreiras
territoriais para unificação do comércio eletrônico, além de melhorias de serviços de
internet em todo o território do bloco de forma una, dentre outras propostas que vão
além do escopo do presente trabalho (UNIÃO EUROPEIA. Comissão Europeia, 2019;
EUROPEAN UNION. European Commission, 2019; UNIÃO EUROPEIA. . Parlamento
Europeu, 2019b).
b) Penalidades:
c) Consentimento
Dessa maneira, a nova norma busca definir com clareza tanto a especificidade
quanto a extensão do consentimento dado. E mesmo em casos em que não é possível
identificar a totalidade da finalidade do uso de dados, como para casos de
investigação científica, o consentimento é dado para uma área específica a ser
explorada à medida que uma finalidade é estipulada. Ademais, também limita o
consentimento de crianças menores de 16 anos, de forma que o consentimento dos
dados relativos a essas só pode ser feito pelos tutores legais das mesmas (EUR-LEX,
2016b).
Embora a notificação do titular dos dados de uma possível violação não tenha
um prazo específico como no caso das autoridades, é indicado que a notificação seja
feita sem demora injustificada, e caso não seja feita pelos responsáveis, cabe às
autoridades o fazê-lo, mesmo nos casos em que a comunicação direta seja difícil, é
prevista que seja feita uma comunicação pública da violação (EUR-LEX, 2016b).
e) Direito de acesso:
Seguindo essa linha de expansão dos direitos dos titulares dos dados, o GDPR
estabeleceu uma medida importante para a transparência do tratamento e controle de
dados e empoderamento dos indivíduos titulares dos mesmos. Sendo assim,
estipulou-se o direito do titular de receber uma confirmação do controlador ou
processador referentes ao status do processamento dos dados referentes a si mesmo,
ou seja, se eles estão ou não sendo processados, onde estão sendo processados, e
com qual finalidade. Ademais, o responsável por esses dados é compelido a oferecer
de forma gratuita e eletrônica uma cópia dos dados pessoais em tratamento sob sua
responsabilidade, ao titular dos mesmos (EU GDPR PORTAL, 2018c). No caso de
novas solicitações feitas “pelo titular dos dados, o responsável pelo tratamento pode
exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos”
(EUR-LEX, 2016b, p. 43).
g) Portabilidade de dados:
Google e LinkedIn acabaram por eleger a Irlanda como sua sede europeia. O que
acaba gerando certo acúmulo nas atividades da DPA em questão.
Menos de uma semana após a decisão do caso Weltimmo, o CJEU invalidou o
Acordo de Porto Seguro, decidindo (mais uma vez) que o país possuía um nível de
proteção inadequado e suspendendo grande parte das transferências de dados entre
UE-EUA. Apesar de não ser a única forma de se transferir dados entre os dois Atores,
a medida afetou cerca de 4500 empresas dependentes dessa ferramenta jurídica para
sua transferência. A decisão do CJEU em 2015 se pautou no argumento de que as
autoridades públicas estadunidenses trabalhavam de maneira antagônica as
propostas previstas pelo Acordo de Porto Seguro, e também possuíam uma legislação
conflitante com o mesmo em determinadas circunstâncias. Mas o caso naturalmente
vai muito além disso.
Afora as falhas as quais buscamos analisar anteriormente em nossa crítica ao
Acordo de Porto Seguro, o estopim de seu cancelamento foi gerado por um
importante agravante: a repercussão das revelações de Edward Snowden sobre as
práticas de espionagem e vigilância da National Security Agency (NSA) por meio do
programa de vigilância PRISM, que usava como ferramenta a recolha maciça de
informações. A questão chegou ao conhecimento da CJEU, em junho de 2013, pelo
ativista austríaco Maximillian Schrems (LESLIE, 2013; EUR-LEX, 2015a). As queixas
prestadas por Schrems foram inicialmente direcionadas aos países sede das
empresas acusadas de repassarem dados de seus usuários, inclusive aqueles
coletados indiretamente, à NSA. E, incluíam as sucursais das companhias Apple,
Facebook, Microsoft, Skype e Yahoo.
A pauta suscitou alarmantes apreensões tanto a nível do bloco, como entre
seus Estados-membro, para o tratamento e processamento dos “dados pessoais
realizados em grande escala pelas autoridades públicas e empresas privadas nos
Estados Unidos” (EUR-LEX, 2016a) e as consequências do programa em relação aos
direitos fundamentais dos cidadãos europeus. O processo, consolidado
posteriormente como Acórdão Schrems, gerou então a suspensão dos fluxos de
dados das relações transatlânticas, a qual foi re-estabelecida em novembro do mesmo
ano, por uma medida intitulada “Restabelecer a confiança nos fluxos de dados entre
a UE e os EUA”.
Foram impostos três requisitos para que a confiança fosse restaurada entre os
dois Atores: o primeiro deles impunha a adoção do pacote de medidas proposto pela
26
2
Acordo entre a União Europeia e os Estados Unidos sobre a proteção de dados pessoais em âmbito de
cooperação, prevenção e investigação ao combate a infrações penais. O acordo estabeleceu um alto nível de
enquadramento das informações pessoais intercambiadas visando a aplicação da lei, o combate ao terrorismo e
ao crime organizado (UNIÃO EUROPEIA. Secretariado-Geral do Conselho, 2016; UNIÃO EUROPEIA. Parlamento
Europeu, 2019a).
27
The DPC works with organisations and sectors to guide on their ongoing
implementation of the GDPR in order to prevent issues arising in the first
instance. Such an approach can lead to a more efficient way of safeguarding
individuals’ data protection rights, while also educating organisations in how
data processing should be undertaken. Where issues do arise, quite
commonly through media reporting, the DPC immediately engages with
companies to better understand the issues before determining what path to
follow, including whether or not a statutory investigation should be opened
(DALY, 2019, online).
tem feito por meio de diversas publicações em seu site oficial, desde o começo da
vigência do GDPR. O órgão opera ainda a função de auxílio na maximização do
debate internacional, visando aprimorar o conhecimento do tema de segurança
cibernética e proteção de dados pessoais (DALY, 2019, online).
Apesar das dificuldades acima relatadas, tanto no âmbito de funcionamento
das DPAs, quanto no relatório do primeiro ano de vigência da legislação, as
autoridades regulatórias parecem estar assimilando bem o tema, e novas multas de
valores altos continuam a ser aplicadas, a exemplo daquela aplicada a British Airways.
A empresa aérea britânica terá que pagar a atual maior multa da história do
GDPR, no valor de £183 milhões. Esse valor remete-se ao fato ocorrido no final de
2018, onde a companhia aérea acabou “vazando dados como nomes completos,
endereços, detalhes de passagens e viagens feitas e agendadas, login e cartão de
crédito de aproximadamente 500 mil clientes” (ARBULU, 2019, online) e segundo a
DPA responsável, tal falha grave de segurança poderia ter sido evitada com um
upgrade das implementações de segurança da companhia. Apesar de um valor
exorbitante, e consideravelmente mais alto do que as multas até então aplicadas, o
montante corresponde a apenas 1,5% do faturamento anual da empresa (ano base
2017), que foi de £12,2 bilhões (ARBULU, 2019).
Não só isso, mas os debates propostos pelo GDPR vêm obtendo
desdobramentos mesmo fora do continente europeu. O próprio escândalo da
Cambridge Analytica, que afetou cerca de 87 milhões de usuários da rede social,
devido a data de sua tramitação anterior a vigência do GDPR, que acarretou em uma
multa ao Facebook de apenas £500 mil na Europa (multa máxima da legislação
anterior), por se tratar de um âmbito global, obteve punições mais severas do outro
lado do atlântico. Os EUA recentemente fizeram sua própria apuração do caso
multando a rede social de Zuckerberg em 5 bilhões de dólares. A multa aplicada pela
FTC é segundo noticiado a mais importante ação tomada em detrimento da rede
social, que já é reincidente no perjúrio a proteção de dados oferecidas a seus usuários
(POZZI, 2019).
Outro ponto, é que as sanções impostas as organizações transgressoras, vem
se refletindo em certa maneira no próprio posicionamento das empresas. Como por
exemplo o cuidado, que a Google vem tomando com o desenvolvimento de seus
dispositivos de tecnologia de automação residencial, o Google Nest. Para reduzir o
risco de coleta de informações pessoais desnecessárias ao desempenho das funções
31
Google Drive, Google Fotos, Google Duo, Hangout, FaceTime, iCloud, iMessage,
dentre outros), que entre si cobrem a maioria dos aplicativos e softwares utilizados
por toda a população mundial.
5 CONSIDERAÇÕES FINAIS
Impactando, devido ao novo foco, não só os países com quem possui relações
mais estreitas (embora esses acabem sendo afetados mais visceralmente, por
assimilar em maior escala os princípios do GDPR), como o posicionamento de
diversas empresas ao redor do mundo, algumas delas multilaterais, que acabam
aplicando seu Modus operandi, para além do território europeu.
Isso posto, concluímos que a atualização da normatização da segurança de
dados individuais é uma decorrência direta do tema sobre o qual essa versa. A era da
informação é regida por uma certa organicidade evolutiva. Sendo moldada de acordo
com a época, e as evoluções tecnológicas impulsionadas pelas pesquisas da área,
que avança escalonadamente. Essa organicidade trás certa mutação ao tema de
estudo, a internet é quase como um organismo vivo, que se molda não só pelas
evoluções tecnológicas, mas também pelos usuários, que geram uma demanda por
novas utilidades.
Instrumentos como o serviço em nuvem, tão comum à nossa realidade atual,
eram impensáveis para o momento em que a Diretiva 95 ou outras normas anteriores
estavam sendo redigidas. Além disso, mesmo em se tratando de ferramentas
conhecidas, suas evoluções podem tomar direções imprevisíveis. As possibilidades
do uso e exploração de ferramentas online estão cada vez mais amplas.
Se pensarmos na questão “interação social online”, a troca de informações por
correio eletrônico já havia se popularizado desde a intranet. Porém, nessa época
jamais se pensaria nas aplicações massivas que temos hoje, possibilidades que vão
desde mensagens instantâneas, até várias opções de redes sociais que englobam o
compartilhamento de informações que varia de um formato “mural”, Blogger,
Wordpress, Facebook, ou VK (além de redes sociais que já existiram e se extinguiram
como Myspace, Orkut, Google Plus), até redes de compartilhamento de fotos, vídeos
ou mesmo vídeos instantâneos como o caso do Instagram, Youtube, WhatsApp e
SnapChat. Mesmo há vinte anos, todas essas novas tecnologias usadas em uma
escala tão ampla, não eram uma possibilidade palpável.
Denotasse que a tecnologia evolui de maneira rápida, e dando grandes saltos,
tendo como característica constante o fato de não se estagnar. Dessa forma, até
mesmo as legislações estão fadadas há uma obsolescência programada.
Se os Estados quiserem então que os direitos de segurança de informações
dos indivíduos continuem sendo protegidos, torna-se necessário exercitar-se a
aptidão de síntese e adaptação tanto do aparato normativo, quanto dos próprios
35
estudos sobre o tema. A norma acaba tendo então que, mesmo que em uma escala
mais lenta, continuar evoluindo. Isso posto, mesmo sendo o GDPR um importante
marco histórico para o União Europeia em relação a segurança de dados pessoais, é
provável que vejamos novas normas em algum momento não tão distante,
principalmente se consideramos o fato de que o bloco já vem se preparando para isso.
36
REFERÊNCIAS BIBLIOGRÁFICAS
ARBULU, R. GDPR pede a maior multa da história para a British Airways por
vazamento de 2018. Canaltech, [São Bernardo do Campo], 08 jul. 2019. Disponível
em: https://canaltech.com.br/internet/hospedagem-de-site-testamos-a-performance-
do-novo-plano-turbo-da-hostgator-152485/. Acesso em: 17 out. 2019.
EU GDPR PORTAL. GDPR Key Changes. An overview of the main changes under
GDPR and how they differ from the previous directive. Londres, 2018c. Disponível
em: https://eugdpr.org/the-process/how-did-we-get-here/. Acesso em: 03 out. 2019.
LORD, N. What is a Data Protection Officer (DPO)? Learn About the New Role
Required for GDPR Compliance in 2019. Digital Guardian, [s. l.], 15 jul. 2019.
Disponível em: https://digitalguardian.com/blog/what-data-protection-officer-dpo-
learn-about-new-role-required-gdpr-compliance. Acesso em: 16 out. 2019.
MILT, K. Fichas temáticas sobre a União Europeia: Proteção dos dados pessoais.
Bruxelas, 2019. Parlamento Europeu, versão pdf. Disponível em:
http://www.europarl.europa.eu/factsheets/pt/sheet/157/protecao-dos-dados-pessoais.
Acesso em: 15 ago. 2019
39
OECD (Paris). Rights and Translation unit, Public Affairs and Communications
Directorate. Guidelines on the Protection of Privacy and Transborder Flows of
Personal Data: overview. Paris,2002. Disponível em:
http://www.oecd.org/sti/ieconomy/15590254.pdf. Acesso em: 10 ago. 2019.
POZZI, S. EUA multam Facebook em 5 bilhões de dólares por violar privacidade dos
usuários: Empresa é punida com multa recorde pelo vazamento de dados no caso
Cambridge Analytica. El Pais: Nova York 13. Jul. 2019. Disponível em:
https://brasil.elpais.com/brasil/2019/07/12/economia/1562962870_283549.html.
Acesso em: 17 out. 2019.
RICCARDI, J. L. The German Federal Data Protection Act of 1977: Protecting the
Right to Privacy?. Boston College International and Comparative Law Review,
Boston, v. 06, n. 1, p. 243-271, dez. 1983. Disponível em:
http://lawdigitalcommons.bc.edu/iclr/vol6/iss1/8. Acesso em: 20 ago. 2019.
SILVA, R. R. Aqui não, Cambridge Analytica! Google quer Nest fora de escândalos.
Canaltech, [São Bernardo do Campo], 16 out. 2019. Disponível em:
https://canaltech.com.br/seguranca/aqui-nao-cambridge-analytica-google-quer-nest-
fora-de-escandalos-152691/. Acesso em: 17 out. 2019.
40