NIC.br

Ir para o conteúdo
21 SET 2017

Seus dados são você: campanha alerta sobre uso de informações pessoais


Idec - 20/09/2017 - [gif]


Assunto: VIII Seminário de Proteção à Privacidade e aos Dados Pessoais

Iniciativa da Coalizão Direitos na Rede, da qual o Idec faz parte, também cobra a aprovação de uma lei de proteção de dados pessoais

“Todos os dias, ao fazer pesquisas na internet, compras, usar aplicativos, preencher cadastros de serviços e até utilizar o transporte público, geramos e compartilhamos centena de milhares de dados pessoais. Você sabe o que é feito com estes dados?” 

O questionamento, presente no texto de apresentação de sua página oficial, indica bem o propósito da campanha Seus dados são você: alertar os cidadãos sobre os riscos envolvendo o acesso e uso de suas informações pessoais por empresas e órgãos públicos.

Lançada ontem (19), a campanha é uma iniciativa da Coalizão Direitos na Rede, que reúne organizações, ativistas e acadêmicos em defesa da internet livre e aberta no Brasil, entre eles o Idec. 

A divulgação ocorreu durante o VIII Seminário sobre Privacidade e Proteção de Dados Pessoais, organizado pelo CGI.br (Comitê Gestor da Internet no Brasil).

A campanha também quer chamar atenção para a necessidade da aprovação de uma lei que garanta a proteção desses dados, que ainda não existe no País.

O debate sobre a criação de uma legislação específica sobre o tema arrasta-se há anos no Brasil, com diversos projetos de lei em andamento. 

Agora, foi instalada a Comissão Especial de Tratamento e Proteção de Dados Pessoais na Câmara dos Deputados, abrindo a oportunidade de definição de uma proposta final para discussão no Congresso. 

Assim, o intuito da campanha é pressionar essa comissão a criar um texto que resguarde os direitos dos cidadãos.

Pilares para proteção de dados

Durante o seminário do CGI, o advogado e pesquisador do Idec Rafael Zanatta destacou os 13 pilares básicos que a lei de dados pessoais deve ter, a partir do posicionamento definido pelos membros da Coalizão Direitos na Rede:

  1. O conceito de “dados pessoais” deve incluir qualquer dado relacionado à pessoa natural identificável.
  2. Dados sensíveis merecem proteção especial e devem incluir dados que revelem origem étnica, convicções religiosas, opiniões políticas, condições de saúde, vida sexual, condições socioeconômicas e informações genéticas e biométricas.
  3. Se esforços técnicos razoáveis puderem reverter dados anônimos, eles devem ser considerados dados pessoais.
  4. Dados dissociados ou anônimos que sejam utilizados para “perfilização” e formação de perfil comportamental merecem proteção e regulação para coibir práticas discriminatórias.
  5. O consentimento inequívoco e a autodeterminação informativa devem ser fundamentos básicos da legislação;
  6. Deve-se vedar autorizações genéricas para coleta e tratamento de dados pessoais e tornar obrigatória a explicação clara da finalidade da coleta, armazenamento, tratamento e transmissão dos dados pessoais.
  7. A autoridade de proteção de dados pessoais deve ter caráter técnico e capacidade de monitoramento das práticas de órgãos da administração pública e do setor privado.
  8. Em caso de coleta de dados por “legítimo interesse”, a autoridade de proteção de dados pessoais deve ter o poder de exigir “estudo de impacto à proteção de dados pessoais” que contenha teste de proporcionalidade e mitigação de riscos a direitos e liberdades.
  9. A coleta e o tratamento de dados pessoais devem obedecer ao princípio da minimização, limitando-se ao mínimo necessário para a realização de suas finalidades.
  10. Os titulares de dados pessoais possuem direitos básicos de acessar, retificar ou revogar o consentimento de forma gratuita e facilitada, bem como realizar a portabilidade de seus dados pessoais.
  11. A responsabilidade civil no caso de reparação de danos causados aos titulares de dados, na cadeia de processamento, deve ser objetiva e solidária.
  12. Os controladores de dados pessoais devem implementar processos de privacidade por tecnologia na concepção de técnicas de coleta e tratamento de dados pessoais.
  13. A “avaliação de impacto à proteção de dados pessoais” deve ser obrigatória no caso de tratamento que provavelmente resulte em alto risco aos cidadãos, a partir de critérios objetivos definidos pela autoridade de proteção de dados pessoais.