Proteção de dados e Cibersegurança

Grupo de Estudos em Direito e Tecnologia da Universidade Federal de

Minas Gerais DTEC-UFMG

Data: 28 de junho de 2022

Relator: Felipe Eugênio de Almeida Aguiar

O encontro teve por objeto o estudo do capítulo 3 do livro Cybersecurity Law, Standards and Regulations, de Tari Schreider, cujo título do capítulo é Cyber Privacy and Data Protection Law.


A apresentação foi basicamente a partir de exposição do relator, com diversas interações dos colegas, que contribuíram bastante com o debate.


O livro Cybersecurity Law, Standards and Regulations procura servir como um roteiro para a criação de um programa de segurança cibernética para organizações, a partir da compilação dos principais estatutos legais e regulatórios existentes sobre o tema, em especial, no que se refere à segurança cibernética praticada dentro dos Estados Unidos da América.


O autor, embora não tenha formação em direito, possui grande experiência em estudos e aplicações de estatutos legais e regulatórios em programas de segurança cibernética, sendo que o público alvo do livro são Gerentes e Profissionais de Segurança que precisam criar programas de segurança cibernética de acordo com leis e regulamentos.


Especificamente com relação ao capítulo 3, titulado de Cyber Privacy and Data Protection Law, o objeto principal são as leis de privacidade cibernética e proteção de dados, dando ênfase o autor à legislação que rege a proteção de informações de identificação pessoal.


O autor inicia o capítulo com a seguinte indagação: “Remember the first time someone told a secret of yours even after they promised never to tell? That is exactly how it feels to hundreds of millions of people every year when they learn their secrets were betrayed by companies they trusted”.


A privacidade é um direito personalíssimo da pessoa que merece a devida proteção do Estado, sendo que eventual lesão pode acarretar o dever de reparação pelo infrator. Assim, as organizações devem pautar o seu comportamento na estrita observância dos direitos de privacidade de seus clientes, a partir de programas de segurança cibernética que observem as leis de privacidade de dados.


Analisando principalmente a legislação norte-americana, o autor destaca que a Constituição dos EUA não contém nenhum direito expresso à privacidade, ou seja, apesar de a Declaração de Direitos conter a proteção à privacidade em questões específicas, tais como, relacionadas a crenças, buscas e residência, a privacidade não é prevista como um direito fundamental.


Não havendo uma definição clara na Constituição dos Estados Unidos, o autor informa que os Tribunais frequentemente se utilizam de uma definição de privacidade extraída de um processo judicial que ocorreu há mais de 60 anos, que definiu privacidade da seguinte forma:


An actionable invasion of the right of privacy is the unwarranted appropriation or exploitation of one’s personality, the publicizing of one’s private affairs with which the public has no legitimate concern, or the wrongful intrusion into one's private activities in such a manner as to outrage or causes mental suffering, shame or humiliation to a person of ordinary sensibilities. (Housh v. Peth, 1956)

Ainda no contexto histórico acerca da definição do conceito de privacidade, o autor se refere ao artigo escrito por Samuel Warren e Lous Brandeis, em 1890, cujo título é The Right to Privacy, em que a privacidade restou definida como “o direito de ser deixado em paz”. Curiosamente, o autor informa que referido artigo foi escrito em resposta a uma tecnologia emergente da época, qual seja, a fotografia.


Durante a apresentação, nesse ponto, foi destacada a edição recente da Emenda Constitucional n. 115, de 10 de fevereiro de 2022, que alterou a Constituição Brasileira e incluiu a proteção de dados pessoais entre os direitos e garantias fundamentais, bem como, fixou a competência privativa da União para legislar sobre proteção de tratamento de dados pessoais.


Após essa breve análise histórica, o autor adentra a questão das leis de privacidade, destacando ser responsabilidade dos governos proteger seus cidadãos de potenciais danos, inclusive, no ciberespaço, através de leis de privacidade na Internet.


Utilizando o termo de “digital persona”, que se refere a toda informação privada que descreve quem somos e se encontra disponível na Internet, o autor destaca que as leis de privacidade se estendem a praticamente todas as formas de mídia digital e tecnologia de Internet voltada para o consumidor.


Uma questão que o autor deixa bastante claro durante todo o capítulo é a ausência de uma legislação federal única no que se refere à proteção da privacidade nos Estados Unidos. Pelo contrário, o que existe são diversas leis federais e estaduais acerca do tema, o que impõe a organizações que atuam pelo território americano a observância da legislação aplicável ao seu âmbito de atuação.


Dentre as leis de privacidade federais, o autor destaca as seguintes:


I. Children’s Online Privacy Protection Act – COPPA: proteção de dados de crianças; dispõe que os provedores de site devem possuir uma política de privacidade que exige o consentimento dos pais para que a criança acesse seu site; o descumprimento à legislação pode acarretar a aplicação de penalidade de multa (exemplo: em 2019, Google e Youtube foram multadas em $ 170,000,000 por coletarem informações pessoais de crianças sem o consentimento parental);

II. HIPAA Privacy Rule: regra de privacidade na legislação referente à saúde (Health Insurance Portability and Accountability Act’s - HIPAA), para assegurar a privacidade das informações de saúde;

III. Veterans Benefits, Health Care, and Information Technology Act: exige que o Departamento de Assuntos de Veteranos (Department of Veterans Affairs) implemente procedimentos de segurança e privacidade para proteção de informações pessoais.


Além da legislação federal, cada estado nos EUA tem as suas leis de privacidade, fazendo com que organizações que atuam em mais de um estado americano tenham que cumprir diferentes legislações acerca do tema, o que evidencia a importância de um programa de segurança cibernética bem elaborado, que atenda todas as diferentes peculiaridades existentes na legislação.


Fazendo um paralelo com a legislação brasileira, verificamos que no Brasil, ao contrário dos Estados Unidos, existe uma lei geral de proteção de dados (Lei n. 13.709, de 2018), cuja competência legislativa é privativa da União.


No plano internacional, o autor põe em destaque a legislação de segurança cibernética na China, onde o forte controle estatal no monitoramento do tráfego na Internet, levou a legislação chinesa receber o apelido de lei “Nowhere to Hide”.


Por sua vez, no subtítulo New and Emerging International Privacy Laws”, o autor discorre brevemente sobre a legislação internacional recentemente editada, citando países como Australia, Brasil, Índia, Peru e Tailândia, e, em seguida, discorre sobre o Regulamento Geral de Proteção de Dados da União Europeia – GDPR.


No que se refere a litígios judiciais que envolvem a violação de dados (Data Breach Litigation”), o autor destaca o aumento de casos de violação de dados ocorridos recentemente, trazendo como exemplo, o anúncio do Yahoo! em setembro de 2016 do furto de meio bilhão de registros de dados de clientes quando hackers invadiram seus sistemas em 2014, sendo que o Yahoo! somente tomou conhecimento do ataque quando hackers passaram a vender os dados na dark web.


No que se refere à legitimidade dos lesados em buscarem a tutela jurisdicional, o autor aponta a existência de dois posicionamentos nos tribunais. Por um lado, alguns tribunais decidiram que os demandantes precisam demonstrar a existência de danos reais para ingressar em juízo; por outro, alguns tribunais entendem que a lesão não precisa ser efetiva.


Nesse ponto, o autor traz como exemplo um caso ocorrido em 2013, quando hackers subtraíram dados de cartão de crédito do Neiman Marcus Group, que acarretou na utilização fraudulenta de milhares de cartões de crédito. A ação coletiva ajuizada foi inicialmente arquivada por falta de legitimidade, vez que o juiz considerou que, como os clientes foram reembolsados, não houve dano financeiro. Entretanto, o caso foi objeto de recurso e o tribunal reformou a decisão, sob o fundamento de ter sido demonstrado que os consumidores sofreram “danos particulares, concretos e reparáveis”, independentemente de o valor ter sido reembolsado.


O autor destaca que o caso Neiman pode ser um precedente significativo em futuros processos de violação de privacidade.


Por fim, o autor apresentou alguns casos decididos pela Suprema Corte Americana envolvendo questões referentes à privacidade de dados, bem como, considerações sobre processos derivados de acionistas e o impacto do direito de privacidade em novas tecnologias que fazem parte de nosso cotidiano (assistentes digitais e mídia social).