“Todos os dias, ao fazer pesquisas na internet, compras, usar aplicativos, preencher cadastros de serviços e até utilizar o transporte público, geramos e compartilhamos centena de milhares de dados pessoais. Você sabe o que é feito com estes dados?” 

O questionamento, presente no texto de apresentação de sua página oficial, indica bem o propósito da campanha Seus dados são você: alertar os cidadãos sobre os riscos envolvendo o acesso e uso de suas informações pessoais por empresas e órgãos públicos.

Lançada ontem (19), a campanha é uma iniciativa da Coalizão Direitos na Rede, que reúne organizações, ativistas e acadêmicos em defesa da internet livre e aberta no Brasil, entre eles o Idec. 

A divulgação ocorreu durante o VIII Seminário sobre Privacidade e Proteção de Dados Pessoais, organizado pelo CGI.br (Comitê Gestor da Internet no Brasil).

A campanha também quer chamar atenção para a necessidade da aprovação de uma lei que garanta a proteção desses dados, que ainda não existe no País.

O debate sobre a criação de uma legislação específica sobre o tema arrasta-se há anos no Brasil, com diversos projetos de lei em andamento. 

Agora, foi instalada a Comissão Especial de Tratamento e Proteção de Dados Pessoais na Câmara dos Deputados, abrindo a oportunidade de definição de uma proposta final para discussão no Congresso. 

Assim, o intuito da campanha é pressionar essa comissão a criar um texto que resguarde os direitos dos cidadãos.

Pilares para proteção de dados

Durante o seminário do CGI, o advogado e pesquisador do Idec Rafael Zanatta destacou os 13 pilares básicos que a lei de dados pessoais deve ter, a partir do posicionamento definido pelos membros da Coalizão Direitos na Rede:

1. O conceito de “dados pessoais” deve incluir qualquer dado relacionado à pessoa natural identificável.
2. Dados sensíveis merecem proteção especial e devem incluir dados que revelem origem étnica, convicções religiosas, opiniões políticas, condições de saúde, vida sexual, condições socioeconômicas e informações genéticas e biométricas.
3. Se esforços técnicos razoáveis puderem reverter dados anônimos, eles devem ser considerados dados pessoais.
4. Dados dissociados ou anônimos que sejam utilizados para “perfilização” e formação de perfil comportamental merecem proteção e regulação para coibir práticas discriminatórias.
5. O consentimento inequívoco e a autodeterminação informativa devem ser fundamentos básicos da legislação;
6. Deve-se vedar autorizações genéricas para coleta e tratamento de dados pessoais e tornar obrigatória a explicação clara da finalidade da coleta, armazenamento, tratamento e transmissão dos dados pessoais.
7. A autoridade de proteção de dados pessoais deve ter caráter técnico e capacidade de monitoramento das práticas de órgãos da administração pública e do setor privado.
8. Em caso de coleta de dados por “legítimo interesse”, a autoridade de proteção de dados pessoais deve ter o poder de exigir “estudo de impacto à proteção de dados pessoais” que contenha teste de proporcionalidade e mitigação de riscos a direitos e liberdades.
9. A coleta e o tratamento de dados pessoais devem obedecer ao princípio da minimização, limitando-se ao mínimo necessário para a realização de suas finalidades.
10. Os titulares de dados pessoais possuem direitos básicos de acessar, retificar ou revogar o consentimento de forma gratuita e facilitada, bem como realizar a portabilidade de seus dados pessoais.
11. A responsabilidade civil no caso de reparação de danos causados aos titulares de dados, na cadeia de processamento, deve ser objetiva e solidária.
12. Os controladores de dados pessoais devem implementar processos de privacidade por tecnologia na concepção de técnicas de coleta e tratamento de dados pessoais.
13. A “avaliação de impacto à proteção de dados pessoais” deve ser obrigatória no caso de tratamento que provavelmente resulte em alto risco aos cidadãos, a partir de critérios objetivos definidos pela autoridade de proteção de dados pessoais.