Desde a entrada em vigor em 25 de maio de 2018, o Regulamento
Europeu de Proteção de Dados (GDPR) já passou 6 meses. Esta lei se estende ao território da Federação Russa, mas apenas indiretamente e longe de sempre. Detalhes sobre a aplicação territorial do RGPD podem ser encontrados na recente
Diretriz do Conselho Europeu de Proteção de Dados.
Por esse e não apenas motivo, a proteção de dados pessoais em nosso país foi privada de muita atenção por parte de advogados e do público em geral. Muitas vezes, pode-se encontrar a opinião de que o GDPR é simplesmente um artificial, baseado em nada de inovação dos legisladores europeus. De fato, esse regulamento é o resultado de um longo desenvolvimento do conceito de direitos humanos e liberdades fundamentais, originário muito antes de 25 de maio de 2018.
Como surgiu o GDPR e de onde surgiu a necessidade de privacidade de dados? Para entender esse problema, você precisa recorrer ao histórico do desenvolvimento da proteção de dados pessoais.
O direito à privacidade
Em 1890, dois advogados americanos, S. D. Warren e L. D. Brandys, publicaram o artigo
O Direito à Privacidade na Harvard Law Review, descrevendo o "direito de ser deixado em paz" ("direito de ser deixado em paz") ").
Quase imediatamente e mais precisamente na primeira metade do século XX, o direito formulado à privacidade se reflete na prática judicial americana.
Essa idéia está se espalhando rapidamente fora dos Estados Unidos. Em 1948, o direito à privacidade é registrado junto com outros direitos e liberdades fundamentais na
Declaração Universal dos Direitos Humanos (artigo 12) e em 1950 na
Convenção Europeia dos Direitos Humanos (artigo 8).
O aumento da atenção aos direitos humanos na época se deveu principalmente às conseqüências devastadoras da Segunda Guerra Mundial. Isso se refletiu na definição do direito à privacidade:
“Todo mundo tem o direito de respeitar sua vida pessoal e familiar, sua casa e sua correspondência” - CEDH.
A principal prioridade da época eram as questões sociais mais significativas do período pós-guerra: a inviolabilidade da vida pessoal e familiar, o segredo da correspondência. O problema da proteção de dados pessoais, que parece seguir logicamente do direito à privacidade, não foi objeto de ampla atenção.
A origem do direito à proteção de dados pessoais
No início da segunda metade do século XX, as tecnologias da informação começaram a se desenvolver, o que permitiu processar muito mais informações muito mais rapidamente. Nos anos 60, essas tecnologias se tornaram mais acessíveis a uma ampla gama de pessoas, o que causa alguma preocupação entre o Conselho da Europa.
Assim, em 1968, a Assembléia Parlamentar publica a
recomendação nº 509 . Expressa preocupação com possíveis ameaças ao direito à privacidade como resultado do uso de novas tecnologias para o processamento de dados.
Como resultado, a assembléia instruiu o Comitê de Direitos Humanos a estudar esse assunto. Muitos consideram esse ponto como um ponto de partida para a privacidade de dados.
A primeira reação vem da República Federal da Alemanha, onde em 1970 a primeira lei de dados pessoais foi aprovada na terra de Hesse em 1970. É importante notar que essa era apenas uma lei local, aplicada exclusivamente no território dessa terra, e não no nível federal.
Então os EUA reagem. Em 1974, foi aprovada a
Lei da
Privacidade , na qual o Congresso Americano estabelece pela primeira vez um vínculo entre o direito à privacidade e os dados pessoais. Esta lei indica que a vida pessoal de uma pessoa pode ser diretamente afetada pela coleta, uso e disseminação de informações pessoais pelas autoridades estaduais.
Nenhum ato legal pode ser chamado de lei de pleno direito que regula o processamento de informações pessoais. No entanto, o direito à proteção de dados pessoais começa a emergir da sombra do direito à privacidade.
Primeira lei de proteção de dados pessoais
A Alemanha está se tornando a principal pioneira no campo da privacidade de dados: a primeira lei nacional sobre dados pessoais (
Bundesdatenschutzgesetz ) aparece na Alemanha em 1977. A atitude especial do público alemão em relação a esta questão está principalmente associada a eventos históricos locais.
O fato é que, em meados do século XX, os alemães experimentaram dois regimes políticos conflitantes: por um lado, o Terceiro Reich, por outro, a FRG e a RDA. Esses sistemas foram baseados, entre outras coisas, na vigilância em massa da população.
Tais transtornos levaram ao fato de que a confidencialidade subsequente foi extremamente popular neste país. É por isso que a Alemanha ainda é considerada uma das líderes mundiais na proteção da privacidade e dos dados pessoais.
Outro país importante para a privacidade de dados é a França, que fica apenas um ano atrás da Alemanha. A adoção da
Lei de Ciência da Computação e Liberdades Civis em 1978 também foi associada a eventos locais.
No início dos anos 70, o governo francês desenvolveu o projeto SAFARI, cujo significado era criar um registro de dados unificado usando um número de segurança social, o que permitiria a identificação de qualquer cidadão. Foi planejado processar todas essas informações graças às tecnologias avançadas de computador da época.
Em 1974, o jornal Le Monde publicou um artigo sobre ele chamado "SAFARI ou a perseguição aos franceses" (SAFARI ou a caça aos franceses), que provoca um escândalo sobre a vigilância em massa.
Sob pressão do público, o governo foi forçado a recuar, o que levou à adoção da lei mencionada e à criação de uma
comissão sobre ciência da computação e liberdades civis . No entanto, não foi possível evitar a implementação do projeto, mas a nova comissão conseguiu estabelecer certas restrições ao processamento de dados pessoais.
Entrada ao nível internacional
As leis alemãs e francesas estão se tornando a pedra angular dos dados pessoais e fornecem um impulso significativo para o desenvolvimento dessa área. Mais e mais países e organizações internacionais estão começando a prestar atenção ao problema.
Em 1980, a Organização para Cooperação e Desenvolvimento Econômico publicou
Diretrizes para a proteção de dados pessoais, levando em consideração o desenvolvimento contínuo de tecnologias de computador e seu uso em transações comerciais.
Um ano depois, é adotado o primeiro acordo internacional no campo da Privacidade de Dados, que se torna a
Convenção para a Proteção de Indivíduos com Processamento Automático de Dados Pessoais . Esta Convenção foi uma grande conquista em seu campo. Até o momento, 51 países aderiram, incluindo a Rússia (é neste documento que se baseia a lei federal doméstica sobre dados pessoais).
Ao mesmo tempo, o desenvolvimento constantemente acelerado da tecnologia da informação cria novos problemas no campo da privacidade e privacidade de dados. O principal problema é o surgimento da Internet e seu rápido desenvolvimento. O primeiro a perceber uma ameaça em potencial é a União Européia, que adotou em 1995 uma
diretiva-quadro para a proteção de dados pessoais .
O principal objetivo desta lei é adaptar-se a novas ameaças e unificar a legislação sobre dados pessoais dos estados membros da UE. Para tal, foram melhorados os mecanismos previstos na Convenção Internacional de 1981, bem como novas obrigações para os operadores de dados pessoais e novos direitos para os cidadãos da UE.
História recente
No final dos anos 90, os principais monopolistas da Internet começaram a se formar. Hoje eles são chamados de Big Five ou GAFAM (Google, Amazon, Facebook, Apple, Microsoft). Com a participação direta das empresas americanas listadas, um novo sistema de monetização de atividades comerciais na Internet está emergindo. O mecanismo de busca do Google e a rede social Zuckerberg, sem fontes diretas de capitalização (ao contrário da Amazon ou da Microsoft), começam a exibir anúncios com base em uma análise do comportamento de seus usuários (segmentação). A publicidade contextual está rapidamente se tornando extremamente popular e a Amazon, Microsoft e Apple estão se conectando a esse sistema.
Para manter os anúncios mais relevantes, as cinco empresas nomeadas, por trás da clara liderança do Facebook e do Google, estão coletando ativamente grandes quantidades de dados sobre usuários de todo o mundo. Ao mesmo tempo, as tecnologias estão se desenvolvendo rapidamente, permitindo analisar todas essas informações e identificar recursos surpreendentes do comportamento do usuário. Todos esses dados e descobertas analíticas são enviados para a América, que nunca teve muito sucesso na proteção de dados pessoais.
Em resposta à publicidade contextual, a UE adotou em 2002 a
Diretiva ePrivacy , que regula o uso de cookies, que também inclui a coleta de dados para publicidade.
Após a adoção dessa diretiva, talvez os principais escândalos relacionados à segurança cibernética e aos dados como tais estejam abalando o mundo. Aqui você pode falar sobre o Julian Assange, do WikiLeaks, e a exposição do programa americano de vigilância em massa PRISM, Edward Snowden.
Ao mesmo tempo, grandes vazamentos de dados pessoais ocorrem como resultado de ataques de hackers e como resultado do fator humano. Seu pico cai nos décimos anos. Um excelente exemplo é o vazamento de quase todos os dados de Ashley Madison. Este é um site de namoro canadense desenvolvido para pessoas solteiras. Em 2015, os bancos de dados do site foram invadidos e todas as informações privadas foram postadas na rede. Resultado: uma onda significativa de divórcios em todo o mundo, vários casos de suicídio. Além disso, os dados de cerca de 1.200 usuários da Arábia Saudita, onde a punição por traição chega à pena de morte, estavam disponíveis gratuitamente. Em tais circunstâncias, é difícil subestimar a importância da proteção de dados pessoais.
À luz de todos esses eventos, a União Europeia conclui que é necessário atualizar a diretiva obsoleta de 1995. O principal problema era que ela não foi aplicada diretamente nos estados membros da UE, o que, por sua vez, levou a diferenças significativas no nível da legislação nacional. O novo regulamento atuaria diretamente em cada país europeu e permitiria a criação de um nível aumentado de proteção de dados pessoais em toda a União. As discussões com o objetivo de adotar uma nova lei começaram em 2012 e, em 2016, o texto final do regulamento foi publicado oficialmente e entrou em vigor em 25 de maio de 2018. Uma análise detalhada do GDPR está disponível
aqui .
Pacote de Reforma da Privacidade
No GDPR, a atividade legislativa da UE no campo da privacidade não parou. O processamento de dados pessoais para fins de justiça criminal não está incluído no perímetro do regulamento, pois exige o estabelecimento de um regime jurídico específico. Portanto, em 2016, juntamente com o GDPR, foi adotada uma
diretiva para proteger os indivíduos no processamento automatizado de dados pessoais por órgãos estaduais, a fim de prevenir, investigar, detectar e processar crimes .
Além disso, a
diretiva NIS (Segurança de redes e informações)
foi adotada no mesmo ano. O principal objetivo desse ato jurídico é garantir um alto nível de segurança da informação para operadores críticos de infraestrutura e provedores de serviços digitais. É uma questão de proteger não apenas os dados pessoais, mas a segurança de todos os dados em geral.
Todas essas numerosas leis são o resultado das políticas da União Européia em comunicações eletrônicas, segurança cibernética e privacidade de dados. O próximo passo para a UE deve ser a adoção do regulamento ePrivacy, projetado para substituir a diretiva de 2002 com o mesmo nome. Os principais problemas da agenda desta reforma: metadados (Big Data) e todos os mesmos cookies.
O projeto de regulamento já
foi publicado no início de 2017.
Assim, o GDPR e outras leis de privacidade de dados estão longe de ser uma novidade no direito europeu. O regulamento sobre a proteção de dados pessoais, juntamente com todo o pacote de reforma da Privacidade, é o resultado de mais de um século de desenvolvimento do pensamento jurídico, com base na necessidade de proteger a privacidade de qualquer cidadão.
