Acredito que a privacidade e a segurança da informação são dois temas bem relevantes nos dias de hoje, especialmente com o avanço tecnológico e a crescente digitalização de dados pessoais, ao mesmo tempo da popularização dos ataques hackers, por isto mesmo estes dois conceitos são fundamentais para proteger os direitos dos indivíduos neste nosso mundo cada vez mais digital.
Queria começar falando mais sobre o conceito de privacidade, que envolve a proteção das informações pessoais de um indivíduo contra acesso, coleta, armazenamento, análise e uso inadequados. Para entender melhor este conceito, é importante definir o que é informação pessoal e como ela pode ser protegida.
A informação pessoal é qualquer dado que se relacione a um indivíduo identificável ou uma pessoa natural identificada. Isso inclui, mas não se limita a, nome, número de telefone, endereço, e-mail, número de licença de automóvel, características físicas (dimensões faciais, impressões digitais, caligrafia, etc.), número de cartão de crédito e relações familiares.
A coleta e uso inadequados dessas informações podem impactar negativamente o comportamento de outros em relação ao indivíduo, afetando sua reputação social, propriedade e segurança. Portanto, a proteção dessas informações contra acessos indevidos é essencial.
Quando o foco da proteção é o direito à informação pessoal em vez da informação em si, estamos tratando do conceito de privacidade, sendo que esse conceito pode ser explicado de cinco maneiras principais:
- Direito à Ausência de Acesso Indesejado: Refere-se ao direito de ser livre de acessos não desejados, sejam eles físicos ou digitais, como mensagens indesejadas.
- Direito à Não Utilização Indesejada de Informações Pessoais: Trata-se do direito de impedir que informações pessoais sejam usadas de maneiras não desejadas, como venda de informações, exposição ou combinação de dados.
- Direito à Não Coleta de Informações sem Conhecimento e Consentimento: Envolve o direito de impedir que informações pessoais sejam coletadas sem o conhecimento e consentimento do indivíduo, através de métodos como CFTV (circuito fechado de televisão) e cookies de navegação.
- Direito à Exatidão e Correção das Informações Pessoais: Refere-se ao direito de ter suas informações pessoais expressas de maneira correta e precisa, mantendo sua integridade.
- Direito à Recompensa pelo Valor das Próprias Informações: Inclui o direito de ser recompensado pelo valor gerado por suas próprias informações pessoais.
A privacidade pode ser entendida sob duas perspectivas: passiva e ativa.
- Conceito Passivo de Privacidade: Inclui o direito de ser deixado em paz e está relacionado ao direito natural à dignidade humana. Esse conceito está conectado às leis que proíbem a invasão de privacidade, como a proibição de invasão de propriedade.
- Conceito Ativo de Privacidade: Envolve o controle e a gestão ativa das informações pessoais. Isso inclui o direito de fazer correções nas informações pessoais incorretas e de gerenciar como essas informações são usadas e compartilhadas.
A segurança da informação se concentra na proteção de dados contra acesso não autorizado e na garantia de sua integridade e confidencialidade, então para proteger a privacidade, várias medidas podem ser implementadas tais como:
- Controle de Acesso: Implementação de sistemas que restrinjam o acesso a informações pessoais apenas a indivíduos autorizados.
- Criptografia: Uso de técnicas de criptografia para proteger dados durante o armazenamento e a transmissão.
- Políticas de Privacidade: Desenvolvimento de políticas claras que definam como as informações pessoais serão coletadas, usadas e protegidas.
- Treinamento e Conscientização: Educação dos funcionários sobre a importância da privacidade e as práticas de segurança da informação.
- Auditorias e Monitoramento: Realização de auditorias regulares e monitoramento contínuo para detectar e prevenir violações de privacidade.
As políticas de privacidade têm evoluído significativamente ao longo das décadas, acompanhando o aumento exponencial da coleta e processamento de dados pessoais, aonde um importante marco disto foi a adoção das diretrizes da OCDE sobre proteção de privacidade e fluxos transfronteiriços de dados pessoais.
Em 1980 a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) adotou as Diretrizes sobre a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais, também conhecidas como as "Práticas Justas de Informação da OCDE".
Essas diretrizes foram atualizadas em 2002 com a publicação do documento "Privacidade Online: Orientações da OCDE sobre Política e Prática". As diretrizes se aplicam a dados pessoais tanto no setor público quanto no privado, que representem um perigo para a privacidade e liberdades individuais devido à forma como essas informações são processadas, sua natureza ou o contexto em que são utilizadas. Os princípios da OCDE delineiam os direitos e obrigações dos indivíduos e das entidades que processam dados pessoais, tanto em nível nacional quanto internacional.
Os oito princípios que compõem as diretrizes da OCDE para a proteção da privacidade são:
- Princípio da Limitação da Coleta: Deve haver limites para a coleta de dados pessoais. Esses dados devem ser obtidos por meios legais e justos e, quando apropriado, com o conhecimento ou consentimento do titular dos dados.
- Princípio da Qualidade dos Dados: Os dados pessoais devem ser relevantes para os propósitos para os quais serão utilizados e, na medida do necessário para esses propósitos, devem ser precisos, completos e atualizados.
- Princípio da Especificação de Propósito: Os propósitos para os quais os dados pessoais são coletados devem ser especificados não mais tarde do que no momento da coleta dos dados, e o uso subsequente deve ser limitado ao cumprimento desses propósitos ou a outros compatíveis com eles e especificados em cada alteração de propósito.
- Princípio da Limitação de Uso: Os dados pessoais não devem ser divulgados, disponibilizados ou utilizados para outros propósitos que não os especificados de acordo com o princípio de especificação de propósito, exceto com o consentimento do titular dos dados ou por autoridade legal.
- Princípio das Salvaguardas de Segurança: Os dados pessoais devem ser protegidos por salvaguardas de segurança razoáveis contra riscos como perda, acesso não autorizado, destruição, uso, modificação ou divulgação dos dados.
- Princípio da Abertura: Deve haver uma política geral de abertura sobre desenvolvimentos, práticas e políticas relativas a dados pessoais. Meios devem estar prontamente disponíveis para estabelecer a existência e natureza dos dados pessoais, os principais propósitos de seu uso, bem como a identidade e residência habitual do controlador dos dados.
- Princípio da Participação Individual: Um indivíduo deve ter o direito de: obter do controlador de dados a confirmação de que ele possui dados relativos a ele/ela; receber comunicação sobre os dados relativos a ele/ela dentro de um prazo razoável, a um custo, se houver, que não seja excessivo, de maneira razoável e em uma forma que seja prontamente inteligível para ele/ela; receber justificativas se um pedido feito sob os subparágrafos (a) e (b) for negado, e poder contestar tal negação; contestar dados relativos a ele/ela e, se a contestação for bem-sucedida, ter os dados apagados, retificados, completados ou corrigidos.
- Princípio da Responsabilidade: O controlador de dados deve ser responsável por cumprir medidas que deem efeito aos princípios acima mencionados.
Podem baixar o documento original em:
https://scm.oas.org/doc_public/PORTUGUESE/HIST_11/CP26037P06.doc
Desde o final dos anos 1960, a preocupação com o impacto do processamento automatizado de informações na privacidade tem sido um tema de destaque, tanto que a Organização das Nações Unidas para a Educação, a Ciência e a Cultura (UNESCO) mostrou um interesse particular na proteção da privacidade desde a adoção das “Diretrizes para a Regulação de Arquivos de Dados Pessoais Informatizados” pela Assembleia Geral em 1990.
Essas diretrizes aplicam-se a documentos (papéis) bem como a arquivos de dados informatizados, tanto no setor público quanto no privado, estabelecendo uma série de princípios que garantem um nível mínimo de proteção a ser previsto na legislação nacional ou nas leis internas das organizações internacionais, que são:
- Princípio da Legalidade e Equidade: Informações sobre pessoas não devem ser coletadas ou processadas de maneira injusta ou ilegal, nem usadas para fins contrários aos propósitos e princípios da Carta das Nações Unidas.
- Princípio da Exatidão: Os responsáveis pela compilação ou manutenção dos arquivos têm a obrigação de realizar verificações regulares da precisão e relevância dos dados registrados, garantindo que sejam mantidos completos e atualizados para evitar erros de omissão.
- Princípio da Especificação de Propósito: O propósito de um arquivo e sua utilização devem ser especificados, legítimos e, quando estabelecidos, divulgados ao titular dos dados para garantir que: todos os dados pessoais coletados e registrados permaneçam relevantes e adequados aos propósitos especificados; nenhum dado pessoal seja usado ou divulgado sem o consentimento do titular para fins incompatíveis com os especificados; o período de retenção dos dados pessoais não exceda o necessário para cumprir os propósitos especificados.
- Princípio do Acesso do Interessado: Qualquer pessoa que prove sua identidade tem o direito de saber se informações sobre ela estão sendo processadas, obtê-las em forma inteligível sem demora ou despesa excessiva, e ter correções ou apagamentos adequados em caso de entradas ilegais, desnecessárias ou incorretas.
- Princípio da Não Discriminação: Dados que possam levar a discriminação ilegal ou arbitrária, incluindo informações sobre origem racial ou étnica, cor, vida sexual, opiniões políticas, crenças religiosas, filosóficas e outras, bem como afiliação a sindicatos, não devem ser compilados.
- Poder de Fazer Exceções: Exceções aos princípios 1 a 4 podem ser autorizadas apenas se necessárias para proteger a segurança nacional, a ordem pública, a saúde ou a moralidade pública, bem como os direitos e liberdades de outros, desde que essas exceções sejam especificadas por lei ou regulamento equivalente e estabeleçam salvaguardas apropriadas. Exceções ao princípio 5, além das mesmas salvaguardas, só podem ser autorizadas dentro dos limites prescritos pela Declaração Internacional dos Direitos Humanos e outros instrumentos relevantes.
- Princípio da Segurança: Medidas apropriadas devem ser tomadas para proteger os arquivos contra perigos naturais (como perda ou destruição acidental) e humanos (como acesso não autorizado, uso fraudulento de dados ou contaminação por vírus de computador).
- Supervisão e Sanções: A legislação de cada país deve designar a autoridade responsável por supervisionar a observância dos princípios estabelecidos. Essa autoridade deve oferecer garantias de imparcialidade, independência e competência técnica. Em caso de violação das disposições da lei nacional, devem ser previstas penalidades criminais ou outras, juntamente com recursos individuais apropriados.
- Fluxos Transfronteiriços de Dados: Quando a legislação de dois ou mais países envolvidos em um fluxo transfronteiriço de dados oferecer garantias comparáveis para a proteção da privacidade, as informações devem poder circular livremente entre esses territórios. Se não houver garantias recíprocas, limitações à circulação só podem ser impostas na medida em que a proteção da privacidade o exija.
- Campo de Aplicação: Os princípios devem ser aplicáveis, inicialmente, a todos os arquivos informatizados públicos e privados e, mediante extensão opcional e ajustes apropriados, a arquivos manuais. Disposições especiais podem estender todos ou parte dos princípios a arquivos sobre pessoas jurídicas, especialmente quando contiverem informações sobre indivíduos.
Os princípios devem ser aplicáveis, inicialmente, a todos os arquivos informatizados públicos e privados e, mediante extensão opcional e ajustes apropriados, a arquivos manuais. Disposições especiais podem estender todos ou parte dos princípios a arquivos sobre pessoas jurídicas, especialmente quando contiverem informações sobre indivíduos.
Além disto, o Grupo de Desenvolvimento das Nações Unidas (UNDG) lançou um documento sobre privacidade de dados, ética e proteção, aplicável às entidades do UNDG, que fornece orientação geral sobre privacidade de dados, proteção de dados e ética no uso de big data, coletados em tempo real por entidades do setor privado e compartilhados com membros do UNDG para fortalecer a implementação operacional de seus programas e apoiar a Agenda 2030.
Os principais pontos das diretrizes são:
- Uso Legal, Legítimo e Justo: O acesso, análise ou outro uso de dados deve ser consistente com a Carta das Nações Unidas e em apoio aos Objetivos de Desenvolvimento Sustentável.
- Especificação de Propósito, Limitação de Uso e Compatibilidade de Propósito: Qualquer uso de dados deve ser compatível ou relevante e não excessivo em relação aos propósitos para os quais foram obtidos.
- Mitigação de Riscos e Avaliação de Riscos, Danos e Benefícios: Deve ser realizada uma avaliação de riscos, danos e benefícios, considerando a proteção e a privacidade dos dados, bem como a ética no uso dos dados, antes de qualquer uso novo ou substancialmente alterado dos dados.
- Dados Sensíveis e Contextos Sensíveis: Padrões mais rigorosos de proteção de dados devem ser empregados ao obter, acessar, coletar, analisar ou usar dados sobre populações vulneráveis, crianças e jovens, ou quaisquer outros dados sensíveis.
- Segurança dos Dados: A segurança dos dados é fundamental para garantir a privacidade e a proteção dos dados. Devem ser implementadas salvaguardas técnicas e organizacionais robustas para garantir o gerenciamento adequado dos dados ao longo de seu ciclo de vida e prevenir qualquer uso não autorizado, divulgação ou violação de dados pessoais.
- Retenção e Minimização de Dados: O acesso, análise ou uso de dados deve ser mantido no mínimo necessário para cumprir seu propósito. A quantidade de dados, incluindo sua granularidade, deve ser limitada ao mínimo necessário. O uso dos dados deve ser monitorado para garantir que não exceda as necessidades legítimas de seu uso.
- Qualidade dos Dados: Todas as atividades relacionadas aos dados devem ser projetadas, realizadas, relatadas e documentadas com um nível adequado de qualidade e transparência. Os dados devem ser validados quanto à precisão, relevância, suficiência, integridade, completude, usabilidade, validade e coerência, e mantidos atualizados na medida do possível.
- Dados Abertos, Transparência e Responsabilidade: Mecanismos apropriados de governança e responsabilidade devem ser estabelecidos para monitorar a conformidade com a legislação relevante, incluindo leis de privacidade e os mais altos padrões de confidencialidade, conduta moral e ética no uso de dados.
- Diligência Devida para Colaboradores Terceirizados: Colaboradores terceirizados que utilizem dados devem agir em conformidade com as leis relevantes, incluindo leis de privacidade e os mais altos padrões de confidencialidade e conduta moral e ética.