Artigo: Comissão Europeia e a lei de privacidade online

Recentemente, Viviane Reding, Vice Presidente de Justiça, Direitos Fundamentais e Cidadania da Comissão Europeia, propôs um conjunto de reformas da lei de proteção de dados de 1995 da União Europeia. As novas regras deixaram muitas empresas insatisfeitas, mais notavelmente o Google e o Facebook.

De acordo com as reformas propostas por Viviane Reding (como escrito em um press release e em arquivos de apoio), haveria um só conjunto de regras para proteção de dados pessoais em toda a União Europeia, e não a miscelânea atual, com cada país interpretando à sua maneira as regras de 1995.

Dados pessoais são definidos nas novas regras propostas de privacidade online como:

“Qualquer informação relacionada a um indivíduo, quer esteja relacionada à sua vida privada, profissional ou pública; pode ser qualquer informação, desde nome, foto, endereço de email, detalhes bancários, posts em redes sociais, informações médicas, ou endereço IP do computador. A Carta dos Direitos Fundamentais da União Europeia preconiza que todos têm direito de proteger os dados pessoais em todos os aspectos da vida: em casa, no trabalho, no shopping, quando estiverem recebendo tratamento médico, na delegacia de polícia ou navegando na internet”.

Além disso, empresas e organizações teriam de notificar a sua autoridade nacional de supervisão – a autoridade do país no qual estão sediadas – sobre ocorrência de graves violações de dados dentro de 24 horas, “se viável”.  Graves violações incluem dados que forem “acidentalmente ou ilegalmente destruídos, perdidos, alterados, acessados ou divulgados por/para pessoas não autorizadas”. Essa obrigação de realizar a comunicação em 24h irá gerar muito debate. Na descrição das normas regulamentares das reformas, a seção que define “viável” se estende por mais de uma página e é repleta de precauções.

Empresas e organizações também necessitariam de consentimento explícito dos visitantes para que seus dados pessoais sejam processados.

Além disso, no âmbito das reformas propostas, os cidadãos da União Europeia terão um limitado “direito de serem esquecidos”. Conforme descrito em documento de apoio da União Europeia, o direito de ser esquecido é relacionado ao conceito de “privacidade como padrão”, ou seja,

“… se você não quer mais que seus dados pessoais sejam processados, e não há razão legítima para que a organização os conserve, eles devem ser removidos de seu sistema. Controladores de dados devem provar que têm necessidade de conservar os dados, em vez de você ter de provar que não há necessidade de coletarem seus dados. Os provedores devem ter em conta o conceito de “privacidade como padrão”, o que significa que as configurações padrão são as que devem oferecer mais privacidade. Empresas serão obrigadas a informar – do modo mais claro, compreensível e transparente possível – como os dados serão usados, para que você esteja na melhor posição para decidir qual dado compartilhar”.

Entretanto, de acordo com um artigo do New York Times, o direito de ser esquecido não se aplica a qualquer informação que aparece sobre uma pessoa na web. Reding é citada na Times como tendo dito:

“Está claro que o direito de ser esquecido não pode constituir um direito de apagar totalmente a história, assim como não pode preceder a liberdade de expressão ou a liberdade de imprensa”.

As propostas também visam assegurar que os cidadãos europeus obtenham acesso “fácil e rápido” aos dados pessoais mantidos por um site, e possam transferi-los “facilmente” de um provedor de serviços a outro – o que Reding denomina de direito à portabilidade dos dados. Por exemplo, uma pessoa no Facebook poderia facilmente transferir todos os seus dados pessoais ali contidos para outro site de mídia social, e ainda exigir que o Facebook apague todas as informações que tiver sobre aquela pessoa.

As novas regras, caso sejam adotadas, também serão aplicadas a dados pessoais usados no exterior por empresas que estejam oferecendo serviços aos cidadãos da União Europeia. Empresas e organizações que violarem as regras estarão sujeitas a multas de mais de € 1 milhão de Euros ou até 2% do faturamento global anual da empresa.

As reações às propostas foram diversas.  Empresas da União Europeia ficaram insatisfeitas, mas parecem ter se resignado às mudanças. Outras empresas, especialmente de fora da União Europeia, como Facebook e Google, indicaram que pretendem agir em prol da modificação de algumas das propostas.

Facebook foi sutil ao manifestar seu descontentamento, de acordo com artigo no Wall Street Journal: “Sheryl Sandberg, diretora de operações do Facebook, já emitiu um alerta implícito, chamando atenção para os €32 bilhões ($41.72 bilhões) que a empresa gerou para a economia europeia. Sua implicação era clara: Vocês correm risco ao mudarem as coisas”.

O Google foi mais direto. De acordo com matéria no Financial Times of London, Google disse que algumas das reformas propostas poderiam “quebrar a internet”. Como observado acima, o endereço IP de um cidadão da União Europeia é considerado informação pessoal. Assim, o Google se preocupa com a possibilidade de todo site ter de perguntar se o usuário realmente deseja visitá-lo antes de permitir o acesso, e também ter de informar o que pretende fazer com quaisquer informações relacionadas às atividades realizadas pelo usuário quando em visita ao site. Também estaria implícita nas reformas a necessidade dos sites de perguntar se o usuário gostaria que o fato de terem visitado o site fosse apagado após saírem do site.

Outro artigo do Wall Street Journal sobre as propostas de privacidade online relatou que a Associação dos Operadores Europeus de Redes de Telecomunicações, que representa cerca de 40 empresas de telecomunicações, se preocupou com as mesmas questões e com a praticidade das reformas propostas:

“Exigir consentimento explícito repetidamente durante uma experiência online prejudica o objetivo de possibilitar que os usuários tomem decisões bem informadas em um ambiente que não é demasiadamente invasivo”.

O Google também quer esclarecimento dos detalhes operacionais das reformas propostas que podem afetar suas próprias políticas de privacidade. O Google está fazendo mudanças para ajustar suas 70 diferentes políticas de privacidade, que incluem a capacidade dos dados de serem compartilhados entre as aplicações do Google.

As propostas de privacidade online da União Europeia serão enviadas ao Parlamento Europeu e aos países membros da União Europeia. Se adotadas, em dois anos irão se tornar lei. Portanto, as propostas não terão efeito antes de 2014.
*Robert Charette escreveu o texto para o Ieee, maior organização técnico-profissional do mundo, dedica-se ao desenvolvimento da tecnologia para o benefício da humanidade. Por meio de suas publicações, usadas amplamente como referência, conferências, padrões tecnológicos, e atividades profissionais e educacionais, Ieee é uma fonte confiável em várias especialidades, desde sistemas aeroespaciais, computadores e telecomunicações a engenharia biomédica, energia elétrica e eletrônicos de consumo. Saiba mais em http://www.ieee.org.

**O artigo foi originalmente publicado na IEEE Spectrum em fevereiro de 2012