Política de privacidadeUma política de privacidade é uma declaração ou documento legal que divulga algumas ou todas as maneiras pelas quais uma parte coleta, usa, divulga e gerencia os dados de um cliente.[1] Informações pessoais constituem qualquer coisa que possa ser usada para identificar um indivíduo, não se limitando ao nome da pessoa, endereço, data de nascimento, estado civil, informações de contato, emissão de identidade e data de validade, registros financeiros, informações de crédito, histórico médico, para onde se viaja e intenções de adquirir bens e serviços.[2] Ela informa ao cliente quais informações específicas são coletadas e se elas são mantidas em sigilo, compartilhadas com parceiros ou vendidas a outras firmas ou empresas.[3][4] As políticas de privacidade geralmente são mais amplas, ao contrário das declarações de uso de dados, que tendem a ser mais detalhadas e específicas. O conteúdo exato de uma política de privacidade dependerá da lei aplicável e talvez precise atender a requisitos de fronteiras geográficas e jurisdições legais. A maioria dos países possui legislação e diretrizes próprias em relação a quem está coberto, quais informações podem ser coletadas e para que podem ser usadas. Por exemplo, as leis de proteção de dados na Europa abrangem o setor privado, bem como o setor público. Suas leis de privacidade se aplicam não apenas a operações governamentais, mas também a empresas privadas e transações comerciais. HistóriaUma das primeiras leis de privacidade promulgadas na história foi a Lei de Dados (Data Act) da Suécia, em 1973, seguida pela Lei de Proteção de Dados (Data Protection Act) da Alemanha Ocidental, em 1977 e pela Lei Francesa de Informática, Bancos de Dados e Liberdades (Informatique et Libertés), em 1978.[5] OCDEEm 1968, o Conselho da Europa começou a estudar os efeitos da tecnologia sobre os direitos humanos, reconhecendo as novas ameaças representadas pelo computador, que podia se conectar e transmitir informações de maneiras não existentes até então. Em 1969, a Organização para Cooperação e Desenvolvimento Econômico (OCDE) começou a examinar as implicações das informações pessoais que saíam dos paísese isso levou o conselho a recomendar que fosse desenvolvida uma política para proteger os dados pessoais mantidos pelos setores público e privado. As discussões geraram a Convenção 108, implementada em 1981 e intitulada Convenção para a Proteção de Indivíduos com relação ao Processamento Automático de Dados Pessoais (Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data em inglês).[5][6] A convenção implementou diretrizes gerais a serem usadas na implementação nacional de regulamentação acerca de políticas de privacidade e proteção de dados. Em 2013 essas diretrizes foram atualizadas.[7] Estados Unidos e CanadáNos Estados Unidos, a preocupação com a política de privacidade, iniciada no final dos anos 1960 e 1970, levou à aprovação da Lei de Relatórios Justos de Crédito (Fair Credit Reporting Act). Embora essa lei não tenha sido projetada para ser uma lei de privacidade, ela deu aos consumidores a oportunidade de examinarem seus arquivos de crédito e corrigir erros. No final da década de 1960, vários grupos de estudo do Congresso Estadunisense examinaram a crescente facilidade com que as informações pessoais automatizadas podiam ser coletadas e combinadas com outras informações. Um desses grupos foi um comitê consultivo do Departamento de Saúde e Serviços Humanos dos Estados Unidos, que em 1973 elaborou um código de princípios chamado Práticas de Informações Justas (Fair Information Practices). O trabalho do comitê consultivo deu origem à Lei de Privacidade (Privacy Act) em 1974.[5] Em 1995 a Comissão Federal de Comércio dos EUA (FTC) publicou os Princípios de Informações Justas (Fair Information Principles)[8], que forneciam um conjunto de princípios de governança não obrigatórios para o uso comercial de informações pessoais. Embora não sejam uma política obrigatória, esses princípios forneceram orientação sobre as preocupações em desenvolvimento de como elaborar políticas de privacidade. No Canadá, o Privacy Commissioner of Canada (Comissário de Privacidade do Canadá) foi criado pela Lei Canadense de Direitos Humanos (Canadian Human Rights Act) em 1977. Em 1982, a nomeação de um Comissário de Privacidade fez parte da nova Lei de Privacidade. O país assinou as diretrizes da OCDE em 1984.[5] União EuropeiaEm 1995, a União Europeia (UE) introduziu a Diretiva de Proteção de Dados (Diretiva 95/46/EC)[9] para seus Estados-membros. Como resultado, muitas organizações que fazem negócios na UE começaram a elaborar políticas para cumprir essa diretriz. Legislação aplicávelEstados UnidosEmbora não exista nenhuma lei aplicável de forma geral, algumas leis federais regem as políticas de privacidade em circunstâncias específicas, como, por exemplo:
Alguns estados implementaram normas mais rigorosas para políticas de privacidade. A Lei de Proteção à Privacidade On-line da Califórnia de 2003 (California Online Privacy Protection Act of 2003, CalOPPA) - seções 22575-22579 do Código de Negócios e Profissões - exige que "quaisquer sites comerciais ou serviços on-line que coletem informações pessoais de residentes da Califórnia por meio de um site da Web publiquem de forma visível uma política de privacidade no site".[19] Tanto Nebraska quanto a Pensilvânia têm leis que tratam declarações enganosas em políticas de privacidade publicadas em sites como práticas comerciais enganosas ou fraudulentas.[20] CanadáA Lei de Privacidade federal do Canadá aplicável ao setor privado é formalmente chamada de Personal Information Protection and Electronic Documents Act (PIPEDA). O objetivo da lei é estabelecer regras para governar a coleta, o uso e a divulgação de informações pessoais por organizações comerciais. A organização tem permissão para coletar, divulgar e utilizar a quantidade de informações para os fins que uma pessoa razoável consideraria apropriada.[21] A lei estabelece o Privacy Commissioner of Canada (Comissário de Privacidade do Canadá) como ombudsman para tratar de quaisquer reclamações apresentadas contra organizações. O Comissário trabalha para resolver os problemas por meio de conformidade voluntária, em vez de aplicação pesada. O Comissário investiga reclamações, realiza auditorias, promove a conscientização e realiza pesquisas sobre questões de privacidade.[22] União EuropeiaO direito à privacidade é uma área do direito altamente desenvolvida na Europa. Todos os Estados-membros da União Europeia (UE) também são signatários da Convenção Europeia dos Direitos Humanos (ECHR). O artigo 8º da CEDH prevê o direito de respeito à "vida privada e familiar, ao domicílio e à correspondência", sujeito a certas restrições. A Corte Europeia de Direitos Humanos deu a esse artigo uma interpretação ampla em sua jurisprudência.[23] Em 1980, em um esforço para criar um sistema abrangente de proteção de dados em toda a Europa, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) emitiu suas "Recomendações do Conselho relativas às diretrizes que regem a proteção da privacidade e os fluxos transfronteiriços de dados pessoais".[24] Os sete princípios que regem as recomendações da OCDE para a proteção de dados pessoais são:
Em 1995, a União Europeia adotou a Diretiva de Proteção de Dados (Diretiva 95/46/EC), que regulamenta o processamento de dados pessoais na UE. Esses padrões devem ser atendidos não apenas pelas empresas que operam na UE, mas também por qualquer organização que transfira informações pessoais coletadas sobre um cidadão da União Europeia. Em 2001, o Departamento de Comércio dos Estados Unidos passou a garantir conformidade legal para as organizações americanas sob um Programa "Porto Seguro" (Safe Harbor Program) opcional.[26] A Comissão Federal de Comércio aprovou uma certificação de conformidade com o Safe Harbor EUA-UE[nota 2] por provedores norte-americanos. Desde 2010, o Safe Harbor é criticado especialmente por protetores de privacidade alemães nomeados publicamente, pois a vontade da comissão de fazer valer as regras definidas não foi implementada de forma adequada, mesmo depois de desarmonias terem sido reveladas.[27] A partir de 25 de maio de 2018, a Diretiva de Proteção de Dados foi substituída pelo Regulamento Geral de Proteção de Dados (GDPR), que harmoniza as regras de privacidade em todos os estados membros da União Europeia. O GDPR impõe regras mais rigorosas sobre a coleta de informações pessoais pertencentes a titulares de dados da UE, incluindo a exigência de que as políticas de privacidade sejam mais concisas, claramente redigidas e transparentes na divulgação de qualquer coleta, processamento, armazenamento ou transferência de informações pessoalmente identificáveis. Os controladores de dados também devem oferecer a oportunidade de tornar seus dados portáteis (data portability) em um formato comum e de apagá-los em determinadas circunstâncias.[28][29] AustráliaA Lei de Privacidade de 1988 (Privacy Act 1988) fornece a estrutura legal para a privacidade na Austrália.[30] Ela inclui vários princípios nacionais de privacidade.[31] Há treze princípios de privacidade na Lei[32] e ela supervisiona e regulamenta a coleta, o uso e a divulgação das informações privadas das pessoas, garante quem é responsável em caso de violação assim como os direitos dos indivíduos de acessar suas informações.[32] ÍndiaA Lei de Tecnologia da Informação (Information Technology Amendment Act) de 2008 fez alterações significativas na Lei de Tecnologia da Informação de 2000 (Information Technology Act, 2000), introduzindo a Seção 43A. Essa seção prevê indenização no caso de uma entidade corporativa ser negligente na implementação e manutenção de práticas e procedimentos de segurança razoáveis e, assim, causar perda ou ganho indevido a qualquer pessoa. Isso se aplica quando uma entidade corporativa possui, lida ou manipula quaisquer dados ou informações pessoais confidenciais em um recurso de computador que ela possui, controla ou opera.[33] Em 2011, o Governo da Índia prescreveu as Regras de Tecnologia da Informação (Information Technology Rules) - práticas e procedimentos de segurança razoáveis e dados ou informações pessoais confidenciais - de 2011[34][35] Essas regras exigem que uma entidade corporativa forneça uma política de privacidade para o manuseio ou a negociação de informações pessoais, incluindo dados ou informações pessoais confidenciais.[36] Essa política de privacidade deve consistir nas seguintes informações, de acordo com as regras:
A política de privacidade deve ser publicada no site da entidade corporativa e disponibilizada para visualização pelos provedores que forneceram informações pessoais sob contrato legal. BrasilA Lei Geral de Proteção de Dados (13.709/2018), LGPD, que entrou em vigor em 2020, garante os direitos fundamentais de liberdade e privacidade de todos os cidadãos no Brasil (também assegurados no artigo 5º da Constitução Federal)[37], e criou um instrumento jurídico de segurança (ANPD) para lidar com casos de violação desses direitos.[38] A Lei foi um marco na proteção de dados no Brasil nos âmbitos físico e digital e para instituições públicas e privadas.[38][39][40]
Assim como nos Estados Unidos, alguns grupos da sociedade brasileira possuem uma proteção ainda mais detalhada da Lei, como é o caso das crianças e adolescentes (Seção 3).[38][39] Apesar da existência de leis semelhantes nos países-sede de empresas estrangeiras, uma vez atuantes em território brasileiro, essas empresas passam a estar subordinadas à lei brasileira de proteção de dados.[39] De acordo com a Lei Geral de Proteção de Dados, o consentimento do usuário é fundamental e se este desejar poderá exigir a remoção de seus dados pessoais.[39][41] A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) é o órgão responsável pela fiscalização de violações e aplicação das devidas punições aos infratores. A LGPD ainda prevê que os seguintes agentes tomem as devidas medidas para assegurar a proteção de dados de acordo com o Ministério Federal:[39]
Falha em cumprir as diretrizes da LGPD pode acarretar uma multa no valor de até 2% do faturamento anual do violador (limitado a R$ 50 milhões).[39] Programas de certificação de privacidade on-lineOs programas de certificação on-line ou de "selo" são um exemplo de autorregulação do setor para políticas de privacidade. Os programas de selos geralmente exigem a implementação de práticas justas de informação, conforme determinado pelo programa de certificação, e podem exigir o monitoramento contínuo da conformidade. O TRUSTArc (antigo TRUSTe)[42], o primeiro programa de selos de privacidade on-line, incluía mais de 1.800 membros até 2007.[43] Outros programas de selos on-line incluem o programa Trust Guard Privacy Verified,[44] eTrust,[45] e Webtrust.[46] Implementação técnicaAlguns sites também definem suas políticas de privacidade usando P3P ou Associação de Classificação de Conteúdo da Internet (ICRA), permitindo que os navegadores avaliem automaticamente o nível de privacidade oferecido pelo site e permitindo o acesso somente quando as práticas de privacidade do site estiverem de acordo com as configurações de privacidade do usuário. Entretanto, essas soluções técnicas não garantem que os sites realmente sigam as políticas de privacidade declaradas. Essas implementações também exigem que os usuários tenham um nível mínimo de conhecimento técnico para definir suas próprias configurações de privacidade do navegador.[47] Essas políticas de privacidade automatizadas não foram populares nem entre os sites nem entre seus usuários.[48] Para reduzir a carga de interpretação de políticas de privacidade individuais, políticas reutilizáveis e certificadas disponíveis em um servidor de políticas foram propostas por Jøsang, Fritsch e Mahler.[49] CriticismoExistem preocupações sobre a eficácia das políticas de privacidade regulamentadas pelo setor. Por exemplo, um relatório da FTC de 2000, "Privacy Online: Fair Information Practices in the Electronic Marketplace (Práticas de Informações Justas no Mercado Eletrônico)", constatou que, embora a grande maioria dos sites pesquisados tivesse algum tipo de divulgação de privacidade, a maioria não atendia ao padrão estabelecido nos Princípios da FTC. Além disso, muitas organizações se reservam o direito expresso de alterar unilateralmente os termos de suas políticas. Em junho de 2009, o site TOSback da Fundação Fronteira Eletrônica (EFF) começou a rastrear essas alterações em 56 serviços populares da Internet, incluindo o monitoramento das políticas de privacidade da Amazon, Google e Facebook.[50] Um relatório de 2002 do Stanford Persuasive Technology Lab afirmou que o design visual de um site possuía mais influência do que a política de privacidade dele quando os consumidores avaliavam a credibilidade do site.[51] Um estudo de 2007 da Universidade Carnegie Mellon constatou que "quando não eram apresentadas informações de privacidade em destaque [...] os consumidores estavam [...] propensos a fazer compras do fornecedor com o menor preço, independentemente das políticas de privacidade do site".[52] Entretanto, o mesmo estudo também mostrou que, quando as informações sobre práticas de privacidade são apresentadas claramente, os consumidores preferem os varejistas que protegem melhor sua privacidade e alguns estão dispostos a "pagar um prêmio para comprar em sites que protegem mais a privacidade". Além disso, um estudo de 2007 da Universidade da Califórnia em Berkeley, descobriu que "75% dos consumidores pensam que, desde que um site tenha uma política de privacidade, isso significa que ele não compartilhará dados com terceiros", confundindo a existência de uma política de privacidade com uma ampla proteção de privacidade.[53] Com base na natureza comum desse mal-entendido, o pesquisador Joseph Turow argumentou para a Comissão Federal de Comércio dos EUA que o termo "política de privacidade" constitui uma prática comercial enganosa e que frases alternativas como "como usamos suas informações" deveriam ser usadas em seu lugar.[54] Em geral, as políticas de privacidade sofrem com a falta de precisão, especialmente quando comparadas com a forma emergente da declaração de uso de dados. Enquanto as declarações de privacidade fornecem uma visão geral da coleta e do uso de dados, as declarações de uso de dados representam um tratamento muito mais específico. Como resultado, as políticas de privacidade podem não atender à crescente demanda por transparência proporcionada pelas declarações de uso de dados. Outra questão que gera críticas é a não leitura das políticas de privacidade. Um estudo de 2001 da Privacy Leadership Initiative afirmou que apenas 3% dos consumidores leem as políticas de privacidade com atenção e 64% dão uma olhada rápida ou nunca leem as políticas de privacidade.[55] O usuário médio de um site, depois de ler uma declaração de privacidade, pode ter mais incertezas sobre a confiabilidade do site do que antes.[56] Um possível problema é o tamanho e a complexidade das políticas. De acordo com um estudo de 2008 da Carnegie Mellon, o tamanho médio de uma política de privacidade é de 2.500 palavras e requer uma média de 10 minutos para ser lida. O estudo citou que "as políticas de privacidade são difíceis de ler" e, como resultado, "são lidas com pouca frequência".[57] No entanto, todos os esforços para tornar as informações mais apresentáveis simplificam as informações a ponto de não transmitirem a extensão em que os dados dos usuários estão sendo compartilhados e vendidos.[58] Isso é conhecido como o "paradoxo da transparência". Notas
Referências
|