O âmbito de aplicação do regime legal de proteção de dados, embora convergente nos diversos países europeus, pode variar, em função dos seguintes requisitos: i) se o tratamento de dados pessoais visa a finalidades gerais ou à defesa e à segurança do Estado; ii) se os dados são armazenados para uso estritamente pessoal, para uso da própria empresa ou para fins de comercialização; iii) se a operação visa ao tratamento de dados de pessoa física ou jurídica;
iv) se o tratamento dos dados é feito de forma automatizada ou não e; v) se os dados são tratados/armazenados por organismos privados ou públicos.
Ressalta-se que o âmbito de aplicação das leis de proteção de dados pessoais não é estabelecido de modo uniforme nas diversas legislações sobre o tema. Portanto, buscar-se-á demonstrar alguns critérios importantes para a sua delimitação, a partir de exemplos de legislações e da solução adotada pela Diretiva Européia 95/46/CE.
O regime de proteção de dados pessoais proposto pela referida Diretiva exclui de seu âmbito o tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado, o bem-estar econômico do Estado e as atividades do Estado no domínio do direito penal271. Além disso, está excluído também desse regime o tratamento de dados efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, como, por exemplo, correspondência ou listas de endereços272. No entanto, se o tratamento for realizado para fins comerciais da própria empresa, ele não está excluído do regime de proteção de dados pessoais.
Com relação ao âmbito de aplicação subjetivo, pode-se dizer que a maioria das legislações de proteção de dados pessoais optou por circunscrever a sua aplicação às pessoas físicas, excluindo de seu âmbito o tratamento de dados de pessoas jurídicas273. É o caso da Diretiva Européia 95/46/CE, que determina que os dados das pessoas jurídicas não são objeto da sua regulamentação274. Conforme afirma Colin Bennet, “a política de privacidade informacional desenvolveu-se, doméstica e internacionalmente, com a pressuposição de que
271Diretiva Européia 95/46/CE, art. 3, 2. 272Diretiva Européia 95/46/CE, art. 3, 2.
273BENNET, Colin e RAAB, Charles. The Governance of Privacy. Op. Cit., p. 11.
274“Considerando” 24 da Diretiva Européia 95/46/CE: “as legislações relativas à proteção das pessoas jurídicas a
os interesses de grupos, corporações e outras organizações, bem como a informação sobre elas, deveriam ser tratados a partir de outros instrumentos legais”275.
Interessante é a discussão acerca da aplicação do regime das leis de proteção de dados pessoais ao tratamento manual de dados, uma vez que o debate público centra-se, geralmente, na violação da privacidade principalmente nos meios informáticos. A definição desse âmbito de aplicação varia nas diferentes legislações, inclusive nos países da União Européia.
É de se notar que a primeira lei de proteção de dados pessoais do mundo, a Lei do Estado alemão de Hesse, de 1970, limitava-se a regulamentar o tratamento automatizado dos dados pessoais276.
A Diretiva Européia 95/46/CE é bastante clara ao tratar ambos de forma indistinta, nos termos de seu art. 3º, 1: “A presente directiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.” É importante perceber, no entanto, que os bancos de dados não automatizados somente se submetem ao regime de proteção de dados pessoais quando minimamente organizados e estruturados277.
Entende-se importante que a proteção de dados pessoais possa abranger ambos os tipos de bancos de dados, na medida em que a potencialidade dos danos à personalidade reside não exatamente na informatização, mas no tratamento dos dados em si e na obtenção de informações que representem de forma objetiva o individuo perante a sociedade, gerando
275BENNETT, Colin e RAAB, Charles. The Governance of Privacy. Op. Cit., p. 11.
276BENNETT, Colin. Regulating Privacy: data protection and public policy in Europe and the United States.
Op. Cit., p. 77.
277É o que afirma o “Considerando” 27 da Diretiva 95/46/CE: Considerando que a protecção das pessoas se
deve aplicar tanto ao tratamento automatizado de dados como ao tratamento manual; que o âmbito desta protecção não deve, na prática, depender das técnicas utilizadas, sob pena de se correr o sério risco de a protecção poder ser contornada; que, em todo o caso, no que respeita ao tratamento manual, a presente directiva apenas abrange os ficheiros e não as pastas não estruturadas; que, em particular, o conteúdo de um ficheiro deve ser estruturado de acordo com critérios específicos relativos às pessoas que permitam um acesso fácil aos dados pessoais; que, em conformidade com a definição da alínea c) do artigo 2º, os diferentes critérios que permitem determinar os elementos de um conjunto estruturado de dados pessoais e os diferentes critérios que regem o acesso a esse conjunto de dados podem ser definidos por cada Estado-membro; que as pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, de modo algum se incluem no âmbito de aplicação da presente directiva;” (grifo nosso)
conseqüências para a sua vida. Afinal, também os bancos de dados manuais podem apresentar erros quantos aos dados pessoais, bem como podem propiciar a transferências desses dados a terceiros.
Com relação aos bancos de dados públicos e privados, existem duas questões importantes: i) sobre a necessidade e a conveniência de regulamentar o tratamento de dados por organismos privados; e ii) sobre a aplicação do mesmo regime de proteção a ambos. Não existe, com relação a esse tema, consenso na União Européia, nem na legislação dos EUA. A divergência é significativa, na medida em que enquanto alguns países tutelam sem significativas distinções o tratamento dos dados pessoais nos setores público e privado, outros determinam regimes jurídicos bastantes distintos para cada um, como é o caso dos EUA.
A Diretiva Européia 95/46/CE determina que tanto o tratamento de dados realizado pelo poder público, quanto o realizado pelo setor privado, estão submetidos ao mesmo regime de proteção, estabelecendo uma exceção de aplicação apenas em relação ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado, o bem- estar econômico do Estado e as atividades do Estado no domínio do direito penal, que não estão abrangidos pela Diretiva278. Assim, salvo essa questão específica, não determina tutela diferente em razão da titularidade do banco de dados.
No entanto, na própria União Européia o tema não é unânime. A Espanha, por exemplo, estabeleceu regimes distintos em função da titularidade pública ou privada do banco de dados, embora ambos estejam regulamentados pela mesma lei (LORTAD). Na referida lei, os bancos de dados públicos são submetidos a uma disciplina mais rígida, pois necessitam para a sua criação de uma norma geral, submetida a controle jurisdicional, enquanto os bancos de dados privados podem ser criados livremente e estão submetidos unicamente à Agência de Proteção de Dados. Tal opção legislativa foi criticada por Pérez-Luño, por entender que os
278Ao definir o responsável pelo tratamento de dados pessoais, a Diretiva inclui, nesse conceito, o poder público:
Art. 2, d: «Responsável pelo tratamento», a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”
danos causados pelo setor privado à privacidade são tão expressivos como os gerados pelo Estado279.
Na Alemanha, predominou a concepção de que os setores público e privado deveriam ser regulamentados de modo semelhante, por se reconhecer que o risco à violação da privacidade existe em ambos os casos. Como afirma Benedikt Buchner, no início das discussões para a aprovação da Lei sobre Proteção de Dados Pessoais alemã de 1977 (Bundesdatenschutzgesetz - BDSG), predominava a concepção de que o principal risco à privacidade informacional dos cidadãos advinha do Estado280. No entanto, afirma ele, que já havia alguns doutrinadores que constataram a expressiva utilização pelas empresas privadas dos dados pessoais, percebendo que tal ameaça também poderia partir do setor privado. Assim, a Lei de 1977 compreendeu também a regulação do setor privado, tendo recebido elogios da doutrina, que caracterizou tal circunstância como a concretização dos direitos fundamentais dos cidadãos281.
No entanto, a referida lei foi substituída pela Lei Federal de Proteção de Dados Pessoais de 1990, que, diferentemente da anterior, regulou de forma diferente o tratamento de dados pessoais pelo Estado ou pela iniciativa privada282. Tal fato foi bastante criticado pelos juristas alemães. Posteriormente, com a tentativa de conformação dessa legislação às diretivas da União Européia, reduziu-se, gradualmente, a diferenciação entre a regulamentação do tratamento de dados pessoais efetuado pelo Estado ou pelas empresas privadas. Desde então, afirma Buchner, a doutrina e a legislação alemãs têm buscado tratar ambos os setores de forma semelhante, sob o fundamento principal de que o direito à autodeterminação
279PÉREZ LUÑO, Manual de Informática e Derecho. Op. Cit., p. 57.
280BUCHNER, Benedikt. Informationelle Selbstbestimmung im Privatrecht. Tübingen: Mohr Siebeck, 2006, p.
28.
281Idem, Ibidem, p. 30.
282 A principal diferença de regulamentação dos setores público e privado na Lei de 1990 era a seguinte:
enquanto o principio da finalidade vigorava para o tratamento de dados pessoais pelo Estado em todas as fases do tratamento, para o setor privado, tal princípio somente era exigido de forma geral. (BUCHNER, Benedikt. Informationelle Selbstbestimmung im Privatrecht. Op. Cit., p. 34.)
informativa do cidadão é único283. Nesse mesmo sentido, foi promulgada a lei alemã mais recente de proteção de dados pessoais de novembro 2006.
Importa ressaltar que, nos EUA, o panorama a respeito do referido assunto é bastante diferente. Nesse país, em que não há uma lei abrangente sobre a proteção de dados pessoais, mas diversas normas setoriais, a estrutura legal para a proteção desse direito compreende duas leis básicas: o “Fair Credit Reporting Act”, de 1970, e o “Privacy Act”, de 1974284. Enquanto o primeiro aplica-se às empresas que emitem relatórios sobre os consumidores, em caso de análise de risco de crédito, assinatura de seguro e de contratação de empregados, o segundo aplica-se somente às agencias governamentais federais ou às empresas privadas que administram um sistema de registro para o governo.
Nesse sentido, resta claro que a estrutura normativa americana para a proteção da privacidade é bipartida, regulando de forma diversa o setor público e o setor privado285. Além dessa característica dualista, pode-se dizer que a legislação tem um viés liberal acentuado, regulamentando com mais severidade e amplitude o tratamento de dados pessoais realizado pelo setor público286. Como afirma Colin Bennett, nos EUA, predomina a concepção de que o setor privado se auto-regulamenta, na medida em que o tema da privacidade se tornou um diferencial competitivo e um requisito para se obter a confiança do consumidor287. Assim, prevalecem, nesse país, códigos voluntários de boas práticas no setor privado, em detrimento de uma regulamentação estatal288.
283BUCHNER, Benedikt. Informationelle Selbstbestimmung im Privatrecht. Op. Cit., p. 34.
284SOLOVE, Daniel. A Model Regime of Privacy Protection. In: University f Illinois Law Review, Vol. 2006, p.
3.
285Idem, Ibidem, p. 8.
286 BUCHNER, Benedikt. Informationelle Selbstbestimmung im Privatrecht. Op. Cit., p. 5. Para críticas à
estrutura legal americana referente à proteção da privacidade informacional, ver também: SOLOVE, Daniel. A Model Regime of Privacy Protection. In: University f Illinois Law Review, Vol. 2006.
287BENNETT, Colin e GRANT, Rebecca (Ed). Visions of Privacy: Policy Choices for the Digital Age. Toronto:
University of Toronto Press, 1999, p. 11 (Introdução).
Nesse sentido, percebe-se que as legislações de diversos países tratam de forma distinta o âmbito de aplicação da proteção de dados pessoais em relação à titularidade do banco de dados. Enquanto alguns optam por um sistema unificado, ao regular o tratamento dos dados pessoais pelos setores público e privado de forma semelhante, outros preferem fazê-lo de forma diferente em cada um dos setores.
Entende-se que a melhor solução é o modelo adotado pela Alemanha de uma regulamentação única, respeitando-se, naturalmente, as especificidades de cada setor, na medida em que se está a falar de um único direito à privacidade e à proteção de dados pessoais, cujo titular é o cidadão. Ademais, compreende-se não haver hoje mais qualquer motivo para se pensar que o tratamento de dados pessoais pelo setor privado é menos danoso à população, principalmente a partir da constatação geral de que existe atualmente uma verdadeira indústria de dados pessoais (“Database Industry”289), conforme será desenvolvido no capítulo 3 desta dissertação.