IMPACTOS ELEITORAIS DO USO DE BIGDATA: A importância da proteção de dados pessoais. Os dados pessoais são a nova moeda do planeta. Como a análise do grande volume de dados impacta seu voto? E qual a importância dos seus dados pessoais nessa equação? Vamos conversar?
*Imagem retirada do site: https://blog.itb360.com.br/o-uso-da-tecnologia-nas-eleicoes-bots-big-data-e-ai/
FACULDADE DAMÁSIO
CURSO DE PÓS-GRADUAÇÃO LATO SENSU EM DIREITO DIGITAL E COMPLIANCE
ANA CLARA DE ALMEIDA CHICRALA
IMPACTOS ELEITORAIS DO USO DE BIGDATA
A importância da proteção de dados pessoais.
RIO DE JANEIRO
2018
IMPACTOS ELEITORAIS DO USO DE BIGDATA: A importância da proteção de dados pessoais.
RESUMO
As recentes mudanças tecnológicas transformaram o modo como as pessoas acessam e produzem informações. A maciça produção de dados pessoais pela humanidade, o big data, tornou a análise de informações uma fonte de riqueza inesgotável. A mudança de paradigma nas comunicações levou a uma nova visão dos direitos da privacidade e da proteção de dados pessoais, assim como uma nova forma de marketing eleitoral. A pesquisa apresenta como objetivo demonstrar o impacto do uso de big data em eleições. Para tanto, pretendeu relatar os impactos do uso de big data nas eleições americanas de 2016, descrever como a proteção de dados está sendo tratada pela legislação nos Estados Unidos, Europa e Brasil e mostrar a importância da proteção de dados pessoais, por meio do método hipotético dedutivo. Houve a verificação do efetivo impacto do uso do big data nas eleições americanas de 2016 e da maior preocupação legislativa, tanto estrangeira quanto brasileira. A pesquisa evidencia a necessidade de proteção da privacidade e dados pessoais para que os indivíduos sejam informados e consultados da forma correta para terem seus dados utilizados. Torna-se então, muito relevante que a Lei Geral de Dados Pessoais do Brasil seja de fato efetivada, com a criação da Autoridade Nacional de Proteção de Dados.
Palavras-chave: big data; marketing eleitoral; privacidade; proteção de dados pessoais; RGPD; Lei 13.079/2018;
ABSTRACT
Recent technological changes have transformed the way people access and produce information. The massive production of personal data by mankind, big data, has made information analysis an inexhaustible source of wealth. The paradigm shift in communications has led to a new vision of privacy rights and the protection of personal data, as well as a new form of electoral marketing. The research aims to demonstrate the impact of the use of big data in elections. In order to do so, the research intends to report the impacts of the use of big data in the 2016 US elections, to describe how data protection is being addressed by legislation in the United States, Europe and Brazil and to show the importance of personal data protection through the hypothetical deductive method. It verified the effective impact of the use of the big data in the 2016 US elections and the greater legislative concern, both abroad and in Brazil. The research highlights the need for protection of privacy and personal data so that individuals are informed and consulted in the right way to have their data used. It is therefore very relevant that the Brazil’s General Law of Personal Data becomes effective in real life, mainly with the creation of the National Data Protection Authority.
Key words: big data; electoral marketing; privacy; protection of personal data; GDPR; Law 13.079/2018;
SUMÁRIO
2 CAPÍTULO I — ANÁLISE DA INFLUÊNCIA DO USO DE BIGDATA NAS ELEIÇÕES DOS EUA EM 2016. 12
2.3 Modo de influência da internet nos eleitores. 19
2.3.1 Mudanças no formato de marketing eleitoral 23
3.1 Legislação dos Estados Unidos sobre proteção de dados pessoais. 26
3.1.1 A Atual Legislação Norte-Americana. 28
3.2 Legislação da União Europeia sobre proteção de dados pessoais. 30
3.2.1 Legislação Atual da União Europeia. 36
4 CAPÍTULO III — ANÁLISE DA LEI nº 13.709/2018 DE PROTEÇÃO DE DADOS PESSOAIS NO BRASIL. 45
4.1.1 Análise das leis esparsas sobre proteção de dados pessoais. 45
4.2 Análise da Lei nº 13.709/2018 de Proteção de Dados Pessoais no Brasil 52
4.3 Privacidade, Dados Pessoais e a necessidade de protegê-los. 62
6 REFERÊNCIAS BIBLIOGRÁFICAS. 71
1 INTRODUÇÃO
Os avanços tecnológicos transformaram a comunicação entre os indivíduos, a disseminação de notícias, o marketing eleitoral e principalmente a noção de privacidade e proteção de dados pessoais. A rapidez e a facilidade em que circulam as informações mudaram o paradigma construído no século XX.
Se antes a mídia tradicional era a maior fonte de informações, a internet deu poder aos indivíduos para que eles possam gerar conteúdo, repassar informações e escolher filtros segregadores para que tenham contato apenas com o que lhes interessa.
A produção de informações pelos indivíduos tornou esse crescente volume inimaginável de dados, o big data, em uma fonte riquíssima de informações que quando analisadas e utilizadas para determinados fins, podem influenciar diretamente a percepção das pessoas, inclusive na questão eleitoral. Logo, tornou-se imprescindível que houvesse maior proteção à privacidade e dados pessoais dos indivíduos, de maneira que estes são considerados direitos fundamentais, previstos nas mais diversas legislações mundialmente.
Nesse cenário, este trabalho visa demonstrar a necessidade da proteção dos dados pessoais dos indivíduos, mostrando como paradigma a influência do uso de big data nas eleições americanas; o que dizem as legislações internacionais a respeito e como a proteção de dados pessoais está sendo tratada legislativamente no Brasil. A pesquisa desse tema é relevante pois visa revelar o alcance extremo da análise de dados pessoais, retirando das pessoas a privacidade mínima para suas escolhas, no caso em tela, nas eleições.
Desta forma, o objetivo da pesquisa é demonstrar o impacto do uso de big data em eleições, e para tanto, relatar os impactos do uso de big data nas eleições americanas de 2016, descrever como a proteção de dados está sendo tratada pela legislação nos Estados Unidos, Europa e Brasil e mostrar a importância da proteção de dados pessoais.
O método utilizado foi o hipotético dedutivo, de forma que procurou-se verificar as seguintes indagações: questionou-se sobre o impacto do uso de big data nas eleições americanas de 2016, sobre a permissão ou não do uso de big data em eleições e se legislações têm aumentado a proteção de dados pessoais dos cidadãos mundialmente. Além disso, objetivou-se responder se é necessário que haja uma legislação específica para proteção de dados pessoais no Brasil para que: sua análise não possa ser usada de forma tendenciosa em eleições; para que os eleitores possam escolher os candidatos de forma mais consciente e os cidadãos tenham sua vida privada protegida.
Nesse sentido, no Capítulo I, analisou-se a influencia do uso de big data nas eleições dos Estados Unidos em 2016, explicitando de que forma os dados foram obtidos, conceituando big data e outros conceitos relevantes como micro-segmentação para entender de que forma a analise de grande volume de dados pode influenciar na opinião dos indivíduos.
Já no Capítulo II, foi feita uma análise da legislação dos Estados Unidos e da União Europeia sobre privacidade e proteção de dados, para entender de que forma esses direitos fundamentais são vistos e protegidos nas legislações internacionais.
No Capítulo III, foi feita uma análise da legislação brasileira sobre proteção de dados pessoais, notadamente a recém sancionada Lei Geral de Proteção Dados do Brasil e por fim uma abordagem sobre privacidade, dados pessoais e a necessidade de protege-los.
Dessa forma, o intuito desse estudo é demonstrar, a partir da influência da análise de dados nas eleições americanas de 2016, a necessidade de proteção da privacidade e dados pessoais diante de constantes inovações tecnológicas, de maneira que os indivíduos possuam verdadeira autonomia sobre seus dados pessoais.
2 CAPÍTULO I — ANÁLISE DA INFLUÊNCIA DO USO DE BIGDATA NAS ELEIÇÕES DOS EUA EM 2016
2.1 Acontecimentos envolvendo Cambridge Analytica, Facebook e o uso indevido de dados nas eleições americanas de 2016.
Trata-se de um dos mais impactantes vazamentos de dados pessoais da atualidade, o qual teve influência em duas eleições, nos Estados Unidos e no Reino Unido. Isto posto, cumpre esclarecer que a rede social Facebook, de 2007 a 2014, possuía políticas de uso permissivas, de modo que terceiros, como desenvolvedores de aplicativos, poderiam extrair uma quantidade inimaginável de dados pessoais dos usuários e de seus amigos.[1]
Dessa forma, um dos desenvolvedores de aplicativo, por meio de sua empresa Global Science Research (GSR), criou um aplicativo: “thisisyourdigitallife”, que coletou, com autorização do Facebook, dados pessoais de 270.000,00 (duzentos e setenta mil) pessoas que se propuseram a participar de uma pesquisa sobre personalidade, para fins acadêmicos.[2] O aplicativo em questão era um questionário que descrevia a personalidade dos usuários a partir das suas respostas e pedia acesso a seus dados pessoais.[3]
No entanto, à época do desenrolar dos fatos, a política de uso da rede social permitia que desenvolvedores de aplicativos pudessem coletar dados não somente dos usuários do aplicativo, mas igualmente de seus amigos na rede social. Essa coleta era possível desde que fosse apenas para melhorar a experiência do usuário, não com o propósito de vender ou utilizar as informações para propaganda.[4]
Desvirtuando o propósito puramente acadêmico, a GSR coletou dados de mais de 50 (cinquenta) milhões de pessoas por meio do aplicativo de psicometria, até que houvesse a alteração de política de uso da plataforma, em 2014. Na sequência, vendeu as informações, ilegalmente, para a empresa de predição política Cambridge Analytica.[5] Entende-se que “a psicometria é um mapeamento da personalidade das pessoas e suas inclinações ideológicas a partir do seu comportamento nas redes sociais”.[6]
O Facebook soube do vazamento de dados em 2015 e não informou às autoridades, aos usuários e muito menos garantiu que esses dados fossem destruídos. Dessa forma, foi possível utilizá-los tanto nas eleições americanas de 2016, quanto no Referendo brexit de junho de 2016, no Reino Unido.[7] Isto pois, a empresa Cambridge Analytica, que possui filial nos Estados Unidos e no Reino Unido, atuou nas duas eleições. Restringiremos a nossa análise à campanha eleitoral para presidente dos Estados Unidos, principalmente a do ano de 2016.
Nesse sentido, a empresa foi contratada pela equipe de campanha de Donald Trump, até então candidato à presidência dos Estados Unidos, em junho de 2016, com a promessa de que os perfis de psicometria poderiam prever a personalidade e intenções políticas de cada adulto americano.[8]
O mapeamento de personalidade e intenções políticas apenas foi possível com o uso do algoritmo criado pela empresa em comento, o que possibilitou a análise em larga escala da enorme base de dados adquirida.[9] Dessa forma, foi possível que a campanha identificasse eleitores que poderiam mudar seu voto e que criasse mensagens que tivessem um maior alcance populacional. O objetivo mais ambicioso da empresa era criar um ‘padrão ouro’ de entendimento de personalidade, utilizando as informações dos perfis do Facebook.[10]
Após a deflagração do escândalo, possível pela delação de um ex-funcionário da Cambridge Analytica, estão ocorrendo investigações nos Estados Unidos e no Reino Unido sobre o uso desses dados para influenciar o resultado das eleições.[11] Outrossim, o Chief Executive Officer — CEO do Facebook, foi chamado a testemunhar no Senado sobre como empresas como a rede social protegem os dados dos usuários e quão transparentes são com o público sobre os seus métodos de trabalho.[12]
Isto posto, necessário pontuar, de acordo com Stefano Quintarelli:
Se o Regulamento Geral de Proteção de Dados da UE já estivesse em vigor o Facebook, para evitar as multas, precisaria ter notificado as autoridades sobre o vazamento de dados assim que a empresa soube disso, bem antes da última eleição nos Estados Unidos.[13]
Nesse sentido, teria significado a proteção de dados pessoais de milhões de pessoas, evitando o uso dos dados pessoais de forma ilegal e indiscriminada, conforme ocorrido na prática.
2.2 Big data
Para entender o conceito de big data, é necessário entender o conceito de datificação. Não se trata de algo novo, já que desde tempos imemoriais os governos tentam controlar a população coletando informações, como por exemplo com o uso do censo.[14] No entanto, a diferença entre os usos iniciais, notadamente estatísticos e primários, e os usos atuais, é seu reaproveitamento para outras finalidades, como observam Schönberger-Mayer e Cukier:
Eles não são mais considerados estáticos e banais, cuja utilidade terminava depois que o objetivo da coleta era alcançado. Em vez disso os dados se tornaram matéria prima dos negócios, um recurso econômico vital, usado para criar uma nova forma de valor econômico […].[15]
Dessa forma, a datificação é considerada como “a coleta de informações de tudo o que existe — inclusive informações que nunca foram pensadas como tal […] — e à transformação disso em dados que possam ser quantificados.”, permitindo usar a informações de novas maneiras, como na análise preditiva.[16] A datificação é utilizada por várias empresas de mídias sociais, de forma que as redes sociais oferecem a possibilidade de manter contato com os amigos, mas em troca, coletam elementos intangíveis do cotidiano e transformam em dados que podem ter os mais diversos fins.[17]
Nesse sentido, destaca-se que “o big data remete a própria possibilidade de datificação da sociedade, que leva a geração de mais e mais dados.”[18] De forma que basicamente, tudo o que é feito no mundo digital gera um “rastro digital”, que poderá ser analisado ocasionalmente.[19] O conceito de big data não é unânime. De forma que para uma análise mais completa, serão trazidos conceitos e características. Conforme relatório do Instituto de Tecnologia e Sociedade — ITS:
[…] big data “é, literalmente, o conjunto de dados cuja existência só é possível em consequência da coleta massiva de dados que se tornou possível nos últimos anos, graças à onipresença de aparelhos e sensores na vida cotidiana e do número crescente de pessoas conectadas a tais tecnologias por meio de redes digitais e também de sensores.[20]
Conforme especialistas da área de ciência da computação, em uma análise de um relatório da IBM sobre big data[21], este possui três características principais, os 3Vs, quais sejam: volume, variedade e velocidade.[22] O volume diz respeito ao grande volume de dados digitais a serem analisados, porém não há uma medida padrão para determinar o quanto seria esse grande volume.[23] Já a velocidade, diz respeito à velocidade que os dados estão sendo produzidos e quão rápidos os dados devem ser tratados para atender à demanda.[24] A variedade significa que a enorme quantidade de dados existentes é resultado da diversidade de informações. “Assim, a variedade precisa ser lidada como um todo, talvez um determinado dado não seja útil se não for associado a outro.”[25]
Ainda, alguns estudiosos entendem que o big data ainda teria mais duas características, a veracidade e o valor. A veracidade diz respeito a confiabilidade dos dados, de forma que somente se pode lidar com os outros fatores acima citados se houver consistência nos dados obtidos.[26] Já o valor resulta da ideia da nova utilização dos dados, que saíram da utilidade primária e estática para um uso potencial não previsível, tendo em vista a possibilidade de reutilização dos dados de várias formas.[27] Nesse sentido, entende-se que “Ao contrário das coisas materiais, o valor dos dados não diminui com o uso; ele pode ser continuamente reprocessado, reagregando valor a cada novo uso.”[28]
Quanto as possibilidades do uso do big data, considerando sua quinta característica, o valor — do ponto de vista estratégico e negocial — os especialistas da IBM consideram que o big data teria as seguintes utilidades: identificar padrões, o que pode auxiliar na tomada de decisões; personalização de atendimento, com a análise de hábitos e interações dos indivíduos; planejamento estratégico, tomada de decisões com base nas informações previamente mapeadas, e, inovação, pois a análise dos dados permite que se conheça em maior profundidade os clientes e o mercado.[29]
Ademais, o big data está sendo utilizado para predição de eventos criminosos, diagnósticos de saúde e eleições, entre outros. Tais diagnósticos nem sempre são fiéis aos resultados, como o da eleição dos Estados Unidos de 2016, que previu a vitória da candidata Hilary Clinton. Os estudiosos apontam que para uma predição correta da eleição, seria necessário a análise de todos os dados produzidos, sem nenhum tipo de bloqueio, o que vai de encontro ao direito à privacidade e proteção de dados.[30]
Nesse sentido, “esta tendência arrisca limitar os direitos humanos e liberdades individuais, na medida em que as pessoas se autorregulam, estando conscientes de ‘um estado de visibilidade consciente e permanente’, no sentido do Panóptico de Foucault.”[31]
Além disso, sobre a questão eleitoral:
Há indicativos que inclusive campanhas eleitorais têm sido influenciadas de forma significativa pelo cruzamento de informações dispostas no Big data, uma vez que as campanhas políticas contemporâneas acumulam significativas bases de dados informativos e contratam analistas de dados de campanhas para criar modelos prevendo os comportamentos dos indivíduos, disposições eleitorais — inclusive quanto à participação ativa e capacidade de influenciar terceiros — e respostas ao contato de promotores de uma campanha eleitoral. Esse novo modo de direcionamentos dos dados nas campanhas oferece aos candidatos e aos seus assessores poderosas ferramentas para manejo de estratégia eleitoral.[32]
Dessa forma, pode-se entender que o big data é a coleta em massa de informações que, atualmente, possuem um enorme valor econômico agregado e uma possível reutilização para diversos fins, na maioria das vezes não consentido. Logo, se encontra justificada a preocupação sobre o consentimento no Regulamento Geral de Proteção de Dados Europeu, visto em detalhes no capítulo seguinte. É necessário preservar a autonomia do indivíduo sobre seus dados, entendida aqui como aspecto da dignidade humana.[33] Ainda, pontua-se que o usuário, na maioria das vezes não tem consciência dos seus direitos à privacidade e proteção de dados[34], de forma que não se sustenta o argumento que o RGPD seria paternalista colocando tantos deveres sobre os controladores de dados.[35]
Desse modo, a evolução tecnológica de processamento de dados e seus novos modelos de negócio não poderão avançar sem que haja uma proteção aos direitos dos indivíduos, notadamente direito à privacidade e à proteção de seus dados pessoais, de maneira que, de fato, as pessoas possuam autonomia sobre seus dados pessoais e não sejam influenciadas em eleições de forma não consentida.
2.3 Modo de influência da internet nos eleitores
As mídias tradicionais, como televisão, rádio, jornal e revista transmitem a informação de forma unilateral, de acordo com o entendimento e ideologia de cada empresa, sem qualquer interferência ou discussão com a sociedade. Desse modo, seu poder de persuasão e influência sobre a população é velado, podendo moldar a opinião pública e igualmente o comportamento político do eleitor.[36] Por outro lado, a internet é entendida como um fluxo de dados inesgotável, de todos para todos, o que os pesquisadores denominam como “information overload”, em que a quantidade de informação supera a capacidade do indivíduo de processá-las, implicando na dificuldade na filtragem dos dados.[37]
No entanto, a internet não é um meio desprovido de influências, de forma que “observa-se que as grandes empresas de Internet têm a capacidade técnica de, assim como as mídias tradicionais, influenciarem sutilmente na formação do conhecimento e no processo decisório eleitoral.”[38] Nesse sentido, Jonathan Zittrain, professor da Universidade de Harvard, alerta sobre o fenômeno “digital gerrymandering”, que ocorre quando um provedor de aplicação (como exemplo o Google), distribui informações selecionadas, de modo a beneficiar sua agenda ideológica. [39]
O professor cita a influência que o Facebook teve no número de votantes na eleição para o congresso americano em 2010, ao incluir em perfis de usuários aleatórios um marcador para mostrar à rede de amigos que seu conhecido tinha votado, além de mostrar ao usuário se seus colegas já haviam votado. A pesquisa verificou que cerca de 60.000 indivíduos que utilizam a rede social receberam essa opção, o que gerou um efeito cascata de influência em mais de 340.000 pessoas que foram votar naquele dia. Destaca-se que o voto nos Estados Unidos não é obrigatório.[40] O caso demonstra o poder de influência em potencial das grandes empresas da Internet, que pode ser usado para direcionar a opinião do usuário e eleitor em matérias de interesse dessas companhias. Esse tipo de persuasão sutil se dá em razão do monopólio e a concentração de informação, mesma crítica dirigida às mídias de massa tradicionais.
Outra questão que corrobora com a influência dos grandes atores da internet é o revelado pela pesquisa publicada em janeiro de 2017 pela Quartz em parceria com a Mozilla, que apontou que 55% dos brasileiros acham que o Facebook é a Internet.[41] Dentro dessa pesquisa, interessante destacar que a maioria das pessoas não entende o que é internet em seu nível básico e não conseguem distinguir notícias falsas das verdadeiras, bem como notícias de propaganda.[42] Há um grande monopólio e concentração de informações: o Google é a empresa responsável por mais de 75% das pesquisas feitas na internet, e por 95,9% das pesquisas feitas de smartphones, e, o Facebook é a rede social com maior número de usuários no mundo, dona igualmente das outras duas redes sociais mais utilizadas: WhatsApp e Messenger.[43]
Em consonância com o tema, outro aspecto relevante é o fenômeno do “Filtro Bolha”. Tendo em visa a informação demasiada que circula na internet, os provedores de aplicação da internet oferecem uma espécie de filtragem de informações. A prestação desse serviço pode gerar dois resultados, apontados por Eduardo Magrani:
[…] de um lado, a filtragem de conteúdo não intencional, feita pelos provedores, que estamos enquadrando e denominando como filter bubble; de outro, a busca dos próprios indivíduos por filtrarem voluntariamente as informações que consomem agravando o problema também desencadeado pelo filter bubble, da fragmentação do debate[44]
A teoria do “Filtro Bolha” consiste na identificação de padrões, por meio dos algoritmos, com o objetivo de fornecer uma personalização no serviço para o usuário, conhecida como “User Experience” pelos profissionais de marketing. A coleta e análise de dados é utilizada para reconhecer comportamento e preferências, para proporcionar ao usuário uma “melhor experiência” de navegação e/ou uso de determinado serviço ou produto.[45] Dessa forma, cria-se comodidade ao usuário, personalizando serviços como os de música e filmes, que geram indicações de acordo com a sua preferência. Deve-se notar que apesar de ter pontos positivos, é nessa conveniência que reside o problema. “Esses filtros são segregadores — ou seja, a partir do momento em que o padrão do usuário é reconhecido, somente terá “contato” com aquilo que o algoritmo filtrou como de seu interesse.”[46] O resultado dessa segregação realizada tanto pelas empresas quanto pelos indivíduos, é o empobrecimento do valor do debate na esfera pública virtual, “argumenta-se que os filtros-bolha limitam os usuários ao que desejam (ou desejariam) segundo uma predição algorítmica, dificultando o acesso às informações que devessem ou precisassem ver para enriquecer o debate democrático.”[47]
Deve-se destacar que em 2016, conforme explicita Andreia Santos:
[…] os algoritmos (juntamente com as empresas Google e Facebook) foram tema central nas campanhas eleitorais dos Estados Unidos, haja vista o efeito “filtro-bolha” (tido como um método de monitoração e segregação da rede), a propagação de notícias falsas nas redes social e o uso de bots (programa de computador criado para automatizar procedimentos) para viabilizar a propagação de conteúdos em maior quantidade e alcance.[48]
Nessa esteira, antes da análise da influência das fakenews e bots nas eleições americanas de 2016, necessário entender que conforme já explicitado nesse trabalho, muitas pessoas não entendem, nem ao menos de forma básica o que é a internet. Além disso, os maiores provedores de aplicação da internet possuem uma gigantesca influência na opinião das pessoas, tendo em vista que de acordo com uma pesquisa do Pew Research Center, de 2015, 63% das pessoas se utilizam do Facebook para se informar, desconsiderando as mídias tradicionais.[49] Já o estudo realizado pela Universidade de Warwick verificou que uma mentira se propaga muito mais rápido que uma verdade, e demora cerca de 12 horas para que um boato seja desmentido online.[50] Deve-se somar a esse cenário de desinformação, confiança excessiva nos provedores de aplicação e desejo dos indivíduos de cada vez mais segregarem ao que tem acesso. Ademais, falta de senso crítico para avaliar se as informações são falsas ou verdadeiras, de modo que sua propagação é exponencial.
No caso das eleições americanas, uma pesquisa demonstrou que as fakenews não tiveram impacto enquanto notícias falsas, posto que atingiram os 10% mais conservadores de ambos os lados.[51] No entanto, conforme especialistas, o impacto gerado a favor do candidato Donald Trump se deu pela onda de boatos e propaganda da extrema direita, de modo que os assuntos sobre o candidato pautaram a agenda da mídia tradicional.[52]
Os bots[53] são programas de computador criados para automatizar procedimentos, sendo um robô digital. Quanto aos robôs, um estudo publicado por Alessandro Bessi e Emilio Ferrara, do Instituto de Ciências Informacionais, da Universidade do Sul da Califórnia, estimou que nas eleições americanas de 2016, houve atuação de cerca de 400.000 bots no twitter, 75% em favor do candidato Donald Trump.[54] Os bots, segundo os pesquisadores, produzem sistematicamente conteúdos positivos a determinado candidato, podendo implicar “percepção dos eleitores sobre um suposto apoio orgânico para este candidato quando, na verdade, trata-se de algo artificialmente gerado”,[55] algo que é agravado com a desinformação geral já delineada. Apesar de não se tratar de novidade em eleições, com a evolução tecnológica dos bots, é muito improvável determinar quem implementou o robô, além da dificuldade de diferenciá-lo de um humano, pois os bots têm copiado o comportamento humano.[56]
Nesse sentido, conforme os pesquisadores, os bots apresentam três desafios para o uso democrático das redes sociais: o poder de influência pode ser redistribuído para diversos perfis ou contas que atuam com fins maliciosos; o debate político poder se tornar mais polarizado; e por fim, a facilidade na propagação de notícias falsas.
2.3.1 Mudanças no formato de marketing eleitoral
Assim como os leitores migraram em grande parte da mídia de massa tradicional para as aplicações da internet, o marketing político teve que se adaptar aos novos tempos tecnológicos. Para alguns especialistas, a mudança de paradigma em eleições foi principalmente desencadeada após as eleições do ex presidente dos Estados Unidos, Barack Obama. Dessa forma, entendem que “a preocupação com o que dizem os eleitores sobre políticos e candidatos é uma consequência do efeito Obama, que em 2008 usou efetivamente as redes sociais em sua campanha à presidência dos Estados Unidos.”[57]
A diferença crucial entre o modelo anterior e o modelo atual é a micro-segmentação eleitoral, que consiste:
[…] o processo de segmentação eleitoral, que a partir da micro-segmentação dos eleitores chamado de microtargeting contribui para a tomada de decisões da campanha eleitoral. O microtargeting é muito parecido com a segmentação demográfica e geográfica tradicional, a diferença está que ao segmentar os nichos, podem-se trabalhar características mais precisas dos indivíduos a partir de cruzamentos de diferentes dados vindos em formatos e fontes diferenciadas.[58]
Já a campanha de 2012 de Barack Obama orientou-se com uma estratégia baseada o uso de análises de grandes massas de dados e técnicas de microtargeting.[59] Conforme dados publicados pela própria campanha, com todas as informações sobre a coleta e uso dos dados, o que garantiu um marketing correto foram as informações sobre eleitores coletadas em 2008 e o mapa eleitoral muito detalhado realizado por sua equipe.[60]
Nesse sentido, nas eleições americanas de 2016, o modelo de micro-segmentação já estava estabelecido. No entanto, a questão crucial foi o uso indevido de dados pessoais de milhões de pessoas, que não demonstraram expresso, esclarecido e inequívoco consentimento para utilização de seus dados.[61]
A micro-segmentação somente é possível pelos avanços tecnológicos na análise de quantidades inimagináveis de dados. No entanto, necessário haver um equilíbrio entre o valor econômico dos dados pessoais e a proteção das pessoas que efetivamente devem possuir os dados, tendo em vista que se tratam se dados relativos a pessoa natural. Ainda, necessário um esforço internacional para a educação digital, para que as pessoas realmente entendam o que está em jogo quando autorizam o uso de seus dados pessoais. O objetivo principal é que elas efetivamente possam escolher se a sua comodidade tem valor maior que a inviolabilidade de seus dados.
3 CAPÍTULO II — LEGISLAÇÕES INTERNACIONAIS DOS EUA E UNIÃO EUROPEIA SOBRE PROTEÇÃO DE DADOS PESSOAIS
3.1 Legislação dos Estados Unidos sobre proteção de dados pessoais
Para entender o momento atual da legislação sobre proteção de dados pessoais nos EUA, é necessário fazer uma retrospectiva ao primeiro momento em que se falou em proteção da privacidade na doutrina.
O ano era 1890, nos Estados Unidos, quando Warren e Brandeis[62] mencionaram pela primeira vez o right to privacy, que seria o direito de se proteger da invasão da intimidade, se distanciando de um direito à propriedade, que até então se configurava absoluto. Nessa época, surgiam novidades tecnológicas como as fotografias instantâneas e as notícias começavam a ser mais imediatas, de forma que os mencionados autores, defendiam que o direito à privacidade deveria ser um mecanismo de defesa contra os avanços tecnológicos, protegendo a ofensa aos sentimentos de uma pessoa exposta, e não apenas a proteção aos seus bens e a sua liberdade.
Importante frisar, que à época, o direito à privacidade citado pelos autores se relacionava com o right to be let alone, ou seja, o direito de ser deixado em paz ou não ser incomodado, construção que havia sido publicada pelo Juiz Cooley, em 1888.[63] Necessário esclarecer que ser deixado em paz não se configura como direito ao esquecimento, conforme esclarecimento de Vinícius Borges Fortes:
[…]Anteriormente, essa pesquisa trouxe a lume a expressão ‘right to be let alone’, empregada por Cooley e reproduzida por Warren e Brandeis (1890), para configurar o direito de ser deixado em paz, conferindo o início do reconhecimento do direito à privacidade. […] todavia, tal expressão é frequentemente entendida como sinônimo de um direito já reconhecido, inclusive no direito brasileiro, qual seja o direito ao esquecimento. Entretanto, o direito ao esquecimento, tal como se aborda nesse tópico, está adequado à conceituação utilizada por Bernal (2014), ou seja, ao denominado ‘right to be forgotten’, visto que vai além da simples proteção da vida privada, conferindo possibilidade de um usuário deletar dados e informações pessoais da internet. [64]
Ao longo do tempo, como se pode ver no trecho acima, se verificou uma evolução do conceito de direito à privacidade e outros análogos. Isso se deu principalmente após a Segunda Guerra Mundial, diante das atrocidades vivenciadas. Podemos citar, entre outros, os documentos que primeiro recepcionaram o direito à privacidade, como a Declaração Universal dos Direitos Humanos[65] de 1948, no artigo XII e o Pacto Internacional sobre Direitos Civis e Políticos[66] de 1966, no artigo 17, vedando interferências arbitrárias na vida privada.
Antes de adentrar na legislação específica que aborda, mais recentemente, o tema nos Estados Unidos, interessante destacar a evolução do conceito de privacidade e proteção de dados explicitada por Stefano Rodotà. Segundo o autor, deve-se diferenciar o direito ao respeito da vida privada e familiar e o direito à proteção de dados pessoais. O primeiro consiste em tipo de proteção estático, negativo, com o objetivo de impedir a interferência na vida privada e familiar de uma pessoa.[67] Já a proteção de dados pessoais, é um tipo de proteção dinâmico, pois estabelece regras sobre os mecanismos de processamento de dados e legitimidade para tomada de medidas. Destarte, conclui o autor que:
[…] É de fato o fim da linha de um longo processo evolutivo experimentado pelo conceito de privacidade — de uma definição original como o direito de ser deixado em paz, até o direito de controle sobre as informações de alguém e determinar como a esfera privada deve ser construída.[68]
Dessa forma, entende-se que a proteção de dados é um direito fundamental. Apesar da existência de diferenças conceituais, a proteção dos dados pessoais está conectada ao direito à privacidade, o que se encontra previsto em diversos diplomas legais.[69]
3.1.1 A Atual Legislação Norte-Americana
Os Estados Unidos possuem diversos instrumentos setorizados para a proteção de dados, notadamente nas áreas de saúde, finanças e crédito ao consumidor. Esta pesquisa terá como foco os instrumentos que dizem respeito à divulgação de informações, privacidade e comunicações.[70]
A primeira norma relevante é o FOIA — Freedom of Information Act of 1966, que é a lei de Liberdade de Informação dos Estados Unidos. A lei regulamenta o acesso a opiniões, informação pública, pedidos, registros e processos, bem como o funcionamento da autoridade competente. De igual maneira, define informações que serão protegidas pelo Estado.[71]
Na sequência, temos o Privacy Act of 1974[72], que se constitui em um código de práticas leais de informação que regulamenta a coleta, manutenção, utilização e divulgação de informações sobre indivíduos, mantidas em sistemas de registros por agências federais. Importante que se faça uma diferenciação dos objetos das duas leis acima mencionadas. Por meio do Privacy Act, apenas os cidadãos dos Estados Unidos e estrangeiros residentes permanentes, legalmente admitidos, poderão buscar acesso aos seus registros e alterá-los. Já o FOIA alcança quase todos os registros de posse e no controle das agências do Poder Executivo Federal.[73]
A Electronic Communications Privacy Act — ECPA[74] de 1986, teve como objetivo inicial a atualização do Federal Wiretap Act de 1968, que tinha abrangência sobre interceptações telefônicas, mas não alcançava comunicações via computador ou outros meios eletrônicos e digitais.
Uma série de leis posteriores atualizaram o ECPA de acordo com a evolução das novas tecnologias, principalmente após o ataque terrorista de 11 de setembro de 2001, que gerou como reação legislativa, já em um primeiro momento, o USA Patriot Act[75], flexibilizando o acesso a informações determinadas. O ECPA em vigor protege as comunicações realizadas por meios eletrônicos, enquanto elas estão sendo feitas, quando estão em trânsito e quando armazenadas em computadores, ou realizadas oralmente, ou por fio. De igual forma, aplica-se às comunicações realizadas por e-mails, conversas telefônicas e dados armazenados eletronicamente.[76]
Relevante também mencionar o novíssimo Cloud Act — Clarifying Lawful Overseas Use of Data Act, aprovado em março de 2018, alterando mais uma vez o já mencionado ECPA. Essa lei foi aprovada sem que tivesse havido discussões públicas sobre o assunto, dentro de uma lei de gastos, que necessita apenas de uma votação em cada casa do Congresso americano.[77] O objetivo desta lei é permitir que a justiça americana possa requisitar às empresas dentro da sua jurisdição ou não, dados digitais armazenados em servidores de outros países. Igualmente prevê a lei, que os Estados Unidos possam fazer acordos executivos com países para troca de informações, o que pode gerar a violação de leis que regulam a privacidade de dados em outras nações soberanas.[78]
Apesar de ser muito cedo para análise do resultado prático desta lei, há uma preocupação das entidades norte americanas de proteção à privacidade de que essa lei vá ferir o devido processo legal para obtenção de informações.[79] Nesse sentido, essa lei permite que as fronteiras legais para a acesso de dados pessoais sejam relativizadas, enfraquecendo a proteção de dados pessoais das leis em vigor ao redor do mundo.[80]
3.2 Legislação da União Europeia sobre proteção de dados pessoais
A experiência europeia de produção de normas sobre privacidade e proteção de dados pessoais possui um diferencial, já que contou com a adoção de uma autoridade administrativa independente de proteção desses dados e informações já na década de 1970, em países como Alemanha e Suécia.[81]
Essa forma de fiscalização diverge do modelo da common law, adotado por países como Estados Unidos, que podem dispensar a existência de uma autoridade independente, tendo em vista a enorme concentração do controle judicial sobre o tema. Já na Europa, essas estruturas são indispensáveis e fundamentais, notadamente pelo poder concedido em diretivas, regulamentos e cartas europeias.[82]
A Alemanha foi a pioneira na proteção de dados pessoais, em 1979, com a Lei Federal de Proteção de Dados Pessoais.[83] Em 1983, houve o histórico julgamento no Tribunal Constitucional Federal, que julgou inconstitucional a ‘Lei do Censo’ que determinava o recenseamento geral da população. Esta lei tinha por objeto a coleta de dados para confrontá-los com os existentes registro civil e repassá-los a autoridades públicas. Esse julgamento se tornou importantíssimo, pois em seu bojo ocorreu o reconhecimento do direito fundamental à autodeterminação informativa sobre os dados de caráter pessoal, de forma que os indivíduos passaram a ter o direito de decidir quando e em que medida a informação pessoal pode ser publicada.[84] Conforme explica Ricardo Villas Bôas Cuevas, a partir dessa decisão, passou-se a entender a proteção da autodeterminação informativa como fenômeno coletivo, já que em certas situações os danos podem ser caracterizados como difusos, ensejando mecanismos jurídicos de tutela coletiva. O direito à privacidade passa a ser também positivo, dando poder ao indivíduo sobre seus dados pessoais.[85]
Nesse sentido, este direito está claramente identificado nas legislações posteriores, conforme esclarece Vinícius Borges Fortes:[86]
Ressalta-se a fundamental importância do conceito de auto-determinação informacional, instituído na vanguarda normativa alemã, e que constitui a gêneses normativa da proteção de dados no continente europeu, que poder ser evidenciado na Constituição Europeia, nas Diretivas e Regulamentos […].
Dessa forma, no Tratado que estabelece uma Constituição para a Europa em 2004[87], no Art. I-51, do capítulo ‘Vida democrática da União’, a autodeterminação está presente, tendo em vista a previsão de proteção dos dados pessoais dos indivíduos e, igualmente, o tratamento desses dados na União Europeia. Há ainda, a existência de controle por autoridades independentes. Além disso, há a Carta dos Direitos Fundamentais da União Europeia[88], que em sua versão de 2016, traz no Art. 8, do capítulo de ‘Liberdades’, a previsão semelhante ao previsto na Constituição Europeia. Adicionalmente, possui foco na preocupação em relação ao consentimento para o fornecimento dos dados pessoais, assim como o livre acesso aos dados e possibilidade de sua retificação[89], de forma que os indivíduos possuem maior autonomia sobre seus dados pessoais.
Conforme já exposto, além da previsão geral, o tema de proteção de dados é tratado por diretivas e regulamentos específicos. De maneira que é necessário destacar a Diretiva 95/46/CE de 1995[90], que antecedeu o atual Regulamento Geral de Proteção de Dados, e foi revogada em 24/05/2018. A diretiva em comento visava a proteção das pessoas singularmente consideradas, no que diz respeito ao tratamento de dados pessoais e sua livre circulação. Ainda, manifestava a necessidade das liberdades e direitos fundamentais dos indivíduos serem respeitados pelos sistemas de tratamento de dados, para garantir a proteção à vida privada e contribuir para o progresso social e econômico das pessoas.
Com uma série de definições essenciais que visavam padronizar o fluxo de dados e a sua proteção para evitar disparidades entre os países-membros, a diretiva trouxe conceitos como: dados pessoais; tratamento de dados; ficheiro de dados pessoais; responsável pelo tratamento; subcontratante; terceiro; destinatário e consentimento da pessoa em causa.[91] Nesse sentido, tendo em vista as diferenças entre os Estados-membros, principalmente em relação ao nível de proteção de direitos e liberdades das pessoas, a diretiva buscou evitar que houvessem problemas que pudessem impedir a transmissão de dados entre os países, gerando eventuais barreiras em âmbito econômico e comunitário.[92]
Umas das características dessa diretiva é a não proteção do anonimato, pois conforme essa diretiva, a proteção seria aplicável a qualquer informação relativa a uma pessoa identificada ou identificável, considerando o conjunto dos meios utilizados para identificar a pessoa, não importando se fosse pelo responsável pelo tratamento de dados ou outra pessoa. Dessa forma, não estava inserido no âmbito de proteção os dados tornados anônimos. Ademais, não se diferenciava o tratamento manual ou automatizado de dados, pois a proteção de dados não deve depender das técnicas utilizadas, sob pena de conferir licitude a violações de direito pela existência de lacunas.[93]
Um outro aspecto relevante é que o tratamento de dados deve ser lícito e leal, de acordo com as finalidades expressas e consentidas pelo indivíduo possuidor de tais dados, de maneira que os dados somente poderão ser utilizados conforme as finalidades explícitas, legítimas e determinadas quando da coleta de dados.[94] Não eram consideradas compatíveis finalidades definidas em momento posterior ou em termos diversos da coleta inicial de dados. Ainda, em havendo risco para as liberdades fundamentais ou ao direito à privacidade, tais dados somente poderiam ser tratados com o consentimento expresso do indivíduo.[95] Além disso, havia a previsão do direito fundamental ao acesso a dados e informações, o que no ordenamento brasileiro configura-se como habeas data, como o objetivo de assegurar que os dados sejam fidedignos e que haja licitude no tratamento.[96]
Alguns anos após a entrada em vigor da diretiva em comento, foi editado o Regulamento 45/2001, que visava assegurar o estabelecido na Diretiva 95/46/CE, tendo como principal diferencial a criação de uma autoridade independente de controle, a AEPD — Autoridade Europeia para Proteção de Dados.[97] A autoridade independente de proteção de dados da União Europeia, tem como objetivo de controlar a aplicação do regulamento e das diretivas em todas as operações de tratamento de dados, realizadas por instituições e órgãos comunitários.[98]
Visando complementar as normas anteriores, foi editada a Diretiva 2002/58/CE, que teve como principal propósito harmonizar as disposições entre os países-membros da União Europeia, para garantir um nível equivalente de proteção dos direitos e liberdades fundamentais. Nesse sentido, optou-se por privilegiar o direito à privacidade, no que diz respeito ao tratamento de dados pessoais no setor das comunicações eletrônicas. Além disso, objetivava a livre circulação desses dados e de equipamentos e serviços de comunicações eletrônicas na comunidade europeia.[99]
Por fim, temos as decisões de setores técnicos e normativos, que possibilitaram a atuação da autoridade independente mencionada anteriormente. A Decisão 2012/C308/07[100] instituiu a Autoridade de Proteção de Dados (APD), para garantir que os responsáveis pelo tratamento, os coordenadores da proteção de dados e as pessoas em causa sejam informados dos seus direitos e deveres nos termos do Regulamento 45/2001. Este ente auxilia a AEPD — Autoridade Europeia para Proteção de Dados, para assegurar a aplicação dos regulamentos e normativas, inclusive notificando a autoridade das operações de tratamento onde há probabilidade de apresentar riscos específicos, referidas no regulamento.
Ainda, podemos mencionar a Decisão 2013/504/EU[101], que foi proferida no âmbito da Autoridade Europeia de Proteção de Dados, instituindo um regulamento interno para o exercício das suas funções, para cumprir o Regulamento 45/2001. Interessante notar o processo de amadurecimento da entidade, de forma a acompanhar as transformações tecnológicas, conforme aponta Vinícius Borges Fortes[102]:
Essa decisão expressa o compromisso da AEDP no acompanhamento da tecnologia, procurando identificar tendências emergentes com o potencial impacto na proteção de dados, estabelecendo contatos com partes interessadas, acompanhando questões vinculadas ao tema da proteção de dados em projetos importantes, desde o desenvolvimento de tecnologias de proteção à privacidade (privacy by design) bem como da privacidade por padrão (privacy by default), apontando, inclusive, adaptações às metodologias de supervisão à evolução tecnológica […].
Nesse sentido, as constantes evoluções tecnológicas e doutrinárias fizeram com que fosse necessária a atualização da Diretiva 95/46/CE, para que houvesse uma proteção de dados mais coerente com as interações sociais, políticas e negociais dos dias atuais, o que será abordado no tópico seguinte.
3.2.1 Legislação Atual da União Europeia
O Regulamento Geral de Proteção de Dados da União Europeia (RGPD) entrou em vigor no dia 25 de maio de 2018, revogando a Diretiva 95/46/CE, e é relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.[103]
A recente entrada em vigor deste regulamento impactou financeiramente empresas ao redor de todo o mundo, que tiveram dois anos para se adaptar às novas previsões sobre proteção de dados do Regulamento 2016/679.[104] Para operar na União Europeia, é necessário que as empresas cumpram todos os requisitos mínimos para coleta, tratamento, guarda e futuras utilizações dos dados pessoais, preservando ao máximo as finalidades expressas acordadas no momento da coleta dos dados.[105]
Ressalta-se que o Reino Unido possui leis e regulamentos próprios de proteção de dados, e que aplica o sistema da common law, já mencionado nessa pesquisa. Além disso, o Reino Unido atualmente está em um complicado processo de saída da União Europeia, após plebiscito ocorrido em 2016, conhecido como Brexit.[106] O Reino Unido permanecerá formalmente na União Europeia pelo menos até 29 de março de 2019[107], de forma que atualmente, o novo Regulamento Europeu ainda se aplica a esses países.
Quanto à continuidade da aplicação do regulamento com a saída do Reino Unido da comunidade europeia, dependerá dos acordos firmados no procedimento de saída. É possível que os acordos comerciais entre Reino Unido e União Europeia permaneçam em vigor, tendo em vista que o governo do Reino Unido já se manifestou sobre manter a estabilidade da transferência de dados entre membros da comunidade e britânicos[108]. Ademais, o Reino Unido[109] concordou em continuar a contribuir para a comunidade europeia até 2020, o que representa 16% do orçamento anual da União Europeia.[110]
Além disso, o Reino Unido participa do Espaço Econômico Europeu[111], e o RGPD é expressamente aplicável a seus membros, conforme já explicitado na referência da legislação:
REGULAMENTO(UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (Texto relevante para efeitos do EEE) ( grifou-se)[112]
Analisando a conjuntura acima exposta, entende-se ser provável que o Reino Unido permaneça sob a égide do novo Regulamento Geral de Dados Pessoais da Europa, porém somente será possível tal afirmação após a conclusão do procedimento de saída dessa comunidade de países do bloco europeu.[113]
Antes de pormenorizar a análise da legislação em comento, importante destacar que a proteção de dados pessoais é um direito fundamental que se distingue do direito à privacidade, ainda que muito próximos. Igualmente encontra correlação próxima com o os direitos de liberdade de pensamento, consciência e religião; liberdade de expressão; acesso à justiça e de ser julgado obedecendo o devido processo legal.[114]
No entanto, possui elementos que justificam sua proteção individual, confirmados no Art. 8 da Carta dos Direitos Fundamentais da União Europeia[115], quais sejam: que os dados pessoais devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei; o direito de acesso e retificação dos dados coletados e a fiscalização por uma autoridade independente. Tais elementos, da mesma forma, foram positivados no Tratado sobre o Funcionamento da União Europeia (TFUE)[116], no art. 16, e, em ambos ficou determinado que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
Deve se destacar que a própria exposição de motivos do RGPD informa que a proteção de dados se configura como direito fundamental, que deve ser respeitado independente da nacionalidade ou local de residência das pessoas. Ainda, estabelece que o regulamento tem como objetivo contribuir para a efetivação de um “[…] espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares.”[117] O princípio da proporcionalidade igualmente merece destaque, pois que qualquer direito não é absoluto, deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais.[118]
Já no escopo da legislação, importante destacar que o RGPD exclui expressamente do seu escopo de aplicação as atividades de segurança nacional e processamento de dados pessoais relacionadas a União Europeia em questões internacionais e políticas de segurança.[119] A aplicação territorial do regulamento é bastante abrangente. Entende-se, a partir da análise do art. 3 do RGPD que este será aplicável à indivíduos, não importando se cidadãos europeus ou não, que residam no território da União Europeia, mesmo que tais pessoas não estejam fisicamente em algum dos países da comunidade. Além disso, aplica-se aos indivíduos que se encontrarem apenas de passagem ou turismo. Nesse sentido, pesquisadores apontam que:
“A ideia é garantir uma proteção ampla a todos os indivíduos que tiverem seus dados coletados de alguma forma por empresas ou instituições que realizam transferência de dados com organizações europeias, fazendo com que as mesmas prestem contas nesse sentido.”[120]
Assim como a Diretiva revogada, o atual regulamento também traz definições essenciais no art. 4 para que haja uma efetiva proteção de dados, como: dados pessoais; tratamento; limitação de tratamento; definição de perfis; pseudonimização; ficheiro; responsável pelo tratamento; subcontratante; terceiro; destinatário; consentimento; violação de dados pessoais; dados genéticos; dados biométricos; dados relativos à saúde, entre outros.[121]
Cumpre trazer a definição de dados pessoais, que determina a abrangência da proteção pretendida:
Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular;[…][122]
O RGPD está fundamentado em uma série de princípios, previstos no art. 5, quais sejam: licitude, lealdade e transparência; adequação e limitação das finalidades; necessidade ou minimização dos dados; qualidade dos dados ou exatidão; limitação de conservação; segurança, integridade e confidencialidade e princípio da prestação de contas ou responsabilização.[123] Dessa forma, os dados devem ser tratados de forma lícita, leal e transparente e sua finalidade deve ser determinada, explícita e legítima, tendo em vista que não poderão ser tratados de forma incompatível com tais finalidades acordadas anteriormente, com exceções do tratamento posterior para fins de arquivo de interesse público, ou investigação científica, ou histórica, ou estatística.[124]
As informações serão exatas e atualizadas sempre que necessário e poderão ser retificadas ou apagadas. Ademais, devem ser conservados de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados, podendo ser conservados por períodos mais longos apenas nas exceções do parágrafo anterior. Há obrigatoriedade de proteção contra o tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, garantindo a segurança dos dados.[125]
Os princípios da minimização e responsabilização são novidades quando comparadas à Diretiva 95/46/CE. O princípio da minimização determina que os dados pessoais devem ser adequados, pertinentes e limitados em relação aos fins para os quais serão processados. “O objetivo é diminuir a quantidade de dados, coletando apenas aqueles que sejam essenciais para o produto ou serviço ofertado.”[126] Já o princípio da responsabilização aduz que ao serem solicitadas, as organizações demonstrem a eficácia das medidas técnicas e organizacionais que devem ser implantadas. Para tanto, institui-se o controlador de dados, profissional que deverá demonstrar que a organização está em conformidade com os demais princípios do RGDP.[127]
Outro ponto importante é o relativo ao consentimento, previsto no art. 7 do Regulamento. O consentimento deve ser expresso e inequívoco e deve ser demonstrado pelo responsável pelo tratamento. Além disso, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento, de forma simples e rápida. Nesse sentido, o consentimento não poderá ser genérico e nem obrigatório para obtenção de um serviço, se os dados em questão não forem essenciais ao seu funcionamento.[128]
Quanto aos dados sensíveis, o art. 9 prevê que:
É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.[129]
O mencionado artigo ainda prevê dez exceções taxativas à esta proibição, de forma que para tratamento de dados sensíveis, existe uma proteção maior, tanto pelo fato de serem informações intimas, quanto pelo fato de que se combinados, identificarem facilmente o titular. Dessa forma, para serem tratados, os dados sensíveis devem ter o consentimento livre, explícito, inequívoco, informado e específico.[130]
Outrossim, consoante com o art. 12 do Regulamento, a empresa deve especificar de forma clara e inequívoca sobre o uso que se pretende fazer dos dados requeridos. Além disso, consoante o art. 13, os dados fornecidos devem ser somente os essenciais para a finalidade do serviço.[131] Ainda, conforme art. 15, o titular dos dados poderá solicitar todas as informações que a empresa detém sobre sua pessoa, inclusive a finalidade de sua detenção e em quais categorias está inserido, podendo requisitar a retificação de seus dados pessoais e até sua exclusão.[132]
Quando ao ‘direito de ser esquecido’, previsto no art. 17, é certamente controverso. Este artigo prevê que o titular de dados detém o direito inequívoco de apagar seus dados pessoais mediante requisição, conforme hipóteses previstas, como quando os dados pessoais deixaram de ser necessários para a finalidade que motivou sua escola.[133] Não há uma ponderação mais específica quanto ao conteúdo do que se quer apagar, mesmo com a existências das hipóteses de exceção previstas no item 3 do referido artigo. Isso se dá pois é o responsável pelo tratamento que analisará as requisições para apagar os conteúdos. Trata-se de um alargamento do que se entende por direito ao esquecimento, pois não é aconselhável que uma pessoa possa fazer modificações na sua biografia que apaguem acontecimentos e dados relevantes para a sociedade.[134]
Outro direito previsto no Regulamento é o Direito de portabilidade de dados, previsto no art. 20, de forma que agora as pessoas poderão migrar de plataforma se desejarem, sem que precisem reconstruir novamente seu perfil.[135] O art. 25 impõe a privacidade por design e o art. 35 as avaliações de impacto, mudando o paradigma anterior que permitia a coleta de dados sem limites e consequências. Com a nova previsão, ao invés de coletar todos os dados possíveis sem finalidades práticas, agora as empresas são obrigadas a minimizar a coleta e o uso de dados e antecipar potenciais riscos do uso dos dados pessoais.[136]
De acordo com o art. 33, deve haver notificação de violação de dados pessoas à autoridade de controle no prazo de 72 horas de ter tido conhecimento do ocorrido. Apenas será dispensável a notificação no tempo estimado quando a violação não coloque em risco os direitos e liberdades das pessoas envolvidas.[137] Nesse sentido, o art. 83 prevê as condições para imposição de multas relativas ao descumprimento das disposições previstas no regulamento, com valores de até 20 milhões de euros, ou 4% do faturamento anual. Para realizar a fiscalização, o regulamento mantém as autoridades públicas já instituídas pela Diretiva anterior, as Autoridades de Proteção de Dados.[138]
Já no art. 46, o RGPD determina que a transferência de dados para um país terceiro ou organização internacional somente será possível se estes possuírem legislação com garantias adequadas à proteção de dados previstas no Regulamento, o que dificultará atividades econômicas de países que não se adequarem a tais previsões.[139]
O Regulamento Geral de Proteção de Dados da União Europeia é um marco histórico para a proteção de dados pessoais, tendo em vista que sua entrada em vigor gerou consequências, notadamente econômicas e legislativas em todo o mundo.
4 CAPÍTULO III — Análise da Lei nº 13.709/2018 de PROTEÇÃO DE DADOS PESSOAIS NO BRASIL
4.1.1 Análise das leis esparsas sobre proteção de dados pessoais
A Constituição Federal possui alguns dispositivos que abordam a privacidade e proteção de dados, mas sem uma previsão geral. São os incisos X, XI, XII e LXXII do art. 5, inseridos no capítulo de direitos e garantias fundamentais. Tais incisos estabelecem a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas; da casa; da correspondência, comunicações telegráficas e telefônicas e dos dados. Ainda, há o direito de conhecimento de informações pessoais que forem de caráter público, assim como de retificação de dados, conhecido como habeas data.[140]
Uma lei avançada na proteção de direitos no Brasil é o Código de Defesa do Consumidor — CDC, que no seu art. 43 dispõe sobre a obrigatoriedade no acesso do consumidor “às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.”[141] Essas informações devem ser objetivas, claras, verdadeiras e em linguagem de fácil compreensão.
Ainda, o CDC[142] garante que informações negativas sobre o consumidor não serão mantidas no cadastro após o prazo de 5 anos e que caso ocorra o prazo prescricional da cobrança de débitos, essas informações negativas não serão mais fornecidas pelo Sistema de Proteção ao Crédito. Além disso, o consumidor poderá exigir a imediata correção de dados e cadastros com informações inexatas sobre sua pessoa, que deverá ser realizado no prazo de 5 dias úteis.[143]
Nesse sentido, qualquer abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada ao consumidor, quando não solicitada por ele. Uma disposição relevante é que “os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público.”[144]
O Código Civil, no capítulo dos direitos da personalidade, dispõe em seus artigos 11 e 12 que os direitos da personalidade são intransmissíveis e irrenunciáveis, não podendo o seu exercício sofrer limitação voluntária, podendo exigir que cesse ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, inclusive de pessoa falecida.[145]
Nesse sentido, válido reportar-se à questão dos dados sensíveis, previsto no art. 9 do RGPD, mencionado no capítulo anterior, que diz respeito a proibição de tratamento de dados que identifiquem inequivocamente uma pessoa, de forma que somente poderão ser tratados conforme exceções específicas e mediante consentimento livre, explícito, inequívoco, informado e específico.[146]
Outrossim, a lei 10.406/02 prevê no art. 20 que:
Salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais.[147]
Nessa esteira, dispõe o art. 21 que “a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma.”[148]
Os direitos fundamentais não possuem hierarquia e devem ser sempre analisados diante do caso concreto, já que nenhum direito deve ser considerado absoluto. No caso dos dois artigos acima, interessante mencionar a decisão da Suprema Corte brasileira, que na ADIN 4815 decidiu que não seria necessário consentimento da pessoa biografada nem de coadjuvantes para serem retratadas em obras biográficas literárias ou audiovisuais.[149] A argumentação utilizada na decisão foi no sentido de interpretar os artigos 20 e 21 do Código Civil em consonância com os direitos fundamentais à liberdade de pensamento e de sua expressão, de criação artística e produção científica.[150]
Destaca-se igualmente a o Decreto 6.523/08 que regulamentou o Serviço de Atendimento ao Consumidor, previsto no Código do Consumidor (Lei 8.078/90), e em seu art. 11 prevê que os dados pessoais do consumidor serão preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento.[151]
Ainda no âmbito do consumidor, a lei 12.414/11, do Cadastro Positivo, disciplina a formação e consulta a bancos de dados com informações de adimplemento de pessoas naturais ou de pessoas jurídicas para formação de histórico de crédito, sem prejuízo do disposto no Código de Defesa do Consumidor.[152] Nessa lei, pode-se ressaltar o art. 3 caput e § 1, que tratam da possibilidade dos bancos de dados armazenarem as informações de adimplemento do cadastrado para a formação do histórico de crédito, desde que estas sejam essenciais para a avaliar a situação econômica do cadastrado e sejam objetivas, claras, verdadeiras e de fácil compreensão.[153] Além disso, destaca-se o art. 5 que versa sobre os direitos do cadastrado como: cancelamento do cadastro; acesso gratuito às suas informações; solicitar impugnação de qualquer informação errada constante no banco de dados e em até 7 dias ter sua correção ou cancelamento realizada.[154]
O consumidor tem direito de conhecer os principais elementos e critérios considerados para a análise de risco e ser informado previamente sobre o objetivo do tratamento dos dados pessoais e os destinatários dos dados em caso de compartilhamento.[155] Dessa forma, o cadastrado poderá solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados e ter os seus dados pessoais utilizados somente de acordo com a finalidade para a qual eles foram coletados.[156]
Já o art. 9 dispõe que o compartilhamento de informação de adimplemento somente é permitido se autorizado expressamente pelo cadastrado, por meio de assinatura em instrumento específico ou em cláusula apartada.[157] Nesse sentido, a análise dos principais dispositivos desta lei demonstra que ela está em consonância com as legislações mais protetivas de dados como o RGPD no art. 5[158], pois consagra os princípios como adequação e limitação das finalidades, transparência e minimização dos dados.
Outra legislação que disciplina o CDC é o Decreto 7.692/13, que versa sobre a contratação no comércio eletrônico. Nesse decreto, pode-se destacar o art. 4 inc VII, que determina que os sítios eletrônicos ou outros meios eletrônicos deverão utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor.[159]
Já a Lei 12.527/11, Lei de Acesso à Informação, tem como objetivo regulamentar o acesso a informação pública de forma transparente. Nessa legislação ressalta-se o art. 4, que define conceitos chave como informação, que são os dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato.[160]
Outras duas conceituações importantes são de informação pessoal, definida como aquela relacionada à pessoa natural identificada ou identificável; e tratamento de informação, considerada como o conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação[161]. O art. 31 igualmente se mostra relevante, pois define que o tratamento de informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais. Ainda, delimita que o acesso a essas informações deverá ser restrito e protegido, a não ser que haja consentimento expresso e em casos específicos.[162]
A lei mais recente que aborda de alguma forma a proteção de dados pessoais é o Marco Civil da Internet (MCI), Lei 12.965/14. O objetivo desta norma é estabelecer princípios, garantias, direitos e deveres para o uso da internet no Brasil[163]. Dessa forma, antes de qualquer análise, necessário estabelecer que o MCI não é uma norma geral sobre proteção de dados pessoais. Nem todas suas disposições são protetivas, além de não garantirem a privacidade e proteção de dados de forma abrangente, completa e estruturada.[164]
Dito isto, necessário pontuar algumas disposições que versam sobre proteção de dados e privacidade, a começar pelo art. 3, incisos II e III, que elencam a proteção da privacidade e proteção de dados pessoais, na forma da lei, como princípios basilares do uso da internet no Brasil.[165] A lei geral de proteção de dados pessoais ainda não está em vigor, mas foi sancionada recentemente e será objeto de detalhamento neste trabalho.[166]
Na sequência, importante mencionar o art. 7, que dispõe sobre os direitos dos usuários da internet. Destaca-se os incisos I, II e III que garantem a inviolabilidade da intimidade e da vida privada; inviolabilidade e sigilo do fluxo de comunicações pela internet e das comunicações privadas armazenadas.[167] O inciso VII garante o direito ao não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.[168] Já o inciso VIII determina que o usuário tem direito a informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção dos seus dados pessoais, com finalidades limitadas: que justifiquem sua coleta, não sejam vedadas pela legislação e estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet.[169]
Os incisos IX e X trazem direitos muitos importantes, que versam sobre consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais e sobre a exclusão definitiva de dos dados pessoais fornecidos, a requerimento do interessado, salvo exceções previstas em lei.[170] Destaca-se que o MCI previu um direito essencial aos usuários da internet em seu art. 8, determinando que o pleno exercício do direito de acesso à internet só é garantido quando há respeito ao direito à privacidade e à liberdade de expressão nas comunicações, sendo nulas de pleno direito as cláusulas contratuais que violem tal disposição.[171]
A seção II do Marco Civil da Internet abrange a proteção aos registros, aos dados pessoais e às comunicações privadas. Destaca-se que o art. 10 definiu que guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata o MCI, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.[172] Já o art. 15 determina que o provedor de aplicações de internet deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses.[173]
No decreto regulamentador do MCI, Decreto 8.771/16, tem-se o art. 13, que dispõe sobre o padrão de segurança que os provedores de conexão e aplicação devem observar na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas. O art. 14 traz duas definições importantes, de dados pessoais e tratamento de dados pessoais. O dado pessoal é definido como “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”[174] e tratamento de dados pessoais como:
toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.[175]
Nesse sentido, as leis apresentadas dispõem sobre proteção de dados e privacidade de forma setorizada. Nota-se uma proteção maior na área consumerista, com diversas legislações para regulamentar o CDC. Além disso, o Marco Civil da Internet e seu decreto regulamentador trouxeram diversas inovações positivas para que a internet tivesse, no Brasil, uma regulamentação geral, incluindo dispositivos protegendo a privacidade e dados pessoais.
No entanto, nenhuma dessas leis cria um ambiente seguro para tratamento de dados no Brasil, tendo em vista que não se propõe a regulamentar a proteção de dados pessoais de forma abrangente. Dessa forma, para cobrir o lapso legal, foi sancionada a lei nº 13.709/2018 que é a Lei Geral de Proteção de Dados do Brasil[176], e será analisada no tópico a seguir.
4.2 Análise da Lei nº 13.709/2018 de Proteção de Dados Pessoais no Brasil
O PLC 53/2018, aprovado pelo Senado Federal[177], é fruto de intenso debate multisetorial, elaborado no interior do Ministério da Justiça, no âmbito da Secretaria Nacional de Defesa do Consumidor (SENACON), a partir de diversas consultas públicas online que envolveram empresas, governos e a sociedade civil organizada.[178] Haviam outros três projetos sobre proteção de dados pessoais tramitando em conjunto, os PLS 131/2014, PLS 181/2014 e PLS 330/2013, que foram rejeitados pelo relator, na Comissão de Assuntos Econômicos (CAE).[179] Esse projeto foi escolhido por ser mais completo e ter sido amplamente discutido.[180] A proposta seguiu em caráter de urgência para o Plenário do Senado.[181] O projeto de lei foi sancionado em 14/08/2018 pelo presidente Michel Temer, com alguns vetos que serão abordados a seguir, e agora atende pela Lei nº 13.709/2018 — Lei Geral de Proteção de Dados — LGPD.[182]
De início, necessário comentar que a lei nº 13.709/2018[183], que entrará em vigor em 18 meses conforme previsto em seu art.65, protegerá os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, dispondo sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.[184] Consoante o art.3, a lei será aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados. Nesse escopo, o tratamento dos dados deverá ser no território nacional; o objetivo comercial deverá ser para indivíduos localizados no Brasil e os dados pessoais devem ser coletados no país. Destaca-se que se consideram coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.[185]
O art. 4 lista as hipóteses em que a lei não será aplicável, como: tratamento realizado por pessoa natural para fins exclusivamente pessoais; para fins exclusivamente jornalísticos, artísticos, literários ou acadêmicos e tratamentos para fins exclusivos de segurança pública, defesa nacional, segurança do estado, ou atividades de investigação e repressão de infrações penais.[186] Quanto à exclusão da segurança pública do escopo de aplicação, merece atenção a crítica de Veridiana Alimonti:
[…]importa lembrar que de acordo com o atual projeto de lei, boa parte de suas regras não será aplicada ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Tal exceção, além de se referir a termos vagos como “segurança do Estado”, o que pode levar a criação de complexos sistemas de vigilância à margem da lei, diz respeito justamente a uma das principais fontes de tratamento abusivo e discriminatório de dados pessoais. Por isso, também o tratamento de dados para fins de segurança pública e inteligência deveria ser abarcado por toda a disciplina prevista no PL.[187]
O art. 5 traz definições importantes para uma efetiva proteção de dados, quais sejam: dado pessoal; dados sensíveis; dados anonimizados; banco de dados; titular; responsável; operador; encarregado; agentes do tratamento; tratamento; anonimização; consentimento; bloqueio; eliminação; transferência internacional de dados; uso compartilhado de dados; relatório de impacto à proteção de dados pessoais; órgão de pesquisa e órgão competente.[188] Assim sendo, relevante a semelhança entre os conceitos já abordados dos artigos 4 e 9 do RGPD, notadamente os conceitos de dados pessoais, dados sensíveis e consentimento.[189]
Dessa forma, cumpre destacar o conceito de dados pessoais, pois que define a abrangência da proteção pretendida: “dado pessoal: informação relacionada à pessoa natural identificada ou identificável”.[190] Percebe-se que se trata da mesma definição do RGPD[191], de forma que não se protege o anonimato, apenas dados pessoais de pessoas que possam ser identificadas.
Nesse sentido, os dados anonimizados serão considerados dados pessoais quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido, consoante o art. 12. A razoabilidade em questão deve ser objetiva, e também serão considerados dados pessoais aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada.[192]
Quanto aos princípios, dispõe o art. 6 que as atividades de tratamento de dados pessoais deverão observar a boa-fé e princípios da finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; segurança; prevenção; não discriminação; responsabilização e prestação de contas.[193] Destaca-se a semelhança inovadora e positiva com os princípios previstos no RGDP[194], de modo que o tratamento dos dados somente se dará com propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades e que o tratamento deverá ser compatível com o objetivo final informado.[195] Ressalta-se a semelhança do princípio da minimização do RGPD[196] e o da necessidade da lei nº 13.709/2018[197], que prevê a limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
O tratamento de dados pessoais somente poderá ser realizado nas hipóteses previstas no art. 7, como: consentimento livre e inequívoco; cumprimento de uma obrigação legal pelo responsável; pela administração pública exercício de direitos ou deveres; pesquisa histórica, científica ou estatística; para a proteção da vida e tutela da saúde; necessário para a execução de um contrato; exercício regular de direitos em processo judicial ou administrativo; e se necessário para atender aos interesses legítimos do responsável.[198]
O consentimento é essencial para que haja a autodeterminação informativa, de modo que as pessoas sejam efetivamente donas de seus dados pessoais, conforme dispõe o art. 17 da lei nº 13.709/2018.[199] Dessa forma, o art. 11, que trata de dados sensíveis, estabelece sua proteção e vedação do tratamento, a não ser que haja consentimento específico para finalidades específicas ou sem consentimento, mas apenas nas hipóteses taxativas do artigo, como cumprimento de obrigação legal pelo responsável; proteção da vida ou da incolumidade física do titular ou de terceiro e tutela da saúde, entre outros.[200]
Essa proteção se justifica no fato que as informações utilizadas livremente vão contra todos os princípios asseguradores da dignidade humana, da liberdade, da privacidade e da proteção de dados, estabelecidos nas mais diversas legislações, consoante abordado anteriormente. Além de objetivos eleitorais, os dados sensíveis hoje são utilizados para finalidades que podem impactar diretamente na classificação de alguém para a realização de atividades como: obtenção de crédito, aquisição de seguro, compra de produtos e entrada em um posto de trabalho.[201]
Ainda sobre consentimento, o art. 8 prevê que o consentimento livre, informado e inequívoco para tratamento de dados sensíveis deverá ser destacado das demais cláusulas, não podendo ser genérico. Havendo alterações nas informações sobre o tratamento de dados, conforme art. 9, o responsável deverá informar ao titular para obter novo aceite.[202] Tais informações deverão ser disponibilizadas de forma clara, adequada e ostensiva, noticiando: a finalidade específica do tratamento; sua forma e duração, observados os segredos comercial e industrial; identificação do responsável; informações de contato do responsável; informações acerca do uso compartilhado de dados pelo responsável e a finalidade; responsabilidades dos agentes que realizarão o tratamento e direitos do titular.[203]
O legítimo interesse está previsto o art.7, inc IX e encontra regras de aplicação no art.10.[204] Desse modo, conforme explica Laura Mendes, “a hipótese de tratamento de dados pessoais baseada nos interesses legítimos do responsável ou de terceiro é relevante ao reconhecer que outras partes — além do próprio titular — podem ter interesses protegidos juridicamente no processamento, uso ou circulação de determinadas informações.”[205]
Entretanto, não significa uma autorização para realização de qualquer tratamento de dados sem critério, já que o próprio art. 7, inc IX excepciona a sua utilização no caso de prevalecerem interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Ademais, o art. 10 traz requisitos para o uso, como a aplicação do princípio da necessidade, somente podendo ser tratados os dados estritamente necessários para a finalidade pretendida.[206]
No que diz respeito ao uso compartilhado de dados pessoais pelo poder público, o artigo 26 determina que deve atender finalidades específicas de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas. Ressalta-se que fica vedado o compartilhamento dos dados pessoais para entidades privadas.[207]
O art.7 § 4 traz disposição sobre a dispensa do consentimento para dados tornados manifestamente públicos pelo titular, tendo gerado intensos debates durante o período de consulta pública.[208] Se por um lado, o consentimento é dispensado, por outro, todas as demais normas relativas à proteção de dados são aplicáveis, inclusive os princípios da finalidade, adequação e não discriminação.[209] Ademais, o Marco Civil já estabelece a necessidade de expressa autorização do titular dos dados no caso de transferência a terceiros e, de igual forma, a obrigação de respeitar a finalidade informada e autorizada no momento da coleta. O ponto central é que dados públicos não deixam de ser dados pessoais e devem ser protegidos como tal.[210]
Em menor grau que o direito ao apagamento do art.17 do RGPD[211], a lei nº 13.079 traz no art. 18 direitos do titular de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei.[212] Necessário que haja sempre ponderação de interesses no caso concreto para que não haja restrições ou eliminação de informações que devem continuar sendo públicas.[213]
Por fim, em relação ao órgão competente, previsto no art. 53[214], especialistas[215] entendem que este deve ser de fato independente e ter estrutura própria para que, de fato, possa fiscalizar a aplicação da lei geral de proteção de dados.[216]
Conforme já mencionado, a Lei nº 13.709/2018[217] foi sancionada com alguns vetos. Foram vetados os artigos 23, inc II; 26,§1º inc II; 28 ;52 incs VII,VIII e IX e dos artigos 55 ao 59. Segundo especialistas como Marcelo Crespo, se analisados sob o viés político, os vetos são uma forma de dar maior segurança ao governo, porém não impediriam o funcionamento da administração pública.[218]
O primeiro veto diz respeito ao inc II do art. 23 da lei, que dispunha:
II — sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, nos termos da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado; [219].
A razão para o veto menciona que algumas atividades e políticas públicas seriam inviabilizadas com essa vedação.[220] Segundo o Instituto Brasileiro de Defesa do Consumidor — IDEC, a consequência prática é que o poder público não está mais obrigado a proteger dados pessoais de requerentes de informações, além de podem compartilhar essas informações no próprio poder público e até empresas.[221]
Já no art. 26 que versa sobre o uso compartilhado de dados pessoais pelo Poder Público, tem no seu parágrafo primeiro exceções que permitem ao Poder Público transferir dados pessoais para entidades privadas[222], e teve o veto no seguinte dispositivo: “II — quando houver previsão legal e a transferência for respaldada em contratos, convênios ou instrumentos congêneres;”. O Poder Público argumenta que tal dispositivo igualmente inviabilizaria o funcionamento da Administração Pública tendo em vista a cumulatividade de previsões para o compartilhamento de dados pessoais entre o Poder Público e entidades privadas.[223] Segundo o IDEC, o veto foi positivo, pois impediu que haja o compartilhamento de dados do poder público em casos de convênio ou outros instrumentos.[224]
O art.28 foi vetado integralmente e previa:
Art. 28. A comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade, nos termos do inciso I do caput do art. 23 desta Lei.[225]
A razão do veto diz respeito a possibilidade de que a publicidade irrestrita da comunicação ou do uso compartilhado dados pessoais entre órgãos e entidades de direito público inviabilizasse o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa.[226]Segundo o IDEC, a consequência do veto é que o Poder Público deixa de publicizar o uso compartilhado de dados pessoais dentro do Estado, tornando-o desconhecido da população.[227]
O art. 52 versa sobre as sanções administrativas e seus incisos VII, VIII e IX foram objeto de veto:
VII — suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador;
VIII — suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
IX — proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A justificativa do Poder Público é no sentido de que as sanções administrativas vetadas podem gerar insegurança aos responsáveis por essas informações, bem como inviabilizar a utilização e tratamento de bancos de dados essenciais a diversas atividades, como por exemplo as das instituições financeiras. [228] O IDEC entende que o veto nesse caso fragilizou o sistema sancionatório da LGPD.[229]
Por fim, foram vetados todos os artigos (55 ao 59) relativos a Autoridade de Proteção de Dados Pessoais. A razão do veto é que os dispositivos teriam incorrido em inconstitucionalidade do processo legislativo, por afronta ao art. 61, §1º, II, “e” cumulado com o art. 37, XIX da Constituição Federal.[230] Segundo o IDEC, a eliminação da Autoridade de Proteção de Dados pessoais, responsável pela aplicação da legislação tem como consequência prejudicar o real impacto da lei, tendo em vista que não haverá, em princípio, reguladores com expertise e estrutura administrativa para monitoramento das práticas de mercado e de práticas ilegais de uso de dados pessoais pelo Poder Público. Além disso, muda-se a composição do conselho diretor, e não há menção sobre o papel da educação ou de promoção de políticas públicas sobre educação digital ou uso de dados pessoais. Ainda, há a preocupação que com a edição de novo projeto de lei ou medida provisória versando sobre o tema, haja a modificação de seus termos. [231]
4.3 Privacidade, Dados Pessoais e a necessidade de protegê-los
Convém destacar a diferença entre privacidade, vida privada e intimidade. Segundo Danilo Doneda, diversas são as terminologias para tratar de privacidade, tanto na doutrina nacional, quanto internacional, tendo como exemplo os termos: vida privada, intimidade, segredo, sigilo, recato, entre outros[232].
Ainda, segundo o autor, “[…] na ‘vida privada’ encontramos o discurso que proclama a distinção entre as coisas da vida pública e as da vida privada, no estabelecimento de limites, numa lógica que também é de exclusão.”[233] Por outro lado, o conceito de intimidade “[…] aparenta referir-se a eventos mais particulares e pessoais, a uma atmosfera de confiança.[…]”[234] Nesse sentido, o conceito de intimidade se aproxima bastante do que se entende pelo direito de ser deixado em paz, cuja concepção está no reconhecimento do right to be alone pelos norte-americanos.[235] Já a privacidade, conforme Stefano Rodotà é “[…] o direito de manter controle sobre as próprias informações […]”[236]. O mesmo autor, em sua obra sobre a sociedade de vigilância, entende que a “privacidade pode ser identificada como a ‘tutela das escolhas da vida contra toda forma de controle público e de estigmatização social’”[237].
Outrossim, diante da pluralidade de terminologias e autores, adotar-se-á um conceito amplo de privacidade, para determinar a proteção do direito fundamental à proteção da vida privada e intimidade, assim como a inviolabilidade de dados pessoais, inclusive no âmbito da internet.[238]
Os direitos fundamentais são acompanhados de bens fundamentais, dentre os quais, segundo o autor Luigi Ferrajoli estariam os ‘bens personalíssimos’, que são universais e não podem ser considerados como apenas direitos patrimoniais.[239] Desse modo, a privacidade e a decorrente proteção de dados pessoais, por serem personalíssimos e não admitirem a alienação, conforme abordado anteriormente, merecem a proteção dada aos direitos fundamentais.[240] Assim sendo, entende Danilo Doneda:
[…] a proteção de dados pessoais é uma garantia de caráter instrumental, derivada da tutela de privacidade, porém não limitada a esta, e que faz referência a um leque de garantias fundamentais que se encontram no ordenamento jurídico brasileiro […].[241]
À época da exposição dos motivos do Marco Civil da Internet, em 2011, o referido documento já mencionava a necessidade de normatização específica para a proteção de dados, pois a sua ausência geraria um risco de aprovação desarticulada de propostas normativas especializadas, o que prejudicaria o tratamento harmônico da matéria. Além disso, a não existência da lei geral de proteção de dados em vigor traz uma grande insegurança jurídica, já que não há um padrão na jurisprudência sobre o tema. Há igualmente o risco de violação dos direitos dos usuários da internet por práticas e contratos livremente firmados sem balizas e fiscalização adequada.[242] A Lei Geral de Proteção de Dados do Brasil foi sancionada com vetos[243], conforme abordado anteriormente, e, entrará em vigor em 18 (dezoito) meses, consoante art.65 da LGPD.[244]
À parte das legislações nacionais, diversas resoluções e declarações internacionais versam sobre a proteção da privacidade e dados pessoais. Destaca-se a Resolução nº 69/166 de 2014 emitida pela Assembleia Geral das Nações Unidas[245], pois contou com a participação ativa do Brasil e da Alemanha para que fosse constituída uma relatoria especial do Conselho de Direitos Humanos para acompanhamento das questões relacionadas às violações ao direito humano à privacidade em âmbito global, como seguimento ao estabelecido na resolução em apreço.[246] A Resolução assinala que pelo fato da internet ser aberta e global, e do rápido desenvolvimento das tecnologias de informação e comunicação, os governos, organizações empresariais e indivíduos têm uma maior capacidade de realizar vigilância, interceptação e coleta de dados, tendo como consequência direta a ocorrência de abuso dos direitos humanos[247], especial o direito à privacidade, protegido pelo art.12 da Declaração Universal dos Direitos Humanos de 1948[248] e pelo art. 17 do Pacto Internacional sobre Direitos Civis e Políticos de 1966[249]. Além disso, os artigos 5, 9 e 10 da Declaração Americana dos Direitos e Deveres do Homem de 1948, visam preservar a privacidade, versando sobre o direito a honra, da reputação pessoal e da vida particular e familiar e direito à inviolabilidade do domicílio.[250] Ademais, no art.11 da Convenção Americana de Direitos Humanos de 1969, há a previsão de proteção da honra e dignidade. [251]
Em 1980, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) publicou Diretrizes relativas à política internacional sobre a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais[252], que consagraram os princípios de regulação de dados pessoais, com o objetivo de sugerir a harmonização das legislações nacionais de seus membros em matéria de privacidade, a saber: (1) limitação de coleta; (2) qualidade dos dados; (3) definição da finalidade; (4) limitação de utilização; (5) cópia de segurança; (6) abertura; (7) participação do indivíduo; e (8) responsabilização[253]. Em 1990, a Assembleia Geral da ONU aprovou a Resolução 45/95 de princípios para a proteção de informações pessoais mantidas em bancos de dados computadorizados.[254] As diretrizes destacam seis princípios básicos de proteção de dados pessoais baseados em práticas de informação justa, ou seja aquela que respeita os princípios de tratamento como finalidade, adequação e necessidade, por exemplo.[255] Ainda, em 2012 o Comitê Jurídico Interamericano, ligado a Organização dos Estados Americanos (OEA), lançou um documento chamado “Proposta de Declaração de Princípios para a Privacidade e Proteção a Dados Pessoais na América”, que reúne 12 princípios fundamentais que devem delinear a elaboração de leis e práticas nacionais.[256]
Nesse cenário, direito à privacidade e à liberdade de expressão devem ser conjugados, para que as pessoas possam agir livremente dentro dos limites legais, porém sem que sejam tolhidas por um estado permanente de vigilância.[257] Desse modo, estudo de 2012 da Comissão Europeia, em uma avaliação recente sobre seu regime de proteção de dados, constatou que a privacidade e proteção de dados pessoais:
[…] têm um papel chave para o exercício de direitos fundamentais em um sentido mais amplo. Muitas das liberdades fundamentais só podem ser plenamente exercidas se o indivíduo está assegurado de que não é objeto de vigilância permanente e observação por autoridades e outras organizações poderosas. Liberdade de pensamento, liberdade de expressão, liberdade de assembleia e associação, mas também liberdade de conduzir um negócio não serão exercidas plenamente por todos os cidadãos em um ambiente em que o indivíduo sinta que cada um dos seus movimentos, atos, expressões e transações estão sujeitos ao escrutínio de outros que tentam controlá-lo. O exercício dessas liberdades é crucial para a manutenção dos direitos fundamentais.[258]
Não se pode olvidar as legislações internacionais anteriormente abordadas, notadamente o RGPD europeu, que demonstra a necessidade de proteção da privacidade e dados pessoais, ao criar regras que geram consequências mundiais.[259] No Brasil, a Lei Geral de Proteção de Dados[260], poderá vir a ser um importante marco na proteção da privacidade e dados pessoais no país, pois que dispõe sobre diversas regras protetivas à privacidade e aos dados pessoais.
No entanto, anteriormente à sanção presidencial da lei e o veto aos artigos que mencionavam a autoridade de proteção de dados, já havia preocupação sobre a possibilidade de veto à criação de uma autoridade independente e autônoma que teria como principal função garantir o cumprimento da lei.[261] Segundo Bruno Bioni, “a existência de uma autoridade faz parte de uma estratégia que existe na hora de criar leis que versam sobre tecnologia — um cuidado para a lei não ter prazo de validade.”[262] Ainda, segundo o especialista em proteção de dados:
É preciso construir um texto que seja atemporal, imune ao desenvolvimento tecnológico (…) para isso, utiliza-se conceitos abertos no texto, e a autoridade é responsável por calibrá-los e tangibilizá-los ao longo do tempo”.[263]
No mesmo sentido, entende Ronaldo Lemos que um dos papéis da agência é “interpretar a lei, definindo seus parâmetros de aplicação e resolvendo suas muitas dúvidas e incertezas.”[264] Desse modo, segundo o advogado, a autoridade de proteção de dados funciona como centro de controle, essencial para que a lei seja efetiva, sob pena de ter sido criada uma lei que cria pesadas obrigações jurídicas, mas não possui uma entidade para uniformizar a sua aplicação, gerando uma enorme insegurança jurídica.[265] Além disso, conceitos como legítimo interesse continuarão indeterminados e há um grande risco da LGPD brasileira não ser reconhecida como compatível com o RGPD europeu, o que trará entraves para o livre fluxo internacional de dados[266]. Há informações do governo que a autoridade seria recriada por meio de projeto de lei ou medida provisória, mas não há garantias que isto ocorra na prática e nos mesmos termos.[267]
Outrossim, os diretos à privacidade e proteção de dados pessoais são direitos fundamentais. Logo, após intenso debate a Lei Geral de Proteção de Dados brasileira traz previsões protetivas, pertinentes e atuais para a privacidade e dados pessoais dos indivíduos, com inspiração no RDGP europeu. Consoante explicitado, é necessário que haja uma autoridade autônoma e independente para que a lei seja efetivada e respeitada internacionalmente.
5 CONCLUSÃO
O trabalho ora apresentado pretendeu demonstrar, através da análise fática do uso de big data nas eleições americanas de 2016 e das legislações internacionais e nacionais, a mudança do paradigma da privacidade e da proteção de dados pessoais, de forma a demonstrar a crescente importância da proteção destes direitos fundamentais.
O Capítulo I explicitou a situação fática em que os dados pessoais foram coletados para serem usados na campanha do então candidato Donald Trump e trouxe conceitos da ciência da computação, psicologia e marketing eleitoral para que restasse claro que as rápidas transformações tecnológicas condicionaram a mudança da forma em que as pessoas consomem informações, levando a uma modificação natural na maneira em que se fazem as campanhas eleitorais, de modo que o objetivo atual é conhecer o indivíduo e suas preferências para entender se há possibilidade do convencimento pelo candidato. Logo, torna-se essencial a análise do maior número de dados possível, o que gera o dilema sobre a licitude da coleta e análise.
Já no Capítulo II, essa pesquisa buscou analisar a legislação sobre de privacidade e proteção de dados pessoais dos Estados Unidos e da União Europeia de forma bem abrangente, principalmente em relação ao RGPD para apresentar um panorama internacional sobre o tema.
No Capítulo III, o trabalho procurou analisar as leis esparsas sobre proteção de dados pessoais no Brasil e pormenorizadamente a recente Lei Geral de Proteção de Dados — Lei nº 13.709/2018, identificando os pontos principais e semelhanças com o RGPD, além de comentar sobre os vetos e suas implicações. Por fim, objetivou-se trazer no contexto global e brasileiro a importância da privacidade e dados pessoais e de sua proteção.
Quanto às indagações propostas, esta pesquisa entendeu que o uso do big data foi essencial e definiu o resultado das eleições americanas de 2016, pois sagrou-se vitorioso o candidato que tinha acesso a mais dados e realizou uma micro-segmentação mais eficiente, atingindo os eleitores simpatizantes à sua agenda. Em relação à permissão ou não do uso de big data em eleições, a conclusão é no sentido que respeitados os ditames legais, e havendo consentimento expresso e inequívoco, é possível o uso de big data em eleições.
Notadamente, pela análise das legislações internacionais, principalmente europeias e brasileiras, percebe-se ao longo do tempo ocorreu uma maior preocupação legislativa em relação aos direitos da privacidade e proteção de dados pessoais.
Essa pesquisa entendeu pela necessidade de uma legislação específica para proteção de dados no Brasil, como a recém sancionada LGPD, confirmando as indagações, de forma que a análise de dados pessoais não possa ser usada de forma tendenciosa em eleições, que os eleitores possam escolher os candidatos de forma mais consciente e que os cidadãos tenham sua vida privada protegida.
Por fim, espera-se que haja efetividade na aplicação da Lei Geral de Proteção de Dados, com a criação da Autoridade Nacional de Proteção de Dados autônoma e independente, sob pena de tornar-se uma lei custosa e ineficiente, diante de falta de um órgão especializado e estruturado para lidar com demandas específicas.
6 REFERÊNCIAS BIBLIOGRÁFICAS
ABELLÁN, Lucía. O duro ajuste de contas pós-Brexit. EL PAÍS. Disponível em: <https://brasil.elpais.com/brasil/2017/11/15/internacional/1510774919_930661.html>. Acesso em: 1 jul. 2018.
ALIMONTI, V. Big data: quais proteções os titulares de dados têm a sua disposição? Semana Especial Proteção de Dados Pessoais. InternetLab. Disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>. Acesso em: 2 jul. 2018.
ALIMONTI, V. O que são dados públicos? Semana especial Proteção de Dados Pessoais. InternetLab. Disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>. Acesso em: 2 jul. 2018.
ANTONIUTTI, Cleide Luciane. Usos do big data em campanhas eleitorais. 2015. 270 f. Tese (Doutorado em Ciência da Informação) — Programa de pós-Graduação em Ciência da Informação, Instituto Brasileiro de Informação em Ciência e Tecnologia, Escola de comunicação, Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2015.
ARTIGO 19. Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional. ARTIGO 19. Disponível em: <http://artigo19.org/wp-content/blogs.dir/24/files/2017/01/Prote%C3%A7%C3%A3o-de-Dados-Pessoais-no-Brasil-ARTIGO-19.pdf>. Acesso em: 2 jul. 2018.
ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS. Declaração Universal dos Direitos Humanos. Disponível em: <http://www.onu.org.br/img/2014/09/DUDH.pdf>. Acesso em: 22 jul. 2018.
ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS. Diretrizes para a regulação de arquivos de dados pessoais computadorizados. res. 45/95. Disponível em: <http://www.un.org/documents/ga/res/45/a45r095.htm>. Acesso em: 1 ago. 2018.
ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS. International Covenant on Civil and Political Rights. Disponível em: <https://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx>. Acesso em: 22 jul. 2018.
ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS. Res. 69/166 The right to privacy in the digital age, de 2014. Disponível em: <http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/69/166>. Acesso em: 31 jul. 2018.
BERCITO, Diogo. Nova regra de privacidade online na Europa entra em vigor hoje. Folha de S.Paulo. Disponível em: <https://www1.folha.uol.com.br/mercado/2018/05/nova-regra-de-privacidade-online-na-europa-entra-em-vigor-hoje.shtml>. Acesso em: 25 jul. 2018.
BESSI, Alessandro; FERRARA, Emilio. Social bots distort the 2016 U.S. Presidential election online discussion. First Monday, v. 21, n. 11, 2016. Disponível em: <http://firstmonday.org/ojs/index.php/fm/article/view/7090>. Acesso em: 20 ago. 2018.
BRASIL. Ação Direta de Inconstitucionalidade (Med Liminar) -4815. Disponível em: <http://www.stf.jus.br/portal/peticaoInicial/verPeticaoInicial.asp?base=ADIN&s1=4815&processo=4815>. Acesso em: 4 jul. 2018.
BRASIL. Código Civil. Disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/2002/l10406.htm>. Acesso em: 4 jul. 2018.
BRASIL. Código de Defesa do Consumidor. Disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/l8078.htm>. Acesso em: 4 jul. 2018.
BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm>. Acesso em: 3 jul. 2018.
BRASIL. Decreto 6.523/08 — Regulamenta o Serviço de Atendimento ao Consumidor — SAC. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/decreto/d6523.htm>. Acesso em: 4 jul. 2018.
BRASIL. Decreto 7.962/13 — Regulamenta o Comércio Eletrônico. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm>. Acesso em: 4 jul. 2018.
BRASIL. Decreto 8.771/16 — Regulamenta o Marco Civil da Internet. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/D8771.htm>. Acesso em: 5 jul. 2018.
BRASIL. Exposição de Motivos ao projeto de lei no 2.126/2011. Disponível em: <http://www.planalto.gov.br/ccivil_03/Projetos/ExpMotiv/EMI/2011/86-MJ%20MP%20MCT%20MC.htm>. Acesso em: 21 ago. 2018.
BRASIL. Lei 12.414/11 — Lei do Cadastro Positivo. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/L12414.htm>. Acesso em: 4 jul. 2018.
BRASIL. Lei 12.527/11- Lei de Acesso à Informação. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acesso em: 4 jul. 2018.
BRASIL. Lei 12.965/14 — Marco Civil da Internet — MCI. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em: 7 jul. 2018.
BRASIL. Lei no 13.709/2018 — Lei Geral de Proteção de Dados. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65>. Acesso em: 18 ago. 2018.
BRASIL. MENSAGEM No 451. Vetos à Lei no 13.709/2018 — Lei Geral de Proteção de Dados. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65>. Acesso em: 18 ago. 2018.
BURKERT, H. Privacy — Data Protection. A German/European Perspective. In: ENGEL, C.; KELLER, K. H. (Eds.). Governance of Global Networks in the Light of Differing Local Values. Baden-Baden: Nomos Verlagsgesellschaft, 2000, p. 43–70.
CADWALLADR, Carole. Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. The Guardian. Disponível em: <https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election>. Acesso em: 28 jun. 2018.
CARTER, Jamie. Why couldn’t tech predict the US election results? TechRadar. Disponível em: <https://www.techradar.com/news/why-couldnt-tech-predict-the-us-election-results>. Acesso em: 2 jul. 2018.
COMISSÃO EUROPEIA. Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)/Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. SEC (2012). Disponível em: <https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52012PC0011>. Acesso em: 3 ago. 2018.
COMISSÃO INTERAMERICANA DE DIREITOS HUMANOS. Declaração Americana dos Direitos e Deveres do Homem. Disponível em: <https://www.cidh.oas.org/basicos/portugues/b.Declaracao_Americana.htm>. Acesso em: 1 ago. 2018.
CUEVA, Ricardo Vilas Boas. A insuficiente proteção de dados pessoais no Brasil. Revista de Direito Civil Contemporâneo — RDCC (Journal of Contemporary Private Law), v. 13, n. 0, p. 59–67, 2018.
DEJESUS-REMAKLUS, Mariah. Facebook-Cambridge Analytica leaks prompt discussions about user privacy. The Northern Light. Disponível em: <http://www.thenorthernlight.org/facebook-cambridge-analytica-leaks-prompt-discussions-about-user-privacy/>. Acesso em: 28 jun. 2018.
DONEDA, Danilo. Da Privacidade À Proteção De Dados Pessoais. Rio de Janeiro: Renovar, 2006.
DONEDA, Danilo. Privacidade e Proteção de Dados Pessoais. Apresentação feita na Controladoria Geral da União, no evento de Cinco Anos da Lei de Acesso à Informação, maio/2017. Disponível em: <http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf>. Acesso em: 4 jul. 2018.
DWOSKIN, Elizabeth. Facebook bans Trump campaign’s data analytics firm for taking user data. Washington Post. Disponível em: <https://www.washingtonpost.com/news/the-switch/wp/2018/03/16/facebook-bans-trump-campaigns-data-analytics-firm-for-taking-user-data/>. Acesso em: 28 jun. 2018.
ENGAGE RESEARCH. Inside the Cave. Disponível em: <https://enga.ge/wp-content/uploads/2018/01/Inside_the_Cave-1.pdf>. Acesso em: 2 jul. 2018.
ESTADOS UNIDOS. Electronic Communications Privacy Act of 1986 — ECPA. Disponível em: <https://it.ojp.gov/PrivacyLiberty/authorities/statutes/1285>. Acesso em: 23 jul. 2018.
ESTADOS UNIDOS. Privacy Act of 1974. Disponível em: <https://www.gpo.gov/fdsys/pkg/USCODE-2012-title5/pdf/USCODE-2012-title5-partI-chap5-subchapII-sec552a.pdf>. Acesso em: 23 jul. 2018.
ESTADOS UNIDOS. USA Patriot Act. Disponível em: <https://www.fincen.gov/resources/statutes-regulations/usa-patriot-act>. Acesso em: 23 jul. 2018.
ESTADOS UNIDOS. Your Right to Federal Records. Disponível em: <https://www.gsa.gov/cdnstatic/Your_Right_to_Federal_Records.pdf>. Acesso em: 23 jul. 2018.
FERRAJOLI, Luigi. Por Uma Teoria dos Direitos e dos Bens Fundamentais. 1. ed. Porto Alegre: Livraria do Advogado, 2011.
FORTES, Vinícius Borges. Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet. 1. ed. Rio de Janeiro: LUMEN JURIS, 2016.
FOUCAULT, Michel. Discipline and punish: the birth of the prison. New York: Pantheon Books, 1977.
FUMAGALLI, Sergio. GRDP and Brexit — Europrivacy. Euro Privacy. Disponível em: <https://europrivacy.info/2016/07/05/grdp-and-brexit/>. Acesso em: 29 jun. 2018.
GARTNER. Big Data. IT Glossary. Disponível em: <https://www.gartner.com/it-glossary/big-data>. Acesso em: 2 jul. 2018.
GREAT BRITAIN; PRIME MINISTER; GREAT BRITAIN; et al. The United Kingdom’s exit from and new partnership with the European Union. [s.l.: s.n.], 2017. Disponível em: <https://www.gov.uk/government/publications/the-united-kingdoms-exit-from-and-new-partnership-with-the-european-union-white-paper/the-united-kingdoms-exit-from-and-new-partnership-with-the-european-union--2>. Acesso em: 21 ago. 2018.
GUERRA, G. R. Direito à inviolabilidade e ao sigilo de comunicações privadas armazenadas: um grande salto rumo à proteção judicial da privacidade na rede. In: LEITE, G. S.; LEMOS, R. (Eds.). Marco Civil da Internet. São Paulo: Atlas, 2014, p. 392–416.
HUNT, Alex; WHEELER, Brian. Brexit: All you need to know. BBC News. Disponível em: <https://www.bbc.co.uk/news/uk-politics-32810887>. Acesso em: 25 jul. 2018.
IBM. Big data Analytics. Disponível em: <http://www-01.ibm.com/software/data/bigdata/>. Acesso em: 2 jul. 2018.
ITS — INSTITUTO DE TECNOLOGIA & SOCIEDADE DO RIO. Big Data no projeto Sul Global Relatório sobre estudos de caso. ITS Rio. Disponível em: <https://itsrio.org/wp-content/uploads/2016/03/ITS_Relatorio_Big-Data_PT-BR_v2.pdf>. Acesso em: 2 jul. 2018. Rio de Janeiro.
LEMOS, Ronaldo. Lei de dados nasceu desgovernada. Folha de S.Paulo. Disponível em: <https://www1.folha.uol.com.br/colunas/ronaldolemos/2018/08/lei-de-dados-nasceu-desgovernada.shtml>. Acesso em: 22 ago. 2018.
LEMOS, Ronaldo; DOUEK, Daniel; LANGENEGGER, Natalia; et al. GDPR: a nova legislação de proteção de dados pessoais da Europa. JOTA Info. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/gdpr-dados-pessoais-europa-25052018>. Acesso em: 3 ago. 2018.
LOUREIRO, Rodrigo. Entenda de uma vez por todas o que é um bot e como ele funciona. Olhar Digital. Disponível em: <https://olhardigital.com.br/noticia/entenda-de-uma-vez-por-todas-o-que-e-um-bot-e-como-ele-funciona/57075>. Acesso em: 2 jul. 2018.
LUCA, Cristina De. Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador. Disponível em: <https://porta23.blogosfera.uol.com.br/2018/08/14/sancionada-a-lei-de-dados-pessoais-luta-passa-a-ser-por-orgao-regulador/>. Acesso em: 18 ago. 2018.
MAGRANI, Eduardo. Democracia conectada: a internet como ferramenta de engajamento político-democrático. Curitiba: Juruá Editora, 2014.
MANGETH, A. L.; NUNES, B.; MAGRANI, E. Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE. ITS Feeds. Disponível em: <https://feed.itsrio.org/seis-pontos-para-entender-a-lei-europeia-de-prote%C3%A7%C3%A3o-de-dados-pessoais-gdpr-d377f6b691dc>. Acesso em: 25 jul. 2018.
MARS, Amanda. Como a desinformação influenciou nas eleições presidenciais? EL PAÍS. Disponível em: <https://brasil.elpais.com/brasil/2018/02/24/internacional/1519484655_450950.html>. Acesso em: 2 jul. 2018.
MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth. Big data: a revolution that will transform how we live, work and think. London: Murray, 2013.
MCDERMOTT, Yvonne. Conceptualizing the right to data protection in an era of Big Data. Big Data & Society, v. 4, n. 1, 2017. Disponível em: <https://doi.org/10.1177/2053951716686994>. Acesso em: 2 jul. 2018.
MENDES, Guilherme. O que é o Cloud Act — e como a lei americana pode refletir no Brasil? JOTA Info. Disponível em: <https://www.jota.info/justica/cloud-act-lei-acesso-dados-outros-paises-19052018>. Acesso em: 23 jul. 2018.
MENDES, S. L. O que pode autorizar o tratamento de dados pessoais? Semana Especial Proteção de Dados Pessoais. InternetLab. Disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>. Acesso em: 2 jul. 2018.
MENDES, S. L. O que são dados públicos? Semana especial Proteção de Dados Pessoais. InternetLab. Disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>. Acesso em: 2 jul. 2018.
MINISTÉRIO DAS RELAÇÕES EXTERIORES. NOTA 94. Criação da Relatoria Especial sobre “O Direito à Privacidade na Era Digital”. Disponível em: <http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/8460-criacao-da-relatoria-especial-sobre-o-direito-a-privacidade-na-era-digital>. Acesso em: 31 jul. 2018.
NICKERSON, David W.; ROGERS, Todd. Political Campaigns and Big Data. Journal of Economic Perspectives, v. 28, n. 2, p. 51–74, 2014.
ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO (OCDE). Diretrizes que regem a proteção da privacidade e dos fluxos transfronteiriços de dados pessoais. Disponível em: <http://www.oecd-ilibrary.org/science-and-technology/oecd-guidelines-on-the-protection-of-privacy-and-transborder-flows-of-personal-data_9789264196391-en>. Acesso em: 3 ago. 2018.
PÁDUA, Luciano. Fake news tiveram impacto limitado nas eleições americanas. JOTA Info. Disponível em: <https://www.jota.info/justica/fake-news-tiveram-impacto-limitado-nas-eleicoes-americanas-08012018>. Acesso em: 2 jul. 2018.
PARLAMENTO EUROPEU E CONSELHO. Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas). Disponível em: <http://data.europa.eu/eli/dir/2002/58/oj/por>. Acesso em: 25 jul. 2018.
PARLAMENTO EUROPEU E CONSELHO. Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A31995L0046>. Acesso em: 25 jul. 2018.
PARLAMENTO EUROPEU E CONSELHO. Regulamento (CE) n. 45/2001, de 18 de dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados. Disponível em: <https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:pt:PDF>. Acesso em: 25 jul. 2018.
PARLAMENTO EUROPEU E CONSELHO. Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: <https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679>. Acesso em: 25 jul. 2018.
PURCHIO, Luisa. O lado escuro do Facebook. ISTOÉ Independente. Disponível em: <https://istoe.com.br/o-lado-escuro-do-facebook/>. Acesso em: 28 jun. 2018.
QUELLE, Claudia. Not just User Control in the General Data Protection Regulation. In: LEHMANN, Anja; WHITEHOUSE, Diane; FISCHER-HÜBNER, Simone; et al (Orgs.). Privacy and Identity Management. Facing up to Next Steps: 11th IFIP WG International Summer School, Karlstad, Sweden, Revised Selected Papers. Cham: Springer International Publishing, 2016, p. 140–163. (IFIP Advances in Information and Communication Technology). Disponível em: <https://doi.org/10.1007/978-3-319-55783-0_11>. Acesso em: 20 ago. 2018.
REDAÇÃO OLHAR DIGITAL. Pesquisa: mais de 60% das pessoas usam o Facebook para se informar. Olhar Digital. Disponível em: <https://olhardigital.com.br/noticia/pesquisa-mais-de-60-das-pessoas-usam-o-facebook-para-se-informar/49810>. Acesso em: 2 jul. 2018.
RODOTÀ, Stefano. A Vida na Sociedade da Vigilância: a Privacidade Hoje. 1. ed. Rio de Janeiro: Editora Renovar, 2008.
RODOTÀ, Stefano. Tecnologie e diritti. Bologna: Il Mulino, 1995.
RODRIGUEZ, Katitza. The U.S. CLOUD Act and the EU: A Privacy Protection Race to the Bottom. Electronic Frontier Foundation. Disponível em: <https://www.eff.org/deeplinks/2018/04/us-cloud-act-and-eu-privacy-protection-race-bottom>. Acesso em: 23 jul. 2018.
RONCOLATO, Murilo. O que diz a nova lei de proteção de dados da Europa. E o efeito no Brasil. Nexo Jornal. Disponível em: <https://www.nexojornal.com.br/expresso/2018/05/25/O-que-diz-a-nova-lei-de-prote%C3%A7%C3%A3o-de-dados-da-Europa.-E-o-efeito-no-Brasil>. Acesso em: 26 jun. 2018.
SACHS, Jeffrey. Facebook e o futuro da privacidade. Valor Econômico. Disponível em: <https://www.valor.com.br/opiniao/5477253/Facebook-e-o-futuro-da-privacidade>. Acesso em: 28 jun. 2018.
SANTOS, Andréia. O Impacto do big data e dos algoritmos nas campanhas eleitorais. Disponível em: <https://itsrio.org/wp-content/uploads/2017/03/Andreia-Santos-V-revisado.pdf>.
SENADO FEDERAL. PLC 53/2018. Projeto de Lei de Proteção de Dados Pessoais. Disponível em: <https://legis.senado.leg.br/sdleg-getter/documento?dm=7738646&ts=1530651574022&disposition=inline&ts=1530651574022>. Acesso em: 5 jul. 2018.
SILVERMAN, Craig. Recent research reveals false rumours really do travel faster and further than the truth. First Draft News. Disponível em: <https://firstdraftnews.org:443/recent-research-reveals-false-rumours-really-do-travel-faster-and-further-than-the-truth/>. Acesso em: 2 jul. 2018.
SOPRANA, Paula. Vetos na lei de proteção de dados flexibilizam responsabilidade do Poder Público. Folha de S.Paulo. Disponível em: <https://www1.folha.uol.com.br/mercado/2018/08/vetos-na-lei-de-protecao-de-dados-flexibilizam-responsabilidade-do-poder-publico.shtml>. Acesso em: 18 ago. 2018.
SUMARES, Gustavo. 55% dos brasileiros acham que o Facebook é a internet, diz pesquisa. Olhar Digital. Disponível em: <https://olhardigital.com.br/noticia/55-dos-brasileiros-acham-que-o-facebook-e-a-internet-diz-pesquisa/65422>. Acesso em: 2 jul. 2018.
TADINI, Giovanna Wolf. Criação de Autoridade Nacional emperra sanção de lei de dados pessoais — Link. Estadão. Disponível em: <https://link.estadao.com.br/noticias/cultura-digital,criacao-de-autoridade-nacional-emperra-sancao-de-lei-de-dados-pessoais,70002415331>. Acesso em: 3 ago. 2018.
TAURION, Cezar. Big Data. 1. ed. Rio de Janeiro: Brasport Livros e Multimidia Ltda., 2013.
TAURION, CEZAR. Tecnologias emergentes: criando diferenciais competitivos. 1. ed. São Paulo: Évora, 2014.
UNIÃO EUROPEIA. Carta dos Direitos Fundamentais da União Europeia. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex:12016P/TXT>. Acesso em: 25 jul. 2018.
UNIÃO EUROPEIA. Decisão da Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança de 8 de dezembro de 2011, relativa às regras em matéria de proteção de dados. Disponível em: <https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1529972791991&uri=CELEX:32012D1012(03)>. Acesso em: 25 jul. 2018.
UNIÃO EUROPEIA. Decisão da Autoridade Europeia para Proteção de Dados, de 17 de dezembro de 2012, que adota seu regulamento interno — 2013/504/EU. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=CELEX:32013D0504(03)>. Acesso em: 25 jul. 2018.
UNIÃO EUROPEIA. Tratado que estabelece uma Constituição para a Europa. Disponível em: <https://europa.eu/european-union/sites/europaeu/files/docs/body/treaty_establishing_a_constitution_for_europe_pt.pdf>. Acesso em: 25 jul. 2018.
UNIÃO EUROPEIA. Tratado sobre o Funcionamento da União Europeia. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A12012E%2FTXT>. Acesso em: 26 jun. 2018.
WARREN, Samuel D.; BRANDEIS, Louis D. The Right to Privacy. Harvard Law Review, v. 4, n. 5, p. 193–220, 1890.
WONG, Julia Carrie. Mark Zuckerberg apologises for Facebook’s “mistakes” over Cambridge Analytica. The Guardian. Disponível em: <https://www.theguardian.com/technology/2018/mar/21/mark-zuckerberg-response-facebook-cambridge-analytica>. Acesso em: 28 jun. 2018.
XEXÉO, Geraldo. Big data: Computação para uma sociedade conectada e digitalizada. Ciência Hoje, n. 306, p. 18–23, 2013.
ZIKOPOULOS, Paul; EATON, Chris. Understanding big data: analytics for enterprise class Hadoop and streaming data. New York: McGraw-Hill Osbourne Media, 2011.
ZITTRAIN, Jonathan. Facebook Could Decide an Election Without Anyone Ever Finding Out. The New Republic. Disponível em: <https://newrepublic.com/article/117878/information-fiduciary-solution-facebook-digital-gerrymandering>. Acesso em: 2 jul. 2018.
Acordo Parcial entre os negociadores da UE e do Reino Unido sobre o texto do acordo de saída. Disponível em: <https://ec.europa.eu/commission/sites/beta-political/files/draft_agreement_coloured.pdf>. Acesso em: 1 jul. 2018.
Class Action Lawsuit Filed Against Facebook And Cambridge Analytica For Stealing and Improperly Using More Than 71 Million Users’ Data. PR newswire. Disponível em: <https://www.prnewswire.com/news-releases/class-action-lawsuit-filed-against-facebook-and-cambridge-analytica-for-stealing-and-improperly-using-more-than-71-million-users-data-300627281.html>. Acesso em: 28 jun. 2018.
Countries in the EU and EEA. GOV.UK. Disponível em: <https://www.gov.uk/eu-eea>. Acesso em: 29 jun. 2018.
Fiscalização: como deve ser o “órgão competente”? Semana Especial Proteção de Dados Pessoais. InternetLab. Disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>. Acesso em: 2 jul. 2018.
Marco legal de proteção de dados pessoais está na pauta da CAE. Senado Federal. Disponível em: <https://www12.senado.leg.br/noticias/materias/2018/07/02/marco-legal-de-protecao-de-dados-pessoais-esta-na-pauta-da-cae>. Acesso em: 22 ago. 2018.
O que são dados públicos? Semana especial Proteção de Dados Pessoais. InternetLab. Disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>. Acesso em: 2 jul. 2018.
Projeto de lei geral de proteção de dados pessoais é aprovado no Senado. Senado Federal. Disponível em: <https://www12.senado.leg.br/noticias/materias/2018/07/10/projeto-de-lei-geral-de-protecao-de-dados-pessoais-e-aprovado-no-senado>. Acesso em: 17 jul. 2018.
Relator quer votar proteção de dados pessoais antes do recesso de julho — Senado Notícias. Disponível em: <https://www12.senado.leg.br/noticias/materias/2018/06/26/relator-quer-votar-protecao-de-dados-pessoais-antes-do-recesso-de-julho>. Acesso em: 22 ago. 2018.
Sancionada lei geral de proteção de dados. Migalhas. Disponível em: <https://www.migalhas.com.br/Quentes/17,MI285550,41046-Sancionada+lei+geral+de+protecao+de+dados>. Acesso em: 18 ago. 2018.
UK nationals in the EU: essential information. GOV.UK. Disponível em: <https://www.gov.uk/guidance/advice-for-british-nationals-travelling-and-living-in-europe>. Acesso em: 21 ago. 2018.
[1] WONG, Julia Carrie, Mark Zuckerberg apologises for Facebook’s “mistakes” over Cambridge Analytica, The Guardian, disponível em: <https://www.theguardian.com/technology/2018/mar/21/mark-zuckerberg-response-facebook-cambridge-analytica>, acesso em: 28 jun. 2018.
[2] Class Action Lawsuit Filed Against Facebook And Cambridge Analytica For Stealing and Improperly Using More Than 71 Million Users’ Data, PR newswire, disponível em: <https://www.prnewswire.com/news-releases/class-action-lawsuit-filed-against-facebook-and-cambridge-analytica-for-stealing-and-improperly-using-more-than-71-million-users-data-300627281.html>, acesso em: 28 jun. 2018.
[3] DWOSKIN, Elizabeth, Facebook bans Trump campaign’s data analytics firm for taking user data, Washington Post, disponível em: <https://www.washingtonpost.com/news/the-switch/wp/2018/03/16/facebook-bans-trump-campaigns-data-analytics-firm-for-taking-user-data/>, acesso em: 28 jun. 2018.
[4] Ibid.
[5] CADWALLADR, Carole, Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach, The Guardian, disponível em: <https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election>, acesso em: 28 jun. 2018.
[6] PURCHIO, Luisa, O lado escuro do Facebook, ISTOÉ Independente, disponível em: <https://istoe.com.br/o-lado-escuro-do-facebook/>, acesso em: 28 jun. 2018.
[7] Class Action Lawsuit Filed Against Facebook And Cambridge Analytica For Stealing and Improperly Using More Than 71 Million Users’ Data.
[8] DWOSKIN, Facebook bans Trump campaign’s data analytics firm for taking user data.
[9] “The algorithm and database together made a powerful political tool. It allowed a campaign to identify possible swing voters and craft messages more likely to resonate. “The ultimate product of the training set is creating a ‘gold standard’ of understanding personality from Facebook profile information,” […]” CADWALLADR, Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach.
[10] Ibid.
[11] Class Action Lawsuit Filed Against Facebook And Cambridge Analytica For Stealing and Improperly Using More Than 71 Million Users’ Data.
[12] DEJESUS-REMAKLUS, Mariah, Facebook-Cambridge Analytica leaks prompt discussions about user privacy, The Northern Light, disponível em: <http://www.thenorthernlight.org/facebook-cambridge-analytica-leaks-prompt-discussions-about-user-privacy/>, acesso em: 28 jun. 2018.
[13] SACHS, Jeffrey, Facebook e o futuro da privacidade, Valor Econômico, disponível em: <https://www.valor.com.br/opiniao/5477253/Facebook-e-o-futuro-da-privacidade>, acesso em: 28 jun. 2018.
[14] ANTONIUTTI, Cleide Luciane. Usos do big data em campanhas eleitorais. 2015. 270 f. Tese (Doutorado em Ciência da Informação) — Programa de pós-Graduação em Ciência da Informação, Instituto Brasileiro de Informação em Ciência e Tecnologia, Escola de comunicação, Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2015. p. 48
[15] MAYER-SCHÖNBERGER, Viktor; CUKIER, Kenneth, Big data: a revolution that will transform how we live, work and think, London: Murray, 2013, p. 4.
[16] Ibid., p. 10.
[17] Ibid., p. 64.
[18] TAURION, CEZAR, Tecnologias emergentes: criando diferenciais competitivos, 1. ed. São Paulo: Évora, 2014.
[19] ANTONIUTTI, Cleide Luciane. Usos do BIG DATA em campanhas eleitorais. 2015. p. 64
[20] ITS — INSTITUTO DE TECNOLOGIA & SOCIEDADE DO RIO, Big Data no projeto Sul Global Relatório sobre estudos de caso, ITS Rio, disponível em: <https://itsrio.org/wp-content/uploads/2016/03/ITS_Relatorio_Big-Data_PT-BR_v2.pdf>, acesso em: 2 jul. 2018, (Rio de Janeiro), p. 9.
[21] IBM, Big data Analytics, disponível em: <http://www-01.ibm.com/software/data/bigdata/>, acesso em: 2 jul. 2018.
[22] ZIKOPOULOS, Paul; EATON, Chris, Understanding big data: analytics for enterprise class Hadoop and streaming data, New York: McGraw-Hill Osbourne Media, 2011.
[23] Ibid., p. 71.
[24] GARTNER, Big Data, IT Glossary, disponível em: <https://www.gartner.com/it-glossary/big-data>, acesso em: 2 jul. 2018.
[25] XEXÉO, Geraldo, Big data: Computação para uma sociedade conectada e digitalizada, Ciência Hoje, n. 306, p. 18–23, 2013.
[26] TAURION, Cezar, Big Data, 1. ed. Rio de Janeiro: Brasport Livros e Multimidia Ltda., 2013.
[27] MAYER-SCHÖNBERGER; CUKIER, Big data: a revolution that will transform how we live, work and think, p. 70.
[28] ANTONIUTTI, Cleide Luciane. Usos do BIG DATA em campanhas eleitorais. p. 73
[29] IBM, Big data Analytics.
[30] CARTER, Jamie, Why couldn’t tech predict the US election results?, TechRadar, disponível em: <https://www.techradar.com/news/why-couldnt-tech-predict-the-us-election-results>, acesso em: 2 jul. 2018.
[31] FOUCAULT, Michel, Discipline and punish: the birth of the prison, New York: Pantheon Books, 1977. apud MCDERMOTT, Yvonne, Conceptualizing the right to data protection in an era of Big Data, Big Data & Society, v. 4, n. 1, 2017, p. 5.
[32] NICKERSON, David W.; ROGERS, Todd, Political Campaigns and Big Data, Journal of Economic Perspectives, v. 28, n. 2, p. 51–74, 2014, p. 3.
[33] MCDERMOTT, Conceptualizing the right to data protection in an era of Big Data, p. 3.
[34] Ibid.
[35] QUELLE, Claudia, Not just User Control in the General Data Protection Regulation, in: LEHMANN, Anja et al (Orgs.), Privacy and Identity Management. Facing up to Next Steps: 11th IFIP WG International Summer School, Karlstad, Sweden, Revised Selected Papers, Cham: Springer International Publishing, 2016, p. 140–163.
[36] SANTOS, Andréia, O Impacto do Big Data e dos Algoritmos nas Campanhas Eleitorais, disponível em: <https://itsrio.org/wp-content/uploads/2017/03/Andreia-Santos-V-revisado.pdf>, p. 5.
[37] MAGRANI, Eduardo, Democracia conectada: a internet como ferramenta de engajamento político-democrático, Curitiba: Juruá Editora, 2014, p. 6.
[38] Ibid.
[39] ZITTRAIN, Jonathan, Facebook Could Decide an Election Without Anyone Ever Finding Out, The New Republic, disponível em: <https://newrepublic.com/article/117878/information-fiduciary-solution-facebook-digital-gerrymandering>, acesso em: 2 jul. 2018.
[40] Ibid.
[41] SUMARES, Gustavo, 55% dos brasileiros acham que o Facebook é a internet, diz pesquisa, Olhar Digital, disponível em: <https://olhardigital.com.br/noticia/55-dos-brasileiros-acham-que-o-facebook-e-a-internet-diz-pesquisa/65422>, acesso em: 2 jul. 2018.
[42] Ibid.
[43] Ibid.
[44] MAGRANI, Democracia conectada, p. 119.
[45] Ibid.
[46] SANTOS, O Impacto do big data e dos algoritmos nas campanhas eleitorais, p. 14.
[47] Ibid., p. 119.
[48] Ibid., p. 13.
[49] REDAÇÃO OLHAR DIGITAL, Pesquisa: mais de 60% das pessoas usam o Facebook para se informar, Olhar Digital, disponível em: <https://olhardigital.com.br/noticia/pesquisa-mais-de-60-das-pessoas-usam-o-facebook-para-se-informar/49810>, acesso em: 2 jul. 2018.
[50] SILVERMAN, Craig, Recent research reveals false rumours really do travel faster and further than the truth, First Draft News, disponível em: <https://firstdraftnews.org:443/recent-research-reveals-false-rumours-really-do-travel-faster-and-further-than-the-truth/>, acesso em: 2 jul. 2018.
[51] PÁDUA, Luciano, Fake news tiveram impacto limitado nas eleições americanas, JOTA Info, disponível em: <https://www.jota.info/justica/fake-news-tiveram-impacto-limitado-nas-eleicoes-americanas-08012018>, acesso em: 2 jul. 2018.
[52] MARS, Amanda, Como a desinformação influenciou nas eleições presidenciais?, EL PAÍS, disponível em: <https://brasil.elpais.com/brasil/2018/02/24/internacional/1519484655_450950.html>, acesso em: 2 jul. 2018.
[53] LOUREIRO, Rodrigo, Entenda de uma vez por todas o que é um bot e como ele funciona, Olhar Digital, disponível em: <https://olhardigital.com.br/noticia/entenda-de-uma-vez-por-todas-o-que-e-um-bot-e-como-ele-funciona/57075>, acesso em: 2 jul. 2018.
[54] BESSI, Alessandro; FERRARA, Emilio, Social bots distort the 2016 U.S. Presidential election online discussion, First Monday, v. 21, n. 11, 2016. Disponível em: <http://firstmonday.org/ojs/index.php/fm/article/view/7090/5653> Acesso em: 02 de jul. 2018.
[55] SANTOS, O Impacto do big data e dos algoritmos nas campanhas eleitorais, p. 19.
[56] BESSI; FERRARA, Social bots distort the 2016 U.S. Presidential election online discussion.
[57] ANTONIUTTI, Cleide Luciane. Usos do BIG DATA em campanhas eleitorais. p. 100
[58] Ibid., p. 142
[59] Ibid. p. 150
[60] ENGAGE RESEARCH, Inside the Cave, disponível em: <https://enga.ge/wp-content/uploads/2018/01/Inside_the_Cave-1.pdf>, acesso em: 2 jul. 2018.
[61] CADWALLADR, Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach.
[62] WARREN, Samuel D.; BRANDEIS, Louis D., The Right to Privacy, Harvard Law Review, v. 4, n. 5, p. 193–220, 1890, p. 193.
[63] Ibid.
[64] FORTES, Vinícius Borges, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, 1. ed. Rio de Janeiro: LUMEN JURIS, 2016, p. 185–186.
[65] ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS, Declaração Universal dos Direitos Humanos, disponível em: <http://www.onu.org.br/img/2014/09/DUDH.pdf>, acesso em: 22 jul. 2018.
[66] ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS, International Covenant on Civil and Political Rights, disponível em: <https://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx>, acesso em: 22 jul. 2018.
[67] RODOTÀ, Stefano, A Vida na Sociedade da Vigilância: a Privacidade Hoje, 1. ed. Rio de Janeiro: Editora Renovar, 2008, p. 17.
[68] Ibid.
[69] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 38.
[70] Ibid., p. 148–149.
[71] ESTADOS UNIDOS, Your Right to Federal Records, disponível em: <https://www.gsa.gov/cdnstatic/Your_Right_to_Federal_Records.pdf>, acesso em: 23 jul. 2018.
[72] ESTADOS UNIDOS, Privacy Act of 1974, disponível em: <https://www.gpo.gov/fdsys/pkg/USCODE-2012-title5/pdf/USCODE-2012-title5-partI-chap5-subchapII-sec552a.pdf>, acesso em: 23 jul. 2018.
[73] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 150.
[74] ESTADOS UNIDOS, Electronic Communications Privacy Act of 1986 — ECPA, disponível em: <https://it.ojp.gov/PrivacyLiberty/authorities/statutes/1285>, acesso em: 23 jul. 2018.
[75] ESTADOS UNIDOS, USA Patriot Act, disponível em: <https://www.fincen.gov/resources/statutes-regulations/usa-patriot-act>, acesso em: 23 jul. 2018.
[76] Ibid.
[77] MENDES, Guilherme, O que é o Cloud Act — e como a lei americana pode refletir no Brasil?, JOTA Info, disponível em: <https://www.jota.info/justica/cloud-act-lei-acesso-dados-outros-paises-19052018>, acesso em: 23 jul. 2018.
[78] Ibid.
[79] Ibid.
[80] RODRIGUEZ, Katitza, The U.S. CLOUD Act and the EU: A Privacy Protection Race to the Bottom, Electronic Frontier Foundation, disponível em: <https://www.eff.org/deeplinks/2018/04/us-cloud-act-and-eu-privacy-protection-race-bottom>, acesso em: 23 jul. 2018.
[81] DONEDA, Danilo, Da Privacidade À Proteção De Dados Pessoais, Rio de Janeiro: Renovar, 2006.
[82] Ibid.
[83] BURKERT, H., Privacy — Data Protection. A German/European Perspective., in: ENGEL, C.; KELLER, K. H. (Eds.), Governance of Global Networks in the Light of Differing Local Values, Baden-Baden: Nomos Verlagsgesellschaft, 2000, p. 43–70. apud FORTES, Os Direitos de Privacidade e a Proteção de Dados Pessoais na Internet, p. 154.
[84] GUERRA, G. R., Direito à inviolabilidade e ao sigilo de comunicações privadas armazenadas: um grande salto rumo à proteção judicial da privacidade na rede, in: LEITE, G. S.; LEMOS, R. (Eds.), Marco Civil da Internet, São Paulo: Atlas, 2014, p. 392–416.
[85] CUEVA, Ricardo Vilas Boas, A insuficiente proteção de dados pessoais no Brasil, Revista de Direito Civil Contemporâneo — RDCC (Journal of Contemporary Private Law), v. 13, n. 0, p. 59–67, 2018.
[86] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 154–155.
[87] UNIÃO EUROPEIA, Tratado que estabelece uma Constituição para a Europa, disponível em: <https://europa.eu/european-union/sites/europaeu/files/docs/body/treaty_establishing_a_constitution_for_europe_pt.pdf>, acesso em: 25 jul. 2018.
[88] UNIÃO EUROPEIA, Carta dos Direitos Fundamentais da União Europeia., disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex:12016P/TXT>, acesso em: 25 jul. 2018.
[89] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 156.
[90] PARLAMENTO EUROPEU E CONSELHO, Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, disponível em: <https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A31995L0046>, acesso em: 25 jul. 2018.
[91] Ibid.
[92] Ibid.
[93] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 160.
[94] Ibid.
[95] PARLAMENTO EUROPEU E CONSELHO, Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
[96] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 161.
[97] PARLAMENTO EUROPEU E CONSELHO, Regulamento (CE) n. 45/2001, de 18 de dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados, disponível em: <https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:pt:PDF>, acesso em: 25 jul. 2018.
[98] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 162.
[99] PARLAMENTO EUROPEU E CONSELHO, Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas), disponível em: <http://data.europa.eu/eli/dir/2002/58/oj/por>, acesso em: 25 jul. 2018.
[100] UNIÃO EUROPEIA, Decisão da Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança de 8 de dezembro de 2011, relativa às regras em matéria de proteção de dados, disponível em: <https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1529972791991&uri=CELEX:32012D1012(03)>, acesso em: 25 jul. 2018.
[101] UNIÃO EUROPEIA, Decisão da Autoridade Europeia para Proteção de Dados, de 17 de dezembro de 2012, que adota seu regulamento interno — 2013/504/EU, disponível em: <https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=CELEX:32013D0504(03)>, acesso em: 25 jul. 2018.
[102] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 163.
[103] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), disponível em: <https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679>, acesso em: 25 jul. 2018.
[104] BERCITO, Diogo, Nova regra de privacidade online na Europa entra em vigor hoje, Folha de S.Paulo, disponível em: <https://www1.folha.uol.com.br/mercado/2018/05/nova-regra-de-privacidade-online-na-europa-entra-em-vigor-hoje.shtml>, acesso em: 25 jul. 2018.
[105] MANGETH, A. L.; NUNES, B.; MAGRANI, E., Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE, ITS Feeds, disponível em: <https://feed.itsrio.org/seis-pontos-para-entender-a-lei-europeia-de-prote%C3%A7%C3%A3o-de-dados-pessoais-gdpr-d377f6b691dc>, acesso em: 25 jul. 2018.
[106] HUNT, Alex; WHEELER, Brian, Brexit: All you need to know, BBC News, disponível em: <https://www.bbc.co.uk/news/uk-politics-32810887>, acesso em: 25 jul. 2018.
[107] UK nationals in the EU: essential information, GOV.UK, disponível em: <https://www.gov.uk/guidance/advice-for-british-nationals-travelling-and-living-in-europe>, acesso em: 21 ago. 2018.
[108] GREAT BRITAIN et al, The United Kingdom’s exit from and new partnership with the European Union, [s.l.: s.n.], 2017.
[109] Acordo Parcial entre os negociadores da UE e do Reino Unido sobre o texto do acordo de saída, disponível em: <https://ec.europa.eu/commission/sites/beta-political/files/draft_agreement_coloured.pdf>, acesso em: 1 jul. 2018.
[110] ABELLÁN, Lucía, O duro ajuste de contas pós-Brexit, EL PAÍS, disponível em: <https://brasil.elpais.com/brasil/2017/11/15/internacional/1510774919_930661.html>, acesso em: 1 jul. 2018.
[111] Countries in the EU and EEA, GOV.UK, disponível em: <https://www.gov.uk/eu-eea>, acesso em: 29 jun. 2018.
[112] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[113] FUMAGALLI, Sergio, GRDP and Brexit — Europrivacy, Euro Privacy, disponível em: <https://europrivacy.info/2016/07/05/grdp-and-brexit/>, acesso em: 29 jun. 2018.
[114] MCDERMOTT, Conceptualizing the right to data protection in an era of Big Data, p. 1.
[115] UNIÃO EUROPEIA, Carta dos Direitos Fundamentais da União Europeia.
[116] UNIÃO EUROPEIA, Tratado sobre o Funcionamento da União Europeia, disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A12012E%2FTXT>, acesso em: 26 jun. 2018.
[117] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[118] Ibid.
[119] MCDERMOTT, Conceptualizing the right to data protection in an era of Big Data, p. 1.
[120] MANGETH; NUNES; MAGRANI, Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE.
[121] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[122] Ibid.
[123] Ibid.
[124] Ibid.
[125] Ibid.
[126] MANGETH; NUNES; MAGRANI, Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE.
[127] Ibid.
[128] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[129] Ibid.
[130] MANGETH; NUNES; MAGRANI, Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE.
[131] Ibid.
[132] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[133] MANGETH; NUNES; MAGRANI, Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE.
[134] Ibid.
[135] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[136] RONCOLATO, Murilo, O que diz a nova lei de proteção de dados da Europa. E o efeito no Brasil, Nexo Jornal, disponível em: <https://www.nexojornal.com.br/expresso/2018/05/25/O-que-diz-a-nova-lei-de-prote%C3%A7%C3%A3o-de-dados-da-Europa.-E-o-efeito-no-Brasil>, acesso em: 26 jun. 2018.
[137] Ibid.
[138] Ibid.
[139] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[140] BRASIL, Constituição da República Federativa do Brasil de 1988, disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm>, acesso em: 3 jul. 2018.
[141] BRASIL, Código de Defesa do Consumidor, disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/l8078.htm>, acesso em: 4 jul. 2018.
[142] Ibid.
[143] Ibid.
[144] Ibid.
[145] BRASIL, Código Civil, disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/2002/l10406.htm>, acesso em: 4 jul. 2018.
[146] MANGETH; NUNES; MAGRANI, Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE.
[147] BRASIL, Código Civil.
[148] Ibid.
[149] BRASIL, Ação Direta de Inconstitucionalidade (Med Liminar) -4815, disponível em: <http://www.stf.jus.br/portal/peticaoInicial/verPeticaoInicial.asp?base=ADIN&s1=4815&processo=4815>, acesso em: 4 jul. 2018.
[150] Ibid.
[151] BRASIL, Decreto 6.523/08 — Regulamenta o Serviço de Atendimento ao Consumidor — SAC, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/decreto/d6523.htm>, acesso em: 4 jul. 2018.
[152] BRASIL, Lei 12.414/11 — Lei do Cadastro Positivo, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/L12414.htm>, acesso em: 4 jul. 2018.
[153] Ibid.
[154] Ibid.
[155] Ibid.
[156] Ibid.
[157] Ibid.
[158] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[159] BRASIL, Decreto 7.962/13 — Regulamenta o Comércio Eletrônico, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm>, acesso em: 4 jul. 2018.
[160] BRASIL, Lei 12.527/11- Lei de Acesso à Informação, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>, acesso em: 4 jul. 2018.
[161] Ibid.
[162] Ibid.
[163] BRASIL, Lei 12.965/14 — Marco Civil da Internet — MCI, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>, acesso em: 7 jul. 2018.
[164] DONEDA, Danilo, Privacidade e Proteção de Dados Pessoais. Apresentação feita na Controladoria Geral da União, no evento de Cinco Anos da Lei de Acesso à Informação, maio/2017, disponível em: <http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf>, acesso em: 4 jul. 2018.
[165] BRASIL, Lei 12.965/14 — Marco Civil da Internet — MCI.
[166] Sancionada lei geral de proteção de dados, Migalhas, disponível em: <https://www.migalhas.com.br/Quentes/17,MI285550,41046-Sancionada+lei+geral+de+protecao+de+dados>, acesso em: 18 ago. 2018.
[167] BRASIL, Lei 12.965/14 — Marco Civil da Internet — MCI.
[168] Ibid.
[169] Ibid.
[170] Ibid.
[171] Ibid.
[172] Ibid.
[173] Ibid.
[174] BRASIL, Decreto 8.771/16 — Regulamenta o Marco Civil da Internet, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/D8771.htm>, acesso em: 5 jul. 2018.
[175] Ibid.
[176] Sancionada lei geral de proteção de dados.
[177] Projeto de lei geral de proteção de dados pessoais é aprovado no Senado, Senado Federal, disponível em: <https://www12.senado.leg.br/noticias/materias/2018/07/10/projeto-de-lei-geral-de-protecao-de-dados-pessoais-e-aprovado-no-senado>, acesso em: 17 jul. 2018.
[178] ARTIGO 19, Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional, ARTIGO 19, disponível em: <http://artigo19.org/wp-content/blogs.dir/24/files/2017/01/Prote%C3%A7%C3%A3o-de-Dados-Pessoais-no-Brasil-ARTIGO-19.pdf>, acesso em: 2 jul. 2018.
[179] Marco legal de proteção de dados pessoais está na pauta da CAE, Senado Federal, disponível em: <https://www12.senado.leg.br/noticias/materias/2018/07/02/marco-legal-de-protecao-de-dados-pessoais-esta-na-pauta-da-cae>, acesso em: 22 ago. 2018.
[180] Relator quer votar proteção de dados pessoais antes do recesso de julho — Senado Notícias, disponível em: <https://www12.senado.leg.br/noticias/materias/2018/06/26/relator-quer-votar-protecao-de-dados-pessoais-antes-do-recesso-de-julho>, acesso em: 22 ago. 2018.
[181] Projeto de lei geral de proteção de dados pessoais é aprovado no Senado.
[182] Sancionada lei geral de proteção de dados.
[183] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65>, acesso em: 18 ago. 2018.
[184] Ibid.
[185] Ibid.
[186] Ibid.
[187] ALIMONTI, V., Big data: quais proteções os titulares de dados têm a sua disposição? Semana Especial Proteção de Dados Pessoais, InternetLab, disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>, acesso em: 2 jul. 2018.
[188] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[189] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[190] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[191] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[192] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[193] Ibid.
[194] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[195] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[196] MANGETH; NUNES; MAGRANI, Seis pontos para entender o Regulamento Geral de Proteção de Dados da UE.
[197] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[198] SENADO FEDERAL, PLC 53/2018. Projeto de Lei de Proteção de Dados Pessoais, disponível em: <https://legis.senado.leg.br/sdleg-getter/documento?dm=7738646&ts=1530651574022&disposition=inline&ts=1530651574022>, acesso em: 5 jul. 2018.
[199] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[200] Ibid.
[201] ARTIGO 19, Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional.
[202] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[203] Ibid.
[204] Ibid.
[205] MENDES, S. L., O que pode autorizar o tratamento de dados pessoais? Semana Especial Proteção de Dados Pessoais, InternetLab, disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>, acesso em: 2 jul. 2018.
[206] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[207] Ibid.
[208] O que são dados públicos? Semana especial Proteção de Dados Pessoais, InternetLab, disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>, acesso em: 2 jul. 2018.
[209] MENDES, S. L., O que são dados públicos? Semana especial Proteção de Dados Pessoais, InternetLab, disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>, acesso em: 2 jul. 2018.
[210] ALIMONTI, V., O que são dados públicos? Semana especial Proteção de Dados Pessoais, InternetLab, disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>, acesso em: 2 jul. 2018.
[211] PARLAMENTO EUROPEU E CONSELHO, Regulamento EU 2016/679, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
[212] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[213] ARTIGO 19, Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional.
[214] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[215] ARTIGO 19, Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional.
[216] Fiscalização: como deve ser o “órgão competente”? Semana Especial Proteção de Dados Pessoais, InternetLab, disponível em: <http://www.internetlab.org.br/pt/semana-especial-protecao-de-dados-pessoais/>, acesso em: 2 jul. 2018.
[217] Sancionada lei geral de proteção de dados.
[218] SOPRANA, Paula, Vetos na lei de proteção de dados flexibilizam responsabilidade do Poder Público, Folha de S.Paulo, disponível em: <https://www1.folha.uol.com.br/mercado/2018/08/vetos-na-lei-de-protecao-de-dados-flexibilizam-responsabilidade-do-poder-publico.shtml>, acesso em: 18 ago. 2018.
[219] BRASIL, MENSAGEM No 451. Vetos à Lei no 13.709/2018 — Lei Geral de Proteção de Dados, disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art65>, acesso em: 18 ago. 2018.
[220] Ibid.
[221] LUCA, Cristina De, Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador, disponível em: <https://porta23.blogosfera.uol.com.br/2018/08/14/sancionada-a-lei-de-dados-pessoais-luta-passa-a-ser-por-orgao-regulador/>, acesso em: 18 ago. 2018.
[222] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[223] BRASIL, MENSAGEM No 451. Vetos à Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[224] LUCA, Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador.
[225] BRASIL, MENSAGEM No 451. Vetos à Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[226] Ibid.
[227] LUCA, Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador.
[228] BRASIL, MENSAGEM No 451. Vetos à Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[229] LUCA, Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador.
[230] BRASIL, MENSAGEM No 451. Vetos à Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[231] LUCA, Sancionada a Lei de Dados Pessoais, luta passa a ser por órgão regulador.
[232] DONEDA, Da Privacidade À Proteção De Dados Pessoais, p. 101.
[233] Ibid., p. 109.
[234] Ibid.
[235] FORTES, Os Direitos de Privacidade e a Proteção de Dados Pessoais na Internet, p. 107.
[236] RODOTÀ, Stefano; Tecnologie e diritti, Bologna: Il Mulino, 1995: apud Fortes,Os direitos de privacidade e a proteção de dados pessoais na internet, Rio de Janeiro: Lumen Juris, 2016, p. 107.
[237] RODOTÀ, A Vida na Sociedade da Vigilância, p. 92.
[238] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 108.
[239] FERRAJOLI, Luigi, Por Uma Teoria dos Direitos e dos Bens Fundamentais, 1. ed. Porto Alegre: Livraria do Advogado, 2011.
[240] FORTES, Os Direitos de Privacidade e a Protecao de Dados Pessoais na Internet, p. 112–113.
[241] DONEDA, Da Privacidade À Proteção De Dados Pessoais.
[242] BRASIL, Exposição de Motivos ao projeto de lei no 2.126/2011, disponível em: <http://www.planalto.gov.br/ccivil_03/Projetos/ExpMotiv/EMI/2011/86-MJ%20MP%20MCT%20MC.htm>, acesso em: 21 ago. 2018.
[243] Sancionada lei geral de proteção de dados.
[244] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[245] ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS, Res. 69/166 The right to privacy in the digital age, de 2014., disponível em: <http://www.un.org/en/ga/search/view_doc.asp?symbol=A/RES/69/166>, acesso em: 31 jul. 2018.
[246] MINISTÉRIO DAS RELAÇÕES EXTERIORES. NOTA 94, Criação da Relatoria Especial sobre “O Direito à Privacidade na Era Digital”, disponível em: <http://www.itamaraty.gov.br/pt-BR/notas-a-imprensa/8460-criacao-da-relatoria-especial-sobre-o-direito-a-privacidade-na-era-digital>, acesso em: 31 jul. 2018.
[247] Ibid.
[248] ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS, Declaração Universal dos Direitos Humanos.
[249] ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS, International Covenant on Civil and Political Rights.
[250] COMISSÃO INTERAMERICANA DE DIREITOS HUMANOS, Declaração Americana dos Direitos e Deveres do Homem, disponível em: <https://www.cidh.oas.org/basicos/portugues/b.Declaracao_Americana.htm>, acesso em: 1 ago. 2018.
[251] Ibid.
[252] ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO (OCDE), Diretrizes que regem a proteção da privacidade e dos fluxos transfronteiriços de dados pessoais, disponível em: <http://www.oecd-ilibrary.org/science-and-technology/oecd-guidelines-on-the-protection-of-privacy-and-transborder-flows-of-personal-data_9789264196391-en>, acesso em: 3 ago. 2018.
[253] Ibid.
[254] ASSEMBLEIA GERAL DAS NAÇÕES UNIDAS, Diretrizes para a regulação de arquivos de dados pessoais computadorizados. res. 45/95, disponível em: <http://www.un.org/documents/ga/res/45/a45r095.htm>, acesso em: 1 ago. 2018.
[255] ARTIGO 19, Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional.
[256] COMITÊ JURÍDICO INTERAMERICANO. Proposta de Declaração de Princípios para Proteção à Privacidade e Dados Pessoais nas Américas, CJI/RES. 186 (LXXX-O/12), 9 de Março de 2012; Comitê Jurídico Interamericano, Princípios da OEA sobre Proteção à Privacidade e de Dados Pessoais com anotações, CJI/doc. 474/15 rev.2, 26 de Março de 2015.
[257] ARTIGO 19, Proteção de dados pessoais no Brasil — Análise dos projetos de lei em tramitação no Congresso Nacional.
[258] COMISSÃO EUROPEIA, Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)/Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. SEC (2012), disponível em: <https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52012PC0011>, acesso em: 3 ago. 2018.
[259] LEMOS, Ronaldo et al, GDPR: a nova legislação de proteção de dados pessoais da Europa, JOTA Info, disponível em: <https://www.jota.info/opiniao-e-analise/artigos/gdpr-dados-pessoais-europa-25052018>, acesso em: 3 ago. 2018.
[260] BRASIL, Lei no 13.709/2018 — Lei Geral de Proteção de Dados.
[261] TADINI, Giovanna Wolf, Criação de Autoridade Nacional emperra sanção de lei de dados pessoais — Link, Estadão, disponível em: <https://link.estadao.com.br/noticias/cultura-digital,criacao-de-autoridade-nacional-emperra-sancao-de-lei-de-dados-pessoais,70002415331>, acesso em: 3 ago. 2018.
[262] Ibid.
[263] Ibid.
[264] LEMOS, Ronaldo, Lei de dados nasceu desgovernada, Folha de S.Paulo, disponível em: <https://www1.folha.uol.com.br/colunas/ronaldolemos/2018/08/lei-de-dados-nasceu-desgovernada.shtml>, acesso em: 22 ago. 2018.
[265] Ibid.
[266] Ibid.
[267] Ibid.
