Sunteți pe pagina 1din 19

7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito

http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 1/19
Este texto foi publicado no site Jus Navigandi no endereo
http://jus.com.br/artigos/23669
Para ver outras publicaes como esta, acesse http://jus.com.br
A Diretiva Europeia sobre proteo de dados
pessoais.
Uma anlise de seus aspectos gerais
Demcrito Reinaldo Filho
Publicado em 02/2013. Elaborado em 02/2013.
Os dados pessoais somente podem ser recolhidos de acordo
com finalidades determinadas, explcitas e legtimas e no
podem, posteriormente, ser utilizados de maneira diferente
daquelas previstas inicialmente.
Sumrio: 1. Regulamentao da proteo de dados na Europa uma
introduo. 2. Instrumentos multinacionais. 3. A Diretiva Europeia sobre a
proteo de dados pessoais.
1.REGULAMENTAODAPROTEODEDADOSNAEUROPA
UMAINTRODUO.
A proteo da privacidade individual desde muito se inseriu entre as
preocupaes dos juristas, que sempre a enxergaram como um dos direitos da
personalidade. Leis especficas de proteo de dados pessoais, no entanto,
comearam a surgir s a partir das dcadas de 60 e 70, com o advento das
tecnologias da informao. O grande poder de processamento de dados pelos
computadores foi o fator responsvel pela germinao da moderna legislao
nessa rea. O aumento do poder de controle e processamento de dados
prontamente desencadeou a demanda por uma legislao especfica para regular
a coleta e manuseio de informaes pessoais.
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 2/19
Embora o direito privacidade (right to privacy) tenha se desenvolvido
originalmente na jurisprudncia e doutrina norte-americanas, foi a Europa que
se notabilizou como a fonte dos principais e mais completos conjuntos de leis
sobre proteo de dados pessoais, que emergiram nessas dcadas. Em 1970, o
Estado alemo de Hesse editou a primeira lei sobre essa matria. A Sucia conta
com o Datalegen, Lei 289 de 11 de maio de 1973. Desde 1977, a Alemanha tem
uma lei federal de proteo de uso ilcito de dados pessoais. A Dinamarca
regulamenta a questo da proteo de dados pelas Leis 243 e 244, ambas de 08
de julho de 1978, que estenderam a proteo tambm para as pessoas jurdicas.
A Frana tem a Lei 78-77, de 06 de janeiro de 1978. A Espanha tem a
peculiaridade de ter uma regra constitucional determinando a regulamentao
da proteo da privacidade contra invases da atividade informtica (art. 18,
par. 1.). A Constituio de Portugal de 1977 tem texto ainda mais completo (art.
35), pois contempla a previso do direito do cidado de conhecer os dados que
lhe so concernentes, de que esses dados sejam utilizados de acordo com a
finalidade para o qual foram recolhidos e, ainda, de retific-los (em caso de
erro) e de atualiz-los.
Atualmente, uma expressiva parte dos pases europeus possui leis de proteo
de dados, incluindo a ustria, Blgica, Repblica Checa, Finlndia, Hungria,
Irlanda, Itlia, Luxemburgo, Holanda, Sucia, Sua e Inglaterra.
As leis europias de proteo privacidade e regulamentao do processamento
de dados pessoais distinguem-se por quatro caractersticas essenciais . So
elas:
a)aplicam-se em geral aos setores pblicos e privados;
b)aplicam-se a um largo leque de atividades, incluindo a coleta de dados,
armazenamento, uso e disseminao;
c)elas impem obrigaes a qualquer pessoa que se envolva em alguma dessas
atividades;
d)tm em geral poucas limitaes setoriais, isto , aplicam-se indistintamente a
qualquer categoria de dados.
2.INSTRUMENTOSMULTINACIONAIS.
A edio de leis nacionais de proteo de dados pessoais pelos pases
individualmente foi um fenmeno seguido e, em alguns casos at antecipado,
pela elaborao de textos de carter multinacional. Em 1980, o Comit de
Ministros da OECD Organization for Economic Cooperation and
Development , publicou as Diretrizes sobre Proteo da Privacidade e o Fluxo
[1]
[2]
[3]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 3/19
Transnacional de Informaes Pessoais , documento que estabeleceu
princpios bsicos sobre proteo de dados e sobre o fluxo de informaes entre
pases que possuem leis em conformidade com esses princpios. Essas
guidelines, no entanto, no tm fora coercitiva e permitem uma variao
muito ampla na sua implementao no direito interno dos pases. Um ano mais
tarde, em 1981, o Conselho da Europa promulgou a Conveno Para a
proteo dos indivduos com respeito ao processamento automtico de dados
pessoais , que entrou em vigor em 1985. Dita Conveno bem similar s
Guidelines da OECD, embora com foco na proteo de dados para resguardar
a privacidade individual. Ela contm regras no sentido de que a proteo das
informaes pessoais alcana todas as fases da atividade de processamento de
dados, desde a coleta e o armazenamento at a disseminao. Especificamente,
ela estabelece que: os dados devem ser obtidos e processados de uma maneira
justa; que devem ser usados e armazenados somente com propsitos legais; que
devem ser processados de forma adequada, relevante e no excessiva em relao
finalidade inicial da coleta; que os dados devem ser exatos, atualizados e
armazenados por perodo no superior que o necessrio. Ela confere pessoa a
quem as informaes se referem o direito de inquirir o controlador sobre sua
existncia, de obter uma cpia e de corrigir os dados falsos ou impropriamente
processados. A Conveno estabelece, ainda, que todos os pases signatrios
devem editar leis nacionais em conformidade com seus princpios.
Esses dois textos multinacionais tiveram uma profunda influncia na edio de
leis de proteo de dados pessoais de diversos pases. Aproximadamente 30
pases assinaram a Conveno e vrios outros esto planejando faz-lo em
breve. Desde 1997, 15 pases membros da Unio Europeia j possuam uma
legislao nacional em conformidade com a Conveno. As Guidelines tambm
tiveram influncia na legislao de vrios pases, mesmo aqueles no membros
da OECD.
Todavia, a atividade legiferante no mbito interno dos Estados nacionais no se
deu de forma uniforme, ao menos por trs razes. A primeira, porque algumas
leis nacionais de proteo de dados pessoais j existiam anteriormente adoo
da Conveno. A segunda, porque ela no era auto-executvel, permitindo que
os pases a implementassem de maneiras muito variadas. E, a terceira, porque
ela no incorporou definies importantes, como, p. ex., o que constitui um
adequado nvel de proteo de dados pessoais; como resultado, os pases
membros viram-se livres para implementar suas prprias definies e
conceitos, na legislao interna de cada um deles.
Com o nvel de proteo privacidade variando de pas a pas, fruto da desigual
aplicao tanto da Conveno quanto das Guidelines, a Unio Europia editou
a Diretiva 95/46/EC relativa ao processamento de dados pessoais , de forma a
[3]
[4]
[5]
[6]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 4/19
harmonizar o grau de proteo existente nas leis nacionais e de assegurar o livre
fluxo de informaes pessoais entre os pases membros. A Diretiva estabelece
um conjunto de regras que no somente refora os direitos anteriormente
previstos nas leis nacionais, mas tambm criou um novo conjunto de direitos,
aplicando-se atividade de processamento de dados quer ela acontea de forma
automatizada, em ambientes eletrnicos, ou na forma tradicional manual.
3.ADIRETIVA95/46/ECRELATIVAAOPROCESSAMENTODE
DADOSPESSOAIS
Formalmente aprovada em 24 de outubro de 1995, para entrar em vigor 03 anos
depois, a Diretiva um amplo texto legal em matria de proteo de dados
pessoais. Ela exige que cada pas membro da Unio Europia tenha uma agncia
ou comissrio de proteo de dados, este ltimo um agente estatal que
supervisione a aplicao dos princpios e leis de proteo privacidade
individual. Ela tambm exige que cada um deles edite leis sobre o
processamento de dados pessoais. A Diretiva estabeleceu um prazo de 03 anos
aps a data de sua vigncia, para que os pases membros da Unio Europia
adotem as medidas legislativas e regulamentares necessrias para incorporar
suas regras no direito interno deles. Adiante fazemos uma anlise mais
detalhada do escopo e regras especficas fundamentais da Diretiva.
3.1.DEFINIESCONTIDASNADIRETIVA
Uma das falhas da Conveno sobre proteo de dados pessoais, conforme j
ressaltamos, foi a no incluso de definies importantes relacionadas com a
atividade de processamento de informaes. A Diretiva no incorreu no mesmo
erro, trazendo, logo no seu art. 2., um extenso leque de conceitos. Por exemplo,
dados pessoais so definidos como qualquer informao relativa a uma pessoa
singular identificada ou identificvel (art. 2., a). Esse conceito, com a
abrangncia que lhe foi dada, alcana no somente informaes textuais, mas
tambm fotografias, imagens audiovisuais e registros de sons relativos a uma
pessoa. Alm disso, o raio de extenso no se limita a pessoas vivas; os dados
referentes a pessoas naturais em geral, quer estejam vivas ou no, incluem-se no
conceito legal de dados pessoais. Outro conceito importante destacado na
Diretiva o de processamento de dados pessoais, que corresponde a qualquer
operao ou conjunto de operaes efetuadas sobre dados pessoais, com ou sem
meios automatizados, tais como a coleta, registro, organizao, conservao,
adaptao ou alterao, recuperao, consulta, utilizao, comunicao por
transmisso, difuso ou qualquer outra forma de colocao disposio, com
comparao ou interconexo, bem como o bloqueio, apagamento ou destruio
(art. 2. b). O controlador (controller) dos dados ou pessoa responsvel pelo
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 5/19
tratamento tambm definido na Diretiva, como a pessoa singular ou coletiva,
a autoridade pblica, o servio ou qualquer outro organismo que,
individualmente ou em conjunto com outrem, determine as finalidades e os
meios de tratamento dos dados pessoais (art. 2., d). Essa definio de suma
importncia porque o controlador dos dados a pessoa primariamente obrigada
pelas regras das Diretiva.
Alm dessas definies, a Diretiva traz ainda outras, tais como os conceitos de
fichrio de dados pessoais, de subcontratante, de terceiro, de
destinatrio e de consentimento do sujeito dos dados (art. 2., c, e, f,
g e h), todos estes tambm de suma importncia para a correta
compreenso e aplicao de seus preceitos.
3.2.ESCOPODADIRETIVA
No seu art. 3., a Diretiva trata de definir seu mbito de aplicao,
estabelecendo que se aplica a qualquer forma de processamento de dados, quer
este se realize de maneira automatizada (ainda que parcial) ou no (item 1).
Ficam excludas do seu raio de alcance: a) as atividades no sujeitas aplicao
do direito comunitrio; b) o tratamento de dados que tenha por objeto a
segurana pblica e a defesa e segurana do Estado; c) as atividades do Estado
voltadas aplicao da lei penal (preveno, investigao e represso de
infraes penais); e c) o tratamento de dados efetuado por uma pessoa singular
no exerccio de atividades exclusivamente pessoais ou domsticas (item 2).
Alm dessas, outras excees e restries, em relao a direitos e obrigaes
especficos, so feitas no art. 13 da Diretiva.
3.3.PRINCPIOSEDIREITOSBSICOSCONTIDOSNA
DIRETIVAEMRELAOAOPROCESSAMENTODEDADOS
3.3.1.PRINCPIODAFINALIDADE(PURPOSELIMITATION
PRINCIPLE)
Os dados pessoais somente podem ser recolhidos de acordo com finalidades
determinadas, explcitas e legtimas e no podem, posteriormente, ser
utilizados de maneira diferente daquelas previstas inicialmente (art. 6., b).
Como efeito, o tratamento de dados pessoais implica o mximo de
transparncia, no podendo ser feito com base em razes ocultas. Os propsitos
que justificam o processamento tm que ser explcitos, claramente
identificados.
3.3.2.PRINCPIOSRELATIVOSQUALIDADEDOSDADOS
Os dados submetidos a tratamento:
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 6/19
a)tm que ser processados de uma maneira leal e lcita (art. 6., I, a);
b)tm que ser adequados, pertinentes e no excessivos relativamente s
finalidades para que so recolhidos e para que so tratados posteriormente (art.
6, I, c);
c)tm que ser exatos e atualizados (art. 6., I, d);
d)devem ser conservados apenas durante o perodo necessrio para o
atingimento das finalidades para as quais foram recolhidos (art. 6., I, e).
3.3.3.PRINCPIOSRELATIVOSLEGITIMIDADEDO
PROCESSAMENTODOSDADOS
O art. 7. enumera situaes que justificam o processamento de dados pessoais.
Para ser considerado legtimo, o tratamento de dados necessita se enquadrar
em uma das circunstncias descritas.
O tratamento de dados somente se justifica se (art. 7.):
a)o sujeito ou titular dos dados tiver dado seu consentimento;
b)para execuo de um contrato do qual seja parte;
c)for necessrio para o cumprimento de uma obrigao legal;
d)para a proteo de direitos vitais do sujeito;
e)para realizar interesses legtimos da pessoa responsvel pelo processamento.
3.3.4REGRASRELATIVASAOTRATAMENTODECATEGORIAS
ESPECFICASDEDADOS
O tratamento de dados considerados sensveis, ou seja, aqueles que se referem a
origem racial ou tnica de uma pessoa, suas opinies polticas, credos religiosos,
filiaes a sindicatos, convices ticas ou filosficas, bem como os concernentes
sua sade e vida sexual, em regra proibido (art. 8., I), salvo quando:
a)a pessoa em causa tiver dado seu inequvoco consentimento (a no ser quando
a legislao nacional prev que a proibio no pode ser retirada pelo
consentimento)
b)o tratamento necessrio para o cumprimento de obrigaes trabalhistas do
controlador (desde que a legislao nacional estabelea garantias adequadas);
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 7/19
c)o tratamento for necessrio para proteger interesses vitais do sujeito dos
dados;
d)o tratamento for efetuado por uma entidade sem fins lucrativos,
relativamente a seus membros ou a pessoas com as quais mantenha
relacionamento peridico, desde que os dados no sejam comunicados a
terceiros sem o consentimento deles;
e)o tratamento disser respeito a dados tornados pblicos ou for necessrio
defesa de um direito em processo judicial (art. 8, item 2);
f)for necessrio para fins de tratamento mdico ou de sade, desde que o
responsvel por ele esteja submetido ao sigilo profissional (art. 8., item 3).
A Diretiva ainda prev que os Estados-membros podem estabelecer outras
excees regra geral do no processamento de dados sensveis (art. 8., item
4) e que o tratamento de informaes relativas a condenaes penais deve ficar
sob o controle de autoridades pblicas, podendo essa mesma regra se aplicar s
infraes cveis e administrativas (item 5).
3.3.5.GARANTIASBSICASDOTITULAR(SUJEITO)DOS
DADOS
A Diretiva estabelece uma srie de direitos bsicos da pessoa a respeito de
quem os dados so coletados, direitos esses que, se vistos de outro ngulo,
constituem deveres imputados aos processadores (controladores) das
informaes pessoais. De fato, os controladores, aqueles responsveis pelo
tratamento de dados pessoais, esto obrigados a fornecer pessoa em causa
uma srie de informaes, que se constituem em direitos bsicos do sujeito, em
relao ao processamento de seus dados pessoais.
3.3.5.1ODIREITODESERINFORMADO(ARTS. 10 E 11)
Os dados referentes a uma pessoa podem ser recolhidos diretamente junto a ela
ou por meio de terceiros, que disponham desses mesmos dados. Na primeira
hiptese, a Diretiva (no seu art. 10) estabelece que o controlador tem que
prestar pessoa em causa as seguintes informaes:
a)a identidade do responsvel (ou do seu representante, se for o caso) pelo
tratamento dos dados;
b)a finalidade do tratamento dos dados.
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 8/19
Se necessrio, outras informaes ainda devem ser prestadas, tendo em conta
as circunstncias especficas do recolhimento dos dados, para garantir pessoa
em causa um leal tratamento dos dados . Essas informaes adicionais
incluem:
a)os destinatrios dos dados ;
b)o carter obrigatrio ou facultativo de sua resposta (do controlador dos
dados), bem como as conseqncias se no responder;
c)a existncia do direito de acesso aos dados e do direito de retific-los.
O texto da Diretiva no indica quais circunstncias especficas so essas, que
fazem surgir para o controlador ou processador dos dados o dever de prestar
informaes adicionais. Uma situao exemplificativa da necessidade de serem
prestadas as informaes adicionais pode ser encontrada na utilizao de
cookies por parte de um operador de website. Pela razo de que seu uso nem
sempre aparente para o internauta (a pessoa a respeito de quem os dados so
coletados), ou, mesmo sendo, as implicaes decorrentes da utilizao de dados
pessoais coletados por meio deles no podem ser precisamente avaliadas, o
operador est obrigado a prestar as informaes adicionais no caso de utilizao
de cookies. A mera presena de um aviso no site alertando sobre a existncia de
cookies, por si s, no atende os padres de contedo informacional exigido
pela Diretiva .
Praticamente as mesmas informaes (requeridas no art. 10) devem ser
prestadas quando os dados pessoais no so recolhidos junto pessoa em
causa (art. 11) . E devem ser prestadas, diz a Diretiva, no momento em que
os dados forem registrados ou, se estiver prevista a comunicao a terceiros, o
mais tardar quando da primeira comunicao desses dados (item 1 do art. 11).
No contexto dos ambientes eletrnicos, essas provises legais tm especial
relevo. Como se sabe, a arquitetura das redes informticas de comunicao
facilita a coleta e transmisso de dados pessoais. Os operadores de sistemas
informticos, tais como provedores de acesso Internet e outros prestadores de
servios on line, esto obrigados ao respeito a essas regras sempre que atuarem
no processamento de dados. Tomemos, por exemplo, um operador de website.
Na eventualidade de coleta de algum dado de carter pessoal seja atravs de
cookies ou outro mtodo -, na medida em que um internauta visite sua pgina,
est obrigado a prestar as informaes previstas na Diretiva. Isso pode ser feito
por meio de um aviso que aparea na pgina eletrnica, ao incio do processo de
coleta, dando conhecimento ao internauta dessa atividade. As mesmas
informaes devem ser prestadas no caso de os dados pessoais no serem
colhidos diretamente da pessoa em causa. Como tambm notrio, nos
[7]
[8]
[9]
[10]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 9/19
ambientes eletrnicos atuam uma srie de agentes intermedirios, desde
provedores de acesso Internet, provedores de servios, operadores de pginas
web, simples usurios, enfim, uma srie de atores que podem, dependendo das
circunstncias, participar do processo de tratamento e transmisso de dados
alheios. O dever de prestar informaes ao titular dos dados tambm se aplica,
sempre que, recebendo-os de terceiro, a pessoa fizer uso deles ou pretender
repass-los adiante. Empresas de e-marketing ou que exploram o comrcio
eletrnico, por exemplo, que tm a necessidade de transferir dados alheios (de
seus clientes ou no), como decorrncia de sua prpria atividade, devem
informar o sujeito sobre a transmisso dos dados. As informaes
obrigatrias podem ser prestadas utilizando-se a prpria rede de comunicao
por meio do qual os dados foram colhidos ou repassados, sempre que isso se
fizer possvel.
Embora essas sejam as regras, o seu cumprimento s vezes pode ser de difcil
aplicao prtica. Nos ambientes das redes telemticas abertas, saber
precisamente quem teve acesso a uma categoria de dados nem sempre
possvel.
O item 2 do art. 11 trata das excees ao direito informao, nos casos em que
os dados no so coletados junto ao sujeito em causa. Prev que a
obrigatoriedade da prestao das informaes ao sujeito dos dados (data
subject) no se aplica sempre que o processamento for feito com finalidades
estatsticas, histricas ou de investigao cientfica, e desde que esse dever se
mostre impossvel ou implicar esforos desproporcionais . Essa exceo
serve, por exemplo, para os casos em que o operador colhe os dados em uma
base de dados na Internet, e no tem qualquer contato com a pessoa a quem eles
se referem. Seria um peso excessivo exigir que o controlador prestasse
informaes a uma pessoa que ele no tem contato direto, ou nem sequer
saberia como contact-la. Para situaes como essa, que a Diretiva proveu a
dita exceo. Isso no significa, entretanto, que o processador nesses casos no
esteja submetido a outros princpios e regras estabelecidos na Diretiva. Ele est
submetido, por exemplo, aos princpios da finalidade e da adequao,
insculpidos no art. 6.
A exceo ao direito informao prevista no item 02 do art. 11 acena,
claramente, no sentido de que o controle sobre os dados pessoais (por parte do
sujeito dos dados) fica bastante reduzido, sempre que eles no so coletados
junto ao titular. certo que a exceo somente se aplica s hipteses em que os
dados so coletados para fins estatsticos, histricos ou de pesquisa cientfica,
mas a regra pode ser uma porta aberta para o titular perder o controle sobre
seus dados pessoais, j que no saber quem os detm .
3.3.5.2ODIREITODEACESSOEDECORREO
[11]
[12]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 10/19
O direito de acesso e o direito de correo dos dados pessoais so disciplinados
mais detalhadamente no art. 12 da Diretiva, que estabelece a obrigao dos
Estados-membros editarem leis que garantam pessoa em causa (sujeito dos
dados) o direito de obter, mediante requisio, com periodicidade razovel e
sem demora ou custos excessivos:
a)confirmao da existncia de dados pessoais;
b)informaes sobre os fins a que se destina o tratamento;
c)as categorias de dados objeto do tratamento e sua origem;
d)os destinatrios dos dados;
e)a lgica do sistema, em caso de tratamento automatizado de dados.
Como corolrio do direito de acesso, as leis nacionais devem assegurar tambm
o direito do sujeito dos dados de retificar, apagar ou bloquear a transferncia
daqueles que sejam indevidamente processados, especialmente os incompletos
ou inexatos. O sujeito (titular) dos dados deve ter ainda assegurado o direito de
notificao aos terceiros (a quem os dados hajam sido transferidos) de qualquer
retificao, eliminao ou bloqueio de dados inexatos ou indevidamente
processados.
Esse ltimo direito do sujeito dos dados, de notificao a terceiros das
alteraes eventualmente produzidas, pode se mostrar excessivamente oneroso,
ou mesmo impossvel de ser realizado na prtica, quando se tratar dos
ambientes eletrnicos. Tome-se o exemplo de um controlador de uma base de
dados disponibilizada na Internet. Ele em regra no tem conhecimento de
quantas e quais pessoas acessaram os dados que disponibilizou, no tendo, por
conseguinte, como notific-los de eventuais alteraes solicitadas pela pessoa a
quem os dados se referem. Por isso mesmo, a Diretiva ressalva que o direito de
notificao no pode ser exigido quando isso for comprovadamente impossvel
ou implicar um esforo desproporcional (art. 12, letra c).
3.3.5.3ODIREITODEOBJEO
Ao titular dos dados assegurado o direito, desde que fundado em relevantes e
legtimas razes de ordem particular, de se opor ao processamento das
informaes que lhe digam respeito, salvo quando as leis nacionais dispuserem
em contrrio. Sempre que houver uma objeo justificada, o processamento dos
dados, ainda que iniciado, deve ser suspenso em relao s informaes que
disser respeito ao interessado (art. 14, a).
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 11/19
O direito de objeo incondicional quando disser respeito ao processamento
de dados para fins de marketing. Nesses casos, no se leva em considerao os
motivos para objeo do titular dos dados. Tem ele o direito de se insurgir
contra o processamento de suas informaes pessoais, no sendo necessrio
invocar os motivos de sua recusa. Alm disso, tem o direito de ser informado
antes que seus dados sejam transferidos a terceiros com esses fins (de
marketing), de modo a poder manifestar sua oposio a tal comunicao (art. 14,
b).
3.3.5.4ODIREITODENOSERSUBMETIDOAPROCESSOS
AUTOMATIZADOSDEDECISO
Em seu artigo 15, sob o ttulo Decises individuais automatizadas, a Diretiva
estabelece uma regra especial e extremamente inovadora, no presente na
maioria dos outros textos legais de proteo a dados pessoais. Trata-se de
norma que objetiva regular a construo de perfis de forma automatizada,
mtodos conhecidos como automated profiling practices. Tem a seguinte
redao o dispositivo em questo:
Artigo 15
Decises individuais automatizadas
1. Os Estados-membros reconhecero a qualquer pessoa o direito de no
ficar sujeita a uma deciso que produza efeitos na sua esfera jurdica ou
que a afete de modo significativo, tomada exclusivamente com base num
tratamento automatizado de dados destinado a avaliar determinados
aspectos da sua personalidade, como por exemplo a sua capacidade
profissional, o seu crdito, confiana de que merecedora,
comportamento.
Como se observa, a regra em comento atribui ao indivduo o direito de no se
submeter a certos processos de deciso automatizados. Tem aplicao aos
sistemas informatizados de construo de perfis, cada dia mais presentes em
grandes empresas privadas. A criao de perfis (profiling) consiste em sistema
ou mtodo de inferir caractersticas (geralmente comportamentais) sobre uma
pessoa a partir da coleta de determinados dados e, ento, trat-la de acordo com
essas caractersticas. Sistemas automatizados e programas especficos so
capazes de, a partir de padres e sequncias de dados pessoais, estabelecer um
conjunto de indicaes comportamentais (o perfil), baseado em probabilidades.
A partir do tipo de perfil gerado, o programa, ento, utilizado para a tomada
de decises em relao pessoa pesquisada. Por meio de diferentes tcnicas e
abordagens, esses sistemas tornam o processo de tomada de decises mais
otimizado e estvel, substituindo a deciso humana por decises automatizadas.
As decises podem envolver diferentes aspectos da vida da pessoa (que tem os
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 12/19
dados processados), como performance no trabalho, histrico creditcio,
conduta pessoal, desempenho em certas reas de atuao etc. Pretendentes a
cargo, compra de um determinado bem ou obteno de financiamento
preenchem questionrios que so utilizados para tomadas de decises com base
nas respostas fornecidas. A norma da Diretiva (art. 15) probe as decises
automticas nos casos em que possam afetar a vida das pessoas. O processador
dos dados no deve tomar decises automatizadas em relao s pessoas
submetidas ao processo de coleta de informaes, a no ser dentro de certas
condies estabelecidas no item 2 do art. 15, como por exemplo, quando o
processo automtico de decises ocorre para propiciar a execuo de um
contrato, quando se confere ao sujeito dos dados a oportunidade de dar sua
opinio ou outras salvaguardas so aplicadas .
Os sistemas automticos de processamento de informaes e tomada de
decises fazem aumentar o risco do abuso das tecnologias para regular o
comportamento humano. A norma da Diretiva procura minimizar essa
tendncia, ao colocar nas mos do sujeito dos dados a possibilidade de se
contrapor a que decises que afetem sua rbita de interesses e sua pessoa sejam
tomadas com base exclusivamente em processos automatizados.
3.3.6EXCEESELIMITAESDOSDIREITOSDOTITULAR
(SUJEITO)DOSDADOS
Dentro de certas circunstncias e para atingir determinadas finalidades, os
Estados-membros da UE podem adotar medidas legislativas para restringir o
alcance de alguns direitos garantidos aos titulares dos dados. Com efeito, o art.
13 da Diretiva estabelece a possibilidade de restrio de direitos sempre que o
processamento ou coleta de dados envolver um interesse pblico relevante.
Assim, especificamente os direitos estipulados no n 1 do artigo 6, no artigo
10, no n 1 do artigo 11 e nos artigos 12 e 21, podem ser relativizados
quando o processamento de dados pessoais for necessrio para segurana e
defesa do Estado, para fins de segurana pblica, para preveno, investigao e
represso de infraes penais, para atingir um importante interesse financeiro
ou econmico do Estado-membro ou da Unio Europia, para possibilitar o
exercio de determinadas funes pblicas ou ainda para proteger direitos e
liberdades alheias. O direito de acesso e correo (referidos no art. 12) tambm
podem ser restringidos quando os dados pessoais forem utilizados para fins de
investigao cientfica, desde que certas garantias jurdicas sejam observadas.

3.4SEGURANAECONFIDENCIALIDADEDOSDADOS
[13]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 13/19
As entidades privadas e pblicas devem implementar medidas tcnicas e
organizacionais apropriadas proteo dos dados pessoais que processam e
armazenam. As medidas tm que ser adequadas aos riscos que a atividade
representa e natureza dos dados tratados, de modo a proteg-los contra
destruio (acidental ou ilcita), perda acidental, alterao, difuso ou acesso
no autorizado (art. 17).
Alm de manter um nvel de segurana adequado em relao aos riscos que o
tratamento apresenta e natureza dos dados a proteger, o responsvel pelo
processamento, ou pessoa a ele subordinada, deve tambm manter a
confidencialidade do tratamento.
3.5OBRIGAODENOTIFICAOAUTORIDADE
SUPERVISORAECONTROLEPRVIO
Os representantes das empresas que atuam na coleta e processamento de dados
pessoais devem notificar previamente a autoridade pblica responsvel pela
superviso dessa atividade. Como se sabe, a Diretiva imps aos Estados-
membros da Unio Europeia a obrigao de criao de cargos a serem
preenchidos por agentes pblicos responsveis pela fiscalizao da aplicao de
suas normas. Esses agentes pblicos, chamados de comissrios para proteo de
dados pessoais, tm poderes para fiscalizar empresas que processam dados
pessoais, aplicar multas e ingressar com processos judiciais quando verificam
alguma irregularidade ou inobservncia das normas e princpios da Diretiva
95/46/EC. Nenhuma entidade, portanto, pode iniciar alguma atividade
automatizada de tratamento de dados pessoais sem antes notificar o comissrio
ou agente pblico responsvel pela superviso dessa atividade (art. 18). Essa
notificao pode ser feita de maneira simplificada ou mesmo dispensada se, em
face do tipo de tratamento ou da natureza dos dados, o processamento no
suscetvel de prejudicar direitos ou liberdades da pessoa que tem os dados
tratados.
Alguns tratamentos que ofeream um elevado risco s liberdades e direitos da
pessoa titular dos dados no podem ser iniciados antes da obteno da
aprovao pela autoridade supervisora. Nesses casos, o responsvel pelo
processamento de dados deve consultar previamente a autoridade supervisora.
A Diretiva prev que os Estados-membros devem, atravs de regulamento,
indicar os tipos de tratamentos que apresentam elevado risco s pessoas e que,
portanto, necessitam de aprovao prvia (art. 20).
3.6CADASTRO
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 14/19
O art. 21 da Diretiva estabelece que as autoridades supervisoras das atividades
de processamento de dados pessoais (data protection authorities), conhecidas
como comissrios para proteo de dados, devem manter uma espcie de
cadastro das entidades que processam dados de forma massificada, para acesso
ao pblico. Esse cadastro abrange somente empresas que, pela forma do
tratamento ou tipo de dados processados, esto obrigadas a notificar a
autoridade de proteo de dados, na forma do art. 18.
3.7SANESADMINISTRATIVASEAESJUDICIAIS
Sem prejuzo de multas e outras sanes aplicadas pela autoridade pblica, a
qualquer pessoa assegurado o direito de ingressar em juzo quando ocorrer
violao dos seus direitos garantidos pelas normas e princpios da Diretiva. Em
ocorrendo um prejuzo, de ordem patrimonial ou moral, decorrente de
tratamento ilcito de dados, a pessoa prejudicada tem direito a buscar
reparao. A entidade que executa a atividade de processamento s no ser
responsabilizada se provar que o fato que causou o dano no lhe pode ser
imputado (arts. 22 a 24).
3.8TRANSFERNCIADEDADOSPESSOAISAPASESNO
INTEGRANTESDAUNIOEUROPIA
O artigo 25 da Diretiva contm regra que tem servido como fonte de problemas
diplomticos com pases no membros da Unio Europeia. A norma em questo
probe a transferncia de dados pessoais de cidados europeus a pases que no
possuam um nvel de proteo adequado (item 1). A adequao ao nvel de
proteo exigida na Diretiva examinada tomando-se por base uma srie de
fatores , mas sobretudo as regras de direito em vigor no pas para onde se
pretende transferir os dados. De um modo geral, a legislao de um pas
considerada adequada quando suas normas internas ou tratados e convenes
internacionais que tenha subscrito se igualarem s normas da Diretiva, em
termos de proteo de dados pessoais.
A regra que exige um nvel adequado de proteo legislativa, para transferncia
de dados pessoais a um determinado pas, no absoluta, admitindo excees.
Em algumas hipteses restritas, como, v.g., a pessoa titular dos dados tenha
manifestado seu consentimento, a transferncia for necessria para a execuo
de um contrato, para o exerccio ou defesa de um direito em processo judicial ou
outros interesses vitais da pessoa em causa ou para atingir interesse pblico
relevante, admitida a transferncia de dados para um terceiro pas que no
tenha o mesmo nvel legal de proteo de dados pessoais (art. 26). possvel
tambm a transferncia de dados pessoais para pases com baixo nvel de
[14]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 15/19
proteo legal quando o responsvel pelo tratamento dos dados apresenta
garantias suficientes de proteo da vida privada, que podem ser dadas atravs
de clusulas contratuais adequadas (art. 26, item 2).
Um rgo da Unio Europia que tem funes executivas, a Comisso Europeia
(European Comission) , fica encarregado de examinar quais pases possuem
um nvel adequado de proteo de dados. A Diretiva exige que a transferncia de
informaes pessoais, contidas em bases de dados de entidades privadas ou
rgos pblicos situados em pases do bloco europeu, s podem ser transferidas
para um Estado no integrante da comunidade se este oferecer um nvel
adequado de proteo. A Comisso, por fora dessa exigncia, edita decises
indicando quais pases adotam o nvel de proteo adequado . Esse
expediente utilizado como forma de conferir maior segurana jurdica para as
empresas da Unio Europeia, na questo da transferncia de dados, alm de
contribuir para o livre fluxo das informaes, que um dos objetivos da
Diretiva. Quando a Comisso Europia reconhece que um determinado pas tem
nvel de proteo adequado, a deciso tem o efeito de permitir que dados
pessoais contidos em bases de dados de empresas e rgos pblicos europeus
sejam transferidos para entidades sediadas naquele pas, sem necessidade de
outras garantias, conforme previsto na Diretiva Europia sobre proteo de
dados .
A Comisso Europeia tambm tem a funo de elaborar modelos de clusulas
contratuais (clusulas contratuais-tipo) para transmisso de dados pessoais a
pases no membros da UE. Essas clusulas-modelo devem ser utilizadas para
transaes comerciais e inseridas em contratos quando o responsvel pelo
tratamento dos dados no residir ou no tiver a base de suas operaes em pas
integrante da Unio Europeia. Em relao a pases cujos sistemas de leis
conferem um nvel de proteo adequada a dados pessoais, j reconhecidos
pela Comisso Europia, no h necessidade do emprego das clusulas
contratuais-modelo nas relaes que empresas europias travarem com
empresas desses pases. Quanto aos demais, sem reconhecido regime jurdico de
proteo adequada, o uso das clusulas contratuais-modelo uma soluo
vivel para transferncia de informaes pessoais .
A frmula da utilizao de clusulas contratuais padronizadas, no tem sido
suficiente, entretanto, para evitar problemas diplomticos que surgem entre a
representao da Unio Europia e governos de outros pases, no que tange
transferncia de dados pessoais de cidados europeus. S para exemplificar,
pode ser lembrado o embarao diplomtico surgido com os EUA, ao
requisitaram que as empresas europias de aviao repassassem os dados dos
passageiros de suas aeronaves, com o alegado propsito de prevenir aes
terroristas. Desde o fatdico ato terrorista s torres do World Trade Center, o
[15]
[16]
[17]
[18]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 16/19
Governo americano vem coletando dados dos passageiros de aeronaves com
vos internacionais com destino aos EUA. Os dados incluem os nomes dos
passageiros, itinerrio, nmeros de carto de crdito e at a preferncia
gastronmica da comida servida a bordo dos avies. A Unio Europia resistiu
muito a esse repasse, alegando que a entrega dos dados requisitados poderia
violar as leis europias de proteo de dados pessoais. O impasse s foi
resolvido depois que o Governo do EUA se comprometeu a dar algumas
garantias sobre a forma como as informaes seriam processadas .
3.9CDIGOSDECONDUTA
A Diretiva incentiva o processo de auto-regulao de certos segmentos do
empresariado, prevendo a possibilidade de implementao, no mbito das
associaes de classe, de cdigos de conduta, desenhados em observncia aos
seus princpios. Os cdigos de conduta, nessa acepo, contribuem para a
adequada disseminao das normas de proteo de dados pessoais (art. 27). Os
cdigos de conduta podem ser submetidos autoridade supervisora nacional de
proteo de dados, para emitir parecer sobre a adequao s normas da
Diretiva.
3.10AUTORIDADESUPERVISORADAPROTEODEDADOS
PESSOAISEGRUPODETRABALHO
A Diretiva impe a cada um dos Estados-membros a criao, no mbito de sua
administrao, de pelo menos um cargo de autoridade supervisora (supervisory
authority) da proteo de dados pessoais, com poderes para monitorar a
aplicao das suas normas dentro do territrio do pas (art. 28). A autoridade
supervisora deve ser consultada quando da adoo de alguma medida
administrativa ou elaborao de algum regulamento relacionado proteo de
dados pessoais (art. 28, item 2). A Diretiva ainda prev que a autoridade
supervisora deve estar investida de poderes de interveno em empresas, para
fins de determinar eventualmente a cessao definitiva ou temporria de
alguma atividade de processamento de informaes pessoais, para notificar o
controlador dos dados ou ainda comunicar outras autoridades legislativas ou
instituies pblicas, para adoo de outras medidas. A autoridade para
proteo de dados pessoais tambm deve ter poder de investigao, para abrir
inqurito em caso de violao das normas da Diretiva, bem como para receber
reclamaes por parte de algum que se sinta violado em seus direitos. A
autoridade para proteo de dados pessoais de um pas pode trabalhar em
cooperao com a de outro, na extenso que for necessria para atingir seus
objetivos institucionais. As decises da autoridade supervisora podero ser
contestadas na via judicial.
[19]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 17/19
A Diretiva instalou um Grupo de Trabalho (Working Party) com funes
consultivas, formado por representantes das autoridades nacionais de proteo
de dados, que elegem um presidente para mandato de dois anos, podendo ser
renovado (art. 29). Cabe a esse Grupo de Trabalho basicamente emitir opinies
e recomendaes sobre matria de proteo de dados pessoais.
NOTAS
Segundo Fred H. Cate, em Privacy in the Information Age, Brookings
Institution Press, Washingto D.C., p. 32/33.
A OECD foi fundada em 1960 por vinte pases, incluindo os EUA, com o
objetivo de promover o bem estar econmico e social, assistindo os governos
de seus membros na formulao e coordenao de polticas; para estimular e
harmonizar os esforos de seus membros em favor de pases em
desenvolvimento; e para contribuir com a expanso do comrcio mundial. O
endereo do site da OECD http://www.oecd.org/ .
Guidelines on the Protection of Privacy and Transborder Flows of Personal
Data, documento divulgado em 1o. de outubro de 1980. Pode ser encontrado
em: http://www.oecd.org/dsti/sti/it/secur/prod/PRIV-EN.HTM
Hoje com o nome de Conselho da Unio Europia. Site: http://ue.eu.int/
For the Protection of Individuals with Regard to Automatic Processing of
Personal Data (ETS No. 108, de 1o. de outubro de 1980). O texto pode ser
encontrado em: http://www.coe.fr/eng/legaltxt/108e.htm .
Directive 95/46/EC of the European Parliament and of the Council of 24
October 1995 on the Protection of Individuals with Regard to the Processing of
Personal Data and on the Free Movement of such Data.
O conceito de processamento leal (fair processing) deve ser buscado em
conformidade com a exigncia de transparncia, posta no art. 6.1.b da Diretiva.
O destinatrio (recipient) dos dados definido no art. 2o., g, da Diretiva,
como a pessoa singular ou coletiva, a autoridade pblica, o servio ou qualquer
outro organismo que receba comunicaes de dados, independentemente de se
tratar ou no de um terceiro.
Essa tambm a opinio de Sophie Louveaux, em seu artigo Principles on
Directive 95-46-CE, parte do Sprit Project Electronic Commerce Legal
Issues Platform Privacy Issues.
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 18/19
O art. 11 estabelece tambm, para a hiptese que especifica, que o
controlador deve informar o titular a respeito das categorias de dados
envolvidos (letra c).
O dispositivo ainda excepciona o controlador do dever de prestar
informaes quando a lei impe o registro dos dados ou a sua divulgao.
Essa advertncia feita por Sophie Louveax (ob. cit.), que reclama que as leis
nacionais sobre proteo de dados tm que definir melhor o escopo dessa
exceo.
O citado item 2 do art. 15 da Diretiva tema a seguinte redao: 2. Os
Estados-membros estabelecero, sob reserva das restantes disposies da
presente diretiva, que uma pessoa pode ficar sujeita a uma deciso do tipo
referido no n 1 se a mesma:a) For tomada no mbito da celebrao ou da
execuo de um contrato, na condio de o pedido de celebrao ou execuo do
contrato apresentado pela pessoa em causa ter sido satisfeito, ou de existirem
medidas adequadas, tais como a possibilidade de apresentar o seu ponto de
vista, que garantam a defesa dos seus interesses legtimos; ou b) For autorizada
por uma lei que estabelea medidas que garantam a defesa dos interesses
legtimos da pessoa em causa.
Tais como a natureza dos dados a ser transferidos e a finalidade e durao
do tratamento (item 2 do art. 25).
Link para o site da Comisso Europia: http://ec.europa.eu/
Periodicamente, a Comisso Europia emite decises reconhecendo pases
no membros que oferecem proteo adequada a dados pessoais. Sua, Canad,
Estados Unidos e Argentina so alguns pases que j receberam esse atestado de
excelncia na proteo de dados pessoais
A respeito dessa questo, sugerimos a leitura do nosso artigo Argentina
possui sistema adequado de proteo a dados pessoais, publicado no
site Consultor Jurdico, em 10.07.03, acessvel em:
http://www.conjur.com.br/2003-jul-
10/argentina_possui_sistema_adequado_protecao
Para saber mais sobre clusulas contratuais modelo, sugerimos a leitura de
nosso artigo Comisso Europia aprova novos modelos de clusulas
contratuais para a transmisso de dados pessoais a pases no
membros da UE, publicado no site Boletim Jurdico (ISSN 1807-9008), em
04.04.05, como parte integrante da Edio n. 121, cdigo de publicao 565,
disponvel em:
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
7/7/2014 A Diretiva Europeia sobre proteo de dados pessoais - Jus Navigandi - O site com tudo de Direito
http://jus.com.br/imprimir/23669/a-diretiva-europeia-sobre-protecao-de-dados-pessoais 19/19
DemcritoReinaldoFilho
Juiz de Direito da 32 Vara Cvel de Recife(PE). Diretor do
Instituto Brasileiro de Direito e Poltica da Informtica
(IBDI).Doutorando do curso de Direito da Universidade Estcio
de S (RJ).
www.infojus.com.br
http://www.boletimjuridico.com.br/doutrina/texto.asp?id=565
Ver, a respeito desse problema diplomtico, nosso artigo intitulado Acrise
entreosEUAeaUEemrelaoaorepassededadosdospassageiros
deavies, publicado no site Consultor Jurdico, em 20.09.03, disponvel em:
http://www.conjur.com.br/2003-set-
20/crise_repasse_dados_passageiros_avioes
Autor
Informaes sobre o texto
Como citar este texto (NBR 6023:2002 ABNT)
REINALDO FILHO, Demcrito. A Diretiva Europeia sobre proteo de dados
pessoais. Uma anlise de seus aspectos gerais. Jus Navigandi, Teresina, ano
18, n. 3507, 6 fev. 2013. Disponvel em: <http://jus.com.br/artigos/23669>.
Acesso em: 7 jul. 2014.
[19]