1. RESUMO
É dever do Direito acompanhar as mutações da sociedade em que está inserido. O passar dos anos modifica os costumes, os meios da sociedade se relacionar e as pessoas, núcleo de uma sociedade, não mais se comunicam ou buscam informações da mesma forma que antes. É também papel do Direito estar atento aos avanços da sociedade, não como uma forma de restringí-los, mas sim como meio de garantir que tais evoluções não prejudiquem valores imutáveis e já pré-estabelecidos através de conquistas anteriormente garantidas, como, por exemplo, o direito à privacidade, à personalidade humana, o acesso à informação e o ainda recente, mas também necessário, direito ao esquecimento.
Foi buscando tal evolução que foi sancionada, em 15 de agosto de 2018 a Lei de Proteção de Dados, pelo então presidente Michel Temer, que visa entender e proteger as novas relações criadas através da possibilidade de leitura e interpretação de dados que podem ser utilizados com as mais diversas finalidades.
A Lei 13.709/18 pretende regular a relação de empresas que utilizam informações fornecidas pelos usuários de serviços destas, partindo do pressuposto de um oferecimento, por parte dos controladores, de um consentimento real e específico para utilização de dados fornecidos pelos usuários, vedando práticas conhecidas como o “click-bait” ou a utilização de termos de serviços volumosos, que dificultam a compreensão do que e porquê suas informações estão sendo fornecidas para empresas.
No entanto, poderá ser observado que a legislação atua de forma não delimitada, mas sim de maneira ampla e não taxativa, e, muito embora pareça que o legislador tenha de certa forma, mirado os efeitos da lei nos avanços tecnológicos, possa o mesmo ter atingido também outras formas e empresas que tratam de dados, ainda que de forma não digital.
É neste sentido que busca-se com o presente artigo, a verificação de como deverá ser interpretada a lei de proteção de dados para os casos de informações mantidas de forma offline, e se as informações estocadas de maneira não digital merecem e justificam a aplicação da LGPD como forma de garantia dos direitos já mencionados, e se a não observância dos critérios estabelecidos também são capazes de gerar responsabilidade aos controladores e danos aos usuários de serviços, quando esta não observância dar-se em mundo diverso ao da internet.
2. O ADVENTO DA LEI DE PROTEÇÃO DE DADOS E O DIREITO DIGITAL
Com a chegada da Lei 13.709/18 – LPD em 2018, o Brasil ingressou no rol de países que contêm uma legislação própria para proteção de dados e responsabilização pelo vazamento de tais informações. A notória necessidade global de se ter uma legislação que trate sobre data protection deu-se após os midiáticos casos da possível intervenção da empresa Cambridge Analytica nas eleições presidencias dos Estados Unidos e a saída da Inglaterra da União Européia, em que pese países como Suécia e Chile já contarem com legislação sobre o assunto antes dos referidos casos.
E ainda, o RGPD (Regulamento Geral sobre Proteção de Dados), em vigência na união européia, aumentou a pressão dos demais países e blocos econômicos pela edição de uma lei que desse garantias similares aos seus cidadãos.
Fato é que, com o passar dos anos, e a evolução da tecnologia, atualmente encontra-se registro de absolutamente tudo em nuvens, sites e aplicativos que facilitam e registram bem mais do que podemos prever. Acredita-se que, da leitura e interpretação de dados como, lugares frequentados, notícias compartilhadas e grupos dos quais se faz parte, a tecnologia e os algorítimos possam chegar a uma conclusão das preferências políticas e tendências de cada usuário em acreditar ou não em determinadas notícias e informações.
Por exemplo, diga-se de que a empresa X deseja aumentar significamente a quantidade de votos de um determinado candidato, e que esta empresa possui em seu poder certa quantidade de dados, como o IP de um usuário e o histórico de pesquisas em determinado servidor de internet. A empresa X nota que tal usuário procura por notícias relacionadas ao baixo valor do salário mínimo e ainda sobre críticas ao atual sistema de migração.A leitura destes dados então o categoriza da seguinte maneira: um usuário que acredita estar recebendo menos do que deveria e que não concorda com a entrada de estrangeiros em seu país. Após isto, começa a disparar entrevistas deste determinado candidato em que o mesmo defende o aumento do salário mínimo e uma política mais restritiva com relações à estrangeiros, e assim, através da leitura destes dados, a empresa X consegue mais um voto para determinado candidato – essa ação multiplicada milhares e milhares de vezes inegavelmente tem o condão de influenciar votações e opiniões públicas de sociedades através do uso de algoritmos digitais para se entender o perfil de cada usuário de um determinado aplicativo ou rede social.
O registro de informações é algo comum e em nada possui relação com os avanços tecnológicos. Desde que o Homem existe, há uma tendência dos mais diversos tipos de sociedade em de algum modo registrar suas informações, seja através de códigos, desenhos, escritas ou, como nos dias atuais, por meio de históricos de localização de GPS, armazenamento de dados, fotos e mais, v.g.
Via de regra, manter um arquivo e uma história de cada período já vivido faz parte da natureza humana, e parece ser comum a estocagem de dados para os mais diversos fins. O problema que se aponta é a utilização destes dados de forma não consensual e de forma genérica, através da leitura de informações por algoritmos que podem acabar influenciando decisões importantes de um grupo, ou sociedade, baseada na influência de poucas pessoas que controlam os dados em seu poder. Frisa-se que o que a LGPD visa combater é mais que a simples estocagem de dados, o que, inicialmente, não é eivada de ilicitude. O que busca-se com a chegada da lei é impedir que tais informações sejam vendidas como forma de auferir lucro mediante um tratamento de dado não consentido e, mais ainda, que tais plataformas utilizem da facilidade do one-click e de aplicativos que prometem mais rapidez e celeridade para obter dados sobre os quais o cidadão se quer possuem ciência ou deram consentimento para que estes estejam em poder de empresas.
Justa mostra-se a preocupação do legislador em garantir meios de a pessoa natural possuir gerência sobre os seus dados armazenados por empresas. A crescente do meio tecnológico e o avanço da interpretação de dados através de algoritmos mostra que tal proteção deve de fato ocorrer, sob pena de, cada vez mais, o homem médio vê-se perdido em meio a invasões de privacidade e ingerência sobre suas próprias informações frente à empresas que utilizam da facilidade e celeridade para lucrar com os dados obtidos através da utilização de sites e aplicativos, ou, pior ainda, influenciar em decisões de massa com base na leitura destes.
Além disso, os impactos gerados pela atividade de hackers preocupa não só a pessoa física e a privacidade de cada um, mas também empresas e governos que já demonstraram haver perdas financeiras oriundas de crimes cibernéticos que chegam a ultrapassar a receita de US$ 1,5 trilhão de dólares, segundo informe do World Forum for Municipal Economy de Davos – Suíça.
No entanto, a LPD não parece restringir a interpretação do conceito de dado para o mundo digital. Nota-se que a lei trata de quatro institutos chaves para maior compreesão do que pretende o legislador, sendo eles: 1 – dado; 2 – tratamento; 3 – consentimento e 4 – responsabilidade. Por ora, os conceitos mais relevantes para o estudo da lei além da data monetization são os de dado e tratamento. Ocorre que o conceito de dado é amplo, não limitando-se o legislador em enquadrar tal conceituação em dado digital ou dado. De acordo com o artigo 5º da lei, considera-se dado pessoal a “informação relacionada a pessoa natural identificada ou identificável”.
3. LEI DE PROTEÇÃO DE DADOS – UMA VISÃO ALÉM DO DATA MONETIZATION
Uma das mais severas críticas que a lei de proteção de dados recebeu, além dos vetos presidenciais que acabam por dificultar o implante de órgãos de controle e cumprimento da legislação, é quanto a definição generalista do que pode ou não ser interpretado como dado. Não há na norma um apontamento que delimite onde começa e termina o siginificado de dado para os fins da Lei 13.709/2018, o que acarreta em uma interpretação vasta, devendo qualquer pessoa - física ou jurídica, pública ou privada, ter em mente que tipos de ações deverão tomar para que estejam em conformidade com a legislação.
Já foi citado anteriormente que a LGPD conceitua dado como a “informação relacionada a pessoa natural identificada ou identificável”. A importância do presente trabalho dá-se justamente pela amplitude de tal conceito, bastando que a informação possa ser atribuída a alguém para que seja enquadrada como dado nos fins da lei. Tal extensão da margem do conceito de dados acaba por fazendo com que as empresas e controladoras de dados venham, a todo tempo, modernizar-se preocupando com o vazamento destas informações também fora do ambiente virtual.
Restou excluído tão somente aquele dado referente à pessoa que não pode ser identificada. Ou seja, uma informação vaga não atribuída à alguma pessoa, não se enquadra na hipótese de dado – desde que não reversível tal anonimização - portanto, não merecendo o respaldo da lei. A legislação contempla, por conseguinte, não um direito sobre a informação, pois, se assim o fizesse, imputaria aos controladores de dados o dever de zelo com toda e qualquer informação, anonimizada ou não que, por qualquer meio, chegasse ao seu poder, mas sim uma proteção ao que entende ser dado, dando ao título da lei uma interpretação literal (“lei de proteção de dados”).
Em vista disso, a proteção dada pelo legislador não diretamente ao dado ou o tipo de informação que o controlador obtém, mas sim à pessoa, real detentora daquele dado e, que, sem a sua identificação ou atribuição de determinada informação a um determinado sujeito, se quer existirá a figura que a lei protege. Em outras palavras, para que haja a tutela jurídica conferida ao titular, é necessária uma associação, ou um vínculo entre a informação e a pessoa titular daquela informação, para que assim tenhamos um dado passível de segurança junto à LGPD.
Neste mesmo raciocínio, pode se chegar à conclusão de que, se o que a lei em um primeiro momento visa proteger é a figura do titular, caracterizando dado como qualquer informação associada à uma pessoa, a mesma possui gerência sobre este dado na esfera física e digital.
Pode ser observado que não houve a preocuçação em considerar como dado, para os fins da lei, somente a informação mantida em servidor ou encontrada no mundo digital. Muito tem se discutido em como a LGPD poderá impactar os meios digitais que trabalham com a comercialização de dados, ou que os utilizam de alguma forma para o funcionamento da empresa. No entanto, o conceito amplo da lei nos mostra que dado é qualquer informação relacionada a uma pessoa natural já identificada, ou que possa ser identificável, não sendo de relevância para observação do dever de guardar, se o mesmo será estocado online ou offline, tampouco o objeto de tratamento que será realizado naquele dado.
Existe ainda a figura do dado sensível, que segue o mesmo raciocínio de sua forma genérica, no entanto, a lei o trata como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
De novo, não há qualquer menção sobre em que esfera este dado deva estar armazenado para que assim seja considerado, o que enfatiza a preocupação que deve se haver com a data protection mesmo fora do mundo digital. Noutro giro, a conceituação de tratamento também mostra-se ampla. O inciso X do mesmo artigo conceitua o tratamento como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Assim, parece que toda e qualquer ação que se realiza com um dado, digitalmente ou não enquadra-se na hipótese de tratamento. Ou seja, uma empresa que mantém em arquivo físico o endereço atualizado de seus funcionários e ex funcionários, ao desejar enviar uma correspondência a estes contendo ofertas e planos de fidelidade para trabalhadores e ex trabalhadores, realiza tratamento de dado, ou ainda, se uma pequena farmácia mantiver em seu registro físico o histórico de compras de determinado cliente, e utiliza de tal informação para lhe oferecer novo remédio baseado na informação que possui, esta também realiza tratamento. Parece ser fácil a compreensão da aplicação da Lei de Proteção de Dados em casos que fogem ao Direito Digital e da Tecnologia, todavia, o estudo do impacto desta legislação nas maneiras que os dados são tratados dependerá do futuro posicionamento do Judiciário e das interpretações dadas ao conceito de consentimento.
Nos termos da LPD, consentimento é “a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Em outras palavras, no momento da coleta dos dados, é imprescíndivel que o titular dê ao controlador a permissão para que mantenha em seu poder aqueles dados. Todavia, tal consentimento não é irrestrito para qualquer ato, visto que, muito embora o controlador mantenha os dados em seu poder, o proprietário dos dados permanece sendo o titular, cedendo apenas o direito de utilização destes dados para um fim específico, informado e consentido quando da realização da coleta.
A concepção de manter a característica de titular com aqueles que fornecem os dados, em detrimento daqueles que os detém, muito embora possa parecer inovadora com a chegada da LGPD, assim não é. Nas relações consumeristas, o Código de Defesa do Consumidor já disciplinava a matéria, em que pese de maneira mais tímida, em seu artigo 43.
“Art. 43, CDC: O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas,registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.”
Neste caso, a inovação fica por conta do parágrafro segundo do mesmo código acima, que parece em descompasso com as regras já citadas neste trabalho. Para melhor ilustrar, abaixo colacionamos a leitura do parágrafro:
“Art. 43, §2º da Lei 8.078/90: (...) A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.”
A interpretação da norma deixa claro que o legislador oferece às controladoras de dados a chance de abrir cadastro, ficha de registro e manter dados pessoais e de consumo sem que haja uma autorização específica do consumidor para tal finalidade (vide RE 1346050/SP Re. Min. Sidnei Beneti).
Com a chegada da Lei de Proteção de Dados, não parece razoável a manutenção do parágrafo 2º do artigo 43 da lei 8.078/90, visto que em total desacordo com o significado de consentimento trazido pela LGPD e já tratado neste trabalho, já que a lei trata de autorização específica para o tratamento de dados, não somente a mera comunicação.
Resta a dúvida se a jurisprudência adotará o detrimento do artigo do Código do Consumidor em razão da LGPD, ou se entenderá ser suficiente nas relações de consumo a comunicação por escrito ao consumidor comunicando que passará a ter em poder dados cujo titular é o próprio. Em sendo o titular o efetivo dono dos dados que mantém parece razoável seguir com o entendimento da legislação específica para tratamento de dados, não bastando a mera comunicação, mas sim a autorização expressa e específica para o devido fim que se o controlador busca. A discussão acerca da legislação a ser aplicada nos casos consumeristas restará para um entendimento e um trabalho futuro, mas parece razoável dizer que o pêndulo cai de forma mais contundente para a aplicação da Lei de Proteção de Dados em toda matéria que discipline tratamento de dados, até porquê as relações de consumo não fazem parte do rol de possibilidades que não estão no escopo da lei.
De outra sorte, parece que os rumos desta pesquisa mostram que a inovação chave para compreensão do que pretende o legislador com a edição da Lei de Proteção de Dados é não só destacar a pessoa a cujo dado é atribuído como a titular de fato deste, mas sim utilizar desta titularidade declarada para que a mesma tenha total gerência e ciência sobre os seus atos. Se por um lado, nas ações consumeristas a ideia de notificar o consumidor para que o mesmo tenha ciência sobre a utilização de seus dados já existia, hoje, com a vigência da lei, o termo notificar dá lugar a palavra autorizar, principal mudança na lei.
Neste raciocínio, podemos dizer que a legislação trata sobre um consentimento irrestrito, ou seja, todo e qualquer ato que envolva data storage deverá observar o sentido de consentimento tratado neste trabalho. Temos que, pouco importa o ambiente em que essa a lei de proteção estará inserida, devendo sua observância ser tanto digitalmente, quanto no universo físico sob pena de implicar nas consequências trazidas pela não observância da lei.
