INTRODUÇÃO
O dado pessoal é o novo petróleo do século, nesta era em que vivemos, as perguntas mais recorrentes que nos deparamos sejam em ambientes virtuais como físicos são: Qual seu CPF? E-mail? Telefone? Posso fazer seu cadastro no sistema? Antes de acessar tal aplicativo cadastre-se. A maioria das pessoas que responde essas perguntas não fazem ideia que todas estas informações juntas nos identificam como pessoas e nós nem ao menos sabemos o que será feito com elas quando damos as costas. Tal sensibilidade e exposição a dano até agosto de 2018 não era prestigiada pelo nosso ordenamento jurídico brasileiro, isso mudou, a partir do dia 14 de agosto de 2020 quando entrou em vigor a lei 13.709/20 conhecida como Lei Geral de Proteção de Dados.
Sendo assim, passada a vacatio legis desta Lei e a LGPD sendo uma realidade na vida de milhares de empresas que tem em sua operação o uso de dados pessoais de seus clientes e até funcionários surge o seguinte problema. Qual o limite da responsabilidade civil das empresas diante do tratamento de dados pessoais?
1 JUSTIFICATIVA
Ter a proteção de dados pessoais regulamentada é um tema totalmente novo na sociedade, até uns dias atrás andávamos totalmente na escuridão quando se tratava deste assunto, vivíamos sob a luz de alguns posicionamentos doutrinários e jurisprudenciais. Hoje que temos algo realmente concreto sobre o tema, a pouco legislado, precisamos entender os limites desta legislação, qual a real responsabilidade civil daquele a quem a lei enfoca para que possamos como futuros operadores do direito agregar valor ao mercado.
2 OBJETIVOS
O objetivo deste estudo é primeiramente entender a Lei e seus aspectos gerais para assim identificar os parâmetros do que podemos entender como responsabilidade civil daquele que tem em seu domínio dados pessoais.
2.1 Geral
A Lei Geral de Proteção de dados traz em seu teor toda regulamentação para tratamento de dados pessoais. Sim, a lei determina que uma empresa que tenha em seu domínio dados pessoais deve fazer o tratamento destes dados e não simplesmente mantê-los sem nenhuma responsabilidade sobre eles. A lei define os papéis de cada agente no tratamento destes dados, como eles devem ser tratados de acordo com suas características e criticidade, os chamados dados sensíveis por exemplo tem um tipo de tratamento específico e assim por diante. Aqui vamos passear por cada um destes pontos da lei para assim chegarmos ao entendimento da responsabilidade civil atribuída as empresas.
2.1.1 Específicos
De modo específico vamos procurar entender qual o objetivo principal desta lei, quais são os papéis determinados por ela no tratamento de dados pessoais, quais são os tipos de dado pessoal que ela aborda, o que efetivamente caracteriza um dado pessoal, o que está envolvido no tratamento dos dados pessoais, quais são os direitos do titular do dado pessoal (dono do dado), qual o limite do uso do dado pessoal e por fim qual a responsabilidade civil no uso e tratamento dos dados pessoais.
2.1.1.1 Metodologia da Pesquisa
Este estudo se dará através de pesquisa doutrinária, jurisprudencial, artigos e a Lei 13.709/18.
4 PANORAMA HISTÓRICO
A disciplina jurídica de proteção de dados vem sendo construída há aproximadamente cinco décadas. Atualmente estima-se que 140 países ao redor do mundo possuem uma legislação específica para a proteção de dados pessoais.
Os primeiros respiros desta disciplina estão ligados aos marcos regulatórios da Europa e principalmente dos Estados Unidos, pois foi lá que alguns de seus institutos mais característicos nasceram, acreditamos que o tema foi ganhando as suas primeiras formulações regulatórias nestes países, devido aos avanços tecnológicos que levaram a necessidade destas discussões.
4.1 A Formação Da Proteção De Dados No Brasil
O termo “proteção de dados” no glossário jurídico brasileiro é muito recente, o tema se deu principalmente devido às discussões antecedentes à promulgação da LGPD. De todo modo, questões que hoje associamos a proteção de dados, não eram desconhecidas na prática jurídica do País, fenômenos que permeavam a proteção de dados foram por muito tempo acolhidos pelo direito à privacidade, ao direito do consumidor e outras liberdades individuais, o fato é que é muito recente no País o elemento indutor que, finalmente, organizou em torno da proteção de dados uma verdadeira “fenomenologia” jurídica comportada por situações legais nas quais o elemento principal ou determinante diz respeito a um tratamento de dados pessoais.
Entre todas as matérias acolhidas pelo direito brasileiro a proteção de dados foi principalmente tratada através do direito à privacidade, principalmente pela ambivalência entre os dois institutos. Essa ambivalência criou caminho de continuidade à tradição jurídica que reconheceu, regulou e atualizou o direito à privacidade até chegar às portas de um marco regulatório específico para a proteção de dados no Brasil. Dessa forma, conseguimos identificar a proteção de dados á luz dessa evolução do direito à privacidade e sua aplicação em situações específicas.
A privacidade foi sendo progressivamente assimilada pelo direito brasileiro através de sua consolidação como um dos direitos da personalidade pela doutrina e jurisprudência, até a sua previsão constitucional e sua menção específica no Código Civil de 2002, no art. 21. Mesmo com o desenvolvimento da compreensão deste direito, o arcabouço legal até então não era capaz de cobrir as novas situações e questões que surgiriam com a introdução de novas tecnologias.
Além do próprio direito à privacidade, outros elementos favoreceram para a criação de uma sistemática própria para a proteção de dados, dentre eles temos a criação de cadastros únicos para os cidadãos como o National Data Center, na década de 1970. No início da década de 1970, em continuidade a discussões sobre um sistema integrado de identificação civil que remonta a década de 1930, foi concebido no Brasil o projeto do Registro Nacional de Pessoas Naturais (RENAPE), que previa a criação de um órgão de abrangência nacional que integraria o Registro Civil de Pessoas Naturais e a Identificação Civil, além da criação de uma base de dados. O projeto acabou arquivado em 1978, depois de ter suscitado um debate que deixou registros na imprensa e também de certa forma inspirando um projeto de lei, de autoria do Deputado Faria Lima, que ‘Cria o Registro Nacional de Banco de Dados e estabelece normas de proteção da intimidade contra o uso indevido de dados arquivados em dispositivos eletrônicos de processamento de dados’.
Outro elemento que podemos citar como pioneiro das discussões em torno da proteção de dados foi o Projeto de Lei 2.796 de 1980, de autoria da Deputada Cristina Tavares, que ‘assegura aos cidadãos acesso às suas informações constantes de bancos de dados e dá outras providências’. O projeto foi arquivado ao final da legislatura, mas abriu espaço para discussões em torno à proteção de dados, em especial os direitos de acesso e retificação, que nos levaram a presença da ação de habeas data na Constituição de 1988. Importante salientar que antes mesmo de 1988, as legislações dos Estados do Rio de Janeiro e São Paulo dispunham de leis sobre o direito de acesso e retificação de dados pessoais, apresentando elementos como o princípio da finalidade ou o consentimento informado, que pavimentaram abriram caminho para o debate referente à ação de habeas data na Constituição de 1988.
O instituto do habeas data foi introduzido pela Carta Magna, em seu art. 5°. LXXII, com o seguinte texto de lei:
Art. 17. Todos têm direito de acesso às referências e informações a seu respeito, registradas por entidades públicas ou particulares, podendo exigir a retificação de dados, com sua atualização e supressão dos incorretos, mediante procedimento judicial sigiloso.
§ 1°. É vedado o registro informático sobre convicções pessoais, atividades políticas ou vida privada, ressalvado o processamento de dados não identificados para fins estatísticos.
§ 2°. A lesão decorrente do lançamento ou da utilização de registros falsos gera responsabilidade civil, penal e administrativa.
[...]
Art. 48. Dar-se-á habeas data ao legítimo interessado para assegurar os direitos tutelados no art. 17.
Fazendo um de para com a nossa legislação de proteção de dados, identificamos no Habeas Data direitos hoje tutelados pela LGPD, como o direito à retificação de dados, o direito de acesso às informações, direito à qualidade dos dados e até mesmo os dados sensíveis.
A ação constitucional de habeas data, no entanto, mesmo após a sua regulamentação pela Lei 9.507/1997, não foi suficiente para enfrentar os desafios proporcionados pelo crescente tratamento de dados pessoais na Sociedade da Informação. A ação prevista em nossa Carta Magna, por ser uma estrutura mais processual, não chegou a ser protagonista nas posteriores discussões a respeito de um marco regulatório sobre proteção de dados. Além disso, comentadores como Luís Roberto Barroso, identificaram o Habeas Data como ‘essencialmente simbólico’, por tratar de direitos passíveis de tutela por meio de remédio já existente, como o mandado de segurança.
Vista em perspectiva, a Constituição de 1988, apesar de trazer em seu arcabouço o Habeas Data que previa direitos à vida privada e intimidade (art. 5°, X), bem como o segredo das comunicações telefônicas, telegráficas e de dados (art. 5°, XII), não chegou a fazer que prosperasse entendimento majoritário no sentido de identificar, de imediato, um direito à proteção de dados pessoais. Até pelo contrário – o Supremo Tribunal Federal, em decisão de 2006, relatada pelo Ministro Sepúlveda Pertence, que inclusive havia, como mencionado, opinado favoravelmente em doutrina sobre a materialidade de um direito material sobre os dados pessoais, não reconheceu a existência de uma garantia de inviolabilidade sobre dados armazenados em computador com base em garantias constitucionais, seguindo tese de Tércio Sampaio Ferraz Júnior para quem o ordenamento brasileiro tutela o sigilo das comunicações, e não dos dados.
Todos estes marcos legislativos aqueceram o tema da proteção de dados, que foi lenta e constantemente se fazendo presente no debate político. É possível, por exemplo, encontrar uma menção ao caráter de direito fundamental da proteção de dados pessoais na Declaração de Santa Cruz de La Sierra, documento final da XII Cumbre Ibero-Americana de Chefes de Estado e de Governo, assinada pelo governo brasileiro em 15 de novembro de 2003. No item 45 da Declaração lê-se:
“Estamos também conscientes de que a proteção de dados pessoais é um direito fundamental das pessoas e destacamos a importância das iniciativas reguladoras ibero-americanas para proteger a privacidade dos cidadãos, contidas na Declaração de Antígua, pela qual se cria a Rede Ibero-Americana de Proteção de Dados, aberta a todos os países da nossa Comunidade.”
Continuando nossa análise dos marcos regulatórios que precederam a criação de legislação específica a proteção de dados, no direito interno, desenvolvido na esteira da Constituição de 1988 que foi se tornando central na delimitação dos direitos sobre dados pessoais temos o Código de Defesa do Consumidor, que estabeleceu vetores e princípios de proteção ao consumidor, acabou por concentrar um volume considerável das demandas relacionadas a dados pessoais, que muitas vezes também são apresentadas como relações de consumo, a doutrina aponta, inclusive, a possibilidade de que vários dos princípios de proteção de dados possam ser extraídos a partir do próprio Código de Defesa do Consumidor. A partir do Art. 43 do CDC, que se aplica aos bancos de dados de proteção ao crédito, fomentou-se outro debate em torno do registro de dados de operações financeiras do consumidor, nos levando a outro marco regulatório, a Lei 12.414/2011, conhecida como Lei do Cadastro Positivo.
A Lei do Cadastro Positivo foi a primeira normativa brasileira construída a partir de conceitos comuns à proteção de dados. Podemos observar em seu conteúdo a presença de conceitos em relação a dados sensíveis, bem como de alguns princípios importantes de proteção de dados, entre eles, os da finalidade, transparência, minimização e segurança, entre outros. No entanto, a Lei do Cadastro Positivo não foi determinante para a formação de uma cultura jurídica de proteção de dados.
Dando continuidade ao nosso passeio pela história jurídica que abriu caminho para LGPD, temos também a Lei de Acesso à Informação (Lei 12.527/2011), que regulamenta o princípio constitucional da transparência, além de definir o que é informação pessoal, conceito este que futuramente seria usado na própria LGPD. Em seu art. 31 a referida legislação estabelece regras específicas para a proteção de dados pessoais em domínio do poder público, reconhecendo a necessidade de que a proteção de dados fosse contemplada ainda que dentro de uma normativa destinada a regular o princípio da transparência.
Enfim, chegamos ao que eu acredito ser um dos principais marcos regulatórios que abriu caminho para uma legislação autônoma de proteção de dados, o Marco Civil da Internet (Lei 12.965/2014), que estabelece o regime de direitos para os usuários da Internet. A referida legislação plantou uma série de direitos e procedimentos relacionados ao uso de dados pessoais, mesmo que sua intenção não tenha sido a de suprir a ausência de uma legislação conduzida aos institutos de proteção de dados, em seu art.3°, III, no qual elenca a proteção de dados pessoais como um dos princípios da disciplina do uso da internet, o Marco Civil da Internet já começava a acenar para a legislação própria sobre proteção de dados que lhe seria posterior.
4.1.1 Elaboração e Tramitação Da LGPD
Conforme observamos até aqui, era cada vez mais frequente que a proteção de dados fosse tratada em outras legislações, o que consequentemente criou um ambiente favorável a uma legislação autônoma sobre proteção de dados. A partir de agora vamos analisar todo processo legislativo que nos levou à Lei Geral de Proteção de Dados.
O processo mais antigo que deu origem a LGPD, teve início no âmbito de negociações internas do Mercosul, através do Subgrupo de Trabalho de número 13 (SGT 13), que discutia sobre uma regulamentação unificada em matéria de proteção de dados para os países do bloco. O grupo foi responsável por enviar propostas sugeridas pelos países membros em temas referentes ao Comércio Eletrônico.
As discussões no âmbito do Mercosul acerca do tema de proteção de dados, foram o estopim de um discreto, porém crescente debate sobre o tema pelo governo brasileiro. Em 2005, foi realizado o “I Seminário Internacional sobre Proteção de Dados Pessoais”, promovido pelo Ministério do Desenvolvimento, Indústria e Comércio Exterior, que contou com a participação de três presidentes e autoridades estrangeiras de proteção de dados: Stefano Rodotá (Diretor do Garante italiano), José Luiz Piñar Manas (presidente da autoridade espanhola) e Juan Antônio Travieso (presidente da autoridade argentina).
O debate do Mercosul levou a aprovação do documento normativo denominado “Medidas para a proteção de dados pessoais e sua livre circulação”, no âmbito do SGT 13. O documento foi remetido ao Grupo Mercado Comum, porém nunca chegou a ser deliberado para que viesse a se tornar um normativo efetivo no Mercosul.
O debate no Mercosul deixou um legado, levando órgãos do Poder Executivo a liderar iniciativas voltadas a internalizar a disciplina da proteção de dados pessoais, e foi em 30 de novembro de 2010 que o primeiro texto que serviu como base para futura LGPD foi tornado público pelo Ministério da Justiça. O referido debate público promovido pelo Ministério da Justiça foi todo realizado pela internet com o apoio da Fundação Getúlio Vargas - Direito Rio e do Observatório da Internet, do Comitê Gestor da Internet do Brasil.
Encerrado o debate, procedeu-se a consolidação de um novo texto-base do Anteprojeto de Lei de Proteção de Dados pelo Ministério da Justiça. Dentro do Ministério a responsabilidade do Anteprojeto era do Departamento de Proteção e Defesa do Consumidor (DPDC), órgão inicialmente pertencente à Secretaria de Direito Econômico (SDE) e que, em 2013, seguindo uma reorganização do Ministério, passou a integrar a recém-criada Secretaria Nacional do Consumidor (Senacon).
Entre 2011 e 2015. o texto-base foi submetido a várias revisões e aperfeiçoamentos, ainda que não existam versões públicas destes aperfeiçoamentos.
Em 2015, o Anteprojeto de Lei de Proteção de Dados Pessoais ganhou uma nova versão que foi tornada pública pela Secretaria Nacional do Consumidor (Senacon), foi submetida a um novo debate, neste que foi o último debate público, contabilizaram-se 1.127 contribuições enviadas diretamente na plataforma do debate, além de 67 contribuições e comentários encaminhados em formato documental.
Após o debate público, a nova versão do Anteprojeto, consolidada pelo Ministério da Justiça, Ministério do Planejamento, Orçamento e Gestão (MPOG) foi enviada à Casa Civil da Presidência da República, que na noite de 13 de maio de 2016, encaminhou o texto ao Congresso Nacional, tendo sido protocolado na Câmara dos Deputados como o PL 5.276/2016, que “dispõe sobre o tratamento de dados pessoais para garantia do livre desenvolvimento da personalidade e da dignidade da pessoa natural”.
Com o aquecimento do tema pelo legislativo em nosso país, outros projetos de lei em torno da proteção de dados já haviam surgido, na Câmara dos Deputados, o PL 4.060/2012, de autoria do deputado Milton Monti (PR/SP), seguia uma tramitação que já estava em 2016 nas mãos da Comissão de ciências e tecnologia, comunicação e informática, trabalho, bem como na de administração e serviço público, que tinha como relator o deputado Orlando Silva (PCdoB/SP).
No Senado Federal, tínhamos a tramitação do Projeto de Lei do Senado 330, de 2013, de autoria do Senador Antônio Carlos Valadares (PSB/SE), que seguia o ritmo mais decidido. Nessa casa ainda foram protocolados outros dois projetos de lei sobre proteção de dados, o PLS 131/2014 e o PLS 181/2014. Ambos tramitaram em conjunto com o PLS 330/2013 e acabaram sendo integrados a este nos termos do Substitutivo do relator do PLS 330/2013, o Senador Aloysio Nunes Ferreira (PSDB/SP), que aliás o relatou tanto na Comissão de Ciência e Tecnologia quanto na Comissão de Meio Ambiente.
Na Câmara dos Deputados, foi criada em agosto de 2016 uma Comissão Especial referente ao PL 4.060/2012, sob a presidência da deputada Bruna Furlan (PSDB/SP) e relatoria do deputado Orlando Silva (PCdoB/SP). O processo legislativo da PL 4.060/2012, além de uma série de audiências públicas, teve a participação de vários atores da sociedade, foi aprovado em 29 de maio de 2018, por unanimidade e a matéria seguiu para o Senado Federal como PLC 53/2018.
No Senado Federal, o PLC 53/2018 tramitou em conjunto com o PLS 181/2014, PLS 131/2014 e PLS 330/2013, e foi junto a estes anexado e enviado à Comissão de Assuntos Econômicos (CAE), sob relatoria do senador Ricardo Ferraço (PSD/ES) que, em 14 de junho de 2018, apresentou parecer favorável ao PLC 53/2018 com emendas e pela prejudicialidade dos demais, que foi aprovado pela Comissão em 3 de julho de 2018. Dois dias depois, e após o requerimento de urgência, o projeto foi aprovado por unanimidade também no Senado Federal e seguiu para sanção presidencial para ser promulgada, com vetos, em 14 de agosto de 2018.
Alguns dispositivos da nova legislação de proteção de dados sofreram vetos, principalmente no que tange à Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados e Privacidade. Posteriormente a sanção da legislação com seus vetos, foi editada a Medida Provisória 869/2018, que se tornou a Lei 13.853/2019 que modificou a LGPD em diversos pontos e definiu as características da ANPD e do seu Conselho, de acordo com os arts. 55-A a 55-L da LGPD, além destas modificações, outra muito relevante foi a extensão da vacatio legis, que passou de fevereiro de 2020 para agosto de 2020 em função da pandemia do COVID-19. Os únicos dispositivos que não tiveram sua entrada em vigor alterada foram aqueles que tratavam sobre a ANPD e o Conselho Nacional de Proteção de Dados e da Privacidade.
Houve também outra legislação alterando a vigência dos arts. 52, 53 e 54 da LGPD que tratam das penalidades administrativas, a Lei 14.010/2020 postergou para 1° de agosto de 2021 a vigência destes dispositivos. Ainda, a Medida Provisória 959/2020, posteriormente convertida na Lei 14.058/2020, que adiou a entrada em vigor do restante da LGPD para maio de 2021 ainda em meio ao percurso legislativo do PL 1.179/2020 (que veio a se tornar a referida Lei 14.010/2020) acabou por se definir somente com a decisão do Senado Federal de não votar o dispositivo a este respeito, mantendo a vigência da LGPD em 2020 como já previsto pela Lei 13.853/2020.
Por fim, o Decreto 10.474, de 26 de agosto de 2020, estabeleceu a estrutura regimental da ANPD e ainda determinou alguns elementos para o funcionamento do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, como também a forma de indicação dos conselheiros da sociedade civil, que seriam escolhidos, a partir dos candidatos, pelo conselho diretor da ANPD e nomeados pelo Presidente da República, sem um processo de escolha pelos próprios pares.
E assim, findou-se o processo legislativo da nossa Lei Geral de Proteção de Dados.
Nos próximos capítulos analisaremos a proteção de dados como um direito fundamental e os aspectos gerais da LGPD.
5 ANÁLISE DA MEDIDA PROVISÓRIA 954/2020 DO STF: A PROTEÇÃO CONSTITUCIONAL DOS DADOS PESSOAIS.
Nos dias 6 e 7 de maio de 2020, uma decisão histórica do Supremo Tribunal Federal abriu caminho para o desenvolvimento da disciplina jurídica da proteção de dados, reconhecendo tal instituto como um direito fundamental e autônomo.
Iniciaremos a análise do posicionamento do Plenário da Suprema Corte mediante a MPV n. 954/2020.
Em 17 de abril de 2020 o governo escreveu a Medida Provisória n. 954, que em seu art. 2° determinava que as ‘empresas de telecomunicações prestadoras do STFC e do SMP deverão disponibilizar à Fundação IBGE, em meio eletrônico, a relação dos nomes, dos números de telefone e dos endereços de seus consumidores, pessoas físicas ou jurídicas.’ Em sequência, o § 1° deste dispositivo normativo afirmava que os dados pessoais coletados seriam utilizados ‘direta e exclusivamente pela Fundação IBGE’ com a finalidade de construir ‘a produção artística oficial, por meio da realização de “entrevistas em caráter não presencial no âmbito de pesquisas domiciliares.’
Diante deste cenário jurídico, os partidos políticos PSB, PSDB, PSol e PCdoB e o Conselho Federal da OAB ajuizaram cinco Ações Diretas de Inconstitucionalidade (ADIs n. 6.387, 6.388, 6.389, 6.390 e 6.393), alegando a contrariedade da Medida Provisória em face dos requisitos formais exigidos para adoção da mesma determinados pela Constituição em seu art. 62, caput, além de ferir alguns direitos fundamentais (dignidade da pessoa humana, inviolabilidade da intimidade) das ADIs citadas pontuaram a necessidade de se tutelar expressamente um direito fundamental à proteção de dados.
Dado que tal Medida Provisória foi elaborada diante de um cenário pandêmico, alguns membros antigos do IBGE se manifestaram contrariamente alegando que a norma era necessária sob pena de ocorrer verdadeiro “apagão estatístico, que tornaria muito mais difícil o controle” da pandemia e a própria formulação de política “fiscais, sociais e econômicas” para seu combate e para futuras medidas de reconstrução do país.
Por outro lado, as ADIs defendiam haver vícios de inconstitucionalidade na MPv. Os argumentos apresentados nas ações foram resumidos pelos autores Laura Schertel Mendes, Otavio Luiz Rodrigues Júnior e Gabriel Campos Soares da Fonseca da forma que segue:
“Em primeiro lugar, o caráter extremamente genérico e vago da redação normativa empregada para medidas que poderiam restringir sensivelmente direitos fundamentais tutelados pela Constituição. Elementos como nome, número de telefone e endereço de milhões de brasileiros, somados às entrevistas, poderiam produzir um grau elevado de precisão na identificação dos cidadãos envolvidos. Tal situação implicaria reconhecer que, não só inexistiria uma descrição mínima de quais procedimentos seriam adotados para tal finalidade, bem como nem ao menos haveria clareza a respeito das finalidades específicas para o tratamento desses dados, o que comprometeria até mesmo o exame de proporcionalidade da norma.
Em segundo lugar, a referida exigência da norma traria uma desproporcionalidade entre os dados necessários para a pesquisa (dados amostrais) e aqueles requisitados pela Medida Provisória (a totalidade dos dados pessoais dos clientes das operadoras de telefonia). Desse modo, colocar-se-ia em xeque a própria necessidade desse altíssimo número para alcançar o objetivo da norma, contrariando-se o próprio Regulamento Sanitário Internacional da OMS, incorporado ao ordenamento brasileiro pelo Decreto n. 10.212, de 30 de janeiro de 2020. Tal norma determina que não devem existir “processamento [de dados] desnecessários e incompatíveis” com o propósito de “avaliação e manejo de um risco para a saúde pública” (art. 45, 2, “a”).
Em terceiro lugar, chamava a atenção a ausência de regulação quanto aos mecanismos de segurança da informação que seriam utilizados no processo de comunicação entre IBGE e empresas de telecomunicações, as quais deveriam ser capazes de garantir a proteção das informações dos cidadãos envolvidos contra, por exemplo, vazamento ou uso indevidos. Muito menos a Instrução Normativa n. 2/2020, do IBGE, trouxe regras de segurança da informação. Contando com seis artigos genéricos para regulamentar esse complexo procedimento, ficou estabelecido apenas que “a Diretoria de Informática do IBGE” responderia “tecnicamente pela operacionalização da transmissão dos dados e atuaria como ponto focal (...) para tratativas técnicas juntos às empresas de telecomunicações.
Por fim, até mesmo a previsão sobre o relatório de impacto à proteção de dados pessoais (art. 3°, § 2°, da MP), que, em tese, visaria a expor e prevenir tais riscos, foi insuficiente, porquanto impunha sua elaboração depois do compartilhamento e processamento dos dados, e não antes disso, como previsto na Lei Geral de Proteção de Dados (Lei n. 13.709/2018). O relatório, nesse sentido, serviria para apresentar os riscos após a coleta e o compartilhamento dos dados, em vez de apresentar os procedimentos possivelmente adotados para prevenir ou mitigar os riscos envolvidos no tratamento, identificados previamente.” (MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.62)
Não por acaso, a Agência Nacional de Telecomunicações (ANATEL) elaborou Nota Técnica, divulgada antes do julgamento, reconhecendo o “grau de abstração” das obrigações impostas e indicando que uma série de garantias seriam necessárias para que a coleta de dados pudesse ser realizada. Nos termos do relatório da agência, ter-se-iam as seguintes garantias prévias:
“sólida instrumentalização da relação jurídica que será estabelecida entre o IBGE e cada uma das” empresas de telecomunicações;
“a delimitação específica da finalidade do uso dos dados solicitados”;
“à limitação das solicitações ao universo de dados estritamente necessários para o atingimento da finalidade”;
“a delimitação do período de uso e da forma de descarte dos dados”;
“a aplicação de boas práticas de segurança, de transparência e de controle”.
Por fim, argumentava-se que tais vícios de inconstitucionalidade, omissões e contradições se inseriram em um cenário ainda mais preocupante em razão do déficit institucional da proteção de dados no Brasil. Em não havendo autoridade de proteção de dados no país, muito menos a Lei Geral de Proteção de Dados encontra-se em vigor, quem fiscalizaria o cumprimento das obrigações estabelecidas pela Medida Provisória, tais como a eliminação das informações obtidas após a pandemia ( art. 4°, caput, da MP? Ou ainda: quem examinaria as conclusões e a metodologia do relatório de impacto à proteção de dados pessoais elaborado pelo IBGE (art. 3°, § 2°, da MP)? Quais seriam os parâmetros normativos utilizados?
A linha argumentativa (b) foi a acolhida pelo STF. No dia 24 de abril de 2020, a Ministra Relatora Rosa Weber, suspendeu liminarmente a Medida Provisória com o seguinte fundamento:
“Não se subestima a gravidade do cenário de urgência decorrente da crise sanitária nem a necessidade de formulação de políticas públicas que demandam dados específicos para o desenho dos diversos quadros de enfrentamento. O seu combate, todavia, não pode legitimar o atropelo de garantias fundamentais consagradas na Constituição.” (ADI n. 6387. Rel. Min. Rosa Weber APUD MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.64)
Em decisão liminar, a relatora Rosa Weber trouxe o conceito de “dado pessoal” e sua tutela constitucional de modo ampliado.
“O art. 2° da MP n. 954/2020 impõe às empresas prestadoras do Serviço Telefônico Fixo Comutado - STFC e do Serviço Móvel Pessoal - SMP o compartilhamento, com a Fundação Instituto Brasileiro de Geografia e Estatística - IBGE, da relação de nomes, números de telefone e endereços de seus consumidores, pessoas físicas ou jurídicas.
Tais informações, relacionadas à identificação - efetiva ou potencial - de pessoa natural, configuram dados pessoais e integram, nessa medida, o âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5°, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5°, X e XII). Sua manipulação e tratamento, desse modo, hão de observar, sob pena de lesão a esses direitos, os limites delineados pela proteção constitucional.
(...)
Decorrência dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2°. I e II, da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais.” (ADI n. 6387. Rel. Min. Rosa Weber APUD MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.64,65)
É possível afirmar que o acórdão representa uma verdadeira evolução em relação à jurisprudência anterior do STF, expressa em julgados como o RE n. 418.416-8/SC, Relator Min. Sepúlveda Pertence, 10.05.2006, e o HC n. 91.867/PA, Relator Min. Gilmar Mendes, 24.04.2012.
O texto lido, nos deixa um precedente de tutela constitucional que pode ser aplicado a larga extensão de casos concretos envolvendo a coleta, o processamento ou a transmissão de dados pessoais não só na esfera privada como também na esfera pública.
Nos dias 6 e 7 de maio, o STF concedeu a liminar, a partir do largo placar de 10 votos favoráveis.
“Como bem resumido pelo Ministro Luís Roberto Barroso, o caso concreto demonstrava a necessidade de se estabelecer um delicado equilíbrio. De um lado, a importância da obtenção e do fluxo de dados pessoais para não apenas a customização de produtos e de serviços no mercado privado, como também para a formulação de políticas públicas empiricamente informadas. De outro, os potenciais lesivos que fluxos inadequados ou o vazamento desses dados poderiam trazer para a dignidade e a personalidade dos indivíduos:”
Portanto, a dualidade que se coloca, aqui, nesta ação é precisamente essa: uma tensão entre a importância dos dados no mundo contemporâneo e os riscos para a privacidade que a sua malversação representa para todos nós.
Em meio aos votos proferidos na corte, em primeiro lugar, como já antecipado na liminar proferida pela Ministra Relatora, pode-se destacar uma considerável ampliação da proteção constitucional destinada aos dados pessoais, indo-se além dos ditos dados íntimos ou mais sensíveis. A Ministra Cármen Lúcia salientou que “não existem dados insignificantes” ou neutros. Dessa maneira, o Tribunal ultrapassou o discurso de que não haveria problema no compartilhamento de dados como nome, endereço e número de telefone, uma vez que esses teriam caráter insignificante, neutro, “público” ou, ao menos, não estariam abrangidos por informações da estrita vida íntima dos envolvidos.” (MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.65)
Em igual sentido, posicionou-se o Ministro Ricardo Lewandowski:
“Aliás, todos nós sabemos que, nos dias que correm, o número de uma linha celular, por exemplo, tem a finalidade muito maior do que, singelamente, servir para que pessoas telefonem umas para as outras. Na verdade, esse número serve como chave de identificação e de acesso a um universo de plataformas eletrônicas, como bancos, supermercados, serviços públicos e redes sociais, todas elas detentoras das mais variadas informações sobre o titular daquela linha telefônica.
[...]
É preciso ficar claro, portanto, que não se está a falar de informações insignificantes, mas da chave de acesso a dados de milhões de pessoas, com alto valor para execução de políticas públicas, é verdade, mas também com provável risco de adoção de expedientes, por vezes, dissimulados, obscuros, que possam causar desassossego na vida diária do indivíduo.” (ADI n. 6387. Rel. Min. Rosa Weber APUD MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.66)
A decisão do Supremo Tribunal Federal reelaborar a proteção jurídica da personalidade, ao estilo do que o Ministro Gilmar Mendes deixou assentado:
“O quadro fático contemporâneo deve ser internalizado na leitura e aplicação da Constituição Federal de 1988. [...] resta evidente que o avanço das técnicas de coleta e processamento de dados foi tomado como válvula de reconfiguração da proteção jurídica à personalidade. [...] O espírito hermenêutico que deve guiar esta Corte Constitucional no tratamento da matéria em exame deve ser o de renovar o compromisso de manter viva a força normativa da Constituição Federal de 1988, nela encontrando caminhos e não entraves para a proteção jurídica da intimidade enquanto garantia básica da ordem democrática.” ( 2020, conjur.com.br, APUD MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.66,67)
O instituto da proteção de dados confere segurança jurídica aos diversos setores da economia e para o tratamento de dados pelo próprio estado. Mais do que isso, a proteção de dados se tornou indispensável como garantia fundamental para a manutenção da confiança dos cidadãos nas estruturas de comunicação e informação. O Ministro Luiz Fux destacou a centralidade do tema da proteção de dados em face da manutenção da democracia, visto que dados aparentemente “insignificantes” podem ser utilizados até mesmo para distorcer processos eleitorais.
“[o] recente escândalo envolvendo a Cambridge Analytica revelou como modelos de negócios são rentabilizados pela análise de dados e alertou como seu uso indevido pode lesar (...) a própria democracia.” (ADI n. 6387. Rel. Min. Rosa Weber APUD MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.67)
Ainda, segundo o ministro Gilmar Mendes, o direito fundamental à proteção de dados exorbita aquele protegido pelo direito à privacidade, pois não se limita apenas aos dados íntimos ou privados, refere-se a qualquer dado que identifique ou possa identificar um indivíduo. Esse direito fundamental autônomo e com contornos próprios, seria extraído de uma:
“[C]ompreensão integrada do texto constitucional lastreada (i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do compromisso permanente de renovação da força normativa da proteção constitucional à intimidade (art. 5°, inciso X, da CF/88) diante do espraiamento de novos riscos derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do habeas data enquanto instrumento de tutela material do direito à autodeterminação informativa.” (2020, conjur.com.br, APUD MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.66,67”
5.1 Contornos Iniciais e Limites da Proteção de Dados Como Direito Fundamental
A decisão do STF reconhecendo a proteção de dados como direito fundamental, foi um grande passo no caminho em direção à tutela constitucional dos dados pessoais no ordenamento brasileiro. Entretanto, diante de tal cenário jurídico, surgem algumas questões a serem consideradas quanto ao contorno e os limites desta tutela. Sobre isso, consideremos os comentários dos autores Laura Schertel Mendes, Otavio Luiz Rodrigues Junior e Gabriel Campos Soares da Fonseca.
“Será preciso, contudo, futuramente delinear melhor os seus contornos, o que poderá ser feito tanto pela doutrina quanto pela jurisprudência.
Inicialmente, apesar do nome sugestivo, é preciso destacar que o objeto de proteção desse direito fundamental não diz respeito exclusivamente aos dados em si, mas sim ao titular desses dados. Afinal, será o titular desse direito quem arcará com os riscos e com as eventuais consequências prejudiciais referente ao uso de seus dados.
Quanto aos efeitos gerados por essa proteção, amoldando-a ao conceito de autodeterminação informativa, é possível pensá-los a partir de uma dupla dimensão. De um lado, (a) essa proteção se desdobra como liberdade negativa do cidadão, oponível diante do Estado, demarcando seu espaço individual de não intervenção estatal (dimensão subjetiva). De outro lado, (b) ela estabelece um dever de atuação estatal protetiva no sentido de estabelecer condições e procedimentos aptos a garantir o exercício e a fruição desse direito fundamental (dimensão objetiva).
Apesar de essa decisão histórica ter tratado, no caso concreto, sobre uma situação de risco de ingerência abusiva do Estado brasileiro, não parecer adequado enxergar a incidência do direito fundamental à proteção de dados somente no que diz respeito à atuação do Poder Público. Guardadas as devidas especificidades aplicáveis à esfera privada, há de se destacar a sua função protetiva também nas relações privadas. Ainda que os direitos fundamentais tenham como função clássica atuar na relação entre o Estado e o indivíduo, em sua dimensão objetiva e a partir do conceito de deveres de proteção, é possível conceber a sua influência também nas relações privadas, a partir da irradiação de preceitos constitucionais nas cláusulas gerais e princípios do direito privado, o que será ainda mais comprovável com a vigência da LGPD. Para tanto, a nova lei exercerá um importante papel, ao permitir que o direito fundamental à proteção de dados seja interpretado a partir de suas normas e princípios, de modo que as disputas entre privados sejam medidas pela legislação. Nesse aspecto, a vigência da lei evitou que houvesse mais um caso de “sobreconstitucionalização” de uma área nova do Direito brasileiro, com todos os riscos do uso inadequado da ponderação e de outros métodos hermenêuticos dessa natureza em um país como o Brasil.”
Quanto a limitação desse direito fundamental, no caso concreto, exige, (i) uma base jurídica segura, (ii) com a clareza necessária sobre a finalidade do tratamento de dados, para que se avalie o nível de intervenção no direito fundamental, (iii) e que seja também proporcional, adequada e necessária à finalidade pretendida, adotando, ainda, (iv) as providências preventivas mínimas de cunho procedimental e organizacional, orientadas à segurança dos cidadãos envolvidos e à diminuição dos riscos de danos a seus direitos da personalidade. Em verdade, quanto mais grave for essa restrição, mais contundentes devem ser as justificativas, os critérios e as precauções para tal fim, sob pena de se legitimar intervenções na vida privada em nome de fins genéricos ou necessidades coletivas abstratas.” (MENDES Laura, RODRIGUES Otavio, FONSECA Gabriel, 2020, p.67,68,69)
O amplo acesso aos dados pessoais dos cidadãos brasileiros exige, no mínimo, balizas legislativas em relação a essa coleta ou transferência, a partir da previsão de medidas e de critérios de intervenção proporcionais à gravidade da restrição a esse direito fundamental.
6 ASPECTOS GERAIS DA LGPD
A LGPD, é a maior Lei de impacto mercadológico, econômico e social. Fazendo um paralelo com o Código de Defesa do Consumidor que nasceu da necessidade de proteção do consumidor pois o mesmo ocupava uma posição sensibilizada e ficava exposto a abusos no mercado consumerista, a LGPD nasceu devido aos abusos no tratamento de dados pessoais dos titulares que via de regra não dão consentimento e muito menos tem conhecimento que tais dados estão sendo tratados tanto em ambiente Online como Offline.
A LGPD se aplica a toda pessoa natural, jurídica de direito privado ou jurídica de direito público que trata dados pessoais. Mas o que são dados pessoais? E o que é tratamento de dados? Teremos as respostas nos próximos capítulos.
6.1 Escopo da Lei e Principais Características da LGPD
A Lei Geral de Proteção de Dados (LGPD), traz em seu escopo a definição de dados pessoais em que o legislador caracterizou de duas formas: dados pessoais comuns e dados pessoais sensíveis. A LGPD também traz em seu texto a definição de tratamento de dados pessoais, as bases legais para que o tratamento de dados seja legalizado, a aplicabilidade da lei, quem são os agentes de tratamento de dados, a figura do encarregado de dados pessoais e como toda legislação em nosso ordenamento jurídico os princípios legislativos. Veremos a seguir cada um desses pontos.
6.1.1 O Que São Dados Pessoais
Dado pessoal é toda informação que identifica ou pode identificar pessoa natural, uma única informação talvez não possibilite a identificação de tal pessoa, mas, várias informações juntas, podem identificar uma pessoa. Exemplos destes dados são: CPF, nome, RG, placa do carro, e-mail, telefone, chassi do carro, informações de saúde, dados bancários entre outras. Porém, a LGPD identifica dois tipos de dados, os dados comuns e os dados sensíveis.
De acordo com o Art. 5°, inciso I da LGPD, considera-se como dado pessoal comum:
I- dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dados pessoais sensíveis são assim chamados justamente devido a sua sensibilidade natural, pois eles podem levar a questões discriminatórias contra seus titulares, de acordo com o Art. 5°, II da LGPD temos no rol de dados sensíveis: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical ou a organização religiosa, dado filosófico ou político, dado referente a saúde ou à vida sexual, dado genético ou biométrico. Dentro do rol de dados pessoais sensíveis temos os dados de criança e adolescente. A LGPD determinou uma categoria específica para testes dados, visto que crianças e adolescentes ainda não possuem a autorregulação dos seus dados, precisam ser assistidas de forma diferenciada pela lei.
6.1.1.1 O Que é Tratamento de Dados Pessoais
Chegamos então, no tema principal da LGPD, a regulação de tratamento de dados pessoais. Mas o que é tratamento de dados pessoais? Tratamento de dados pessoais é toda e qualquer ação feita com um dado de pessoa natural. Podemos considerar tratamento de dados pessoais, desde a sua coleta e entrada no banco de dados da empresa até sua saída na exclusão destes dados, ou seja, armazenar o dado, transferir o dado, compartilhar o dado é considerado tratamento de dado pessoal. Importante, a Lei Geral de Proteção de Dados não limita o rol de ações que podem ser consideradas tratamento de dados pessoais.
6.1.1.1.1 Aplicabilidade da LGPD
A Lei Geral de Proteção de Dados é aplicável a toda empresa que trata dados pessoais independente se a finalidade do tratamento é econômica ou filantrópica.
Pessoa física que trata dado pessoal também está compreendida no escopo de aplicabilidade da lei desde que trate dados exclusivamente para fins econômicos. A LGPD também se aplica às empresas do setor público e a administração pública. Importante notar que a aplicabilidade da lei vale pra toda empresa independente do tamanho ou mercado em que ela atue.
A aplicabilidade da lei vale para o tratamento de dados realizado em todo território nacional, ou no caso de empresa que não esteja situada no território nacional, mas forneça produtos e serviços no Brasil.
A LGPD também prevê as situações em que ela não se aplica, são elas: Dados de pessoa jurídica, pessoa física que trate de dados sem finalidade econômica, quando os dados são coletados para finalidades jornalísticas, artísticas e acadêmicas e por fim quando os dados são coletados a fim de zelar pela segurança pública, segurança do Estado, defesa nacional, investigação criminal e casos onde predomina-se o interesse público comum de bem-estar e de segurança.
6.2 Quais são os Agentes de Tratamento de Dados
A Lei Geral de Proteção de Dados determina quais são as figuras e seus respectivos papéis no tratamento de dados pessoais.
Como primeira figura temos o encarregado de dados, que é o responsável pela interface entre a empresa e o titular dos dados pessoais e a empresa e a Autoridade Nacional de Proteção de Dados. É responsável também pelo projeto de adequação da empresa, por gerir os processos de tratamento e atuar em casos de incidente de segurança reportando os fatos à ANPD e tomando medidas de mitigação dos danos.
A segunda figura é o controlador, responsável por determinar a realização de tratamento de dados, é ele quem decide quais dados serão tratados e como serão tratados.
A terceira figura é o operador, que efetivamente executa o tratamento de dados a mando do controlador. Importante salientar que independente da posição, ambos, controlador e operador, são responsáveis pelos dados pessoais.
Por fim, temos a figura da ANPD – Autoridade Nacional de Proteção de Dados, órgão governamental que atuará como fiscalizador do cumprimento da LGPD, além de cumprir um papel de moderador, orientador e disciplinador, visto que o tema ainda é novo e a sociedade ainda vem se adaptando, cabe a ANPD conceder novas luzes sobre quais condutas serão devidamente cobradas e como serão, cabe a ANPD também determinar como as empresas darão visibilidade ao órgão das condutas em proteção de dados estão sendo adotadas.
6.2.2 Princípios da LGPD
Dentro do ordenamento jurídico brasileiro, os princípios são uma base muito importante para o desenvolvimento e interpretação das normas, o arcabouço jurídico é cheio de princípios que servem como direcionamento e sustentação da legislação. Diante deste cenário, vamos analisar toda a principiologia da Lei Geral de Proteção de Dados, trazida em seu art. 6°.
Princípio da boa-fé: O princípio da boa-fé está sempre presente em toda relação jurídica e isso não seria diferente na LGPD. Esse princípio garante que os dados sejam tratados em conformidade com a legislação de proteção de dados, significa dizer que os agentes de tratamento de dados devem provar ao titular que é feito tudo que esteja ao seu alcance para segurança dos dados pessoais.
Princípio da finalidade: Este princípio garante que o tratamento de dados tenha uma finalidade clara e estabelecida, ou seja, uma empresa não pode tratar um, dado por tratar, este tratamento precisa ter uma finalidade e esta finalidade precisa estar clara e transparente para o titular dos dados.
Princípio da necessidade: O tratamento dos dados precisa ser necessário para atender a finalidade pretendida. Para exemplificar, uma empresa precisa enviar e-mail marketing para seus clientes, a finalidade está clara, envio de e-mail marketing, para atender essa finalidade qual o dado NECESSÁRIO? O e-mail. Sendo assim, não há necessidade da empresa também coletar o CPF do cliente, pois este dado não é necessário para a finalidade pretendida.
Princípio da transparência: Os agentes de tratamento de dados precisam garantir a transparência do tratamento para o titular de dados, ou seja, o titular deve ter livre acesso a toda e qualquer informação referente aos seus dados. O titular deve ter acesso a informações como, finalidade do tratamento, base legal de tratamento, quais dados estão sendo tratados, por quanto tempo, e etc, a maioria destas informações devem ser encontradas na Política de Privacidade da empresa.
Princípio da segurança: Este princípio determina que as empresas adotem medidas técnicas que garantem a segurança dos dados. Os dados precisam estar seguros de possíveis vazamentos ou qualquer outro incidente de segurança.
Princípio da prevenção: Não se pode falar de segurança sem falar e prevenção. Para garantir a segurança, as empresas devem adotar medidas de prevenção a possíveis incidentes. Um exemplo de prevenção, é a implementação de um programa de adequação a LGPD.
Princípio da adequação: O tratamento de dados deve ser compatível com a finalidade para qual eles foram coletados, e coletar as informações também por meio adequado.
Princípio do livre acesso: Este princípio garante que o titular de dados tenha livre acesso aos dados coletados, de forma simples e gratuita. Isso significa dizer, que a qualquer tempo o titular pode solicitar que a empresa lhe informe quais dados estão sendo tratados por ela, como foram coletados e para que. Este princípio está fortemente ligado com a autodeterminação informativa.
Princípio da qualidade dos dados: Outro princípio ligado à autodeterminação informativa, e que também podemos considerar o mesmo oriundo do desenvolvimento social, cultural e temporal do habeas data. Este princípio garante que os dados pessoais coletados tenham qualidade no que tange ao tratamento de dados corretos, atualizados e verídicos a fim de não prejudicar o titular. Veja a importância deste princípio, pois os dados podem confirmar a competência de uma pessoa para determinado cargo, se ela é eletiva para determinado programa social, se ela é boa pagadora ou não, informações como estas impactam diretamente a vida das pessoas, por isso, a garantia de qualidade destes dados.
Princípio da não discriminação: Este princípio garante que os dados não podem ser utilizados para fins discriminatórios, abusivos ou ilícitos. Um bom exemplo deste princípio é o preenchimento de raça, opção sexual ou identidade de gênero em fichas de cadastro de emprego. Estes dados devem ser utilizados para finalidade de inclusão e não discriminação, deste modo, temos a conclusão que este princípio caminha de mãos dadas ao princípio da dignidade da pessoa humana.
Princípio da prestação de contas: Este princípio visa estabelecer que sejam buscados meios disponíveis para demonstrar a adoção de medidas para mitigação dos riscos e cumprimento dos preceitos de privacidade e proteção de dados oriundos da LGPD. Também, a prestação de contas pode ocorrer por determinação legal da Autoridade Nacional de Proteção e Dados, significa dizer que as empresas podem ter que prestar contas a quo da autoridade.
6.2.2.2 Bases Legais Para o Tratamento de Dados Pessoais
As bases legais são os meios pelos quais as empresas podem tratar os dados de forma lícita, ou seja, é dizer em que situações ou para quais fins uma empresa pode tratar dados. Toda vez que uma empresa decide tratar um dado, ela deve verificar qual das bases legais encontradas no art. 7° da Lei legitima o tratamento.
Consentimento: É a permissão do titular de forma informada, inequívoca, livre e específica para a coleta e tratamento de determinados dados. A LGPD amplificou o conceito de consentimento, onde um simples “cashbox” marcado como “li e concordo”, não será suficiente. As empresas terão que encontrar meios eficientes e transparentes de coletar o consentimento do titular.
Obrigação legal: É quando o tratamento se faz necessário para cumprimento de uma obrigação legal ou regulatória. Podemos usar como exemplo desta base legal as farmácias que pedem o RG do consumidor no caso de compra de antibióticos ou outros medicamentos controlados.
Processo judicial ou exercício regular de direito: Esta base legal autoriza o tratamento de dados para atuação em processos judiciais, administrativos ou arbitrais.
Execução de contrato: A lei autoriza o tratamento de dados para garantir a eficácia de um instrumento contratual do qual seja parte o titular dos dados e o agente de tratamento de dados.
Pesquisa: A coleta e tratamento de dados é autorizada pela LGPD para fins de pesquisa, desde que a mesma seja realizada por órgão oficial de pesquisa.
Políticas públicas: Esta base legal é destinada ao poder público que legitima o tratamento de dados pessoais para execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
Proteção da vida: Esta base legal legitima o tratamento de dados quando identificado estado de perigo ou risco de vida do titular. Por exemplo, se o titular sofrer um acidente e for socorrido por ambulância particular, os socorristas podem compartilhar seus dados com o hospital a fim de garantir a manutenção da vida do titular.
Tutela da saúde: O tratamento de dados é legítimo para prestação de serviços de saúde ao titular, ou seja, neste caso a coleta de dados em ficha de “Declaração Pessoal de Saúde” para contratação de convênio médico é legítima.
Proteção ao crédito: Esta base legal autoriza o tratamento de dados pelo credor para garantir o recebimento da quantia devida pelo titular/devedor.
Legítimo interesse: Por fim a LGPD traz em seu rol o legítimo interesse como base legal de tratamento de dados. Entretanto, temos que analisar este dispositivo junto ao art. 10 da LGPD, pois este operacionaliza o legítimo interesse, ou seja, determinada em que situação tal base pode ser utilizada, conforme o texto de lei:
“Art.10. O legítimo interesse do controlador só poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I- apoio e promoção de atividades do controlador; e
II- proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§1°- Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§2°- O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§3°- A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.”
Vamos analisar alguns pontos altos deste artigo. 1°) o legítimo interesse do controlador só se dará por finalidades legítimas, ou seja, não deve contrariar outras previsões legais; 2°) no caso de apoio e promoção das atividades do controlador, tais atividades devem ser bem articuladas e desenhadas para a identificação do legítimo interesse, este ponto não deve ser utilizado como um cheque em branco. O legítimo interesse deve ser acompanhado de uma situação concreta que lhe dê suporte; 3°) no caso do legítimo interesse a legislação é bem clara que os dados utilizados devem ser mais estritamente necessários para a finalidade pretendida. Há a necessidade de se analisar conservadoramente a quantidade exata de dados necessários a serem utilizados, o ponto aqui é, quanto menos dados menor o impacto ao titula; 4°) a prestação de contas aqui vai muito além daquela principiológica, aqui o controlador deve encontrar medidas para transparecer ao titular todos os pontos que circundam o tratamento baseado no legítimo interesse a fim de garantir a segurança, a privacidade, a mitigação do risco de repercussão negativa, discriminatória, ou qualquer outra que infrinja outras liberdades e direitos fundamentais; 5°) por fim, esta é a única base legal que condiciona o tratamento a possibilidade de reporte dos impactos à proteção de dados pessoais a ANPD quando o tratamento for baseado no legítimo interesse.
6.2.2.2.2 Direitos dos Titulares
Os direitos dos titulares encontram-se descritos no Art. 18, incisos I a IX da lei 13.709/18. O titular de dados pode a qualquer tempo obter do controlador: i) a confirmação de que seus dados estão sendo tratados. Está informação não se limita a uma resposta negativa ou positiva para o tratamento, mas também compreende os métodos de tratamento, a finalidade, necessidade, o prazo do tratamento e as medidas de segurança que são adotadas para garantir a proteção dos dados; ii) o titular de dados pode requisitar ao controlador quais dados estão sendo tratados; iii) o titular também pode solicitar ao controlador a anonimização dos dados a eliminação ou até o bloqueio de dados desnecessários, excessivos ou que não sejam tratados em conformidade com a lei; iv) o titular tem direito a correção de seus dados incompletos ou inexatos e a atualização dos mesmos, estas solicitações também podem ser feitas a qualquer momento; v) é direito do titular mediante solicitação expressa a portabilidade de seu dados a outro fornecedor, cabe a ANPD neste caso regular a portabilidade considerando os segredos comercial e industrial; vi) o titular pode solicitar a eliminação dos dados mesmo uma vez consentidos para o tratamento. Em determinadas situações em que a eliminação dos dados não seja possível, o controlador deverá se respaldar em uma base legal que justifique a continuação do tratamento de dados conforme previsto no art. 16, por exemplo, a Obrigação Legal, Execução de Contrato, Proteção ao Crédito ou o Legítimo interesse, no caso deste último não podemos esquecer da fundamentação já mencionada no item 7.1.1 deste estudo; vii) o titular pode requisitar a informação de para quais entidades públicas ou privadas seus dados foram compartilhados; viii) o titular pode requerer a informação da possibilidade de negativa do consentimento e quais as consequências; ix) o titular tem direito revogar o consentimento, nos termos do § 5°, art. 8° desta lei.
O § 1° do referido artigo garante ao titular a possibilidade de peticionar contra o controlador para a Autoridade Nacional de Proteção de Dados ou para os órgãos de defesa do consumidor conforme determina o § 8°. Importante salientar que todos os requerimentos ao qual o titular tem direito, exceto aqueles realizados em juízo, são gratuitos e devem ser feitos de forma simplificada e expressa do titular ou de ser representante legal conforme determina o § 3°.
Quanto à forma e o prazo de atendimento da requisição pelo agente de tratamento o art. 19, em seus incisos I e II, determina que deve ser feito de forma simplificada imediatamente ou “por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.” Ainda, o § 2° incisos I e II, determina quanto a forma, que as informações devem ser concedidas ao titular “por meio eletrônico seguro e idôneo” ou “de forma impressa”, sendo possível ao titular sua livre escolha.
Muito importante para a proteção do direito à personalidade, a garantia trazida no art. 20, que possibilita ao titular “solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.” Este artigo ainda nos assegura em seu § 1° a proteção contra os “cashbox” de li e aceito presentes em domínios públicos da internet, pois o mesmo determina que o controlador deve fornecer informações claras sobre os critérios adotados para os procedimentos baseados em decisões automatizadas.
7 RESPONSABILIDADE CIVIL E A LGPD
A responsabilidade civil pode ser verificada na seção III da legislação de proteção de dados intitulada “Da Responsabilidade e do Ressarcimento de Danos”. De acordo com o art. 42, a responsabilidade civil acontece quando em decorrência do tratamento de dados controlador ou operador causar a “outrem dano patrimonial, moral, individual ou coletivo” dano este que pode ser causado pela inobservância ou violação à legislação de proteção de dados. Analisando este dispositivo podemos identificar a abrangência do dano que pode ser causado não só ao titular de dados como a terceiros, uma vez que a legislação “amplia expressamente essa esfera de proteção, de modo a abranger não apenas interesses outros daquele mesmo titular (interesses econômicos, por exemplo), mas também interesses transindividuais que possam ter sido lesados pelo referido tratamento.” 1
Ainda no mencionado artigo, em seu inciso I, identificamos a responsabilidade solidária do operador diante do controlador quando este “descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador.” Já no inciso II ocorre a solidariedade entre “os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados”, ou seja, aqueles que em conjunto lesam o titular de dados por decisões ou ações que violem os preceitos da proteção de dados.
Adiante, no § 2°, seguimos para inversão do ônus da prova a favor do titular “quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa”. Por fim, no § 4° do referido artigo, a legislação confere o direito de regresso contra os demais responsáveis pelo evento danoso, em favor daquele que reparou sozinho os danos causados pelo tratamento de dados.
Se faz importante para o nosso estudo, finalizar a análise do art. 42 em conjunto aos arts.44 e 46. Enquanto o caput do art. 42 determina a responsabilidade civil quando há violação à legislação de proteção de dados, os arts. 44 e 46 expandem a nossa compreensão das possibilidades de responsabilização, quando atribuem ao controlador e operador a responsabilidade pela segurança dos dados. Daremos atenção principalmente para o parágrafo único do art. 44: “Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.” Deste modo, o art. 46 determina que os agentes de tratamento adotem “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O § 1° ainda prevê que a ANPD pode determinar padrões técnicos mínimos “para tornar aplicável o disposto no caput deste artigo”, sendo assim, entendemos que na falta de determinação específica pela Autoridade Nacional de Proteção de Dados os agentes devem seguir as normas técnicas já existentes de segurança, como por exemplo a nova ISO/IEC 27001:2022.
Diante do exposto, identificamos duas situações de responsabilidade civil pela LGPD: a) violação da legislação de proteção de dados; b) violação de normas técnicas de segurança da informação.
Passemos agora para o art. 43 da LGPD, que traz os casos de exclusão da responsabilidade, sendo eles a prova:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Por fim, o art. 45 encerra a sessão III fazendo alusão ao Código de Defesa do Consumidor quando determina que a “violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.”
7.1 Responsabilidade Civil na LGPD: Subjetiva ou Objetiva
A LGPD em seus arts. 42 a 45 traz as definições de responsabilidade dos agentes de tratamento, entretanto, estes dispositivos vêm provocando discussão doutrinária quanto à objetividade ou subjetividade da responsabilidade civil. Antes de nos aprofundarmos nas discussões, vamos entender a diferença entre ambos institutos. A responsabilidade subjetiva é aquela que se fundamenta na culpa, enquanto a culpa trata-se da violação de um dever jurídico. Levando em consideração esta definição, a leitura do art. 42 nos levaria a conclusão de uma responsabilidade subjetiva dado que ele traz a referência de responsabilidade pela violação da legislação de proteção de dados.
Por outro lado, a responsabilidade objetiva é aquela que independe da culpa, o simples ato ilícito, o nexo de causalidade e o dano já configuram a responsabilidade. Porém o art. 42 não usa a expressão “independentemente de culpa” o que contribuiria para a definição de uma responsabilidade objetiva.
Muitos autores têm sustentado, de fato, que a LGPD institui um regime de responsabilidade civil subjetiva.
Em versões anteriores do projeto de lei que deu origem à Lei Geral de Proteção de Dados, chegou a se incluir disposições que conceituavam a atividade de tratamento de dados pessoais como atividade de risco, expressamente, as quais, no entanto, foram retiradas da proposição no decorrer do processo legislativo. Por conta disso, é possível sustentar que a regra geral da Lei é a da responsabilidade civil subjetiva, na qual o elemento da culpa deverá ser demonstrado, admitida, em algumas hipóteses específicas, a responsabilidade civil objetiva, de acordo com a natureza do tratamento de dados pessoais, que realmente possa se enquadrar como atividade de risco. (BLUM, Renato Opice; MALDONADO, Viviane Nóbrega, 2019, p.323)
Para continuidade desta análise faz-se importante analisarmos o art. 44 da LGPD:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Na leitura do texto de lei identificamos a inexistência da necessidade de culpa para atribuição da responsabilidade, basta haver o dano causado pela inobservância da legislação, das medidas de segurança que o “titular dele pode esperar”, ou “danos decorrentes da violação da segurança dos dados (...) ao deixar de adotar medidas de segurança previstas no art. 46” o que nos leva a identificação da responsabilidade objetiva. Sobre a responsabilidade objetiva na LGPD Caitlin Mulholland conclui:
Conclui-se, portanto, que apesar do uso de expressões diversas em sua redação, tanto o artigo 42, quanto o artigo 44, da LGPD, adotam o fundamento da responsabilidade civil objetiva, impondo aos agentes de tratamento a obrigação de indenizar os danos causados aos titulares de dados, afastando destes o dever de comprovar a existência de conduta culposa por parte do controlador ou operador. Fundamenta esta conclusão o fato de que a atividade desenvolvida pelo agente de tratamento é evidentemente uma atividade que impõe riscos aos direitos dos titulares de dados, que, por sua vez, são intrínsecos, inerentes à própria atividade e resultam em danos a direito fundamental. Ademais, tais danos se caracterizam por serem quantitativamente elevados e qualitativamente graves, ao atingirem direitos difusos, o que, por si só, já justificaria a adoção da responsabilidade civil objetiva, tal como no caso dos danos ambientais e dos danos causados por acidentes de consumo.2
Importante ressaltar, o parecer da comissão Especial constituída pela Câmara dos Deputados em 25 de outubro de 2016 com o propósito de examinar o Projeto de Lei 4.060/2012:
A atividade de tratamento de dados pessoais constitui atividade de risco, o que atrai a incidência da responsabilidade objetiva ao agente de tratamento, ou seja, aquela segundo a qual não há necessidade de perquirir a existência de culpa para obrigar o causador do dano a repará-lo. Esta já é a regra geral do direito brasileiro para toda e qualquer atividade de risco, conforme previsto no parágrafo único do artigo 927 do Código Civil, como também constitui a base da responsabilização dos fornecedores nas relações de consumo.
Diante dos pontos doutrinários analisados, concluímos que convivem na LGPD dois regimes distintos: o da responsabilidade civil subjetiva e o da responsabilidade civil objetiva. Ambos os regimes contam com o elemento do nexo de causalidade para ser caracterizado, deste modo analisaremos como se dá o nexo de causalidade na LGPD.
7.1.1 Nexo de Causalidade e a Inversão do Ônus da prova
Para que haja a responsabilidade civil, é necessário que exista uma relação de causalidade entre a conduta do operador ou do controlador e o dano ocorrido. O nexo causal foi constituído pela ciência jurídica, com o intuito de, uma vez estabelecida a ligação entre ação e dano sofrido pela vítima, estabelece-se a obrigação de indenizar.
O art. 403 do Código Civil afirma que, “ainda que a inexecução resulte de dolo do devedor, as perdas e danos só incluem os prejuízos efetivos e os lucros cessantes por efeito dela direto e imediato, sem prejuízo do disposto na lei processual.” Este dispositivo acolhe a ideia da “teoria da causalidade direta e imediata” que compreende os danos direta e imediatamente causados pela ação do agente. Entretanto, este posicionamento legislativo tem sido considerado injusto, uma vez que podem existir danos causados pelo resultado imediato da conduta culposa do agente, sem intervenção de qualquer outra causa. Mesmo com a taxatividade do nexo causal direto expresso pelo Código Civil, a doutrina e jurisprudência vem se posicionando de forma flexível considerando os chamados “danos necessários” ou “teoria da causalidade adequada” e também “teoria da causalidade eficiente” acolhedores da idéia de danos indiretos quando derivados necessariamente da causa em questão.
Falando do nexo de causalidade no caso do tratamento de dados pessoais, podemos considerar o mesmo de certa forma mais complexo, uma vez que, quando falamos de vazamento de dados por exemplo, nos referimos a informações que estão “voando” pela rede da sociedade da informação, e este tipo de situação pode ser por vezes bem difícil de ser reconstituída para o fim de estabelecer o nexo de causalidade. Desse modo, oportunamente a LGPD estabeleceu a inversão do ônus da prova em seu art. 48, § 2° quando: i) “for verossímil a alegação”; ii) “houver hipossuficiência para fins de produção de provas”; ou iii) “a produção da prova pelo titular resultar-lhe excessivamente onerosa.” Mais uma vez a LGPD traz em seu texto a influência do Código de Defesa do Consumidor, que também garante a inversão do ônus da prova nas hipóteses de hipossuficiência, ou de verossimilhança das alegações do consumidor.
A hipossuficiência se dá em situações que há impotência da parte lesada, a qual podemos identificar na relação dos agentes de tratamento de dados e do titular, visto que apenas os agentes possuem superioridade técnica, econômica e de qualquer outra natureza.
CONCLUSÃO
Diante do estudo aqui exposto, concluo que ainda temos pouco na pavimentação do caminho para subjetividade ou objetividade da responsabilidade civil na LGPD. Além de estarmos falando de uma legislação jovem, com seus dois poucos anos, dado a postergação de vigência da norma, falamos ainda de uma matéria um tanto imatura no ordenamento jurídico brasileiro. No que tange a proteção de dados temos apenas a LGPD como referência deste caminho, acredito que com o passar do tempo, à medida que mais e mais casos concretos pairarem na mesa do nosso judiciário, teremos conteúdos mais palpáveis e realistas para construir toda uma doutrina e jurisprudência em torno da proteção de dados e sua responsabilidade civil, seja ela objetiva ou subjetiva.
O que mais importa neste momento, é aculturar a sociedade, principalmente as empresas sobre a importância de construir dentro de suas organizações, políticas, medidas e conscientização de proteção de dados, para que estes entendam e reconheçam a importância desta legislação para o desenvolvimento socioeconômico do país. A Lei Geral de Proteção de Dados é muito mais que uma legislação que determina as regras para o tratamento de dados, ela traz para o nosso mundo capitalista uma veia humanitária, onde não se trata só de consumir (enquanto indivíduo) e ganhar (enquanto empresa) mas que está relação precisa ser galgada no respeito mútuo, na confiança, transparência, nos direitos fundamentais.
A extraordinária evolução tecnológica evidencia que a privacidade, o direito a personalidade e a autodeterminação informativa estão de certo modo ameaçados, neste sentido, termos hoje uma regulamentação, com bases legais, princípios, direitos dos titulares, e as responsabilidades dos agentes de tratamento de forma clara e compressível nunca foi tão importante para garantir ainda mais a segurança jurídica no Brasil.
REFERÊNCIAS
BRASIL. Lei nº 13.709/20, de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Diário Oficial da União, Brasília, DF,15 de agosto de 2018. Seção 1, página 59.
BLUM, Renato. et al. Proteção de Dados – Desafios e Soluções na Adequação à Lei: São Paulo: Forense.
MENDES, Laura; DONEDA, Danilo; SARLET, Ingo Wolfgang; JÚNIOR, Otavio Luiz Rodrigues Tratado de Proteção de Dados Pessoais: São Paulo: Forense. 2020
ROSENVALD, Nelson. A LGPD e o fundamento da responsabilidade civil dos agentes de tratamento de dados pessoais: culpa ou risco? Migalhas, 2020. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/329909/a-lgpd-e-o-fundamento-da-responsabilidade-civil-dos-agentes-de-tratamento-de-dados-pessoais--culpa-ou-risco. Acesso em: 15 de Abril de 2021.
CAPANEMA, Walter. A responsabilidade civil na Lei Geral de Proteção de Dados. Cadernos Jurídicos, São Paulo, n° 53, Páginas 163-170, Março de 2020.
Schreiber, Anderson. Tratado de Proteção de Dados. São Paulo, 2020, p.322︎
MULHOLLAND, Caitlin. A LGPD e o Fundamento da Responsabilidade Civil dos Agentes de Tratamento de Dados Pessoais: culpa ou risco? 2020 , https://www.migalhas.com.br/coluna/migalhas-de-responsabilidade-civil/329909/a-lgpd-e-o-fundamento-da-responsabilidade-civil-dos-agentes-de-tratamento-de-dados-pessoais--culpa-ou-risco︎