Novidade legal do ano de 2018, a Lei Geral de Proteção de Dados Pessoais, LGPD, foi sancionada pelo presidente Michel Temer e passou a ser tratada como direito posto na data de 15 de agosto, apesar do período de 18 meses de vacatio legis.
No Brasil, além da Constituição Federal, já tínhamos diversas legislações especiais que tratavam do assunto em áreas especificas, setorizadas, como o Código de Defesa do Consumidor, o Código Civil, a Lei do Cadastro Positivo, o Marco Civil da Internet, entre outros. Apesar desse arcabouço, há vários anos se discutia no Brasil um marco legal na proteção de dados pessoais, capaz de englobar todas as atividades relacionadas, tendo em vista a importância e a relevância de seu objeto, que tem amplo reflexo inclusive nos direitos constitucionais do cidadão.
A harmonização de conceitos, a elevação das garantias e dos direitos individuais, o fomento da economia digital, e a harmonização com as legislações alienígenas para facilitação do fluxo de transferência internacional de dados foram os principais focos do legislador. [1]
Certamente a pressão internacional, especialmente da GPDR, rígida legislação europeia que entrou em vigor em 25 de maio de 2018 e que prevê que só será permitida a troca livre de informações e dados com outras nações que tenham legislação especifica e equivalente, foi fundamental para que a versão brasileira fosse finalizada. Hoje 126 países possuem leis de proteção de dados pessoais, mas na América do Sul apenas Argentina e Uruguai possuem legislação nos moldes mínimos exigidos pela GPDR. O Brasil deve ser o próximo dessa lista.
Inicialmente, as normas preveem responsabilidades, administrativa e civil, para as pessoas físicas e jurídicas, publicas e privadas, que tratem de dados sensíveis das pessoas naturais. Por tratamento de dados entende-se toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Já os dados pessoais são todos os relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos quando estes estiverem relacionados a uma pessoa.
As sanções altíssimas previstas na lei, no caso da LGPD, com valor de até 50 milhões de reais por infração, são o grande destaque da norma e certamente serão um bom “guia espiritual” para a pratica do compliance nessa seara.
Nesse novo contexto, a privacidade assume papel de protagonista da lei, tratada como um direito constitucional individualizado em sua concepção mais jurídica. Sua proteção foi a base para a formulação dessa lei.
Durante a evolução humana, o termo tecnologia remetia apenas a benefícios, desenvolvimento, sem nos atentarmos para seu verdadeiro potencial. Além dos problemas típicos de privacidade que normalmente atingiam pessoas publicas, a tecnologia colocou na mira, também, de forma democrática, todas as outras pessoas. Tivemos a massificação da informação e da exposição.
Caso emblemático recente foi o caso Ashley Madson, famoso site global de relacionamento extra conjugal, que foi afetado pelo vazamento de dados e informações de cerca de 37 milhões de seus usuários, muitos brasileiros inclusive, que culminou com casos de demissões, extorsões e até suicídios dos expostos. [2]
Nota-se que, caso não fosse regulamentado o devido controle, certamente, a partir desse caso e dos outros que o seguiram, haveria um grande temor e retrocesso no compartilhamento de dados, na utilização da rede, no desenvolvimento econômico e consequentemente um grande dano a direitos constitucionais, como a liberdade de expressão, liberdade de iniciativa, entre outros. Nesse sentido o Marco Civil da Internet, em seu artigo 7º, ressaltou que: “O acesso à internet é essencial ao exercício da cidadania”.
Até a divulgação desses vazamentos, os usuários, titulares da informação, não se importavam ou não se interessavam com a finalidade da captação de seus dados, havia o mito do sigilo e do anonimato. A confiança no meio digital levou a um desinteresse momentâneo sobre as possíveis repercussões do tratamento indevido ou vazamento desses dados pessoais, inclusive porque o dano ou prejuízo, quando relacionado a imagem apenas, é muito subjetivo e tem limites diferentes para cada pessoa.
A privacidade por natureza é um direito subjetivo, pois cada individuo tem um limite, um valor diferente, envolvendo portanto vários fatores como idade, classe social, condição econômica, localização, entre outros fatores que aumentam ou reduzem a tolerância e o potencial lesivo. A Lei buscou, nesse instante, a objetivização de um tema naturalmente subjetivo, delimitando o tema e sua abrangência, e definindo os limites para o tratamento de todos dados considerados sensíveis.
O novo ideal passa a ser o controle do uso dos dados, não mais o sigilo ou a eliminação. Os escândalos e o desenvolvimento de novas tecnologias de captura e tratamento de dados fizeram com que os países buscassem atualizar sua legislação como forma de proteger os direitos constitucionais de seus cidadão que inevitavelmente se veem envolvidos e dependentes do meio digital, tanto para lazer como para trabalho.
Outro exemplo da vulnerabilidade que se combate com a nova lei foi o recente caso que envolveu o Facebook que, segundo informações da própria entidade, pode ter afetado mais de 87 milhões de dados pessoais. Esses dados foram obtidos através de um aplicativo para Facebook da empresa britânica Global Science Research, do pesquisador da Universidade de Cambridge Aleksandr Kogan que coletou informações não apenas dos usuários registrados no seu quizz, mas também dos amigos dessas pessoas. A suspeita que ainda se apura é se essas informações foram usadas para influenciar os resultados da eleição presidencial americana de 2016, da qual Donald Trump saiu como vencedor, com ajuda da Cambridge Analytica. [3]
Uma das causas de tamanha repercussão é que, até então, o cidadão desconhecia a assimetria informacional entre as partes envolvidas nas relações digitais. Considerava-se, baseado na presunção de boa-fé que geralmente pauta nossas ações, protegido, crente que as politicas de privacidade eram idôneas e seguidas à risca, pautadas pela cautela no tratamento das informações captadas. Inclusive, regra implícita do meio digital é que “a transparecia deve ser diretamente proporcional ao poder; a privacidade deve ser inversamente proporcional ao poder.”[3] Portanto a transparência deveria ser a principal preocupação das entidades que captam dados dos seus usuários, mas não foi o que se verificou diante de tantos escândalos.
A nova concepção trazida pelo legislador na LGPD é que o dano a democracia resta configurado apenas com a suspeita da utilização ilegítima dos dados, já que sua utilização com finalidade diversa é uma afronta aos princípios morais e legais. Dessa forma, a exemplo da legislação europeia, a norma reduz as múltiplas bases legais de processamento de dados possíveis para apenas uma, a “Opt-in”, ou seja, o consentimento prévio do usuário.
CF. Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal;
Nesse sentido, a LGPD traz uma trinca principal de princípios que são: a legalidade, a adequação e a necessidade, segundo os quais os tratamentos devem ser adequados, relevantes e limitados à sua necessidade. Além deles, o livre acesso do titular para verificar a legalidade de seus dados; a qualidade dos dados, que devem ser precisos e corretos; a transparência; a segurança; a não discriminação e a responsabilização, são as bases da LGPD na defesa de um ambiente digital saudável.
Adentrando no corpo e nas definições da lei, ficou definido que o dado é uma pré informação, que quando cruzado com outros dados gera uma informação e nesse momento pode causar danos, pois essa informação pode identificar seu titular e ter um potencial lesivo considerável. A LGPD portanto alcança todos os dados pessoais, mesmo que não sejam dados considerados críticos, comprometedores. A nova ideia é que não existem dados insignificantes nesse meio, pois quando expostos podem ser trados e cruzados, se transformando em informação sensível.
Atenta a esses riscos, irreparáveis, do tratamento ilegal, a lei passa a exercer papel “ex ante”, enumerando e regulando as condutas e situações passiveis de tratamento. Qualquer outra situação será considerada ilegal e punível.
O fato de um dado ser público não tira sua proteção; apenas o tipo de proteção que muda, sendo mantidos os deveres de respeito aos princípios da finalidade e da boa fé. Sempre será necessária a expressa anuência do titular para a utilização desses dados com finalidade diversa da esperada pelo mesmo ou que ultrapasse o senso comum.
Detalhe importante da lei é que os dados protegidos são apenas os da pessoa natural, não alcançando os dados da pessoa jurídica, que não são tutelados pela lei. Reiterando, a lei esclarece que são dados pessoais os dados relacionados a pessoa natural que sejam identificados ou identificáveis. No contraponto, dados anonimizados são os relativos a um titular que não possam ser identificados considerando a utilização de meios razoáveis. Muita atenção, no entanto, deve ser dada para a pseudonimização usualmente adotadas para substituir ou mascarar dados pessoais que, quando não aplicado corretamente poderá permitir facilmente a re-identificação dos indivíduos.
A nova disposição, como destacado, prevê expressamente as condições para o tratamento dos dados, não havendo que se falar em conduta licita fora das situações elencadas no artigo 7º, de forma não cumulativa. A primeira e principal condição é que a autorização deve ser expressada de maneira livre, informada e inequívoca pelo titular, exigindo a concordância com a finalidade expressa daquele tratamento. Coube a lei destacar que não basta a simples anuência, como hoje fazem alguns sites, sendo estritamente vedado o aceite por inercia do titular, como facultam as normas americanas.
Certamente, apesar dos esforços legais da LGPD, a necessidade de anuência expressa do titular não irá garantir a preservação dos dados, sendo necessária a instituição de um arcabouço fiscalizatório para garantir a correta manutenção dos mesmos. Certamente novas interfaces e armadilhas poderão ser criadas pelas empresas para induzir o titular a consentir, principalmente quando esse consentimento “expresso” puder ser feito apenas a partir de um “click”.
Há um case representativo de experimento feito por universidade inglesa onde basicamente foi colocado na tela inicial dos computadores, em forma de caixa de mensagem, uma declaração onde o usuário declarava a intenção de doar seus bens para a universidade, e o resultado foi que quase 80% dos usuários anuíram com essa doação, ou seja, 80% dos usuários clicaram sem sequer lerem a mensagem, apenas para fechar a caixa e ter acesso ao conteúdo do computador. Esse, ao que parece, é o padrão dos usuários a nível mundial.
No caso da nova legislação, o ônus da prova de que o consentimento foi obtido em conformidade com as normas será do controlador, sendo vedado o tratamento de dados pessoais mediante vicio de consentimento, ainda que apenas em parte, já que o consentimento deve referir-se a finalidades determinadas, sendo nulas as autorizações genéricas.
Por fim, o consentimento pode ser revogado a qualquer momento, de forma gratuita e facilitada. Exceção a necessidade de consentimento será quando houver, por parte do Controlador, obrigação legal ou regulatória, ou mesmo para o exercício regular de direitos em processo judicial, administrativo ou arbitral, entre outras hipóteses.
No caso de crianças, a exigência é de consentimento específico de um dos pais ou responsável legal, sendo considerada pratica ilegal o condicionamento da participação de crianças em jogos ou aplicativos infantis da internet ao fornecimento de informações pessoais que ultrapassem o estritamente necessário para aquela atividade. Nesses casos, haverá uma grande dificuldade e caberá ao controlador realizar todos os esforços razoáveis para verificar que o consentimento foi dado de fato pelo responsável.
Por fim, outra hipótese de tratamento de dados, que certamente será a mais abrangente, será nos casos destacados pela lei como de “legitimo interesse” do controlador ou de terceiro, casos esses que deverão ser avaliados pela autoridade responsável e que não serão possíveis se confrontados com direitos e liberdades fundamentais do titular. Regra geral deverão ser precedidos de testes de proporcionalidade, com garantia de minimização dos efeitos do uso, transparência e relatório de impacto, visando minimizar qualquer hipótese de dano ao titular.
Esse legitimo interesse, portanto, deve ser precedido sempre pelo teste de proporcionalidade, com relatório final contendo a devida justificação. Essa exigência vem de experiências anteriores na União Europeia, principal modelo de proteção de dados do Mundo, onde as empresas realizam a maior parte de suas atividades com base no legitimo interesse, amparadas pela autoridade responsável.
A nova lei garante que o titular dos dados tenha direito a solicitar revisão, por pessoa natural, das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de credito, etc. O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios utilizados para a decisão automatizada, ressalvados os segredos comercial e industrial.
Nesse sentido, o artigo 20 prevê o “right to explanation”, ou seja, o direito de um explicação para as decisões baseadas em algoritmos, que devem ser explicadas por uma pessoa natural para evitar a utilização de critérios discriminatórios em suas avaliações. Importante destacar que o algoritmo por definição é uma “black box”, já que há uma grande dificuldade na explicação por conta de segredos industriais.
Passa a ser obrigatória também, por enquanto para todos que tratem dados independentemente de tamanho ou faturamento, a presença de um DPO (Data Protection Officer), profissional que será responsável pela aplicação das normas e garantias no âmbito da empresa.
Em caso de infrações, as mesmas terão natureza administrativa e civil, sendo puníveis administrativamente pelo órgão responsável e, caso haja dano identificado, por ação judicial de responsabilidade civil de reparação. No que se refere a responsabilidade civil dos agentes responsáveis pelo tratamento dos dados, há uma questão ainda controversa, quanto a natureza dessa já que, pela regra geral, por tratar de atividade de risco e por ter identidade com outras normas especificas, seria caso de responsabilidade objetiva, porem ainda não há um consenso, sendo caso de aguardar jurisprudências futuras. O caso dessa identidade de normas se reflete, por exemplo, em seu artigo 43 onde as excludentes mostram grande influência ou mesmo similitude com o artigo 12 do Código de Defesa do Consumidor, ou mesmo a previsão de inversão do ônus da prova, também prevista no CDC, norma tipicamente protetiva que prevê responsabilidade objetiva.
A GPDR, norma europeia de proteção de dados, como dito, é nossa referência já que exige das demais nações um regime de adequação legal como condição para o fluxo de dados e, consequentemente, para a integral cooperação econômica. A comissão europeia tem a atribuição de decidir, com base no artigo 45 de seu regulamento, se um país de fora da União Europeia tem nível adequado de proteção de dados, para que dados pessoais possam circular da UE para esses países sem a necessidade de observar outras salvaguardas. Por esse motivo, as empresas europeias buscam investir em nações e empresas que adotem as regras de proteção semelhantes a europeia. A partir da sanção da LGPD, o reconhecimento brasileiro passa a ser questão de tempo.
Finalizando, questão crítica da nova lei que deverá ser resolvida em breve, sob pena de inviabilizar sua aplicação, é o veto presidencial à criação da Autoridade Administrativa e do Conselho Nacional de Proteção de Dados, em tese por vicio de iniciativa, mas que acabou gerando um projeto esquizofrênico, sem autoridade reguladora. Essa Autoridade Nacional será um ponto de referência e contato, para esclarecer e uniformizar interpretações, estabelecer regras e limites de compliance, além de proporcionar maior riqueza aos instrumentos regulatórios e sancionatórios. Caso não seja instituída, restará a via judicial e os órgãos administrativos descentralizados, que, por não serem especializados, gerarão grande instabilidade no meio.
CONCLUSÃO.
A nova lei foi editada atendendo à pressão internacional, principalmente decorrente da entrada em vigor da GPDR. A nova norma brasileira atende a grande parte das exigências internacionais, sendo as autoridades reguladoras as principais exceções. A estruturação da lei se baseia em princípios específicos do meio, que prezam pela proatividade na condução de politicas e processos eficientes, para que haja uma atuação preventiva ao invés de corretiva. A privacidade deve ser a configuração padrão dos sistemas, automática, sendo o tratamento e o compartilhamento a exceção, quando devidamente consentida.
Será exigida a segurança da informação de ponta a ponta, ou seja, a proteção dos dados durante todo o ciclo de vida da relação.
BIBLIOGRAFIA:
- http://cio.com.br/gestao/2018/07/10/enfim-uma-lei-geral-de-protecao-de-dados
- https://tecnoblog.net/184013/ashley-madison-consequencias-vazamento/
- https://exame.abril.com.br/tecnologia/o-escandalo-de-vazamento-de-dados-do-facebook-e-muito-pior-do-que-parecia/
- Privacidade e proteção de dados pessoais. Danilo Doneda. Disponível em: http://www.cgu.gov.br/sobre/institucional/eventos/anos-anteriores/2017/5-anos-da-lei-de-acesso/arquivos/mesa-3-danilo-doneda.pdf