INTRODUÇÃO
A Lei Geral de Proteção de Dados Pessoais - LGPD (Lei n.º 13.709/2018), sancionada em 14 de agosto de 2018, entrará em vigor apenas em agosto de 2020. Estamos prestes a viver uma revolução no que diz respeito ao uso e ao tratamento de dados pessoais por empresas e organizações em geral.
Assim como a União Europeia (https://eugdpr.org/), o Brasil passa a regulamentar um assunto que até então era tratado como "coisas de internet", criando ferramentas e exigências que trarão mais segurança para todos nós (usuários). Nossos dados pessoais passarão a ser tratados com a devida atenção e o seu uso abusivo poderá implicar sanções aos responsáveis.
Por outro lado, é fato que as empresas e organizações ainda não estão preparadas para tamanha mudança. Pensando nisso, escrevi o presente artigo.
O artigo terá como objeto o uso e o tratamento de dados na rede mundial de computadores (internet), embora seja importante destacar que a lei aplica-se a todos os casos de tratamento de dados.
A fonte central para o trabalho foi a leitura, organização e interpretação da Lei. Organizei os dispositivos legais de modo a trazer maior clareza e fiz breves comentários ao longo do trabalho.
1) Como é hoje: seus dados não são seus.
Quando você acessa um site qualquer para efetuar uma compra, você é obrigado a fornecer seus dados. Até aqui, tudo normal. Ocorre que, não raras vezes, você é compelido a fornecer dados que não guardam qualquer relação com a operação feita. Sabe por que isso ocorre? Porque não há regulamentação alguma no tratamento de dados pessoais.
Onde não há limites, há abuso.
Infelizmente, sabemos que existe um nefasto comércio da dados pessoais na rede mundial de computadores. Basta você acessar os seus "spams" para perceber quantas organizações têm o seu endereço de e-mail sem que você nem imagine como ele foi obtido.
Certa feita, recebi um e-mail que oferecia serviços fúnebres. Confesso que tive um misto de raiva e medo ("tomara não seja um sinal", pensei).
Hoje, nossos dados não são nossos. Eles são coletados, vendidos, repassados e usados das mais variadas formas, sem qualquer controle, privacidade ou segurança. A LGPD vem aí para contornar essa distorção.
2) O objetivo central da LGPD e os atores envolvidos.
Os dados pessoais pertencem ao seu titular. O titular é necessariamente uma pessoa física (pessoa natural): eu, você, seu pai, sua tia, seu primo (mala)... A LGPD tutela o tratamento de dados pessoais!
O tratamento dos dados pessoais é um conceito aberto, amplo e de difícil definição.
A LGPD indica que é toda operação de "coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração". Em suma, sempre que houver manipulação dos seus dados pessoais, haverá tratamento de dados pessoais.
Para a LGPD, os dados pessoais são tratados pelos agentes de tratamento: o controlador e o operador.
O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Há, ainda, a figura do encarregado, considerada a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (órgão responsável pela fiscalização).
Grosso modo, o controlador é o decisor, o operador é o executor e o encarregado o ouvidor. Veja bem, eu disse "grosso modo".
Ao editar a LGPD, o objetivo do legislador foi ampliar a proteção dos direitos fundamentais de liberdade, privacidade e personalidade da pessoa natural (como a vida, a integridade, a honra, a imagem e etc), especialmente diante da nova realidade conhecida por "big data".
No artigo 2º, foram lançados os fundamentos para a proteção de dados, os quais elenco a seguir:
a) Respeito à privacidade;
b) Autodeterminação informativa:
“O direito fundamental à autodeterminação informativa traduz a faculdade de o indivíduo determinar e controlar a utilização dos seus dados pessoais por terceiros, inclusive pelo Estado. (...) Isto visto, é possível falar no direito à autodeterminação informativa como efetivo instrumento de controle sobre a atividade administrativa no setor de tratamento de dados pessoais, espécie de controle externo a ser exercido pelo indivíduo ou por instituições credenciadas, para que os órgãos públicos envolvidos nessa função obedeçam às boas práticas a que estão vinculados e para a proteção não somente dos dados pessoais, mas, com estes, da cidadania, da liberdade e da democracia” (O DIREITO FUNDAMENTAL À AUTODETERMINAÇÃO INFORMATIVA, escrito por Ana Maria Neves de Paiva Navarro, extraído do site: file:///C:/Users/vua/Downloads/11702-3899-1-PB.pdf)”.
c) a liberdade de expressão, de informação, de comunicação e de opinião;
d) a inviolabilidade da intimidade, da honra e da imagem;
e) o desenvolvimento econômico e tecnológico e a inovação;
f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e
g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
3) Aplicabilidade da LGPD e os seus princípios:
A LGPD aplica-se a qualquer tipo de operação com dados realizada por todo tipo de pessoas (física ou jurídica, pública ou privada), nos meios digitais ou não. Portanto, vislumbra-se o caráter extensivo, amplo e quase irrestrito da sua abrangência.
Destaca-se, em relação ao aspecto territorial, que a lei engloba fatos ocorridos tanto na sede da pessoa que realiza a operação quanto no país em que os dados se encontram localizados. Para tanto, faz-se necessário que ao menos uma das seguintes situações ocorra:
a) que a operação seja realizada em território nacional. A exceção para esse caso fica por conta dos tratamentos de dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
b) que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
c) que os dados pessoais objeto do tratamento tenham sido coletados no território nacional. A LGPD considera “coletados no território nacional” os dados do titular no momento em que houve a coleta.
Por outro lado, o art. 4º traz hipóteses excepcionais, ou seja, em que a LGPD não será aplicável.
Por exemplo, nas operações realizadas sem qualquer tipo de fim econômico, estritamente particular e feita por uma pessoa física.
Outra situação prevista para a não aplicabilidade da Lei é o tratamento de dados feito para fins exclusivamente jornalístico e/ou artístico, bem como para fins acadêmicos.
As restrições também não se aplicam para imperativos de segurança pública e/ou defesa nacional.
Enfim, quanto aos princípios (art. 6º), as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios da (I) finalidade, (II) adequação, (III) necessidade, (IV) livre acesso, (V) qualidade dos dados, (VI) transparência, (VII) segurança, (VIII) prevenção, (IX) não discriminação, (X) responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
4) Consentimento do titular no tratamento de dados pessoais:
O tratamento dos dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento explícito dado pelo titular. Essa é, sem dúvida alguma, a principal mudança no contexto de uso de dados pessoais.
Tal realidade modificará estruturas das organizações, mudará processos de trabalho e, essencialmente, as relações entre elas e os seus clientes/usuários.
Segundo o art. 8º, o consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular (entenda-se, um meio que fique claro que o consentimento foi expresso).
Mais do que isso: se o consentimento for escrito, deverá constar de cláusula destacada das demais cláusulas contratuais (como qualquer outro contrato). Além disso, o consentimento dado deverá referir-se a finalidade muito bem definidas, porquanto não serão aceitas autorizações genéricas e irrestritas do uso dos dados pessoais, sob pena de reconhecimento da sua nulidade.
Disso isso, fica claro que os contratos também deverão ser atualizados e adaptados.
Veja que o ônus da prova do consentimento será da organização, o que demandará controles bastante acurados com relação à colheita e guarda de dados pessoais.
Há disposição específica para o caso de guarda de dados pessoais de crianças e adolescentes. Nesses casos, o consentimento deverá ser dado por pelo menos um dos pais ou pelo responsável legal.
Por fim, o consentimento poderá ser revogado a qualquer momento mediante manifestação expressa do titular.
5) Término do tratamento de dados: até quando?
Uma dúvida que pode ter surgido: quando termina o tal tratamento de dados?
A resposta está inserida no art. 15, que reproduz as hipóteses em que se considera encerrado o tratamento de dados:
"I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II - fim do período de tratamento;
III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei".
Ocorrendo uma das hipóteses acima, os dados pessoais serão necessariamente eliminados. Essa é a regra.
Contudo, será autorizada a conservação dos dados nas seguintes hipóteses:
"I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados".
6) Tratamento de dados e o Poder Público:
As pessoas jurídicas de Direito Público também tratam dados pessoais. E elas não escaparam dos efeitos da nova Lei.
Por obvio, o tratamento dos dados por ente público deverá ser realizado sempre com a finalidade pública, ou seja, sempre buscando o interesse público de modo a bem cumprir e prestar determinado serviço público. Nem precisaria de dispositivo legal para isso, já que se trata de um fundamento constitucional.
Nessa parte, parece-me que não há novidade alguma, já que existem outros dispositivos legais que garantem ao cidadão o acesso a registros e informações a respeito da sua pessoa, especialmente a Lei de Acesso à Informação (Lei 12.527/11).
Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data) , daLei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
Cumpre destacar que os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas de Direito Público.
Por outro lado, as empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal , terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.
É curioso notar que existe a possibilidade de o Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .
7) Das sanções: não é só o dinheiro.
As infrações cometidas pelos agentes de tratamento de dados ficarão sujeitas às seguintes sanções administrativas (art. 52):
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
Além da multa, há um aspecto mais importante a ser ressaltado: o abalo à imagem da organização.
Veja que vários foram os escândalos de vazamento e/ou venda de dados nos últimos anos. Certamente, fatos como esses expõem negativamente a imagem de uma instituição. Situações como essas revelam ausência de cuidado e falhas de segurança. Geram dúvidas sobre a ética da organização.
Mais do que multas, a LGPD cria um fator de perigo que é impossível de quantificar: os danos à imagem de uma organização infratora podem ser fatais.