3. A LEGISLAÇÃO PERTINENTE PARA DELIMITAR A PRIVACIDADE NO AMBIENTE DA REDE VIRTUAL
Com a evolução tecnológica, permitiu a coleta, transmissão e armazenamento dos dados em toda a rede mundial da internet. Com isto, as informações foram cada vez mais usadas para desenvolvimento econômico, a medida em que foi possível estabelecer relações mais eficazes com os consumidores, ao passo em que o indivíduo, titular dos dados foi se tornou vulnerável (OLIVEIRA, 2019, p. 10-11).
A primeira legislação específica acerca da internet ficou conhecida como “o Marco Civil da Internet”, consagrado através da Lei n.º 12.965/2014, cujo objetivo é tratar da proteção de dados pessoais, estabelecendo garantias e deveres para o uso da internet no Brasil, todavia essa legislação ainda era considerada rasa. Neste sentido, Sérgio Ricardo Correia de Sá Júnior (2018, p. 17) nos ensina que:
Assim, percebe-se que a legislação até então vigente se mostrava insuficiente para a proteção da intimidade, vida privada, honra e imagem das pessoas, face aos novos problemas que vêm surgindo na atualidade. A título exemplificativo, o modelo de consentimento para a contratação eletrônica de um serviço ainda é um grave problema a ser resolvido, considerando que muitas pessoas não leem os Termos e Usos das plataformas digitais.
Para tanto, foi criado a Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709/2018 com o objetivo de proteger os direitos fundamentais de liberdade e privacidade tanto das pessoas físicas como jurídicas, conforme nos aduz o artigo 1º da referida lei:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Sobre a importância e completude da LGPD nos ensina Patrícia Peck:
A Lei nº 13.709/2018 é um novo marco legal brasileiro de grande impacto, tanto para as instituições privadas como para as públicas, por tratar da proteção dos dados pessoais dos indivíduos em qualquer relação que envolva o tratamento de informações classificadas como dados pessoais, por qualquer meio, seja por pessoa natural, seja por pessoa jurídica. É uma regulamentação que traz princípios, direitos e obrigações relacionadas ao uso de um dos ativos mais valiosos da sociedade digital, que são as bases de dados relacionadas às pessoas (PINHEIRO, 2018, p. 15).
Com relação às instituições públicas, Lara, Gosling e Rodrigues (2018) notaram o crescimento nos aplicativos governamentais como o e-GOV (Governo Eletrônico), que usa tecnologias da informação e comunicação para fornecer tais serviços correspondentes para facilitar o acesso do cidadão ao governo. Outros exemplos são a CNH Digital, o e-Título, o digiSUS.
Desta forma, são várias informações pessoais armazenadas na rede, seja no âmbito governamental ou no privado, por isso a razão da elevada preocupação levantada com relação aos dados pessoais.
Neste sentido explica a professora Patrícia Peck:
O espírito da lei foi proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazendo a premissa da boa-fé para todo o tipo de tratamento de dados pessoais, que passa a ter que cumprir uma série de princípios, de um lado, e de itens de controles técnicos para governança da segurança das informações, de outro lado, dentro do ciclo de vida do uso da informação que identifique ou possa identificar uma pessoa e esteja relacionada a ela, incluindo a categoria de dados sensíveis (PINHEIRO, 2018, p. 16).
Alicerçado nisso, a LGPD trouxe mudanças significativas ao ordenamento jurídico brasileiro, sendo levantado tais aspectos no tópico seguinte.
3.1 Considerações sobre a Lei Geral de Proteção de Dados
A LGPD alterou o ordenamento jurídico criando regramentos para o uso de dados pessoais no Brasil, seja no ambiente online9, seja offline10, nos setores privados e/ou públicos (SÁ, 2019).
Tal lei foi inspirada no Regulamento Geral sobre a Proteção de Dados Europeu (RGPD) n.º 679 de 201811, cujo objetivo é a proteção da privacidade e dignidade humana, aos seus 28 Estados-membros (PANEK, 2019).
Além disto, a referida norma europeia criou barreiras de negociação entre países sem previsão legal do tema com os países participantes da União Europeia, o que motivou mais ainda a criação da LGPD no Brasil (PANEK, 2019).
Em termos práticos, com a finalidade de esclarecer a importância da referida norma, relembramos o caso da empresa norte-americana Cambridge Analytica que no ano de 2018 recebeu os dados de todos os usuários da rede social Facebook12 (TELES, 2020).
A toada do caso se concentra no fato das empresas relacionadas ao caso não coletarem o consentimento do armazenamento, transferência e comercialização dos dados, principalmente com a finalidade política (TELES, 2020).
Depois do caso, vários países buscaram se proteger com legislações mais rígidas quanto ao assunto (TELES, 2020).
Embora não seja o foco do trabalho esgotar a lei protecionista, alguns pontos importantes são necessários para entender o funcionamento da referida lei, que serão definidos no tópico a seguir.
3.1.1 Aspectos conceituais da lei
Inicialmente cumpre destacar inicialmente os princípios elencados para este diploma legal, eis que conforme Miguel Reale (2002, p. 303) “princípios são enunciações normativas de valor genérico, que condicionam e orientam a compreensão do ordenamento jurídico, quer para sua aplicação e integração, quer para a elaboração de novas normas”. Portanto, princípios são o ponto de partida para a compreensão e um estudo efetivo de uma norma.
Neste diapasão, Vanessa Júnior (2019) ensina que as atividades relacionadas a este diploma legal devem observar além do princípio da boa-fé os elencados em seu artigo 6º:
a) Princípio da Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
b) Princípio da Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
c) Princípio da Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
d) Princípio do Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
e) Princípio da Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
f) Princípio da Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
g) Princípio da Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
h) Princípio da Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
i) Princípio da Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
j) Princípio da Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas, bem como, sua reparação. (GRIFO NOSSO)
Importante destacar que embora exista previsão normativa nacional, principalmente em um contexto internacional, principalmente entre relações comerciais com países ligados a União Europeia vale também a aplicação concomitante da Regulamento Geral sobre a Proteção de Dados Europeu (RGPD) que possui princípios próprios aos quais destaco:
Legalidade, justiça e transparência O processamento de dados pessoais deve ser legal, justo e caracterizado pela transparência. Para que isto se verifique, devem existir justificações legais para qualquer processamento de dados pessoais. O RGPD estabelece seis fundamentos legais, dos quais pelo menos um deve ser cumprido para todas as instâncias de processamento de dados pessoais.
[...]
Limitação de finalidade Os dados pessoais só podem ser recolhidos para fins específicos, explicitamente declarados e legítimos. Portanto, é necessário ter uma imagem clara da razão pela qual é necessário processar os dados pessoais antes de começar a recolhê-los. Os propósitos estabelecem limites para o que é permitido fazer, por exemplo, quais os dados que podem ser processados e por quanto tempo irão ser retidos.
[...]
Minimização de dados Os dados pessoais processados devem ser adequados, relevantes e não muito extensos em relação à finalidade. Nunca se devem processar mais dados pessoais do que o necessário e os dados pessoais processados devem estar claramente conectados ao objetivo. Por outras palavras, não é permitido recolher dados pessoais para necessidades futuras indefinidas, justificando com “É sempre bom ter..“
Precisão Os dados pessoais processados devem ser precisos e, se necessário, atualizados. Se os dados pessoais forem imprecisos, devem ser retificados ou apagados. Portanto, é importante que sejam criados procedimentos para corrigir e remover dados pessoais imprecisos, por exemplo, se um titular de dados solicitar um mais dos seus direitos de acesso.
Limitação de armazenamento Os dados pessoais só podem ser retidos pelo tempo necessário ao seu processamento. Quando os dados pessoais já não são necessários para uma finalidade, os mesmos devem ser apagados ou anonimizados. Portanto, devem ser estabelecidos procedimentos para apagar dados pessoais, fazendo verificações regulares ou apagando os mesmos após um certo período de tempo. Em certos casos, devem-se reter documentos que contêm dados pessoais, mesmo depois de terminar a sua utilização. Isto aplica-se por exemplo a dados fiscais cujas leis determinam por quanto tempo certos documentos devem ser retidos. Neste caso, os documentos deverão ser protegidos para que deixem de ser acessíveis nas atividades diárias . Também pode ser permitido armazenar dados pessoais depois do objetivo original já não ser relevante se for feito apenas para fins de arquivamento, no interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos. No entanto, deverão ser tomadas medidas de segurança apropriadas.
Integridade e confidencialidade O processamento de dados pessoais deve ser devidamente protegido com medidas de segurança apropriadas. Os dados pessoais processados não deverão ser acedidos por pessoas não autorizadas. Deve ser igualmente garantido que os dados pessoais não sejam perdidos ou destruídos, por exemplo, devido a acidentes. Devem ser estabelecidas medidas de segurança técnicas e organizativas apropriadas. As medidas técnicas incluem, por exemplo, firewalls, criptografia, pseudonimização, backups de segurança e instalação de proteção antivírus. As medidas organizativas incluem, por exemplo, procedimentos internos, instruções e políticas.
Responsabilização (Accountability) A entidade é responsável por cumprir os princípios fundamentais relativos ao processamento de dados pessoais. Também deve ser capaz de demonstrar que está em conformidade com eles e como o faz (EUROPA, 2018, GRIFO NOSSO).
Passada esta etapa, importante analisamos agora os conceitos e diferenciações de dados fornecidos pela lei em seu artigo 5º, quais sejam:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; (BRASIL, 2018. GRIFO NOSSO)
Valiosa diferenciação feita pela lei a respeito dos dados, pois nesta lógica o controle e sanção possuem peso distintos conforme o grau de importância para o indivíduo. Neste sentido, o professor Bione ensina que “os dados sensíveis são uma espécie de dados pessoais que compreendem uma tipologia diferente em razão de o seu conteúdo oferecer uma especial vulnerabilidade: discriminação” (2018, p. 122).
Outrossim, o diploma legal no fornece outras definições importantes acerca dos indivíduos envolvidos na relação de dados, nos moldes dos incisos V a IX do artigo 5º, observemos:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (BRASIL, 2018. GRIFO NOSSO)
Distinção importantíssima para fins de responsabilidade civil, pois permite identificar o responsável pela tomada de decisões (encarregado), bem como, o indivíduo que faz o tratamento dos dados (operador). Além disso, outro fato interessante é a definição de controlador apresentada pela lei, eis que flexibiliza para tanto a pessoa física, quanto a jurídica (JÚNIOR, 2018, p. 27).
Outrossim, ao tratar da penalização pena inobservância, reserva o artigo 52 do diploma legal para listar e descrever um rol taxativo de sanções administrativas que credito importância em citá-lo (BRASIL, 2018):
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
[...]
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (GRIFO NOSSO).
Ademais, dando efetividade e clareza para os indivíduos pelas informações que lhe dizem respeito, a LGPD nos traz como ponto de partida o consentimento, pois dá ao usuário a sensação de equilíbrio na relação (OLIVEIRA, 2019, p. 27).
Para o estudo do consentimento, reservo a um tópico a parte em razão da complexidade do conteúdo.
3.1.2 Nuances do consentimento sob perspectiva da LGPD
De acordo com o inciso XII do artigo 5º da lei n.º 13.709 de 2018 o consentimento é “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Para Krieger (2019, p. 41) a validade do consentimento obtido está diretamente relacionada à presença de adjetivos ou pressupostos legais. O autor se divide entre três adjetivações, sendo elas: o consentimento informado, livre, inequívoco com finalidades determinadas.
No consentimento informado, diretamente relacionado à boa-fé negocial, o autor o classifica como sendo “um direito ao usuário e um dever aos responsáveis pelo tratamento dos dados pessoais: direito dever de informação” (KRIEGER, 2019, p. 42).
Krieger eleva a importância de tal consentimento, pois além de garantir autonomia ao titular, parte em duas etapas, sendo elas o pedido do controlador e a aceitação ou não por parte do titular, além da possibilidade da revogação de sua decisão.
O que se vê, em verdade, é a necessidade de informar o usuário a respeito dos prejuízos que poderá sofrer com o compartilhamento de seus dados, das invasões e suas consequências à sua privacidade, para que ele, detentor e titular de suas informações, possa iniciar o procedimento da tomada de decisão de maneira racional.
Portanto, percebe-se a fundamental ponderação entre aqui que será transmitido, para que seja informado o suficiente sem que isso prejudique a qualidade da informação (KRIEGER, 2019, p. 43. GRIFO NOSSO).
Devendo o pedido ser claro e expresso com informações a respeito da utilização, armazenamento, devido ao patamar em que se encontra o titular no que se refere ao nível de conhecimento sobre o assunto, isto é, parte mais frágil da relação (CORRÊA, 2019, p. 31-32).
No consentimento livre, baseia-se no fato do indivíduo haver a possibilidade de escolher, isto é, sem a presença de intervenção de terceiros na escolha. Maria Krieger cita Luíza Malheiros para explicitar a referida ausência de terceiro face à liberdade de escolha:
Assim, ao se referir em ausência do controle de terceiros, o consentimento livre indica que o usuário praticou o ato a partir de uma escolha se recusar o consentimento não é uma escolha viável, ou por ser impossível, ou por trazer um impacto muito negativo ao titular dos dados, então não há uma escolha real e, portanto, não há consentimento” (MALHEIRO, 2017, p. 47). Neste sentido, quando a declaração de vontade advém sem este adjetivo, o consentimento encontra-se viciado (KRIEGER, 2019, p. 45, GRIFO NOSSO).
Desta forma, o titular dos dados deve realizar uma escolha não por não haver opções, e sim por um julgamento sobre sua conveniência.
Por fim, no consentimento inequívoco com finalidades determinadas, pela própria hermenêutica gramatical do nome entende-se que deve ser exercido de forma específica e explícita (BIONI, 2018, p. 199). Assim, ao utilizar o instituto do consentimento à inequívoca declaração, a declaração de vontade passa a ser um ato de origem do indivíduo que exponha a sua vontade.
Destarte, munido do consentimento, o controlador/operador dos dados deve também ao usuário, a transparência, eis que constitui demonstração de boa-fé. (MALDONADO e BLUM, 2019, p. 191).
Para facilitar o entendimento quanto aos conceitos da referida lei está a (Figura 1), posto isto, passamos para as consequências jurídicas geradas em razão das atividades descritas na lei protecionista, a qual será assunto do próximo tópico.