1. DA INTRODUÇÃO.
O presente artigo trata da Lei Federal nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD), a qual estabelece a proteção de dados pessoais no Brasil, ou também chamado de dados sensíveis. A definição de "dados pessoais" de acordo com o inciso I do artigo 5º da LGPD é "informação relacionada a pessoa natural identificada ou identificável". Não seria muito dizer que a pessoa natural, nesse contexto é a pessoa humana.
Essa lei em comento é baseada na premissa de que a proteção das informações pessoais é um direito da personalidade e, portanto, um direito fundamental no direito brasileiro. Imagine se alguém usa o que você tem de intimo e distribui ou permite a divulgação sem sua permissão ou conhecimento. A lei portanto, torna-se uma barreira para esse tipo de situação, quando em voga seus direitos de personalidade.
Os direitos da personalidade são direitos inerentes à condição de pessoa e surgem a partir da própria natureza humana. Eles são reconhecidos à pessoa humana em si mesma e em suas relações na sociedade. Esses direitos incluem o direito ao corpo, à honra, à imagem, à privacidade, ao nome e à identidade, entre outros.
No ordenamento jurídico brasileiro, os direitos da personalidade são considerados direitos fundamentais, alguns expressos no artigo 5º da Constituição Federal (CF), como o direito à intimidade e vida privada (art. 5º, X) e o direito à imagem (art. 5º, X), enquanto outros são implícitos, conforme previsto no §2º do artigo 5º da CF.
Em resumo, a proteção dos dados pessoais é uma extensão dos direitos da personalidade, e a LGPD busca regulamentar e garantir essa proteção, reconhecendo-a como um direito fundamental no contexto jurídico brasileiro.
2. DA CONTEXTUALIZAÇÃO TEMPORAL E GEOGRÁFICA.
Com o advento da internet e a ligação entre as pessoas de forma remota, muitos comportamentos e tendências passaram a existir. Conhecimentos que seriam de cunho familiar e pessoal, passaram a ser comunitários atingindo esferas muito maiores. Ou seja, as intimidades das pessoas, passaram a ser compartilhadas, e sem a autorização da pessoa referente à informação. Os legisladores passaram a ver que a intimidade das pessoas estavam cada vez mais sendo ameaçada.
Por essa razão, muitos países implementaram leis e regulamentos para proteger os dados sensíveis, como o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia e a Lei Geral de Proteção de Dados (LGPD) no Brasil. Essas leis estabelecem diretrizes para o tratamento de dados pessoais, exigindo consentimento explícito dos indivíduos para coleta e uso de seus dados, bem como medidas de segurança para proteger essas informações.
A implementação da política de proteção de dados é considerada a quinta etapa do ciclo de políticas públicas. Nessa etapa, já foi realizada a primeira etapa do cicl o, que é a identificnação do problema. O problema foi percebido, e a situação pública atual passou a afetar a percepção de diversos atores relevantes.
Nesse contexto, tornou-se ainda mais evidente a necessidade de um marco legal abrangente para a proteção de dados pessoais e sensíveis. Em 2018, esse tema ganhou ainda mais relevância devido ao contexto eleitoral no Brasil e à divulgação de informações sobre o uso não autorizado de dados de usuários do Facebook pela Cambridge Analytica, para direcionamento da campanha eleitoral de Donald Trump nos Estados Unidos, por exemplo.
A pressão aumentou após a entrada em vigor das novas regras estabelecidas pelo Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, em maio de 2018. Isso ocorreu porque o Brasil não possuía os requisitos exigidos pelo RGPD, como consentimento dos usuários, celebração de contratos e cláusulas-padrão, normas corporativas vinculantes ou acordos e tratados bilaterais. Portanto, o Brasil não era reconhecido pela União Europeia como um Estado com o qual poderiam ocorrer transferências internacionais de dados.
O RGPD possui eficácia e aplicação extraterritorial em relação à transferência internacional de dados pessoais. Isso significa que se aplica não apenas a empresas localizadas em qualquer país da União Europeia, mas também àquelas que prestam serviços a pessoas localizadas nesses países.
O problema identificado foi a falta de legislação específica para a proteção dos dados pessoais e, em particular, dos dados sensíveis na sociedade brasileira. Embora houvesse dispositivos pontuais na Constituição Federal e na legislação infraconstitucional (como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei de Acesso à Informação e o Marco Civil da Internet, entre outros) que tratavam da privacidade e proteção de dados, não existia uma lei específica no Brasil que abordasse de forma abrangente esse tema.
3. DA PROTEÇÃO DE DADOS SENSÍVEIS.
A proteção dos dados sensíveis é uma preocupação crescente na era digital, uma vez que a quantidade de informações pessoais compartilhadas e armazenadas em bancos de dados eletrônicos tem aumentado significativamente. A divulgação inadequada ou o acesso não autorizado a esses dados podem levar a consequências graves, como roubo de identidade, fraudes financeiras, discriminação, assédio, chantagem, entre outros crimes.
Buscando cumprir as regulamentações legais e normativas, a Lei Geral de Proteção de Dados - LGPD, Lei nº 13.853, publicada em 8 de julho de 2019, passa a dar uma nova redação para artigos e incisos, afirmando, no Art. 1º, Parágrafo único, que "as normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios". Isso difere do Art. 1º da Lei nº 13.709, que inicialmente propunha o tratamento de dados pessoais "com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural".
Dados sensíveis são informações que, se divulgadas, podem causar danos significativos aos indivíduos envolvidos ou às organizações que possuem esses dados. Esses dados geralmente estão relacionados a informações pessoais e confidenciais, como nome completo, endereço, número de CPF, número de seguro social, número de cartão de crédito, informações de saúde, histórico de transações financeiras, senhas, entre outros. Corrobora Gonçalves, 2019:
Nota-se que dados sensíveis são aqueles que apresentam alto potencial discriminatório, devendo ser objeto de proteção mais elevada. Entretanto, é possível observar também que, apesar de extremamente positiva a iniciativa de inserir a definição desse tipo particular de dado pessoal na Lei, não houve, nesse caso, preocupação com o que dizem especialistas em cruzamento e/ou tratamento de dados sobre os diferentes níveis de agregação existentes.
Da mesma forma, no contexto das discussões sobre dados sensíveis, é importante levar em conta a finalidade para a qual foram coletados. Em princípio, como uma exceção à regra de máxima transparência, esses dados não devem ser usados ou divulgados para qualquer outro propósito.
Isso ocorre porque a razão pela qual eles "merecem uma proteção mais intensa" é baseada em uma avaliação probabilística de que esses dados são mais propensos a causar problemas significativos quando mal utilizados - daí o termo "sensíveis" que enfatiza sua peculiaridade nesse aspecto. Martins (p. 647, 2022) corrobora:
A abrangência da Lei 13.709/18 é controversa. É indiscutível que ela disciplina o “acesso privado empresarial de dados”, vale dizer, o acesso a dados pessoais no âmbito da exploração da atividade econômica realizada pelos particulares, ou seja, o acesso privado com finalidade lucrativa. Tanto o acesso a dados por pessoa jurídica privada como o acesso por pessoa física, se realizado com a finalidade econômica, é abrangido pela Lei n. 13.709/18 (art. 4º, I). A competência da União para legislar sobre esse acesso privado era e é indiscutível, pois nos termos de norma originária da Constituição, compete privativamente à União tanto legislar sobre direito civil como legislar sobre direito comercial (CF, art. 22, I). Já não é tão simples definir quais os “acessos privados” não empresarias são abrangidos pela Lei.
No âmbito da Lei Geral de Proteção de Dados (LGPD), é fundamental analisar a finalidade da coleta de dados sensíveis. Conforme estabelecido pela lei, esses dados não devem ser utilizados ou divulgados para qualquer outra finalidade, exceto em casos excepcionais que justifiquem a divulgação máxima.
Isso ocorre porque a proteção intensificada desses dados é baseada em uma avaliação probabilística de que sua utilização indevida pode acarretar problemas significativos. Nesse sentido, a classificação desses dados como "sensíveis" enfatiza sua particularidade em relação a outras categorias, reforçando a necessidade de uma proteção adequada conforme estabelecida pela LGPD.
A respeito desse aspecto, é imprescindível abordar a extensão e a eficácia da legislação no que diz respeito ao Poder Público. Embora tenha sido designado um Capítulo IV (artigos 23 a 30) especialmente para regular o tratamento de dados pessoais pelo setor público, esse capítulo tem sido constantemente debatido, havendo até mesmo discussões sobre sua exclusão.
A polêmica se intensifica quando se trata do "acesso administrativo de dados", ou seja, o acesso a dados pessoais realizado pela Administração Pública, tanto direta como indireta. Nesse contexto, a própria Lei Geral de Proteção de Dados (LGPD) exclui da sua abrangência o acesso realizado exclusivamente para fins de segurança nacional, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, conforme estabelecido no artigo 4º, III.
Essas quatro hipóteses estão diretamente relacionadas ao exercício da função administrativa e, portanto, se referem ao acesso administrativo em si. Além dessas hipóteses específicas, aqui debatidas, surge uma questão não menos importante. Essa questão está relacionada aos demais acessos administrativos, com base em outras finalidades, sendo sujeitos às disposições da Lei 13.709/18.
Para essa reflexão, a resposta é inquestionável. Ao menos para um tipo de acesso administrativo, que é o acesso administrativo empresarial realizado por empresas públicas e sociedades de economia mista que atuam na exploração de atividades econômicas, não há embaraço.
Além disso, outros dispositivos foram incluídos no texto normativo, com notáveis exceções aplicáveis ao setor público, a fim de facilitar o tratamento e o compartilhamento de dados pessoais e sensíveis pelas instituições e entidades da Administração Pública Federal. Sem essas inserções, a administração pública não poderia ser ágil para cumprir um de seus princípios que diz respeito ao interesse coletivo.
Depreende-se da leitura de GONÇALVES (2018, p. 520-525) que no contexto das discussões sobre dados sensíveis, é necessário considerar a finalidade para a qual foram coletados. Em princípio, esses dados não devem ser utilizados nem divulgados para qualquer outro propósito, em conformidade com a exceção à regra da publicidade máxima.
Isso ocorre porque a razão pela qual esses dados "merecem uma proteção mais intensa" é baseada em uma consideração probabilística de que tais dados estão mais propensos a causar problemas graves quando utilizados inadequadamente. Portanto, o termo "sensíveis" é utilizado para enfatizar sua peculiaridade em relação a outros tipos de dados, ressaltando a necessidade de proteção adequada.
As organizações também devem implementar práticas adequadas de segurança da informação para proteger os dados sensíveis que possuem. Isso inclui medidas como criptografia de dados, controle de acesso restrito, monitoramento de atividades suspeitas, políticas de privacidade claras e treinamento regular dos funcionários sobre boas práticas de segurança.
É importante que os indivíduos também estejam conscientes dos riscos associados aos dados sensíveis e adotem medidas para proteger suas informações pessoais. Isso inclui o uso de senhas fortes, evitar o compartilhamento excessivo de informações pessoais online, verificar a segurança das conexões em redes Wi-Fi públicas e estar atento a possíveis tentativas de phishing ou outros ataques cibernéticos.
Em resumo, dados sensíveis são informações pessoais e confidenciais que requerem proteção adequada devido aos riscos associados à sua divulgação não autorizada. A proteção desses dados é fundamental tanto para os indivíduos quanto para as organizações, e envolve o cumprimento de leis e regulamentos, bem como a implementação de medidas de segurança adequadas.
A abrangência da Lei 13.709/18, também conhecida como LGPD, tem sido objeto de debate. É inquestionável que a lei regula o "acesso privado empresarial de dados", ou seja, o acesso a dados pessoais no âmbito das atividades econômicas realizadas por particulares, tanto por pessoas jurídicas como por pessoas físicas, quando realizado com propósito lucrativo. Essa abrangência é estabelecida no artigo 4º, inciso I, da referida lei. Martins (2022, p. 652):
Foi, também, justamente o que se pretendia pela Emenda Constitucional n. 115/22. Mais do que tornar expresso o que já estava implícito no texto Constitucional, o que era juridicamente necessário, a Emenda pretendeu atribuir competência privativa à União para legislar sobre a proteção de dados justamente para atribuir-lhe uma competência que ela não tinha: legislar sobre o acesso estadual e municipal. Pretendeu, pois, o Legislador, supondo que a Lei 13.709/18 disciplina esse acesso, “convalidar” seu manifesto vício de inconstitucionalidade.
A competência da União para legislar sobre esse acesso privado sempre foi e continua sendo indiscutível, uma vez que, de acordo com a Constituição, compete exclusivamente à União legislar sobre direito civil e direito comercial (CF, art. 22, I). No entanto, definir quais "acessos privados" realizados por não empresas estão abrangidos pela Lei não é tão simples.
No que diz respeito à aplicação e definição da Lei nº 13.709/18 - LGPD, com o objetivo de prevenir a discriminação, alguns registros requerem um nível mais elevado de proteção, especialmente quando se trata de dados sensíveis. Esses dados são definidos como aqueles que contêm informações e/ou categorias que possibilitam a identificação de uma pessoa, conforme estabelecido no Art. 5º, inciso I, tais como "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados relacionados à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural".
O tratamento de dados pessoais sensíveis, previstos na Lei nº 13.709/18 - LGPD, seção II, Art.11º, orienta que os dados pessoais sensíveis somente poderão ser utilizados nas seguintes hipóteses:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) Cumprimento de obrigação legal ou regulatória pelo controlador;
b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral6;
e) Proteção da vida ou da incolumidade física do titular ou de terceiros;
f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
A lei também pode ser aplicada na coleta de dados sensíveis em outros países, desde que seja preservada sua essência e integridade, especialmente quando esses dados são utilizados para aquisição de bens ou oferta de trabalho a cidadãos brasileiros.
A Lei expressamente exclui de sua incidência: 1) todo acesso privado realizado por pessoa física para fins não exclusivamente particulares e não psicológicos (art. 4º, I); 2) acesso privado realizado para fins exclusivamente jornalísticos ou artísticos (art. 4º, II, "a"); 3) acesso privado realizado para fins exclusivamente acadêmicos (art. 4º, II, "b") - embora, nesse último caso, a exclusão seja parcial, uma vez que, devido à alteração feita pela Lei 13.853/19, aplicam-se a ele os artigos 7º e 11º da LGPD.
Essa ação tem como objetivo cumprir as obrigações legais estabelecidas na Lei nº 13.709/18 - LGPD, a fim de garantir o tratamento adequado dos dados por parte das autoridades e/ou profissionais da área. Nesse contexto, o tratamento e a coleta de dados podem ser realizados pela administração pública, visando o uso dessas informações na elaboração de políticas públicas. Esse processo envolve o cumprimento de diversos requisitos para obter o consentimento, que deve ser obtido de forma clara, indicando a vontade do titular dos dados, conforme estabelecido no Art. 5º, inciso XII.
O consentimento não deve ser solicitado apenas para obter posse das informações, mas sim para permitir o uso eficaz dos dados, o que inclui a possibilidade de utilização para fins diferentes daqueles informados na coleta, desde que haja um "legítimo interesse", conforme previsto no Artigo 10º da Lei nº 13.709/18 - LGPD.
4. DA CONCLUSÃO.
Com o aumento exponencial do uso de dados pessoais tanto pelo setor privado quanto pelos órgãos públicos, surgiram em todo o mundo várias legislações visando proteger esses dados.
No Brasil, havia uma série de normas setoriais relacionadas ao tema, com disposições espalhadas pela Constituição Federal, Código de Defesa do Consumidor, Código Civil, Lei de Acesso à Informação, Lei do Cadastro Positivo e Marco Civil da Internet.
No entanto, esse cenário passou por uma mudança em 14 de agosto de 2018, com a sanção da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais - LGPD. Essa lei estabelece as regras para o tratamento de dados pessoais, incluindo aqueles realizados em meios digitais, por pessoas naturais ou jurídicas de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
Além de ser a primeira lei geral nacional sobre o assunto, a LGPD é importante por estabelecer diretrizes para o tratamento de dados pessoais. Essas diretrizes abrangem desde os princípios que regem a proteção de dados pessoais até as bases legais que justificam o tratamento desses dados, além da fiscalização e responsabilização dos envolvidos nesse tratamento.
A LGPD também prevê que a pessoa natural a quem os dados pessoais se referem tem o direito de solicitar informações, como a confirmação da existência do tratamento de seus dados, acesso aos dados, correção de dados incompletos, exclusão de dados desnecessários e portabilidade dos dados pessoais para outro fornecedor de produtos e serviços.
Em suma, a LGPD inaugura uma nova cultura de privacidade e proteção de dados no país, o que exige que toda a sociedade esteja consciente da importância dos dados pessoais e de seus reflexos nos direitos fundamentais, como liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
A Lei nº 13.853, ao introduzir uma nova redação, teve como objetivo principal a criação da Autoridade Nacional de Proteção de Dados (ANPD), que originalmente foi vetada na publicação da Lei nº 13.709.
O que se destaca nas disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) é a sua natureza regulatória híbrida, uma vez que a lei exige a multidisciplinaridade de conhecimentos relacionados à governança, tratamento de dados e segurança da informação. Isso permite a atualização de documentos e a assessoria jurídica para fornecer respostas definindo com a devida relevância as prioridades.
Mais do que meras normas, diretrizes, regulamentações e princípios, a LGPD trouxe consigo uma mudança cultural nas instituições e organizações, sejam elas públicas ou privadas, impondo uma maior responsabilidade no tratamento de dados pessoais. É fato que isso possibilitou uma revisão na forma de processamento e tratamento dos dados, considerando que o uso adequado ou inadequado dessas informações pode afetar os direitos de seus titulares.
No contexto digital, não há alternativa senão estar preparado para interagir e cumprir as regulamentações. No entanto, é fundamental que as empresas, instituições e organizações estejam alinhadas com o armazenamento e o tratamento adequado das informações dos titulares, prontas para atender às solicitações na mesma velocidade da era digital. Além disso, o ambiente de pesquisa e educação deve servir como exemplo ao lidar com os direitos humanos e estar em conformidade com as leis. Caso contrário, estarão sujeitos a sanções, multas pesadas e advertências severas.
5. DAS REFERÊNCIAS.
ALMEIDA, S. do C. D. de ., & Soares, T. A.. (2022). Os impactos da Lei Geral de Proteção de Dados - LGPD no cenário digital. Perspectivas Em Ciência Da Informação, 27(3), 26–45. https://doi.org/10.1590/1981-5344/25905.
BRASIL. Lei nº 13.709/2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).
BRASIL. Lei nº 13.853/2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências.
GONÇALVES, T. C. N. M., & Varella, M. D.. (2018). Os desafios da Administração Pública na disponibilização de dados sensíveis. Revista Direito GV, 14(2), 513–536. https://doi.org/10.1590/2317-6172201821.
MARTINS, R. M.. (2022). Proteção de dados, competências dos entes federativos e a Emenda Constitucional n. 115/22. Revista De Investigações Constitucionais, 9(3), 645–658. https://doi.org/10.5380/rinc.v9i3.87107.
