A recém sancionada Lei Geral de Proteção de Dados Pessoais é um grande avanço para o desenvolvimento econômico e tecnológico do Brasil. Atendendo às exigências da União Europeia, dispostas no GPDR que entrou em vigor no inicio do ano de 2018, a norma tem regras duras na proteção dos dados e da privacidade dos usuários em sua forma mais ampla.
A norma europeia, ao contrário da norte americana que é branda e delega para os Estado sua regulamentação detalhada, é rígida e prevê a proteção máxima dos indivíduos em detrimento das empresas, deixando clara sua natureza cidadã. Crítica que se faz a norma europeia, que desde já se estende a norma brasileira, é quanto à forma que será feita a fiscalização pelas autoridades, já que o excesso de previsões e de obrigações demandarão um grande empenho do Estado, sob pena de desvalorização e perda de credibilidade.
Vê-se nas justificativas das normas um grande temor quanto ao poder das empresas privadas detentoras da informação. Fala-se hoje que a informação é o petróleo do século 21, e muitas vezes nota-se que algumas empresas tem mais informações sensíveis da população que o próprio governo, havendo assim a ânsia e a necessidade do governo de equilibrar essas forças, sob pena de virar refém do sistema.
Além disso, o que se percebe hoje em dia é uma espécie de confusão ideológica dos usuários das redes pois, embora preocupado com o vazamento de seus dados, cobrando a intervenção estatal na sua proteção, cada vez mais estão dispostos a abrir mão de sua privacidade em troca de pequenos benefícios. Por esse motivo o limite da privacidade sempre foi muito subjetivo, o que dificultava a aplicação de sanções pelo Estado e impedia a fixação de uma jurisprudência sobre o assunto.
Com a edição da Lei Geral de Proteção de Dados, os limites para o tratamento e a exposição dos dados são estabelecidos, de forma bem restritiva por sinal, e fica definido o conceito do “opt in” como regra geral para o tratamento de dados, ou seja, os agentes de tratamento dependerão estritamente de uma autorização do titular, não sendo mais possível o tratamento desmedido enquanto o titular não se manifestasse de forma contraria. Nesse sentido, certamente mais segurança e garantias para o titular, sem cercear qualquer direito dos demais envolvidos.
A lei aplica-se a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica, de direito público ou privado, conforme o artigo 1º da Lei, sendo os responsáveis pelo referido tratamento chamados de agentes de tratamento, onde estão englobados o controlador e o operador. O primeiro é o que determina e decide acerca dos tratamentos, enquanto o segundo é quem realiza o tratamento em nome do controlador.
Será considerado tratamento toda operação realizada com dados pessoais, entre eles a coleta, utilização, acesso, arquivamento e, inclusive, a eliminação. Nesse contexto, muita dúvida surge quanto aos dados captados e armazenados antes da entrada em vigor da lei, já que, até o ato de eliminação dos dados é considerado tratamento para efeito de autorização e punição. Dessa forma, uma regulamentação será importante para definir detalhes dessa transição, que não será fácil.
A LGPD é alicerçada basicamente em seus princípios, princípios esses que servem de vetores para a adequação dos tutelados, de forma “ex ante”, independentemente dos fatos concretos. Nesse interim destaca a lei, dentre outros princípios, que o tratamento deve ter propósitos legítimos, ser adequado a finalidade informada, limitado ao mínimo necessário para alcançar a finalidade, proporcionar livre acesso do titular, além da exatidão e não discriminação, porem os destaques da lei certamente são a transparência, a segurança, a prevenção, a responsabilização e a prestação de contas, que juntos formam um sistema de integridade e confiança, dando maior estabilidade as relações e proporcionando um desenvolvimento sadio, tanto tecnológico, como econômico e social.
O consentimento do titular, como não poderia deixar de ser, é o primeiro e principal requisito para o tratamento dos dados, seguido de outras situações excepcionais detalhadas na lei, como cumprimento de obrigação legal, politicas publicas, execução de contratos, exercício de direito em processo, proteção da vida, entre outros de mesmo valor e excepcionalidade. A preocupação maior da lei passa a ser a relevância do tratamento para o titular, que poderá avaliar os benefícios e riscos envolvidos na relação que ingressa e ponderar os limites da autorização que concederá.
Destaca a lei ainda que o tratamento de dados que sejam públicos devem respeitar os princípios previstos, sendo necessário o consentimento do titular sempre que esses dados, que apenas em princípio são públicos, forem tratados para finalidade diversa da original ou da aceita pelo senso comum. Inclusive a lei prevê que “eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na Lei, especialmente de observância dos princípios gerais e das garantias dos direitos do titular”.
A mudança de paradigmas apresentada pela LGPD decorre também da nova concepção de riscos decorrentes da falsa sensação de anonimato que até então se tinha no meio digital. A ideia de que o meio digital era um enorme arcabouço de satisfação e diversão, sem limites para exploração e sem riscos, amparado pelo anonimato e pela possibilidade de se desconectar sem deixar rastros, incentivava o uso indiscriminado dos meios e alimentava os bilionários bancos de cadastros das empresas.
O que se verificou com o tempo foi que tudo o que é feito no meio digital deixa rastros capazes de gerar um perigoso mapa de preferencias, vícios, manias, enfim, um mapa da vida de cada usuário. Nesse sentido, qual seria a lógica de um negócio onde os serviços são gratuitos, como o Facebook ou Google?! E como essas empresas se tornariam as mais valiosas do mundo se seus serviços basicamente são gratuitos?! Pois bem, tratam-se de serviços aparentemente gratuitos, mas essencialmente onerosos, já que usam as informações como moeda e, como destacado acima, as informações são o petróleo do século 21. Nesse sentido o Doutor Guilherme Magalhães Martins em seu artigo “Impactos positivos da nova lei brasileira de proteção de dados”:
“O modelo de remuneração indireta (como indica o CDC) é chamado de marketing cruzado. O usuário paga com a informação que produz. E paga caro, pois a proteção da privacidade nesse ambiente – vista como custo para os fornecedores – é o grande desafio do direito no ambiente digital”[1]
Logicamente que essas informações não são usadas apenas para o benefício do usuário, muito pelo contrário, esses dados servem para criar perfis de comportamento que serão utilizados para a concessão ou não de créditos, valores de seguros, planos de saúde, entre outros serviços que serão avaliados de acordo com esse perfil criado sem autorização, influenciando diretamente na vida do cidadão. Por isso a preocupação com a transparência e com a veracidade dessas informações, sob pena de se criar enormes injustiças.
O novo ideal é que a privacidade e a transparência devem prevalecer nesse tipo de relação e as garantias expressas, destacadas em clausulas de autorização e privacidade devem ser claras, sucintas, delimitadas, e devem requerer a manifestação expressa do usuário, por escrito ou por outro meio que demonstre de forma clara, sendo vedado o aceite por inercia ou mesmo de forma induzida. Convém reiterar e destacar que é vedado o tratamento com vicio no consentimento e caberá ao controlador o ônus de provar que não houve esse vício.
A lei destacou, no entanto, como possibilidade de tratamento de dados sem a expressa autorização do titular, o “legitimo interesse” do controlador, restringida a finalidades legitimas justificadas pontualmente. O rol da lei é exemplificativo e não taxativo, o que deverá proporcionar ao controlador maior liberdade de ação desde que consiga comprovar através do estudo e do relatório, que aquela ação é importante e legitima, e que não causará danos ou afronta as garantias essenciais do titular. Logicamente, seguindo a tendência da lei, a transparência nesse tratamento é essencial.
Os artigo 37 e seguintes destacam que os agentes de tratamento devem manter registro das operações de tratamento que forem baseadas no legitimo interesse, e que a autoridade poderá determinar a elaboração do relatório de impacto à proteção de dados, com todas as suas nuances, tais quais descrição dos dados, metodologia de coleta e de segurança entre outros, sempre que precisar decidir questões controversas ou interesses contrapostos. Nesse interim no entanto, sempre que os agentes, em razão do exercício de tratamento, causarem dano a outrem, ficam obrigados a repara-los, por enquanto, por interpretação comparativa, de forma objetiva.
Convém destacar que na União Europeia esse tipo de ação, baseada no legitimo interesse, é recorrente e muito bem aceita pelas autoridades, desde que comprovada sua legitimidade e necessidade, respeitadas as garantias do titular.
Por fim, destaca a lei que haverá o termino do tratamento quando a finalidade for alcançada ou quando deixarem de ser pertinentes para a finalidade especifica, além de quando houver a revogação do consentimento ou por determinação da autoridade, havendo a previsão de que os dados deverão, em regra, ser eliminados.
Nesse ponto ganha destaque o famoso “direito ao esquecimento”, que não tem previsão expressa em legislação nacional e que também não foi prevista na LGPD mas que poderá ser usado na pratica com a entrada em vigor da nova lei, sob outro fundamento. A LGPD determina que os dados devem ser tratados respeitando-se a minimização e a relevância da operação, ou seja, deve ser feita de forma que minimize os riscos e danos ao titular e que só poderão ser feitos se relevantes e com a demonstração dessa relevância. Nesse aspecto, caso não haja relevância no tratamento (e a divulgação é uma espécie de tratamento) e fique claro que há danos para o titular, terá o controlador a obrigação de cessar a atividade ou de, no mínimo, anonimiza-la, sob pena de sanção.
Apesar da ausência de norma especifica, hoje é majoritário o reconhecimento do direito ao esquecimento, que inclusive é o objeto do Enunciado 531 do Conselho de Justiça Federal que prevê:
“Os danos provocados pelas novas tecnologias de informação vêm-se acumulando nos dias atuais. O direito ao esquecimento tem sua origem histórica no campo das condenações criminais. Surge como parcela importante do direito do ex-detento à ressocialização. Não atribui a ninguém o direito de apagar fatos ou reescrever a própria história, mas apenas assegura a possibilidade de discutir o uso que é dado aos fatos pretéritos, mais especificamente o modo e a finalidade com que são lembrados.”[2]
Como consequência portanto, quando o tratamento deixar de observar as normas e princípios legais ou quando não fornecer a segurança que o titular espera, extrapolando o direito concedido pelo próprio titular ou pelo senso comum, seja pelo mau uso, seja pelo resultado diverso do razoável, será considerado irregular e nesses casos respondem o controlador e o operador pelos danos causados.
Adentrando nos aspectos da lei, o controlador devera também indicar um encarregado pelo tratamento dos dados, esse conhecido nas normas internacionais como Data Protection Officer (DPO) e que será o responsável por coordenar os tratamentos e ser o interlocutor entre o controlador e os titulares e as autoridades. Por hora esse profissional será obrigatório para todos que façam o tratamento, independente de tamanho, relevância ou faturamento. Seguindo a tendência moderna de programas de compliance, a LGPD cobrará, além da instituição de um profissional responsável pela integridade da atividade, a adoção de medidas preventivas para que não ocorram excessos e para que os dados, tratados legitimamente, estejam protegidos de acessos não autorizados e de condutas criminosas. Inclusive prega a norma que qualquer incidente de segurança deve ser comunicado a autoridade e ao titular em prazo razoável, já com a descrição das medidas que foram e estão sendo tomadas.
Assim como as normas de compliance da lei anticorrupção, deverá a autoridade nacional, a ser instituída ainda, estimular e dispor sobre os requisitos mínimos de um programa eficiente de tratamento e proteção, para que haja um padrão e parâmetros a serem buscados pelos agentes de tratamento. A LGPD trouxe de forma genérica essas exigências de compliance, prevendo a princípio a necessidade de regas de governança, regime de funcionamento, normas, padrões técnicos, entre outros procedimentos para garantir a qualidade do serviço e do meio, sempre atualizadas e adequadas às novidades tecnológicas.
Vale destacar que o artigo 50 da LGPD, em seu §2º, destaca que na aplicação dos princípios da lei, poderá o controlador implementar programa de governança compatível com sua estrutura e a relevância do serviço prestado, deixando claro que as normas terão aplicação distinta para os agentes a depender de sua estrutura, respeitando assim o mandamento constitucional do tratamento diferenciado para as micro e pequenas empresas, que deverão ter normas, punições e exigências mais brandas, sob pena de injustiça e desestimulo.
Finalizando, os agentes de tratamento ficam sujeitos a sanções da lei que vão desde advertência com prazo para a adoção de medidas corretivas, até multas de 50 milhões e proibição total do exercício de atividades relacionadas ao tratamento de dados. Essas sanções serão aplicadas após um processo administrativo especifico que garanta todos os meios de defesa para o acusado, garantidos a ampla defesa e o contraditório, por se tratar de processo punitivo. A exemplo do previsto no procedimento punitivo da Lei Anticorrupção, serão levados em consideração no momento da determinação da sanção, dentre outros fatores, a boa-fé do infrator e a pronta adoção de medidas corretivas, características essas que estão implícitas nos programas de compliance eficientes.
Dessa forma, os programas de compliance deverão se adaptar a nova Lei, criando um setor especifico, incorporando as normas e seguindo à risca todos os mandamentos, sob pena de sanções que, a exemplo das previstas na Lei Anticorrupção, podem levar ao encerramento das atividades da empresa.
BIBLIOGRAFIA:
- https://www.jota.info/opiniao-e-analise/artigos/protecao-dados-impactos-27082018
- http://www.cjf.jus.br/enunciados/enunciado/142