Considerações sobre a norma europeia de proteção de dados – GPDR

Leia nesta página:

A GDPR entrou em vigor em 2018 e passou a vigorar com 26 definições e 6 principios fundamentais, alem das “considerandas” que são o grande destaque da norma.

Inicialmente, de forma simplista e didática, sem adentrar em questões técnicas, podemos considerar que o dado é a menor unidade da informação e que pelas novas leis de proteção, tratamento é toda operação que capture ou use os dados, desde que identificados ou identificáveis, independentemente da finalidade e do grau de complexidade da operação.

Os atores da nova lei são, além dos Titulares dos dados, o Controlador, que é o responsável pelo gerenciamento da utilização dos dados; e o Operador, que é quem auxilia no processo de tratamento, nesse caso podem ser mais de um operador, dependendo da atividade.

Ao contrario dos EUA que sempre prezaram pela liberdade, a Europa desde sempre teve um viés conservador, e já em meados de 1990 reconhecia a vida privada como prevalente sobre os tratamentos automatizados de dados. Nesse contexto, em 1995 elaborou a famosa Diretiva 46 que vigorou até entrar em vigor a GDPR e que, apesar de não ter força de lei e sim de recomendação, tinha contornos globais e obrigava os Estados membros a regulamentar interna e especificamente essas atividades. 

A GDPR entrou em vigor em 2018 e passou a vigorar com 26 definições e 6 principios fundamentais, alem das “Considerandas” que são o grande destaque da norma.

A GDPR, assim como prevê a LGPD, protege apenas os dados de pessoas físicas, excluindo qualquer aplicação para a proteção de dados de pessoas jurídicas. Nesse sentido, questões que envolvam pessoas jurídicas só terão proteção se as condutas ilegítimas alcançarem os dados cadastrais dos sócios, diretores ou funcionários, que nesses casos voltam a fazer parte do objeto da lei.

Importante destacar que o email é considerado dado pessoal, já que pode ser identificado através de cadastro dos provedores, portanto é dado considerado identificável; da mesma forma o IP e o endereço residencial. Nesses casos, a identificação é factível com a aplicação de recursos técnicos ou tecnológicos.

A GDPR, diferentemente da LGPD, não fala em anonimização de dados, apenas em dados anônimos. A principal característica dos dados anônimos é que não oferecem a menor possibilidade de se chegar ao titular, normalmente por conta da forma da coleta, impedindo assim que hajam meios de reversão. No contraponto, a sub anonimização é procedimento que oferece alguma forma de reversão, de identificação, já que a coleta deixa rastros capazes de identificar, ainda que seja necessário o uso de novas tecnologias. Nesse interim fica claro que a forma de coleta é essência para estabelecer o grau de segurança do dado.

De abrangência global, a norma europeia será aplicada sempre que houver oferta de bens ou serviços a cidadãos da União Europeia, sendo o termo “oferta” entendido da forma mais abrangente possível, independentemente se oneroso ou gratuito. Ainda, aplica-se a qualquer conduta quando praticada na Europa, ou por empresa europeia, ainda que por filial fora da região. Inclusive, no caso de controlador e/ou processador estarem no território da UE há incidência da norma independentemente da nacionalidade da vitima.

Destaque-se que se não houver oferta direcionada especificamente para o cidadão europeu com informações próprias como idioma, moeda, enfim, caracteriticas que indicam o alvo, não se aplicam os casos de extraterritorialidade da GDPR.

Como destacado anteriormente, a norma possui 6 principios que servem de base para a interpretação e aplicação dos demais artigos. Esses princípios destacam, basicamente, que:

  • O objeto de tratamento deve ser licito, pautado pela transparência e pela legalidade;
  • As finalidades devem ser limitadas, ou seja, devem ser determinadas e explicitas, não sendo possível o tratamento indeterminado ou descontrolado. Os interesses de qualquer tratamento devem sempre ser legítimos.
  • A minimização dos dados, cujo tratamento deve ser adequado e limitado ao necessário.
  • Exatidão das informações, que alem de corretos de inicio devem ser atualizados, sob pena de responsabilização na esfera civil.
  • Limitação da conservação, que deve durar apenas durante o período necessário para a finalidade. Após esse período os dados devem ser excluídos ou anonimizados se houver possibilidade.
  • Integridade e confidencialidade, com a garantia de segurança sob pena de responsabilização.

Todos os princípios devem ser parte de uma estrutura de Acountability que seja inspecionavel, auditavel, confiável.

Importante destacar que a GDPR não admite o consentimento tácito ou implícito, bastando, no entanto, qualquer das hipóteses do artigo 6º para que se tornem lícitos os processos, sendo a primeira e principal hipótese o consentimento expresso e determinado do titular; estão previstas ainda as hipóteses de execução de contratos, desde que tratados os dados mínimos necessários, e os casos de obrigação juridica ou de funções de interesse publico.

Alem desses casos que, por suas naturezas, são específicos e determinados, o artigo traz a possibilidade de tratamento baseada no “legitimo interesse”, que de forma muito mais genérica e ampla será aplicado a partir da analise de cada caso concreto. Nesses casos, excluem-se de pronto as situações que confrontem interesses ou liberdades fundamentais e interesses de crianças.

Há quem entenda que as hipóteses de “legitimo interesse” se restringem aos casos em que o tratamento é naturalmente esperado pelo serviço contratado ou pelo sistema acessado, tratando-se de uma obviedade baseada no senso comum. No caso das empresas, por exemplo, há o legitimo interesse no tratamento de informações constantes em seus sistemas operacionais e de controle interno, como forma de cuidado com seus ativos, não sendo necessário o consentimento especifico para esse exercício.

Quanto a natureza dos dados, destaque para os dados anônimos, que não são considerados dados pessoais por não poderem identificar seus titulares, protegidos desde sua coleta, de forma irreversível. De forma distinta os dados pseudo anonimizados que são dados preparados na sua coleta de forma a dificultar sua identificação, mas que dependendo de um processo ou de uma chave, por exemplo, pode ser revertida. Esses casos são considerados pela norma como dados pessoais, pois se for feita uma engenharia reversa, pode-se chegar ao titular. A GDPR, em suas consideradas 28 e 75, destaca como hipóteses de “boas praticas” a pseudo anonimização.

Ainda, prevê a norma que dados sensíveis são uma categoria especial dos dados, que representam informações pessoais delicadas do titular, tais como raça, etnia, religiosidade, informações de saúde e doença, preferencias sexuais. Nesses casos prevê a norma que o consentimento deve ser explicito, livre, inequívoco e informado, pois, segundo a Consideranda 51, representam riscos significativos para os direitos e liberdades individuais.

GDPR E O PRIVACY BY DESIGN

O Regulamento europeu trouxe expressamente a necessidade de respeito aos conceitos do Privacy by Design, destacando em seu artigo 25 a necessidade de implementação de medidas técnicas e operacionais que restrinjam o tratamento de dados ao necessário para a finalidade especifica.

A Doutora Ann Cavoukian é especialmente reconhecida na área porque, ainda no inicio da informatização, quando a tecnologia ainda engatinhava, previu que, por conta do desenvolvimento tecnológico, as relações e processos envolveriam, quase que obrigatoriamente, a coleta de dados e informações pessoais e que essas informações, num certo momento, seriam muito valiosas. Uma das novidades destacadas pela Doutora Ann naquela época  é justamente o Privacy by Design. Esse conceito se consolidou no âmbito internacional por volta de 2010 quando foi inicialmente reconhecido e chancelado pela Autoridade Europeia de Proteção de Dados e pela Federal Trade Comission dos Estados Unidos, e recentemente com a incorporação definitiva na GDPR, principal norma na área e referencia para as demais legislações internacionais.[1]

A GDPR estabeleceu o ideal da proteção dos dados pessoais como forma de amparar o cidadão e as entidades dos riscos da nova realidade digital, servindo de base e inspiração para as demais nações do mundo que viram-se obrigadas a se estruturar para acompanhar os novos direitos e riscos envolvidos. O Brasil, seguindo essa tendência, aprovou recentemente a LGPD para se adequar as normas do restante do mundo.

“Privacy by Design é uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.”

Por ser um conceito com natureza principiológica e orientadora, o “Privacy by Design” guia seus tutelados de forma a projetar, construir e implementar suas tecnologias tendo como foco e objetivo principal a segurança e a privacidade dos dados. A necessidade e a capacidade de detectar os interesses envolvidos na relação, garantindo às partes a segurança necessária para as atividades oferecidas, é a missão principal dos desenvolvedores de conteúdos e tecnologias.

Nesse interim, o Privacy by Design foi resumido e simplificado em 7 princípios básicos:

  1. Pró-ativo não reativo; preventivo não corretivo

Inicialmente, como regra trazida pelas novas concepções de compliance, a proatividade como regra de conduta representa que os desenvolvedores devem prever e antecipar os eventos passiveis de interferência ou de comprometimento da privacidade. O principio se contrapõe as antigas técnicas empresariais, geralmente reativas a partir da constatação dos danos ou do resultado de auditorias, mas sempre “post fact”.

Além dos benefícios internos, de aprimoramento de processos, as empresas se viram compelidas a se adequar aos novos princípios por força das normas aplicáveis ao setor que passaram a prever pesadas multas no caso de ocorrências, independentemente da constatação do dano especifico. Pelas novas normas passou-se a entender que a ocorrência de um evento no setor de privacidade significa que os dados pessoais já foram comprometidos, portanto já esta caracterizado o fato punível.

  1. Privacidade como configuração padrão

A configuração referente a privacidade deve prever a proteção e a segurança como regra geral, devendo qualquer tratamento ser tratado como exceção e condicionado a autorização expressa do titular.

Esse mandamento exige dos tratadores o máximo de cautela em suas plataformas. Como exemplo pratico temos os dispositivos dos smartphones, ou mesmo os aplicativos como Uber e 99 Taxi que tem dispositivos que localizam o usuário em tempo real e, se usado da maneira errada, podem monitorar os passos e a vida dos usuários. Nesses casos, o sistema de localização remota deve ser opcional e originalmente desativado.

  1. Privacidade incorporada ao design

Esse principio é mais uma sugestão do que uma nova orientação porque, apesar de quase repetir o mandamento do principio anterior, na verdade é mais especifico e sugere que o desenvolvedor do sistema, ao incorporar as ferramentas de privacidade ao projeto inicial, em sua concepção, reduzirá os esforços e o desgaste no cumprimento futuro das regras de proteção que certamente lhe serão cobradas. A privacidade passa a ser parte da própria solução e não um adendo.

  1. Funcionalidade total - soma positiva, não soma zero

Pelo Privacy by Design, a utilização dos dados pessoais deve se dar em consonância com os objetivos do tratador, mas esse objetivo deve ser legitimo, permitindo que o usuário use as funcionalidades sem a necessidade de exposição excessiva. Busca-se evitar um famoso sistema de trocas desnecessárias, transformando a segurança e a privacidade em moedas de troca.

O objetivo das redes sociais, por exemplo, é a atenção do usuário, e não suas informações, portanto não se justificam as ações para captura e tratamento não autorizado de dados.

Fique sempre informado com o Jus! Receba gratuitamente as atualizações jurídicas em sua caixa de entrada. Inscreva-se agora e não perca as novidades diárias essenciais!
Os boletins são gratuitos. Não enviamos spam. Privacidade Publique seus artigos

  1. Segurança de ponta a ponta - proteção completa do ciclo de vida

Esse principio impõe aos agentes de tratamento que garantam a segurança de todas as informações desde a sua captura, que é a primeira forma de tratamento, até a sua eliminação ou compartilhamento, que também são formas de tratamento. Por esse principio a responsabilidade dos agentes se estende durante todo o ciclo, e qualquer fato durante esse processo será de responsabilidade dos mesmos, independentemente de comprovação de dano especifico.

Uma das regras implícitas é a transparência para que o titular esteja ciente de todo o processo e não seja surpreendido por um uso ilegítimo danoso. Caso recente, de grande repercussão, foi do Facebook e  Cambridge Analytica, onde não se garantiu a proteção da informação durante uma das etapas de seu ciclo de vida.

  1. Visibilidade e transparência - mantê-lo aberto

Dois dos princípios mais importantes das relações do meio digital, a visibilidade e a transparência se aplicam desde o inicio da relação, quando os termos e condições de uso e de privacidade devem ser expostos de forma clara pelo agente de tratamento, dando destaque para todas as informações relevantes que envolvam a mitigação ou flexibilização de algum direito.

Apesar de não ser usual, esse principio visa garantir tambem que entidades independentes possam verificar e atestar essas condições.

  1. Respeito pela privacidade do usuário - mantê-lo centrado no usuário

Novamente o foco no desenvolvimento do sistema baseado nos interesses e garantias do usuário, com medidas capazes de prevenir, garantir e comunicar claramente ao titular todas as possibilidades e riscos no tratamento previsto. A privacidade sempre sera a base do sistema e as exceções devidamente negociadas e informadas.

Os sete princípios não fogem ao que o senso comum exige atualmente diante das situações e casos práticos que se colocam. As regras de compliance tão em voga atualmente, principalmente a partir do FCPA e do UKBA, exigem o respeito às normas legais e principalmente as normas éticas e comportamentais, e no caso das relações digitais, o respeito a privacidade é parte determinante dessa conduta etica.

Sara Soumillion, porta voz da Comissão Europeia para a GDPR destaca:

“Investir em privacidade compensa e cria novas oportunidades comerciais. Por exemplo, produtos e serviços estão sendo desenvolvidos e oferecidos com novas soluções de privacidade e segurança de dados. E, de fato, o GDPR, por meio de princípios como Privacy by design e o Privacy default, incentiva os negócios a inovar e desenvolver novas ideias, métodos e tecnologias para a segurança e proteção de dados pessoais”

Finalizando, a gestão inteligente e competente dos dados e informações sera essencial para a execução e o sucesso de projetos, sob pena de perda de prestigio e de condenação a vultuosas multas.

Sobre o autor
Leonardo Henrique de Carvalho Ventura

Advogado. Especialista em Direito Corporativo e Compliance. Extensão em Compliance na Lei Anticorrupção. Extensão em Lei Geral de Proteção de Dados LGPD.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Publique seus artigos