As últimas notícias de vazamento do Facebook envolvendo o fornecimento de informações de milhares de usuários à empresa britânica de big data e marketing político “Cambridge Analytica”, fizeram com que uma série de nações se apressasse para a elaboração de diplomas legais de proteção de informações pessoais.
Neste cenário, foi sancionada a Lei nº 13.709/18, que altera a Lei nº 12.965/2014, o Marco Civil da Internet, e que estabelece a proteção e tratamento de dados pessoais no âmbito doméstico.
A legislação pátria veio em consonância com o texto do Regulamento Geral de Proteção de Dados da União Europeia, publicado em maio de 2018.
A lei (LGPD) terá vigência em dezoito meses a partir de sua publicação, período em que o governo, empresas e a sociedade poderão realizar as devidas adaptações. No mês de fevereiro de 2.020, finda a vacatio legis, a lei passará a ter eficácia plena em todo território nacional.
Com a aprovação do texto, o Brasil se inseriu no rol de mais de cem países que podem ser considerados adequados para proteger a privacidade e o uso de dados.
A Lei nº 13.709/2018 conceitua dado pessoal como toda informação que identifique diretamente ou torne identificável uma pessoa natural. Tratamento é previsto como qualquer operação realizada com dados pessoais, tais como a coleta, utilização, acesso, transmissão, processamento, arquivamento, armazenamento, transferência, etc.
Toda operação de tratamento de dados pessoais realizada no território nacional, por pessoa física ou jurídica de direito público ou privado, cujos titulares estejam localizados no país, ou que tenha por finalidade a oferta de produtos ou serviços no Brasil, estão sujeitos à LGPD, possuindo, por consequência, aplicação extraterritorial, isto é, toda empresa que tiver negócios no país deve se adequar a ela. Passa-se a exigir o consentimento expresso dos usuários para estas operações, que podem retificar, cancelar ou solicitar a exclusão dos dados.
O principal objetivo é garantir a privacidade dos dados pessoais dos indivíduos e permitir um maior controle sobre eles. No mais, cria regras cristalinas sobre o processo de coleta, armazenamento e compartilhamento dessas informações, auxilia o desenvolvimento tecnológico e também a proteção das relações de consumo.
A lei terá aplicação a todos os setores econômicos.
As organizações devem estabelecer um Comitê de Segurança da Informação para analisar os procedimentos internos.
São previstas sanções dispendiosas para aqueles que não tiverem boas práticas, englobando advertência, multa, e a proibição total ou parcial de atividades afetas ao tratamento de dados. As sanções pecuniárias podem chegar ao elevado patamar de R$ 50.000.000,00 (cinquenta milhões de reais).
Contudo, as regras da LGPD não se aplicarão para dados pessoais tratados para fins acadêmicos ou jornalísticos, para aqueles que envolvem segurança pública, defesa nacional, proteção da vida e políticas governamentais. É o que preceitua o artigo 4º da Lei:
“Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado”.
Parece-me que o inciso III do supratranscrito dispositivo mantém relação estreita com princípios basilares do direito administrativo, quais sejam, da supremacia do interesse público sobre o particular (aqui o interesse público referido é o chamado interesse público primário ((da coletividade)) e não o interesse público secundário da ((da administração))); e da indisponibilidade do interesse público, de acordo com o qual, os bens e interesses públicos são indisponíveis por não pertenceram à Administração e tampouco aos administradores.
Em breve parênteses, insta consignar que o denominado imperativo de segurança nacional também é o que justifica a exploração de atividade econômica pelo Estado (art. 173, caput, CF).
Vejo como razoável a inaplicabilidade da lei quanto aos temas elencados nas alíneas “a”, “b” e “d” do aludido inciso III do dispositivo ora em voga.
Em sentido oposto, a alínea “c”, que se refere à segurança do Estado, se mostra como uma expressão muito extensa. Cabem os seguintes questionamentos: o quem vem a ser segurança do Estado? A quem cabe definir e interpretar tal termo?
Dispõe o parágrafo 1º do art. 4º da lei que o tratamento de dados pessoais previstos no inciso III será regulamentado por legislação específica. Contudo, enquanto esta legislação não for efetivada (algo que pode demorar anos a fio) é temerário pensarmos que não só existe, mas também é significativa a possibilidade de termos uma arbitrariedade para a não aplicação da lei sob a justificativa da segurança do Estado, fomentando com isto uma indevida ingerência estatal no trato de dados pessoais, o que, sem sombra de dúvida, deixará a intimidade e a privacidade das pessoas à mercê da Administração.
Preocupante também é termos em mente que a lei foi promulgada e publicada com uma série de vetos, ganhando destaque os vetos atinentes à Autoridade Nacional de Proteção de Dados (ANPD), que seria regulamentada entre os artigos 55 a 57, e ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que estaria disposto nos artigos 58 e 59, uma vez que de acordo com o parágrafo 3º do art. 4º, caberia justamente à Autoridade Nacional emitir opiniões técnicas ou recomendações referentes às exceções do inciso III do caput.
A intimidade e a privacidade são protegidas mais que no plano legal, são tuteladas pelo texto constitucional, que dispõe que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação (art. 5º, X, CF).
A esfera privada compreende os dados relativos a contextos relacionais específicos, como a orientação sexual do sujeito. A esfera íntima se refere ao modo de ser de cada pessoa, ao campo intrapsíquico aliado a sentimentos próprios como autoestima e autoconfiança. Portanto, percebemos que a privacidade é mais abrangente do que a intimidade.
Diante do acima exposto, para que a Lei Nacional de Proteção de Dados não seja considerada uma legislação natimorta antes mesmo de entrar em vigor, o que ocorrerá em fevereiro de 2.020, é premente a necessidade de que haja a regulamentação legal à qual o parágrafo 1º do art. 4º faz alusão, pois, caso contrário, sob o argumento de se concretizar a segurança estatal, a chamada proteção de dados pessoais, que muitas vezes deveriam ser açambarcada pela inviolabilidade da privacidade e intimidade, poderá ser representada metaforicamente por um frágil teto de vidro.
