Lei Geral de Proteção de Dados e Diálogo das Fontes - 7) Marco Civil da Internet

07/09/2020 às 03:34
Leia nesta página:

O artigo prossegue no exame das relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, ao tratar do Marco Civil da Internet

Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), do Código de Defesa do Consumidor (clique aqui), do Código Civil (clique aqui), da Lei do Sigilo Bancário (clique aqui), da Lei do Cadastro Positivo (clique aqui) e da Lei de Acesso à Informação (clique aqui), passa-se ao Marco Civil da Internet 

O Marco Civil da Internet (Lei nº 12.965/2014 – MCI) é a lei que contém os parâmetros de uso da internet no país, por meio da definição de princípios e regras e, de modo mais específico, das relações jurídicas (direitos e deveres) de usuários e provedores de serviços de internet (conexão e aplicações) no Brasil.

Em 2016 foi aprovado o decreto regulamentador do Marco Civil da Internet, que é o Decreto nº 8.771/2016, que trata especialmente da neutralidade de rede e da segurança da informação, com critérios técnicos a ser observados por quem realiza o tratamento de dados na internet, principalmente com padrões para a guarda desses dados.

O Marco Civil da Internet é o ato normativo que mais se aproxima da Lei Geral de Proteção de Dados e que, por isso, manterá um diálogo frequente com ela na proteção de dados na rede mundial de computadores. Apenas os dados pessoais tratados em meio externo à internet (e que não tenham alguma etapa do tratamento realizado por meio dela) não exigirão a interpretação e aplicação conjunta da LGPD e do MCI.

As normas de proteção de dados no Marco Civil da Internet são as seguintes:

1) Consentimento expresso (art. 7º, IX, do MCI): exige-se o consentimento expresso do titular dos dados para o tratamento de seus dados pessoais (inclusive a coleta, o uso e o armazenamento) na internet. Logo, os provedores não podem fornecer tais dados a terceiros, exceto nas situações previstas em lei ou quando houver o consentimento expresso, livre e informado do titular. A previsão contratual do consentimento do titular dos dados deve estar em cláusula separada das demais, ou seja, o contrato deve conter uma cláusula específica sobre o consentimento. Além disso, é proibida a guarda de dados pessoais que sejam excessivos em relação à finalidade para a qual o consentimento foi dado, exceto nas hipóteses autorizadas por lei (art. 16, II, do Marco Civil da Internet, alterado pela LGPD). Portanto, o tratamento de dados pessoais na internet pode ser realizado mediante o consentimento do titular (em regra), que deve ser dado de modo expresso, livre e informado, com cláusula separada e destacada das demais no contrato (em regra, na Política de Privacidade), e condicionado à finalidade que justifique a coleta dos dados (princípio da adequação). O consentimento prévio é um requisito constante na legislação brasileira para a inclusão de dados pessoais em banco de dados ou para alguma espécie de tratamento. Como visto, a inclusão de dados pessoais em bancos de dados depende do consentimento do titular ou, quando este não for um dos requisitos obrigatórios, exige-se a comunicação ao titular sobre o tratamento dos dados (nesse sentido: art. 43, caput e § 2º, do Código de Defesa do Consumidor, art. 20 do Código Civil, art. 1º, § 3º, V, da Lei do Sigilo Bancário, art. 4º, I, da Lei do Cadastro Positivo, e art. 31, § 1º, II, da Lei de Acesso à Informação). Na LGPD, o consentimento é a autorização do titular para a realização do tratamento de dados pelo controlador, e deve ser livre, expresso (manifestação positiva da vontade do titular), inequívoco, por escrito, revogável (revogabilidade do consentimento), de finalidade específica e limitada (art. 5º, XII, da LGPD);

2) Proibição do compartilhamento dos dados pessoais (art. 7º, VII, do MCI): como regra, é vedado o compartilhamento dos dados pessoais, ou seja, os provedores de internet não podem fornecer tais dados a terceiros (inclusive registros de conexão e de acesso a aplicações de internet), exceto nas situações previstas em lei ou quando houver o consentimento expresso, livre e informado do titular (e, como visto, de forma destacada em uma cláusula específica). Essa proteção dos dados e proibição de compartilhamento leva em consideração um dos principais fundamentos do Marco Civil da Internet, que é a privacidade online. Além dos direitos constitucionais da inviolabilidade da intimidade e da vida privada (art. 5º, X, da Constituição), da inviolabilidade das comunicações (art. 5º, XII, da Constituição) e da inviolabilidade da vida privada (art. 5º, XI e XXI, da Constituição), protegem a privacidade no meio virtual os arts. 7º, 10 e 11 do Marco Civil da Internet. Por isso, em regra, as comunicações realizadas pela internet e os dados pessoais armazenados só podem ser compartilhados com terceiros mediante o consentimento dos titulares ou por meio de decisão judicial (art. 10, § 2º, do MCI). Excepcionalmente, podem ser fornecidos determinados dados pessoais cadastrais, listados de modo exaustivo pela lei (qualificação pessoal, filiação e endereço), para autoridades administrativas no desempenho de suas atribuições legais. Por sua vez, a Lei Geral de Proteção de Dados tem entre os seus fundamentos a inviolabilidade da intimidade, da honra e da imagem (art. 2º, IV, da LGPD) e os direitos do titular têm sua base principal nos direitos fundamentais de liberdade, de intimidade e de privacidade (arts. 1º e 17 da LGPD);

3) Direito à exclusão dos dados (art. 7º, X, do MCI): o direito à exclusão definitiva dos dados pessoais é assegurado apenas quando for encerrada a relação jurídica entre as partes (isto é, titular e controlador dos dados), ou seja, quando o titular deixar de fazer uso da aplicação de internet. Portanto, no Marco Civil da Internet o direito à exclusão dos dados pessoais é limitado ao cancelamento da prestação do serviço e, ainda assim, o prestador de serviços deve mantê-los pelo período de guarda legal, que é de um ano para o provedor de conexão à internet (art. 13 do MCI) e de seis meses para o provedor de aplicações de internet (art. 15 do MCI). Logo, se o titular de dados encerrar a sua relação jurídica com o provedor em prazo inferior a esses, o armazenamento dos dados deve ser mantido até o fim de cada período de guarda legal.  Ainda, existem regras para a exclusão de conteúdo publicado por terceiro na internet, que é o chamado direito à desindexação e deriva do direito ao esquecimento (art. 19 do MCI e objeto do Tema nº 987 da Repercussão Geral do STF). A Lei Geral de Proteção de Dados assegura, entre os direitos do titular, a eliminação dos seus dados pessoais (art. 18, IV e VI, da LGPD), que varia se o tratamento for realizado com fundamento (ou não) no consentimento do titular e possui exceções (por exemplo, as situações de conservação do art. 16 da LGPD);

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

4) Proibição de guarda dos registros de acesso (art. 16 do MCI): a fiscalização dos acessos serve como um contrapeso à privacidade, para evitar o uso anônimo da internet para fins ilícitos. As principais regras decorrentes dessa fiscalização são aquelas relativas à guarda temporária dos registros de dados pelos provedores de conexão e de aplicações (arts. 13/17 do MCI). Como exceções ao dever de guarda pelos provedores de aplicações de internet estão: (4.1) a guarda dos registros de acesso às aplicações (anotações de acesso) sem o consentimento prévio do titular, (4.2) e a guarda de dados pessoais excessivos em atenção à finalidade (princípio da adequação). Logo, por exemplo, para um cookie de um site no navegador captar dados existentes em outros cookies, é necessário o consentimento prévio do usuário. Em complemento, a Lei Geral de Proteção de Dados prevê genericamente que o controlador tem o dever de guarda dos dados pessoais mesmo após o final do tratamento, em cumprimento de dever legal ou regulatório (art. 16, I, da LGPD);

5)  Definição de dados pessoais e do seu tratamento (art. 14, I e II, do Regulamento do MCI):  o dispositivo contém os conceitos de dado pessoal e de tratamento dos dados pessoais. Os dados pessoais são definidos como “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa”. Já o tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. A Lei Geral de Proteção de Dados possui conceitos similares, que são analisados na série de textos sobre o Glossário da LGPD.

Sobre o autor
Oscar Valente Cardoso

Professor, Doutor em Direito, Diretor Geral da Escola da Magistratura Federal do Rio Grande do Sul, Coordenador do Comitê Gestor de Proteção de Dados do TRF da 4a Região, Palestrante, Autor de Livros e Artigos, e Juiz Federal

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Publique seus artigos