Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), do Código de Defesa do Consumidor (clique aqui), do Código Civil (clique aqui), da Lei do Sigilo Bancário (clique aqui), da Lei do Cadastro Positivo (clique aqui), da Lei de Acesso à Informação (clique aqui), do Marco Civil da Internet (clique aqui), do Cadastro Base do Cidadão (clique aqui) e de outras leis acerca do tema (clique aqui), passa-se a um resumo geral do diálogo da LGPD com outras normas protetivas.
A Lei Geral de Proteção de Dados, como a sua própria denominação indica, contém normas gerais sobre a proteção de dados pessoais no Brasil.
Por isso, qualquer outra lei, decreto, medida provisória, resolução ou portaria (entre outras atos normativos) que dispuser sobre dados pessoais deve levar em consideração a LGPD e terá a sua aplicação subsidiária e supletiva.
Como visto, existem diversas interações da LGPD com outros atos normativos no país, na interação de significados, na observância de princípios, no compartilhamento de conceitos, na adoção de procedimentos (entre outros aspectos), que auxiliam na interpretação e aplicação da Lei Geral de Proteção de Dados.
Por exemplo, a Constituição contém uma cláusula geral de privacidade (art. 5º, X e XII), que tutela a vida privada, a honra, a imagem e a inviolabilidade de dados das pessoas naturais, além de assegurar o direito à indenização pelo danos materiais e à compensação pelos danos morais decorrentes da violação desses direitos. Da mesma forma, estão entre os fundamentos da Lei Geral de Proteção de Dados a inviolabilidade da intimidade, da honra e da imagem (art. 2º, IV, da LGPD) e os direitos do titular têm sua base principal nos direitos fundamentais de liberdade, de intimidade e de privacidade (arts. 1º e 17 da LGPD).
O Código de Defesa do Consumidor exige a informação adequada e clara sobre os serviços (art. 6º, III), tendo em vista que a informação é relevante para conduzir a tomada de decisões, razão pela qual o seu controle e as regras de acesso têm relevância jurídica. Desse modo, na prestação de serviços de tratamento de dados pessoais, o consumidor deve ter devidamente informado sobre tudo o que será feito com os seus dados, o que compreende a autorização, o conhecimento, a retificação, a boa-fé, a interrupção e a exclusão.
Ainda no CDC, existem regras sobre a redação dos documentos de oferta e apresentação dos produtos e serviços em língua portuguesa, com informações corretas, claras, precisas e ostensivas, elaboração de contratos em termos claros e com caracteres ostensivos e legíveis, com tamanho mínimo de fonte em corpo 12 (arts. 31, caput, e 54, § 3º, do CDC). Nos contratos de adesão, nas ofertas em massa de produtos e serviços e, especialmente, na internet, como não se sabe previamente se o contratado será – ou não – enquadrado como consumidor, os fornecedores de produtos e serviços que envolvem a captação e o tratamento de dados deverão observar as normas da LGPD e do CDC, para evitar o descumprimento das normas adequadas a cada caso (como, por exemplo, a Política de Privacidade dos sites na internet). Além disso, quando for solicitado, o controlador deve fornecer, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, desde que igualmente respeitados os segredos comercial e industrial (art. 20, § 1º, da LGPD).
O Código Civil também protege o direito da personalidade nos seus arts. 11/21 do Código Civil, o que tem como fundamentos a intransmissibilidade e a irrenunciabilidade pelos titulares, logo, a menos que exista autorização expressa em lei, os titulares não podem, de modo voluntária, renunciar ou transferir os seus direitos de personalidade (que são aqueles relacionados a aspectos constitutivos da identidade, como o nome, o corpo, a imagem, entre outros). De forma específica, o art. 12 do Código Civil protege o titular dos dados pessoais contra atividades de tratamento que violem qualquer direito de personalidade, ao conferir a ele os direitos de “(...) exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei”. A LGPD tem entre seus objetivos e fundamentos o livre desenvolvimento da personalidade da pessoa natural (arts. 1º e 2º, VII) e protege a personalidade no direito de revisão das decisões automatizadas (art. 20).
A Lei do Sigilo Bancário contém normas sobre dever de sigilo (art. 1º, caput), que deriva diretamente do direito à privacidade previsto na Constituição e é tratado como regra nas atividades das instituições financeiras, com base na natureza jurídica dos dados dos clientes. Assim, a lei inicia com o principal dever imposto a suas destinatárias, de manutenção do sigilo em todas as operações ativas e passivas e nos serviços prestados. Além disso, o § 3º do art. 1º da da Lei do Sigilo Bancário descreve as atividades que podem ser realizadas sem a violação do dever de sigilo (que serão analisadas na sequência), enquanto o seu § 4º prevê as hipóteses de quebra do sigilo. Logo, há novamente uma preocupação legislativa anterior com a proteção e o sigilo dos dados pessoais, em decorrência da tutela da vida privada, o que se repete na Lei Geral de Proteção de Dados, que tem entre os seus fundamentos a inviolabilidade da intimidade, da honra e da imagem (art. 2º, IV, da LGPD) e os direitos do titular têm sua base principal nos direitos fundamentais de liberdade, de intimidade e de privacidade (arts. 1º e 17 da LGPD).
Por sua vez, a Lei do Cadastro Positivo também impõe ao controlador e prestação de informações objetivas, claras, verdadeiras e de fácil compreensão (art. 3º, § 2º), o que complementa as regras do Código de Defesa do Consumidor (arts. 31, caput, e 54, § 3º, do CDC) e deve ser utilizada como parâmetro para qualquer contrato bancário que tenha entre seu objeto o tratamento de dados. A característica das informações exigidas na LCP e no CDC serve para evitar dúvidas nos consumidores e conflitos sobre a interpretação dos dispositivos contratuais, além de permitir que o consentimento do titular dos dados seja efetivamente consciente e expresso. Na LGPD, a necessidade de prestação de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento (observados os segredos comercial e industrial) consta na descrição do princípio da transparência (art. 6º, VI, da LGPD). Além disso, quando for solicitado, o controlador deve fornecer, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, desde que igualmente respeitados os segredos comercial e industrial (art. 20, § 1º, da LGPD).
A Lei de Acesso à Informação regula o acesso restrito aos dados pessoais (art. 31, § 1º, I). Assim, os dados e informações pessoais relativos à intimidade, à vida privada, à honra e à imagem dos seus titulares devem ser classificados como de acesso restrito (independentemente de classificação de sigilo), permitido apenas aos próprios titulares e a agentes públicos legalmente autorizados, pelo prazo máximo de 100 anos a partir de sua produção. O acesso à informação pública é a regra na LAI, que, ao mesmo tempo, protege dados e informações pessoais armazenados em bancos de dados de entes públicos.
O Marco Civil da Internet, que tem como principais fundamentos a neutralidade de rede, a privacidade online e a fiscalização dos acessos, também possui uma ampla regulação protetiva dos dados pessoais que circulam na rede. Entre elas, destaca-se a proibição do compartilhamento dos dados pessoais (art. 7º, VII). Como regra, o compartilhamento dos dados pessoais é proibido, ou seja, os provedores de internet não podem fornecer tais dados a terceiros (inclusive registros de conexão e de acesso a aplicações de internet), exceto nas situações previstas em lei ou quando houver o consentimento expresso, livre e informado do titular (e, como visto, de forma destacada em uma cláusula específica). Essa proteção dos dados e proibição de compartilhamento leva em consideração um dos principais fundamentos do Marco Civil da Internet, que é a privacidade online. Além dos direitos constitucionais da inviolabilidade da intimidade e da vida privada (art. 5º, X, da Constituição), da inviolabilidade das comunicações (art. 5º, XII, da Constituição) e da inviolabilidade da vida privada (art. 5º, XI e XXI, da Constituição), protegem a privacidade no meio virtual os arts. 7º, 10 e 11 do Marco Civil da Internet. Por isso, em regra, as comunicações realizadas pela internet e os dados pessoais armazenados só podem ser compartilhados com terceiros mediante o consentimento dos titulares ou por meio de decisão judicial (art. 10, § 2º, do MCI). Excepcionalmente, podem ser fornecidos determinados dados pessoais cadastrais listados de modo exaustivo pela lei (qualificação pessoal, filiação e endereço), para autoridades administrativas no desempenho de suas atribuições legais (por exemplo, para Delegado de Polícia com o objetivo de instruir inquérito policial). Por sua vez, a Lei Geral de Proteção de Dados tem entre os seus fundamentos a inviolabilidade da intimidade, da honra e da imagem (art. 2º, IV, da LGPD) e os direitos do titular têm sua base principal nos direitos fundamentais de liberdade, de intimidade e de privacidade (arts. 1º e 17 da LGPD).
Na sequência, o Cadastro Base do Cidadão também protege a privacidade e possui regras sobre o compartilhamento de Dados (arts. 3º/15). São regras detalhadas sobre o compartilhamento de dados entre os entes da Administração Pública federal direta, ou entre estes e pessoas naturais ou pessoas jurídicas de direito privado (e o desenvolvimento de plataformas de interoperabilidade), com a diferenciação entre o compartilhamento amplo, restrito e específico, além da menção expressa (no caput do art. 5º) à necessidade de observância das normas da LGPD sobre o uso compartilhado de dados. Desse modo, a Lei Geral de Proteção de Dados deve nortear a aplicação e a interpretação das regras sobre compartilhamento previstas no Decreto nº 10.046/2019 (o que inclui, por exemplo, o direito do titular de obter informações sobre o uso compartilhado de dados pelo controlador e a finalidade, nos termos do art. 9º, V, da LGPD).
Por fim, foram vistas outras quatro leis com normas específicas sobre a proteção de dados: a Consolidação das Leis do Trabalho (Decreto-Lei nº 5.452/43), o Código Tributário Nacional (Lei nº 5.172/66), o Código Penal (Decreto-Lei nº 2.848/40) e a Lei de Combate às Organizações Criminosas (Lei nº 12.850/2013).
A LGPD afeta diretamente as relações de trabalho, inclusive sobre a necessidade da regulação contratual do tratamento de dados dos empregados pelo empregador (desde o processo de seleção até a guarda de dados após o encerramento do vínculo empregatício, passando pelo monitoramento do ambiente de trabalho por câmeras, monitoramento de e-mail corporativo, entre outras regras).
A proteção de dados pessoais também produz reflexos no Direito Tributário (por exemplo, para regular o acesso da Administração Pública aos dados inseridos nas declarações de tributos, a fim de evitar ilícitos administrativos, cíveis ou criminais) e no Direito Penal (como no acesso de determinadas autoridades a dados pessoais para instruir investigações e processos criminais, ou ainda para tipificar como crimes determinadas condutas violadoras dos dados pessoais).
Assim, não há, via de regra, a revogação de normas anteriores (ainda que tacitamente) pela LGPD, mas sim uma aplicação conjunta, que pode levar a uma dupla proteção dos dados pessoais e dos direitos de seu titular.
