O presente artigo tem como objetivo apresentar, por meio de uma análise crítica da Lei Geral de Proteção de Dados, considerações a respeito da problemática vigência da Lei na ausência de um órgão que fiscaliza o cumprimento da Lei.

Introdução

O presente estudo propõe-se a pesquisar a problemática vigência da Lei Geral de Proteção de Dados (LGPD) na ausência de um órgão fiscalizador – Autoridade Nacional de Proteção de Dados (ANPD), por meio de uma crítica reflexiva, evidenciar que a expansão da divulgação de dados pessoais fere vários princípios da Constituição Federal, ocasionando, então, algo que contraria a proteção dos direitos fundamentais de liberdade e de privacidade além do maior problema por trás da vigência da LGPD é a ausência da atividade fiscalizadora, pois a Lei já está em vigor e não pode ser fiscalizada.

O objetivo é aprofundar no problema da vigência da LGPD sem um órgão que regule, fiscalize e oriente as pessoas jurídicas e físicas no tratamento de dados pessoais, mostrando que a Lei é absurdamente necessária para proteger dados pessoais da sociedade, mas existem impasses para que a Lei seja eficaz.

No dia 18 de setembro de 2020 o Presidente da República sancionou a Medida Provisória 959/2020 e a lei entrou em vigor.[1] Assim, faz-se necessária a atuação da ANPD, que, até então, foi decretada a criação em 27 de agosto de 2020, mas ainda não foram todos os membros nomeados e aprovados, fazendo com que prevaleça uma situação peculiar: uma Lei que protege dados sem um órgão que fiscaliza.          

No primeiro tópico do desenvolvimento será abordado sobre a necessidade da Lei, ao analisar o contexto histórico e para quem ela veio socorrer.

No segundo tópico será analisado como a Lei é extremamente importante, ao analisar casos recentes que violaram a proteção de dados pessoais.

O terceiro item, trata-se da análise da Lei Geral de Proteção de Dados descrevendo as obrigações aos controladores, operadores e encarregados responsáveis no tratamento de dados observando os princípios norteadores da lei.

Por fim, o quarto tópico analisará as implicações que a LGPD terá na ausência de um órgão fiscalizador independente, tendo como parâmetro a experiência internacional da União Europeia.

Considerando a recente entrada em vigor da Lei e a importância de um órgão para fiscalizar a proteção de dados no Brasil, o presente texto pretende analisar criticamente a eficácia ou ineficácia da Lei na ausência de órgão fiscalizador independente, sem a pretensão de esgotar a matéria.

A metodologia utilizada promoveu abordagem qualitativa do problema, sendo a pesquisa de natureza exploratória, utilizando pesquisas bibliográficas com a análise de doutrinas e textos científicos.

1. Contexto histórico da Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados, conhecida como LGPD, dispõe sobre o tratamento de dados pessoais com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade da pessoa natural, pois a Lei contempla a proteção de dados dos seres humanos vivos e brasileiros ou que residem no Brasil. Sendo assim, todo dado pessoal deve ser protegido.

Antes da LGPD, o Brasil já fazia a proteção de dados dos cidadãos, porém, bem superficialmente, como o artigo 5º da Constituição Federal, houve também a Lei de Acesso à Informação (Lei nº 12.527/2011), a Lei Complementar 105/2001, a Lei nº 12.414/2011, logo após, houve a publicação da principal Lei de Regulamentação sobre Dados, intitulada Marco Civil da Internet – Lei nº 12.965/2014, cujo o principal objetivo é estabelecer as diretrizes do uso da rede mundial de computadores, guardando devida proteção aos dados e sua transmissão pela internet.

Na sequência, chegou a LGPD para uma melhor regulamentação da proteção e tratamento de dados pessoais que foi inspirada no Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês), que é a versão europeia da lei. Quando seu texto final foi proposto, em 2012, ela foi considerada a lei mais importante no combate ao crescimento do cibercrime em toda a Europa. Quando entrou em vigor, seis anos depois, ela inspirou outros continentes e países a tomarem caminhos semelhantes e o Brasil foi um deles. Esse modelo europeu abarcado pelo Brasil pretende proteger os dados de pessoas que navegam pela internet. Com a lei, os europeus passaram a controlar a interferência das empresas em aceitar ou não as ações de tratamento de dados. Nenhuma empresa, no entanto, poderá armazenar dados pessoais sem o consentimento do titular.

A observação pela lei que já vigora na Europa, e depois de vários acontecimentos no Brasil de violação e exposição de dados de pessoas naturais, foi fundamental para que criassem a LGPD.

Conforme mencionado, várias leis tratavam sobre o tema, porém nenhuma delas cumpriu com as expectativas e com eficácia a proteção de dados, por isso a importância da LGPD, vejamos o que afirma a jurista Joana Machado:

O fato é que o modelo brasileiro se revela genérico, insatisfatório e lacunoso. Necessita de urgente regulamentação por legislação específica para a proteção de dados pessoais, com previsão expressa de que toda informação só possa ser objeto de tratamento para atingir a finalidade para a qual foi disponibilizada. As informações só poderão ser transmitidas a terceiros, com o expresso consentimento do seu titular. Acrescente-se a estes requisitos, a imposição de sanções civil, penal e administrativa pelo descumprimento das regras de proteção de dados.[2]

 

Por fim, a Lei veio para socorrer os cidadãos brasileiros, diferente da GDPR que se destina a cidadãos originários de países da União Europeia, de um direito já garantido pela Constituição Federal: à privacidade e à liberdade, como bem diz o art. 1º da Lei 13.709/2018:

Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

 

Assim, a proteção dos dados pessoais será regida por Lei devendo aqueles que farão o tratamento desses dados aplicarem as normas conforme a Constituição da República.

 

2. Violações de dados pessoais que demonstram a urgência da aplicação da lei

A Lei é extremamente importante porque várias pessoas têm seus dados vazados diariamente, principalmente nas redes sociais, como por exemplo: o Instagram, que deixou vazar mais de 49 milhões de registros, quando encontraram um enorme banco de dados disponível pra qualquer um abrir e tudo hospedado no Amazon Web Services. Nesses dados continham número de telefone do proprietário da conta e todos tinham acesso livre.[3] Recentemente, o Facebook reconheceu o vazamento de fotos de mais de 6,8 milhões de usuários, quando um erro permitiu que outros aplicativos acessassem fotos postadas na rede social sem o intuito de compartilhamento com amigos ou outros usuários.[4] No Telegram, dados pessoais de 500 mil brasileiros foram vendidos, os indivíduos vendiam os dados e os dados eram usados para a prática de fraudes de identidade.[5] Além do mais, o caso da atriz Carolina Dieckmann em 2012 repercutiu o país, pois, suas fotos íntimas foram subtraídas e publicadas em rede nacional pelo fato de terem invadido sem permissão o notebook pessoal da atriz. Assim, foi sancionada e publicada a lei 12.737/12 (Lei criminal de delitos Informáticos) que alterou o Código Penal Brasileiro e, devido à coincidência, relacionou-se o caso à lei e, portanto, a apelidaram de “Lei Carolina Dieckmann”.[6]

A recorrência de incidentes envolvendo violações a direitos dos titulares de dados pessoais na Internet é fator que provoca o movimento de busca pela legislação no Brasil. É importante salientar que, caso a LGPD já existisse no Brasil com a devida fiscalização, muitos casos de violação de dados poderiam ser evitados. Esses são alguns exemplos de como os dados pessoais podem ser compartilhados ou vendidos na era da internet, atingindo várias pessoas e violando direitos.

3. Lei Geral de Proteção de Dados

A lei 13.709/18 dispõe sobre tratamento de dados pessoais, que é a informação relacionada à pessoa natural identificada ou identificável. As informações de dados abrangem qualquer tipo de dado da pessoa natural como um prontuário médico, um cadastro curricular, quanto por meios digitais, como a biometria, sendo recebidos esses dados por pessoa jurídica pública ou privada (empresas). O objetivo da lei é de proteger os direitos fundamentais de liberdade e de privacidade, o livre desenvolvimento da personalidade da pessoa natural e a intimidade. Esse conjunto de dados pode ser estabelecido em um ou em vários locais que se denomina banco de dados.

A lei menciona quatro integrantes que compõem o vínculo no tratamento de dados pessoais:

a) o titular dos dados: pessoa natural (não pode ser pessoa jurídica);

b) os agentes de tratamento (controlador e operador): podem ser pessoas naturais ou jurídicas, de direito público ou privado, desta forma, o controlador toma as decisões referentes ao tratamento de dados pessoais e o operador realiza o tratamento de dados pessoais em nome do controlador;

c) Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O controlador e o operador devem guardar registros das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. A agência nacional poderá requerer do controlador um relatório sobre impacto a proteção de dados pessoais, inclusive de dados sensíveis.

Portanto, os dados tratados por esses agentes, devem ser protegidos de acordo com a lei. A LGPD também menciona sobre dados pessoal sensível, anonimizado e pseudonimizado. Conforme o artigo 5º:

Art. 5º, I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Desta forma, dados pessoais são informações relacionados a uma pessoa, como por exemplo, o nome, identidade, interesses. Esses dados podem ser sensíveis, que significa a identificação da pessoa sobre quem ela é e/ou o que ela faz. De acordo com Sérgio Pohlmann, o dado pessoal sensível é:

Dado pessoal que possa relacionar uma pessoa natural com algum tipo de associação, movimento, sindicato, partido político, ou questões de ordem étnica, religiosas, políticas, filosóficas, vida sexual, etc. Estão incluídos nesta categoria, todos os dados médicos, biométricos e genéticos. Suas digitais são um dado sensível, assim como também são dados sensíveis, a sua preferência por algum time, sua preferência por um candidato em uma eleição (desde que você não o tenha feito público), etc. Podemos considerar que um dado sensível é aquele dado que pode gerar, em algum âmbito, a discriminação ou o preconceito por parte de outras pessoas.[7]

O dado anonimizado é aquele que pertence a uma pessoa natural e que não pode ser identificado. E a pseudonimização é uma técnica que substitui informações contidas num conjunto de dados que identifica um indivíduo4 por um identificador artificial, um pseudônimo.[8]

Portanto, todos esses dados são pessoais e devem ser protegidos pela Lei 13.709/2018, tendo em vista que a Constituição Federal estabeleceu a proteção dos direitos fundamentais da pessoa natural no artigo 5º, inciso X e XII, in verbis:

X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”; XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal.

 Qualquer dano cometido contra alguém está amparado pela Lei Maior, garantindo aos cidadãos que a inviolabilidade de dados pessoais possa causar sanção civil (reparação por danos morais) e penal, portanto, a LGPD faz com que se tente preservar o indivíduo em sua integridade moral.

3.1 - Tratamento dos Dados Pessoais

O tratamento dos dados pessoais será direcionado para a coleta, utilização, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência.

Desta forma,  os dados pessoais poderão ser realizados somente no território nacional e coletado em território nacional ou quando o tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a titulares localizados no Brasil, independentemente do meio, do país sede que a pessoa natural ou jurídica se encontre ou do país onde estejam localizados os dados, como demonstra o art. 30 da Lei: “A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.”

O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

 A lei ainda regulamenta que as pessoas jurídicas de direito público devem observar as normas. Essas pessoas estão estabelecidas na lei 12.527/11, artigo 1º, caput, citando a União, os Estados, o Distrito Federal e os Municípios, como também os serviços notariais e de registro, pois, exercerão serviço público quando for necessário utilizar desses meios por órgão público. Todos estes entes deverão dar tratamento dos dados atendendo a sua finalidade pública, por meio de um encarregado desta operação, fornecendo informações claras e precisas como também, atualizando sua finalidade, se for o caso, a previsão legal, os procedimentos e as práticas utilizadas para os tratamentos, sendo observados o fácil acesso por meio dos seus próprios sítios eletrônicos ou outro meio apropriado. O encarregado será indicado pelo operador para o tratamento de dados pessoais e, portanto, este terá seus documentos levados à publicidade para identificação, assim como, o Controlador e o Operador. As atividades prestadas pelo encarregado envolvem desde o recebimento de reclamações e atualizações do titular, receber comunicações da autoridade nacional e adotar providências, orientar os outros funcionários da empresa sobre a nova norma vigente, como agir em outros assuntos solicitados pelo Controlador. A Autoridade Nacional de Proteção de Dados poderá ainda, estabelecer novas normas a serem cumpridas pelo encarregado, como também, extinguir o cargo a qualquer tempo. No caso de prazos e procedimentos dados pelo Poder Público, estes serão observados conforme lei específica em cada caso concreto, especialmente as leis especiais do Habeas Data (lei 9.507/97), da Lei Geral do Processo Administrativo (lei 9.784/99) e da lei de Acesso á Informação (lei 12.527/11).

O uso compartilhado deverá respeitar a sua finalidade na execução de políticas públicas, respeitados os princípios de proteção de dados pessoais, como por exemplo, a publicidade.

Fica ainda vedada ao Poder Público, a transferência dos dados pessoais que se encontram em banco de dados desde que esses dados sejam encontrados em fácil acesso pela via pública, se necessitarem ser transferido para outro local de tratamento adequado (respeitando o fim específico e determinado), quando houver previsão legal, ou se estiver declarado por contrato ou convênio desde que informados a Autoridade Nacional e consentido pelo titular. Caso houver violação de tratamento de dados pessoais por parte de órgão Público, a Agência Nacional deverá verificar o ocorrido e emitir informes com medidas cabíveis para cessar a violação. E todas as pessoas jurídicas (Privado e Público) poderão receber obrigações pela ANPD para emitir relatórios de impacto á proteção de dados e sugerir adoção de boas práticas para o tratamento e coleta de dados pessoais.

O titular dos dados pessoais tem o direito de reclamar (sem ônus) qualquer violação dos seus direito perante a Autoridade Nacional, no entanto, a falta do órgão acarreta prejudicado esse direito tão essencial á proteção da pessoa natural que pode ser ofendida ou lesada, ou levar a reclamação perante o órgão de defesa do Consumidor. Como também, poderá, o titular, ingressar judicialmente individual ou coletivamente nos respectivos órgãos.

Todos os assuntos de interesse pessoal do titular obtidos de forma automatizada, destinados a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade, podem ser solicitada revisão dessas definições, como direito que o titular tem de não ferir sua integridade e intimidade. Caso não houver atenção e retorno do controlador, a Autoridade nacional poderá realizar auditoria para investigação e análise de processos discriminatórios de tratamento de dados automatizados.

O art. 2º da LGPD demonstra os fundamentos que construíram a lei, portanto, todos aqueles que estão tratando os dados pessoais devem observar e respeitar, in verbis:

 I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor;

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Mas, quais as possibilidades que não são necessárias a aplicação da lei de proteção de dados pessoais? A LGPD disciplina para os casos de tratamento realizado por pessoa natural que tenha interesse exclusivamente particular, como também os assuntos de matéria jornalística, artística e acadêmico. Também não se aplica a lei em assuntos exclusivamente realizada pela segurança pública, pela defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, III). Os dados provenientes de fora do território nacional e que não sejam objeto de comunicação, o uso compartilhado de dados de pessoas que não residem no país com agentes de tratamento brasileiros ou o objeto de transferência internacional de dados com outro país desde que obtenham o mesmo grau de proteção de dados pessoais previsto na LGPD, também não são passíveis de regulamentação pela lei 13.709/18.

A ANPD (autoridade nacional) emitirá opiniões técnicas ou recomendações referentes aos assuntos relacionados sobre as atividades de políticas públicas e em relações internacionais para que os responsáveis destes emitam relatórios de impacto à proteção de dados pessoais contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos fundamentais, bem como criar mecanismos de mitigação de risco.

A transferência internacional de dados pessoais somente poderá ocorrer quando o país ou o organismo internacional que receber os dados estiver norma competente, no mesmo nível de proteção adequado ao que é estabelecido pela regulamentação brasileira. Também, esses dados poderão ser transferidos para utilização de cooperação jurídica internacional, penal e em casos de proteção á vida do titular ou de terceiro. Para que essa transferência ocorra, a Autoridade Nacional deverá autorizar e o titular consentir, sendo dada publicidade. Caso ocorre alterações nas garantias apresentadas, deverão ser comunicadas a Agencia Nacional.

O art. 10 disciplina sobre o legítimo interesse do controlador que somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas em situações que envolvem a proteção do crédito, o desenvolvimento econômico da empresa, melhorias na estrutura de pessoal interno e para o atendimento ao cliente. No entanto, o controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. A autoridade nacional poderá solicitar ao controlador relatório de impactos à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

3.2 - O consentimento

O consentimento é a base para que o tratamento de dados pessoais seja lícito e válido. Sem o consentimento do titular dos dados, qualquer ato será nulo perante a nova lei de proteção de dados pessoais. Todas as pessoas suscetíveis de tratamento dos seus dados poderão a qualquer momento solicitar ao controlador o histórico do banco de dados. Poderão, de forma simples e clara, obter informações sobre o andamento e o processo do tratamento de dados. Caso o titular entender ou não concordar com alguma parte do processo, poderá revogar seu consentimento. O controlador deverá estar atento, respeitar e obedecer a LGPD, ainda mais agora, que há sanções mais elevadas para certos comportamentos que violam os direitos fundamentais da pessoa natural.

O consentimento se mostra na manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Deverá ser por escrito o contrato ou por outro meio que demonstre a vontade do titular, podendo este solicitar cópia a qualquer momento. Se a manifestação for por escrito, esta deverá ser separada das demais cláusulas para que não haja dúvidas se houve vontade ou não, pois, é ônus do controlador provar que houve o consentimento do titular, conforme o artigo 8º, § 2º da LGPD. Portanto, se houver vício no consentimento do titular, o controlador será punido. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado, como nos casos em que houver alteração de informação sobre finalidade específica do tratamento, forma e duração, identificação e informações de contato do controlador, caso o titular discorde da alteração. O controlador deverá informar previamente o titular sobre as mudanças de finalidade.

Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

3.3 - O tratamento dos dados de pessoas específicas

Com toda segurança e observância para legislar sobre tratamento de dados de pessoas, a LGPD regulamentou sobre os dados pessoais específicos anonimizados, sensíveis e de crianças e adolescentes.

Conforme já mencionado, “os dados anonimizados só serão considerados dados pessoais quando puderem identificar uma determinada pessoa natural para formação do perfil comportamental”. Ou seja, o dado que não se possa identificar uma pessoa natural não será sujeito a LGPD. E neste caso, poderão ser compartilhados entre pessoas jurídicas (públicas e privadas), se houver necessidades para pesquisas cientificas e estudos já que não precisariam de consentimento.  Caso, após análises, possa identificar o titular do dado, deixa de ser anonimizado e, portanto, poderá estar sujeito a lei. O legislador deixou claro que esse tipo de dados seria sempre passível de reversão. Para esses casos, existe a possibilidade da pseudonimização, também informado na lei, os dados pessoais são substituídos por um identificador artificial e mantidos num banco de dados separado que liga dados pessoais e pseudônimo, portanto, a proteção não deixará de ser observada.[9]

O art. 12 da lei afirma que, “os dados anonimizados só serão considerados dados pessoais quando puderem identificar uma determinada pessoa natural para formação do perfil comportamental”. Ou seja, o dado que não se possa identificar uma pessoa natural não será sujeita a LGPD, se classificarão como dados anonimizados. Caso, após análises, se possa identificar o titular do dado, deixa de ser anonimizado para ser pseudonimizado e, portanto, poderá estar sujeito a lei. O legislador brasileiro deixou claro de que os dados anonimizados seriam sempre passíveis de reversão. Os dados anonimizados poderão ser compartilhados entre pessoas jurídicas (públicas e privadas), elas são dados importantes para pesquisas cientificas e estudos já que não precisariam de consentimento.

Os dados pessoais sensíveis são aqueles de pessoa identificada que podem gerar alguma discriminação, pois, revelam a origem racial ou étnica, convicção religiosa, filosófico ou político, filiação a sindicato ou, dados referentes à saúde ou à vida sexual, dado genético ou biométrico que é usado para identificar pessoas. O tratamento de dados pessoais sensíveis somente poderá ocorrer quando o titular ou seu responsável legal autorizar, em situações específicas. Porém, sem fornecimento de consentimento do titular, será possível o tratamento somente nas hipóteses em que forem indispensáveis para o cumprimento de obrigação legal ou regulatória pelo controlador, por políticas públicas previstas em leis ou regulamentos, em realização de estudos por órgão de pesquisa, no exercício regular de direitos, em contrato e em processo judicial, administrativo e arbitral, na proteção da vida e da integridade física do titular ou de terceiro, a tutela da saúde, em procedimento realizado por profissionais das áreas da saúde ou sanitária, e para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Conferindo em alguns casos, a publicidade à referida dispensa de consentimento, por meio do próprio site em que o órgão estará tratando os dados.

A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. Mas para os casos de saúde, nas hipóteses relativas à prestação de serviços e assistência à saúde e farmacêutica são vedados às operadoras de planos privados o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários, incluídos os serviços auxiliares de diagnose e terapia, permitindo, ao titular, a portabilidade de dados quando solicitada, ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.

Especificamente quanto a realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais sensíveis, pois, serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados.

A divulgação dos resultados, do estudo ou da pesquisa não poderá revelar dados pessoais. O órgão de pesquisa será o responsável pela segurança da informação, não permitida, a transferência dos dados a terceiro.

Além dos dados sensíveis, há o tratamento de dados pessoais de Crianças e Adolescentes que deverão ser observados e tratados preservando o seu bem estar e a privacidade. Referindo-se aos menores de idade, será obrigatório o consentimento de pelo menos um dos pais ou responsável legal, mantendo pública a informação sobre os tipos de dados coletados, a forma de sua utilização, além dar liberdade aos responsáveis de obterem a qualquer momento os dados coletados e o conhecimento sobre o andamento desses dados.

Os dados coletados de crianças não poderão ser repassados para tratamento de terceiros e nem condicionar a participação em jogos ou outra atividade via internet por meio de liberação de dados pessoais, devendo obedecer ao direito à intimidade e, estes dados somente serão utilizados nos casos de proteção à criança.

3.4 - O fim do tratamento de dados

O término do tratamento de dados pessoais ocorrerá quando alcançado o objeto para o qual foi proposto, devendo o dado ser eliminado de qualquer banco de dados onde possa estar armazenado. Essa é a fase que o princípio da Finalidade é cumprido, pois, houve a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades” (art. 6º, I). O controlador cumpriu todos os requisitos para o tratamento adequado dos dados pessoais sem alguma violação de direitos. No entanto, o término se finda também, quando houver a revogação do consentimento do titular (exceto, nos casos de interesse público fundamentado na segurança da população), ou por determinação da Autoridade Nacional (ANPD) quando houver violação de direitos.

3.5 - Pós tratamento dos Dados Pessoais

Após o tratamento ao qual foram destinados os dados, poderá o controlador, utilizá-los para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos pela LGPD. Caso o controlador obtiver consentimentos genéricos, sem finalidade determinada, essas autorizações serão nulas. O controlador que obteve o consentimento do titular e necessitar comunicar ou compartilhar dados pessoais a outros controladores deverá comunicar o titular, ressalvados as hipóteses de dispensa de consentimento (os dados tornados manifestamente públicos pelo titular e que sejam de interesse público ou investigativo). E mesmo assim, caso houver a dispensa da exigência de consentimento, o controlador não poderá deixar de observar os princípios gerais e a garantia dos direitos do titular.

3.6 - Da responsabilidade e do Ressarcimento de Danos

O código civil brasileiro nos artigos 186 e 927 admite a reparação por danos morais aquele que “violar direito e causar dano a outrem”.

Como toda lei, a LGPD responsabilizará e obrigará os agentes de tratamento de dados pessoais (controlador e operador solidariamente) que causar danos ao titular pelo tratamento indevido, desde que esses não consigam provar que não houve violação á proteção de dados, que não são os agentes responsáveis pelo tratamento ou que o dano foi culpa exclusiva do titular dos dados.

Os agentes de tratamento deverão adotar técnicas de segurança, de boas práticas e governança para proteção dos dados pessoais não autorizados e sobre situações acidentais ou ilícitas, devendo ser protegido o dado para que terceiros não autorizados consigam ter acesso.

 A ANPD poderá estipular padrões técnicos para a proteção assim como a aplicação dos princípios norteadores da lei, mas o controlador e o operador poderão livremente coordenar procedimentos, como ações educativas e de organização interno da empresa. No entanto, em casos de não observância a lei de proteção de dados pessoais, a Agencia Nacional aplicará sanções administrativas.

4. LGPD e implicações da ausência da Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados, conhecida como ANPD, é o órgão fiscalizador responsável pela LGPD. A criação da ANPD, vetada pelo Presidente da República, na criação da Lei, foi determinada na Medida Provisória 869/18, com o objetivo de assumir a posição de autoridade máxima para fiscalizar e regulamentar a proteção de dados no país.[10]

De acordo com o artigo 55-A da LGPD, a ANPD é um órgão integrante da Administração Pública Federal que faz parte da estrutura da Presidência da República, possuidora de autonomia técnica, conforme o artigo 55-H da Lei.

A LGPD é extremamente importante e toda a sociedade precisa dela, mas para que seja eficaz, necessita da fiscalização da ANPD, ou seja, sem um órgão que fiscaliza, tem-se uma lei ineficaz. Sem sua criação, a aplicação da lei fica prejudicada, gerando graves riscos ao setor e à sociedade, uma vez que não existem regulações para guiarem as organizações públicas e privadas em conformidade com a LGPD.

Desta forma, quando a lei foi promulgada, o Presidente vetou os artigos 55 a 59 que estabeleciam a criação da ANPD, tal veto trouxe temores quanto à eficácia da lei, pois fica inviável e ineficaz a publicação de uma lei sem um órgão que fiscaliza o cumprimento desta Lei.

Sendo assim, ocorreu a edição da Medida Provisória 869, de 27 de dezembro de 2018 que determinou a criação da ANPD. Acontece que a Medida Provisória não garantiu autonomia ao órgão, o que pode restringir a eficácia da Lei, pois a Medida Provisória 869/2018 confere à ANPD a natureza de um órgão integrante da Administração direta Federal, subordinada à Presidência da República.

Ademais, não precisa apenas de um órgão fiscalizador, mas também de um órgão que seja independente, caso contrário irá trazer diversas consequências negativas. Por exemplo, coloca em risco a sua autonomia decisória, tendo em vista que o artigo 56 da Lei 9.784/1999 estabelece o direito de recurso contra todas as decisões administrativas no âmbito federal, trazendo o risco das decisões da ANPD estarem sujeitas a revisão por meio de recurso administrativo hierárquico endereçado ao Presidente da República.

Portanto, a ausência de um órgão efetivamente autônomo e independente, reduz a probabilidade da lei ser efetiva, com base na experiência do Regulamento Geral de Proteção de Dados Pessoais (GPDR, sigla em inglês) da União Europeia, o que levou os países não integrantes do bloco a adequarem sua legislação interna, tendo em vista que a referida norma contém exigências no sentido de que tais países devem contar com uma legislação de proteção de dados compatível, sob pena de terem prejudicada a relação comercial com os integrantes da União Europeia.

Neste contexto, o GDPR da União Europeia, dispõe que as autoridades deverão atuar de forma independente, livre de influências externas, diretas ou indiretas. Portanto, a experiência internacional aponta para a necessidade de se garantir independência às autoridades de proteção de dados, sendo essencial não apenas que a autonomia seja técnica, mas também decisória, hierárquica e financeira, o que não está adequadamente disciplinado na medida provisória. A solução seria assim alterar o seu texto, a fim de estabelecer que a ANPD tenha a natureza de órgão da administração pública federal indireta, submetida a regime autárquico especial, sendo assim dotada de independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes, bem como de autonomia financeira. Como decorrência da nova natureza jurídica, o órgão deveria ter receitas próprias e ter acrescida entre as suas atribuições a fixação das diretrizes da política nacional de proteção de dados.

Desta forma, o ideal seria que a autoridade fosse imediatamente independente e não aguardar o lapso de dois anos, como proposto pelo relator.[11]

Assim, para que a Lei seja eficaz, deveria ter sido prorrogada até a criação da ANPD e sua estrutura interna com a devida independente.

5. Conclusão

O presente estudo instituiu como objetivo geral a análise no tocante a problemática vigência da Lei Geral de Proteção de Dados na ausência do órgão fiscalizador (Agência Nacional de Proteção de Dados) demonstrando a necessidade da criação do órgão e que seja um órgão independente, pois, trata-se de assunto nacional envolvendo a população brasileira e seus dados pessoais submetidos a tratamentos sem consentimento ou ainda que consentido, que seja dado tratamento adequado de acordo com as normais legais.

Ainda que a LGPD seja inspirada em leis internacionais, não conseguirá conferir o mesmo grau de preservação de dados pessoais como outros países que instituíram um órgão fiscalizador independente. Por isso, é importante salientar o quão a Lei é importante e o quanto o Brasil precisa desta Lei, mas se não observar os pontos tratados neste artigo, a Lei não será eficaz e será uma lei excelente no papel, porém não aplicada na vida real.

Importante se faz debater tal problema, tendo em vista que a Lei Geral de Proteção de Dados não conseguirá ser eficaz caso não tenha um órgão fiscalizador que seja independente. O escopo precípuo da Lei Geral de Proteção de Dados é proteger os dados pessoais dos cidadãos brasileiros. Acontece que para a concretização eficaz da proteção de dados, necessita da criação de um órgão autônomo que verifique que a Lei está sendo aplicada. Resta evidente que tanto a ausência de um órgão fiscalizador, quanto a criação de um órgão que não seja independente e autônomo, abre uma janela para que as infrações não sejam percebidas e a Lei não seja eficaz.

Assim, as pesquisas para o desenvolvimento do trabalho demonstram que a questão é amplamente discutível e se faz necessário para que tenha uma Legislação eficaz, a criação de um órgão fiscalizador e também que o órgão seja totalmente independente e não como previsto na MP 869/2018.

Portanto, se faz necessário dialogar sobre o tema proposto, como forma de explorar tal questão para que a legislação seja eficaz e que os direitos sejam garantidos por meio da Lei Geral de Proteção de Dados.

 

 

 

 

 

 

 

 

 

 

 

 

REFERÊNCIAS

BRASIL. Lei Geral de Proteção de Dados, DF: Presidência da República. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.

 

FLÔRES, Alexia Machado; PES João Hélio. Dano moral: uma análise jurisprudencial acerca da violação de direitos fundamentais na internet. 2019. Disponível em: https://periodicos.ufn.edu.br/index.php/disciplinarumSA/article/view/2714.

 

FINKELSTEIN, Maria Eugênia; FINKELSTEIN, Cláudio. Privacidade e Lei Geral de Proteção de Dados. 2019. Disponível em: https://www.indexlaw.org/index.php/rdb/article/view/5343/4545.

 

BIONI, Bruno Ricardo. Compreendendo o conceito de anonimização e dado anonimizado. 2020. Disponível em: http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_9_anonimiza%C3%A7%C3%A3o_e_dado.pdf?d=637250349860810398

 

POHLMANN, Sérgio Antônio. Entendendo e Implementando a Lei Geral de Proteção de Dados nas empresas. Editora Fross, 2019.

COSTA, Júlia. Análise crítica da Lei geral de proteção aos dados pessoais (LGPD) – lei nº 13.709/2018. 2019. Disponível em: http://www.abiackeladvogados.com.br/juliacostaebrunocastro/

NOTÍCIAS e ARTIGOS. LGPD entra em vigor. 2020. Disponível em: https://www.serpro.gov.br/lgpd/noticias/2020/lgpd-entra-em-vigor.

COSTA, Célia Leite. Intimidade versus interesse público: A problemática dos arquivos. Disponível em: http://bibliotecadigital.fgv.br/ojs/index.php/reh/article/view/2066/1205.

REDAÇÃO. LGPD: A entrada em vigor sem a criação da ANPD prejudica a aplicação da lei, 2020. Disponível em: https://www.securityreport.com.br/overview/lgpd-a-entrada-em-vigor-sem-a-criacao-da-anpd-prejudica-a-aplicacao-da-lei/#.X5muwIhKjIU.

LIMA, José Jerônimo. A ESTRUTURAÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS: DESAFIOS PARA A EFETIVIDADE DA LGPD, 2020.

PFEIFFER, Roberto Augusto. ANPD em busca de sua autonomia: é preciso aperfeiçoar a MP 869/2018, 2019. Disponível em: https://www.conjur.com.br/2019-mai-01/garantias-consumo-anpd-busca-autonomia-preciso-aperfeicoar-mp.

RUIZ, Maria Roseiro. O dado pseudonimizado é um dado protegido pela Lei Geral de Proteção de Dados? 2020. Disponível em: https://migalhas.uol.com.br/coluna/migalhas-de-protecao-de-dados/332299/o-dado-pseudonimizado-e-um-dado-protegido-pela-lei-geral-de-protecao-de-dados.

 


[1] BRASIL. Medida Provisória nº 959/2020. Diário Oficial da República Federativa do Brasil, Poder Executivo, Brasília, DF. Disponível em: https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/141753.

[2] MACHADO, Joana de Moraes Souza. A Tutela da Privacidade no Controle de Dados Pessoais no Direito Brasileiro. In: Arquivo Jurídico, Teresina, v. 2, n. 2, jul./dez. 2015, p. 48

[3] GUIMARÃES, Clara. Milhares de influenciadores tiveram informações vazadas no Instagram. 2019. Disponível em: https://olhardigital.com.br/noticia/milhares-de-influenciadores-tiveram-informacoes-vazadas-no-instagram/86005.

[4] FACEBOOK afirma que nova falha permitiu acesso a fotos de 6,8 milhões de usuários. G1, 4 dez. 2018. Disponível em: http://g1.globo.com/economia/tecnologia/noticia/2018/12/14/facebook-aĕ rma-que-nova-falha-permitiu-acesso-a-fotos-de68-milhoes-de-usuarios.ghtml.

[5] GONZÁLEZ, Mariana. Dados pessoais de 500 mil brasileiros são vendidos em grupo no Telegram. 2020. Disponível em: https://blog.idwall.co/dados-pessoais-brasileiros-vendidos-grupo-telegram/#:~:text=Os%20tipos%20de%20dados%20que,com%20o%20qu%C3%A3o%20completos%20est%C3%A3o.

[6] UOL. Lei Carolina Dieckmann sobre crimes na internet entra em vigor. 2013. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2013/04/02/lei-carolina-dieckmann-sobre-crimes-na-internet-entra-em-vigor.htm.

[7] POHLMANN, Sérgio Antônio. Entendendo e Implementando a Lei Geral de Proteção de Dados nas empresas. Editora Fross, 2019. p. 36.

[8] RUIZ, Maria Roseiro. O dado pseudonimizado é um dado protegido pela Lei Geral de Proteção de Dados? 2020. Disponível em: https://migalhas.uol.com.br/coluna/migalhas-de-protecao-de-dados/332299/o-dado-pseudonimizado-e-um-dado-protegido-pela-lei-geral-de-protecao-de-dados.

[9] RUIZ, Maria Roseiro. O dado pseudonimizado é um dado protegido pela Lei Geral de Proteção de Dados? 2020. Disponível em: https://migalhas.uol.com.br/coluna/migalhas-de-protecao-de-dados/332299/o-dado-pseudonimizado-e-um-dado-protegido-pela-lei-geral-de-protecao-de-dados.

[10] POHLMANN, Sérgio Antônio. Entendendo e Implementando a Lei Geral de

Proteção de Dados nas empresas. Editora Fross, 2019. p. 82.

[11] BRASIL. Medida Provisória n. 869 de 2018. Altera a Lei n. 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências.



Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi.

Comentários

0

Autorizo divulgar minha mensagem juntamente com meus dados de identificação.
A divulgação será por tempo indeterminado, mas eu poderei solicitar a remoção no futuro.
Concordo com a Política de Privacidade e a Política de Direitos e Responsabilidades do Jus.

Regras de uso