Resumo: O presente trabalho coloca em pauta o novo cenário trazido pela Lei Geral de Proteção de Dados com viés para a responsabilidade civil e indenizações por problemáticas nas tratativas de dados pessoais das pessoas naturais. O objetivo central é abordar os princípios da normativa legal e como podem ser evocados para a reparação de danos causados pela ilicitude na salvaguarda e publicitação de tais dados pelos agentes responsáveis por seus tratamentos. Tal abordagem também se reflete em outras normativas legais a exemplo do Código de Defesa do Consumido e do Marco Civil da Internet. Apresenta-se ao final, um caso de indenização por dano pelo vazamento de dados pessoais em uma relação comercial e seus desdobramentos jurídico.

Palavras-chave: Proteção. Privacidade, Dados, Princípios e Responsabilidade Civil.

Sumário: Introdução 1. A Lei Geral de Proteção de Dados 1.1. Apresentação da Lei Geral de Proteção de Dados 1.2. Do tratamento dos dados pessoais segundo a LGPD 1.3. Do princípio da privacidade de dados pessoais 1.4. Hipóteses para tratamento de dados pessoais 2. Dos princípios regidos pela Lei Geral de Proteção de Dados Pessoais 2.1. Definições preambulares dos princípios jurídicos 2.2. Princípios normativos da Lei Geral de Proteção de Dados 2.3. Descrição dos princípios normativos da Lei Geral de Proteção de Dados 3. Implicações legais aos princípios da Lei Geral de Proteção de Dados para o tratamento de dados pessoais 3.1. A natureza da responsabilidade civil na LGPD 3.2. O direito de regresso 4. Apresentação de um caso de responsabilidade civil aplicada sob a ótica da Lei Geral de Proteção de Dados 4.1. Dano material e dano moral nas relações de consumo 4.2. Apresentação do estudo de caso envolvendo vazamentos de dados e a responsabilidade civil de indenizar. Conclusões. Epílogo. Referências. Glossário. Apêndices.

INTRODUÇÃO

Em 14 de agosto de 2018, houve a sanção da Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados, tratada e melhor conhecida apenas com LGPD. Esta lei não é uma novidade no campo das proteções de dados pessoais, mas o Brasil, combinado às regras promovidas por uma lei similar lançada na comunidade europeia, chamada de Regulamento de Europeu de Proteção de Dados (GDPR) dentre outros países da qual o Brasil “bebeu destas fontes”, se viu, por força regulatória econômica e de segurança jurídica a criar sua própria lei infra constitucional, apesar de conter, em caráter suplementar, outras leis esparsas que tutelam a proteção de dados, como o Código de Defesa do Consumidor, o Marco Civil da Internet e o próprio Código Civil.

Esta lei atinge todas as empresas, públicas ou privadas, de qualquer porte, nicho ou segmento e que de alguma forma tratem dados pessoais. Entretanto, a velocidade em que a tecnologia demanda novos volumes de informação é inversamente proporcional a capacidade em que estas empresas, ora chamadas de Controladores de Dados, têm para se adequar jurídica e tecnologicamente aos preceitos do referido diploma legal de proteção de dados pessoais1.

Por outro lado, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas à proteção de dados pessoais e da privacidade, irá fiscalizar e aplicar severas multas por infrações que levem a vazamentos de dados pessoais ou o não cumprimento da referida lei.

O Direito, por sua vez, não encontra guarida em acompanhar as mudanças da sociedade e da informação face às normas jurídicas na mesma velocidade em que a estas são implementadas, obrigando-se a se adaptar às novas formas de relações sociais e jurídicas, a fim de dirimir ou mitigar possíveis reponsabilidades sobre a perda ou vazamentos de dados pessoais.

Assim, a evolução da tecnologia trouxe a necessidade de imposição de limites éticos ao tratamento de dados pessoais, e junto com ela, uma nova forma de estabelecer o relacionamento entre o titular deste dado e o seu Controlador como agente que trata este dado segundo alguns princípios fundamentais.

Assim, a lei prevê que em seu artigo 6º que as atividades de tratamento de dados pessoais deverão obedecer a certos princípios. Trata-se, portanto, de um rol exemplificativo em que as entidades deverão atentar-se, por pena de, em seu descumprimento, arcar com severas multas junto à Autoridade Nacional de Proteção de Dados (ANPD) cumuladas ou não, com Responsabilidade Civil previstas pelos artigos 186 e 927 do Código Civil.

Assim, saber o que tratar, quando tratar e porque tratar será de vital importância para a manutenção cumulado com, quando necessário, o consentimento inequívoco pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, a fim de evitar ao máximo alguma penalidade Civil.

Neste mote, o referido estudo pretende, sem esgotar o tema, trazer uma análise sobre os principais dispositivos da Lei Geral de Proteção de Dados e sua referida aplicabilidade, em particular aos princípios melhor descritos no artigo 6º do referido Diploma com suas respectivas responsabilidades por parte do Controlador.

1. A LEI GERAL DE PROTEÇÃO DE DADOS

Na era da economia de dados, o verdadeiro valor das empresas está nos dados de seus clientes. Isso significa que os dados são um novo ativo digno de proteção, que não pode ser mais negligenciada. Assim, os dados pessoais tratados pelas empresas são apenas emprestados, não são de sua propriedade! Para que as empresas preservem tais dados e permaneçam com credibilidade, terão que demonstrar ampla transparência ao se comunicar sobre quais dados coletam, para quais finalidades, quem é o seu processador e assim por diante.

1.1. Apresentação da Lei Geral de Proteção de Dados

Segundo DONEDA (2011, p. 96-98), as leis concernentes à proteção de dados pessoais podem ser divididas em quatro gerações. Inicialmente, as leis tinham como enfoque a criação dos bancos de dados que ganhavam grandes proporções na década de 1970, e na limitação do Estado na utilização e controle das informações. Na época, a preocupação dos legisladores era mais voltada à expansão da tecnologia e no processamento dos dados, do que no princípio de privacidade do cidadão, que jazia em segundo plano.

A segunda geração avançou no sentido de preocupar-se com a privacidade do indivíduo e no acesso de terceiros às suas informações, oferecendo formas de controle para que a própria sociedade tivesse maneiras de tutelar seus direitos individuais.

Já na terceira geração, observa-se o princípio de liberdade, a fim de que o titular pudesse ter uma autodeterminação, referente à maneira cujos dados seriam coletados e tratados.

Por fim, a quarta geração foi adaptada para aplicar técnicas que deem efetividade para conter a disparidade entre o indivíduo titular dos dados pessoais e a entidade que os coleta e processa. Dessa maneira, aumenta-se a proteção dos direitos fundamentais do cidadão atrás de normativas mais técnicas e categóricas, assegurando o nível de proteção e cautela a ser tomada de acordo com o grau de sensibilidade do respectivo dado pessoal e seu titular.

É neste contexto que nasce a Lei Geral de Proteção de Dados2 ligada às pessoas naturais e que está em vigor no Brasil desde agosto de 2018, sendo esta a principal legislação brasileira que determina como os dados pessoais podem ser tratados, prevendo sanções severas às infrações que versem sobre o seu vazamento ou indisponibilidade. Foi sancionado pelo Congresso Nacional pela PLC 53/2018 em 14 de agosto de 2018, donde dispõe sobre a proteção de dados pessoais alterando a Lei 12.965/16 (Marco Civil da Internet), consolidando-se assim como a Lei Geral de Proteção de Dados brasileira.

Assim como a General Data Protection Regulation (GPDR3) tem como regulamento do direito europeu sobre privacidade e proteção de dados pessoais, sendo aplicável a todos os cidadãos da comunidade Europeia e Espaço Econômico Europeu, o Brasil, inspirado nesta regulamentação, lançou sua própria regulação sobre o mesmo tema.

A LGPD impulsionará mudanças de paradigma na gestão dos dados, evidenciando a necessidade de adequações internas e da construção de uma “cultura de proteção de dados”, o que até antes da entrada da Lei, era pouco aplicada no Brasil.

Em suma, ela cria um marco legal para a proteção de informações pessoais dos brasileiros, residentes ou em trânsito pelo Brasil, como nome, endereço, idade, estado civil, e-mail e situação patrimonial; e visa garantir mais transparência na coleta, processamento e compartilhamento dos dados dos indivíduos, inclusive em meio digital. Em tempo, cabe-se colocar que a lei não proíbe o tratamento4 dos dados, mas vem apenas como forma regulamentadora, trazendo segurança jurídica a titulares de dados e empresas do setor privado.

Fortemente baseado no regulamento europeu, seu objetivo é criar um novo paradigma de regramento para o uso de dados pessoais, tanto no âmbito online quanto offline, ou seja, é agnóstica, pois não se preocupa em explicitar usos ou meios tecnológicos para o seu tratamento. Isto implica dizer que uma simples anotação em papel contendo um dado pessoal de terceiro está sujeita a esta lei quando há fins específicos5, como os econômicos, legais, de saúde etc. Importante salientar que o Brasil já dispunha de mais de quarenta normas que direta e indiretamente tratavam da proteção à privacidade e aos dados pessoais, como o Código de Defesa do Consumidor, por exemplo. Todavia, a LGPD vem substituir e ou complementar esse arcabouço regulatório setorial, por vezes conflituoso e que trazia alta insegurança jurídica, o que torna o país menos competitivo no contexto de uma sociedade cada vez mais movida a informação. É temerário para as empresas não estarem em conformidade com as leis de privacidade pois correm o risco de multas e ações judiciais, sem mencionar a perda da reputação e da fidelidade do cliente.

Ao ter uma Lei Geral, o Brasil entra para o rol de mais de cem países que hoje podem ser considerados adequados para proteger a privacidade e o uso de dados, tornando-nos mais completivos.

1.2. Do tratamento dos Dados Pessoais segundo a LGPD

A lei nº 13.709 de 14 de agosto de 2018 nomeada de Lei Geral de Proteção de Dados Pessoais, ao que consta, tem taxatividade mitigada ao elencar vinte6 verbos em seu artigo 5º, inciso X donde o tratamento pode ser:

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Brasil, 2018, Art. 5º, X).

Assim, qualquer manipulação sobre um dado pessoal, em que a informação relacionada a pessoa natural identificada ou identificável segundo o inciso I do mesmo artigo, deve acatar a alguns princípios que são elencados no artigo 6º e que serão melhor discutidos em momento oportuno.

1.3. Do princípio da Privacidade de Dados Pessoais

Na égide máxima da legislação brasileira7, temos a previsão acerca da privacidade dentro do rol de direitos fundamentais do artigo 5º inciso X: “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.”

Segundo a Lei Geral de Proteção de Dados, considera-se dados para dos devidos fins, aplicadas pelo artigo 5º, incisos I, II e III respectivamente:

I - Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - Dado anonimizado: dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Brasil, 2018, Art. 5º).

Realizar uma interpretação jus positivista do referido dispositivo não será suficiente para entender a sociedade atual. De acordo com RODOTÁ (2008, p. 92), a privacidade na era da informação deverá ser definida pelo direito do sujeito de manter o controle sobre as próprias informações. Nesse sentido, valorizam-se as escolhas pessoais em detrimento das vontades corporativas, como as fomentadas pelas áreas comercial e de marketing, por exemplo, levando em conta o novo poder que o indivíduo possui sobre o tratamento de seus dados.

Assim, sempre que um tipo de tratamento qualquer lançar mão sobre um determinado dado, de cunho pessoal, privado ou não, deverá ser aplicado segundo certos princípios que são bem aclarados pela Lei Geral de Proteção de Dados para minimizar as consequências de não conformidade.

1.4. Hipóteses para tratamento de Dados Pessoais

Antes de iniciarmos sobre o tema dos Princípios de Tratamento a luz da LGPD, importante se faz apresentar sobre as hipóteses que legitimam o tratamento de dados. O seu artigo 7º traz dez hipóteses taxativas para o tratamento de dados, o que significa dizer que o tratamento de dados somente poderá ser legalmente realizado dentro dessas previsões.

Figura 1 – Rol exemplificativo das hipóteses de coleta de dados

Hipóteses exemplificativas onde pode haver o tratamento de dados pessoais.

Fonte: EBC Empresa Brasil de Comunicação. Disponível em https://www.ebc.com.br/lgpd/noticias/2019/11/situacoes-onde-pode-se-tratar-dados-sem-autorizacao. Acessado em: 16 maio 2021.

Nenhuma das hipóteses legais prepondera ou prevalecerá hierarquicamente sobre as demais, sendo sempre necessário buscar a base legal que seja mais adequada às operações do controlador. Devem manter-se em harmonia.

Por esta razão, é importante que as empresas que trabalham com tratamento de dados pessoais em suas operações adequem seus procedimentos internos e suas políticas de compliance 8 desde logo, a fim de estar em conformidade com a lei e garantir a regularidade de suas operações de tratamento.

2. DOS PRINCíPIOS REGIDOS PELA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A Lei Geral de Proteção de Dados Pessoais reza que todas as atividades de tratamento de dados pessoais deverão observar a boa-fé e determinados princípios que nortearão como as empresas controladoras e titulares coexistirão de forma harmônica. Sem querer esgotar o tema, obviamente, todas as regras processuais, em que esfera for, devem ser regidas por bases principiológicas.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.

Inscrever

2.1. Definições preambulares dos princípios jurídicos

Princípio9 significa o início, fundamento ou essência de algum fenômeno. Também pode ser definido como a causa primária, o momento, o local ou trecho em que algo, uma ação ou conhecimento, tem origem, sendo que o princípio de algo -seja como origem ou proposição fundamental - pode ser questionado. Outro sentido possível seria o de norma de conduta, seja moral ou legal. Na filosofia, é uma proposição que se coloca no início de uma dedução e que não é deduzida de nenhuma outra proposição do sistema filosófico em questão. Pode-se colocar, com as devidas proporções que é a gênese da Lei.

Já para AVILA (2005) e SANTOS (2015), nas disciplinas do Direito, os princípios são os alicerces da norma, fundamentos em essência, são como o refúgio em que a norma encontra sustentação para racionalizar a sua legitimação, são a base de onde se extrai o norte a ser seguido por um ordenamento, seja em sentido lato como observa-se nos princípios constitucionais, seja em ramos específicos do direito, como o trabalhista, em que o princípio da proteção do trabalhador serve de alicerce para a construção de todos os outros princípios dessa área do direito e de sua legislação não codificada como a jurisprudência. Para Santos apud Melo (2009, p. 882-83), uma definição jurídica para princípio legal seria:

Mandamento nuclear de um sistema, verdadeiro alicerce dele, disposição fundamental que se irradia sobre diferentes normas compondo-lhes o espírito e sentido servido de critério para sua exata compreensão e inteligência, exatamente por definir a lógica e a racionalidade do sistema normativo, no que lhe confere a tônica e lhe dá sentido harmônico.

Destarte, podemos extrair desse compêndio inicial que os princípios, além de serem a origem de algo, a base de sustentação da norma, também são ideias mais genéricas de onde se pode extrair concepções e intenções para a criação de outras normas, ou encontrar a sua sustentação em caso de lacunas na sua aplicação.

Tal prerrogativa se observa no artigo 4º da Lei de Introdução as Normas de Direito Brasileiro, no artigo 126 do Código de Processo Civil e no artigo 8º parágrafo único da Consolidação das Leis do Trabalho em que todos afirmam que, em caso de omissão de regra, o juiz deve decidir a lide baseado em analogias, costumes e princípios gerais de direito. (grifo nosso)

2.2. Princípios normativos da Lei Geral de Proteção de Dados

Podemos identificar ao menos duas teses acerca da natureza da distinção entre princípios e regras: I - a distinção se deve a um aspecto lógico; II - a distinção se deve a um aspecto de grau de generalidade (SILVA, 2003).

Este mesmo autor defende que a regra tem dimensão única: a da validade. Se for válida, deverá ser aplicada integralmente, em sua inteireza, ou não ser aplicada em absoluta. Esse aspecto da regra é também chamado por DWORKIN (1977) de “tudo ou nada”: ou a regra é totalmente aplicada, ou não, de forma atômica. Não existem diferentes graus de aplicação.

Para SILVA (2003), em sendo o princípio o ato que apresenta a dimensão de peso ou importância inicial de qualquer processo, não fazendo sentido falar em sua validade. Dentre os possíveis princípios aplicáveis, será eleito aquele que apresentar maior peso relativo aos demais em face da situação analisada, algo como hierarquia de princípios.

Assim, a questão sobre qual princípio é o mais importante para ser aplicado ao caso em concreto é realmente válida e carece de ser tratada com muito esmero pelo operador do direito, pois dependerá do caso concreto. Será então acolhida aquela que for eleita como mais relevante. Em tempo, necessário colocar que o princípio eventualmente não escolhido continuará coexistindo poderá, quando oportuno, ser evocado em outro momento sem qualquer tipo de consequência a sua existência.

2.3. Descrição dos princípios normativos da Lei Geral de Proteção de Dados

Dentre diversas disposições dadas pela Lei, merecem nossas considerações para efeitos deste trabalho acadêmico, os preceptivos que tratam dos princípios jurídicos assim considerados em relação ao tratamento de dados e que deverão ser respeitados por ocasião de tais tratamentos.

Neste sentido, a normativa legal foi cuidadosa para disciplinar o tratamento de dados das pessoas naturais, ou seja, aqueles envolvendo os já descritos no artigo 5º, inciso X em seu rol taxativo.

Iniciando sua jornada regulamentária a respeito de tais princípios, cravou em caráter introdutório no caput do artigo 6º, a recomendação de que o tratamento seja presidido pela boa-fé, para logo depois relacionar os princípios jurídicos que, em seu entender, considera relevantes para o objeto disciplinado, como rege o próprio enunciado em seu caput: “As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios.”

Segundo Pestana (2020), certamente assim o fez por propor desde logo que o amplo cenário atingido pela Lei, nos casos de tratamentos que estes não poderiam ser contemplados pelo normativo em sua totalidade, de forma taxativa, donde, por vezes, pode ser necessário que o interprete aplicador do direito, recorrer-se dos princípios jurídicos especificados para aplicá-los em conjunto com outros consagrados princípios já exauridos da ordem jurídica, dirimindo dúvidas e conflitos, que as pessoas interessadas (naturais, jurídicas, órgãos de classe, governos) poderão aplicar, em concreto, as normativas principiológicas da LGPD em situações envolvendo o tratamento de dados.

Ainda segundo o mesmo autor, os princípios jurídicos representam uma categoria expressional construída pelos homens, tomados por seus próprios valores morais, dotados de importância e relevância pessoal, reconhecidos pela ordem jurídica, os quais reúnem os enunciados e normas jurídicas voltadas para prescrever condutas e disciplinar as relações intersubjetivas.

Conhecer princípios equivale a conhecer a essência da matéria sob atenção analisada, facilitando a dissecação do objeto ora sob estudo. Já seu desconhecimento, é como trilhar entre disposições e preceptivos de forma aventureira, sem visão holística, prejudicando a possibilidade de analisar-se profundamente a totalidade do seu objeto. Carecemos então de um olhar profissional e aprofundado sobre a égide dos princípios desta Lei.

Desta feita, dadas as considerações introdutórias, passemos a descrever os princípios jurídicos considerados pela Lei Geral de Proteção de Dados em relação ao tratamento segundo o exposto pelo referido diploma em seu artigo 6º. Começamos pois com:

i) Princípio da finalidade: O primeiro dos princípios eleitos, quiçá o mais importante que está previsto no inciso I do artigo 6º da referida Lei, emprega-se ao termo a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, ou seja, o dado deverá, na coleta, ter a indicação clara, completa e inequívoca que justifique sua coleta com fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais.

Por propósitos legítimos podemos aplicar a finalidade movida pelo bom senso, lógica, legalidade, bons costumes e boa-fé, distanciando-se da iniciativa subalterna, simulada, emotiva, ilegal, ilícita e de má fé. Tais finalidades também devem impreterivelmente estar dentro dos limites da lei acompanhadas de todas as informações relevantes para o titular.

Este propósito direciona o tratamento para um determinado objetivo e o Controlador não está autorizado a modificá-la durante o tratamento sem o prévio consentimento. São propósitos explícitos quem enfatizam o aspecto unívoco do tratamento e não admitem desvios, equivocidade ou ambiguidade.

Por dizer, havendo o objetivo do tratamento clara e previamente delineado, não se insurge dúvidas após especificado seu conteúdo. Segundo a interpretação de Pestana (2020), os objetivos que conformam a finalidade admitida pela Normativa Geral devem ser informados ao titular, o qual, com ele concordando, delimitará o objeto do tratamento, domínio esse que, como já explanado com raras exceções, não poderá ser subsequentemente alterado, salvo se nova, específica e expressa concordância, for obtida desse titular.

ii) Princípio da adequação: Está previsto no inciso II, do artigo 6º da LGPD e prevê a “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento” e se refere às compatibilidades do tratamento versus suas finalidades informadas ao titular do dado de acordo com o contexto do tratamento. Uma explicação suplementar segundo o TRF10 3º Região, é a de que os dados devem ser tratados de acordo com a sua destinação. A coleta de dados deverá ser compatível com a finalidade do tratamento, ou seja, sua justificativa deve fazer sentido com o caráter da informação que se pede ao titular. Caso haja incompatibilidade, o tratamento se apresenta como inadequado para a Lei.

Semanticamente, o termo adequação aplicado ao cenário da Lei Geral de Proteção de Dados Pessoais (LGPD), refere-se ao nexo de pertinência lógica de conformidade que se estabelece entre o tratamento e a finalidade objetivada, tal qual informada ao titular previamente (PESTANA, 2020).

Em outras palavras, este princípio estabelece uma conexão entre o tratamento e a finalidade objetivada e tem como pano de fundo a comunicação da finalidade com o titular, predominantemente instruído e presidido por sua ciência11.

iii) Princípio da necessidade. O princípio da necessidade dá-se pela limitação ou diminuição estritamente necessária para realização do tratamento, com objetivo finalista. É como dizer que empresas devem, agora por obrigação legal, utilizar apenas os dados necessários para alcançar as suas finalidades, ponderando entre o que é realmente essencial para o negócio e o que é apenas conveniente. Sustenta-se que alede de tudo, isto seria mais que uma obrigação legal.

De acordo com Pestana (2020), tal perspectiva ocorre pela real necessidade da realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Quanto mais dados forem tratados, maior será a responsabilidade, inclusive em casos de incidentes de segurança, a exemplo de vazamentos e indisponibilidade para o titular.

Em regra, esse princípio trazido pela norma e o de realizar o tratamento apenas e tão somente quando e para o atingimento de determinada finalidade, se mostrar relevante para que o tratamento seja realizado, donde somente deverão constar os dados apropositados, ou seja, aqueles relevantes e imprescindíveis para que o objetivo previamente tracejado seja atingido e pela manutenção do negócio, pois a lei veda tratar dados que não se mostrem oportunos e relevantes à sua finalidade, como demonstram o artigo 5º, inciso XII e artigo 8º, § 4º.

Adjacente a este princípio, está coloquialmente o princípio da proporcionalidade, apesar de este não ser um princípio autônomo previsto pela LGPD, mas que empresta a esta suporte às necessidades do tratamento.

A proporcionalidade, portanto, no âmbito da normativa de proteção de dados pessoais, admite a realização do tratamento, nos limites do que se mostrar imprescindível e necessário para que seu objetivo seja alcançado, previamente delimitado e aprovado pelo titular dos dados, fazendo com que este princípio vise que a coleta de dados pessoais seja restrita ao que realmente é necessário para a realização da finalidade pretendida.

Este princípio, por fim, veda de forma expressa a coleta indiscriminada de dados que não tenham como fim a operação essencial do Agente Controlador.

iv) Princípio do livre acesso. Este princípio basilar descrito no Inciso IV do artigo 6º da Lei 13.853, possibilita que o titular dos dados consulte livremente, de forma facilitada e gratuita, a forma e a duração do tratamento dos dados, bem como sobre a integralidade deles. A integralidade, neste caso, diz respeito a perfeição e exatitude dos dados, defeso que sejam manipulados ou excluídos de forma arbitrária pelo controlador.

Neste princípio, privilegia-se, pois, as pessoas naturais, titulares de seus dados, após estes sofrerem o respectivo tratamento, assegurando-lhes o acesso e conhecimento da integralidade dos seus dados, em especial após seu tratamento cumulado com descrições de como, quando, onde e por quanto tempo os dados destes titulares serão tratados.

Na prática, o Controlador deve criar mecanismos12 para que o titular dos dados tenha o direito de consultar os seus próprios dados e informações de forma gratuita, a qualquer tempo, e exige igualmente, que o titular seja cientificado da duração do tratamento e do período em que os dados tratados serão utilizados para atingir a finalidade correspondente, período esse que, segundo Pestana (2020), poderá apresentar alguma dificuldade na sua fixação temporal, vez que poderá ser dificultoso, previamente, se estabelecer o prazo de reverberação do produto dos dados tratados.

Em tempo, estas garantias apenas estarão materializadas caso tais condições e respectivas concordâncias sejam satisfeitas, entenda-se coletadas, expressamente dos respectivos titulares, na forma e tempo adequado, sujeitos às sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados13, previstas no artigo 52 do referido diploma.

v) Princípio da qualidade dos dados. Princípio norteador consubstanciado na garantia de que os titulares terão assegurada a exatidão, clareza, relevância e atualização de seus dados de acordo com a necessidade com fins para o cumprimento da finalidade de seu tratamento.

É dizer que há garantia de que a base de dados tratada seja confiável e atualizada e, não obstante, alinhada com o propósito do seu negócio, sendo esta essencial para realização do tratamento.

A exatidão refere-se a ideia de precisão e acuracidade, dentro do limiar estrito estabelecido entre dados, tratamento e finalidade. Já a qualidade da clareza associa-se, em relação dada em palavras e procedimentos que, induvidosamente, esclareçam os destinatários da informação, sobretudo ao titular dos dados a serem tratados como pessoa natural. A relevância dos dados nos remete a que o tratamento somente será realizado, caso tal proceder permita atingir a finalidade previamente objetivada e aprovada pela manifestação inequívoca de seu titular dos dados. Por fim tem-se o elemento qualitativo da atualização que destaca o espectro cronológico e dinâmico dos dados, ainda que coletados em determinado momento é compreensível sofram ao decorrer do tempo, a dinâmica da realidade da vida, modificações, exigindo assim, constante atualização.

Para o doutrinador Pestana (2020), tais elementos somente deverão ser exigidos quando estiverem presentes algumas condicionantes como a necessidade e o cumprimento da finalidade do seu tratamento, pois ambos têm como fim atingir uma determinada finalidade previamente desejada e ajustada.

vi) Princípio da transparência. Este princípio é sinérgico ao da qualidade dos dados visto no item v e tem a principal aplicação de que lhes será assegurado informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e sobre os respectivos agentes de tratamento, resguardados, quando necessários, os segredos industriais e comerciais ou com amparo de alguma outra lei como as Leis 9.60914 e 9.61015.

O legislador, ao compor a norma, atentou-se para garantir a proteção de segredos comerciais e industriais aos seus respectivos detentores, constituídos limites a serem observados quanto a transparência relativa aos tratamentos realizados com dados de pessoas naturais.

A transparência enfatiza o desejo de que a Lei imponha a fluidez de informações para o titular dos dados tratados, por ser este titular, juntamente com os seus dados, componentes do espectro de elementos mais importantes de todo o processo de tratamento, cuja finalidade da Lei se resumiria.

Informações claras e transparentes para o contexto deste princípio, compreendem de que todos os dados e elementos técnicos correspondentes no respectivo tratamento, sejam amplamente visíveis e compreendidos pelo titular, sem dúvidas ou equívocos.

Desta feita, nos esclarece Pestana (2020, p.6), que o conteúdo de tal transparência tem lugar, não só nos dados, antes e posteriormente tratados, como também dos agentes que tomaram parte do procedimento, ou seja, o controlador16 e o operador17.

vii) Princípio da segurança. Durante a realização do tratamento ou ao seu término, todos os protagonistas que atuem no tratamento, ou seja, Controladores e Operadores, deverão utilizar medidas técnicas e administrativas robustas e adequadas, a fim de proteger os dados pessoais contra quaisquer situações adversas que possam comprometer os pilares da Segurança da Informação18. Tais exemplos englobam, mas não se limitam, a vazamentos, acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão indevida.

A ideia central desse princípio é a de preservar, sempre em ambiente seguro19, os dados das pessoas naturais objeto do tratamento. É responsabilidade do Controlador buscar por implantar políticas, procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, devendo tomar medidas adequadas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases (NUNES, 2021).

A lei é agnóstica, ou seja, não determina qual a tecnologia, ferramenta, procedimento, tipo, marca, modelo, etc., a empresa deve adotar para manter-se segura. Para tanto, convém, sempre que possível, servir-se de técnicas contemporâneas de segurança, assim como, em se tratando de pessoa jurídica tratadora de procedimentos constantemente aprimorados com vistas a garantir a manutenção da segurança. Sugerimos, no entanto, para o início de tais adequações a leitura da ABNT ISO/IEC 27.00220.

PESTANA (2020, p.7) nos alerta que nesse princípio, mostra-se ineficaz se o vazamento, acesso, alteração ou propagação resulte de uma conduta voluntária e arbitrada, sendo, portanto, ilícita, ou quando decorra de acidente, seja ou não resultado de negligência, imprudência ou imperícia, o que a nosso ver, não será isento de reparação civil ou de multas aplicadas pela ANPD21.

Ratifica-se, por fim, que o tutor desses dados é obrigado a prever todos os cenários possíveis de ocorrer na realidade posta, devendo se precaver contra todas as possibilidades que possam ocorrer envolvendo o acesso e manuseio indevido dos dados das pessoas naturais objeto do tratamento, para tanto, recomenda-se a leitura das recomendações de norma ABNT NBR ISO/IEC 31000:201822 Gestão de Riscos – Diretrizes.

Em particular para este princípio, muito se fala sobre qual seriam as melhores Técnicas de Segurança para manutenção de dados pessoais. Para este suporte, recorremos ao Guia de Boas práticas do Governo Federal onde recomendam a leitura da ABNT NBR ISO/IEC 27701:201923 - Técnicas de segurança, que é uma extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação de requisitos e diretrizes, sendo este um documento que especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 que pode ser usado de norte para processos de adequação aos princípios da Lei (DADOS, 2020). Este guia apresenta uma visão exemplificativa da gestão da privacidade no contexto de uma organização conforme figura abaixo.

Figura 2 - Ativos versus fases do ciclo de tratamento versus medidas de segurança

Medidas de segurança implementadas (destacadas em verde) e não implementadas (destacadas em vermelho).

Fonte: DADOS (2020, p. 49).

viii) Princípio da prevenção. Ora embutido no princípio da Segurança, tal elemento de suma importância provocou o legislador a prestigiá-la, em evidência a um tópico independente, pois entendeu que a prevenção tem como princípio basilar determinando que, no processo de tratamento, sejam adotadas as medidas necessárias para prevenir a ocorrência de danos em detrimento do tratamento inadequado ou ineficiente. Este requer que os protagonistas do tratamento adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais, ou melhor, que ajam antes dos problemas e não somente depois.

Desta feita, nota-se uma reiteração do princípio anterior, vez que a proteção dos dados, antes, durante a após tratamento, é um dever imposto àqueles que os acessam e sobre eles dispõem.

ix) Princípio da não discriminação. Princípio de relevante valor social assentado pela normativa que regula expressamente, a impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos contra seus titulares.

A salvaguarda dos dados através de regras específicas a serem aplicadas em tempo de tratamento, foi cuidadosamente selecionada pelo legislador quando estas recaírem sobre o que a Lei denomina de dados Sensíveis24, previstos pelo artigo 5º, inciso II.

Ponto de relevante interesse nos traz a reflexão por Pestana (2020) que dada impossibilidade de admitir a prática do ilícito intrínseca à ordem jurídica ao direito em que não se limita a esta apenas, indo mais além, referindo-se, também, à sua abusividade por parte do Controlador.

Infelizmente aqui a Lei apresenta uma lacuna por não determinar claramente ao que se refere a terminologia “abuso”, especialmente porque a alocou numa hipótese de finalidade imprópria, o que daria, a nosso ver, ampla margem para discussões jurídicas, pois o referido vocábulo admite diversas acepções.

Na visão de Pestana (2020), este entendeu que o termo abuso pode ser interpretado como o manuseio excessivo ou imoderado dos dados das pessoas naturais, adentrando a fronteira do nexo lógico e jurídico estabelecido pelo trinômio dado-tratamento finalidade, contrapondo a orientação introduzida pela norma, pois se o legislador pretendesse assentá-lo na finalidade propriamente dita na acepção do conceito concreto, teria enfatizado tal valor (vedação à abusividade) ao delimitar também o conteúdo do princípio da finalidade examinado anteriormente.

x) Princípio da responsabilização e da prestação de contas. Sendo este o ultimo princípio arrematado pelo legislador, traz em seu bojo a obrigatoriedade de demonstração, pelo agente tratador, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Tais agentes devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e diligência.

Um dos pontos de atenção levantados por Pestana (2020) e Nunes (2021) é a faculdade de rastreabilidade do tratamento, a qual exige comprovação de procedimentos e atos praticados.

Exemplos deste princípio estão na comprovação de treinamentos, conscientização dos colaboradores, assessórias técnico-jurídicas especializadas para a conformidade e aderência a norma, a utilização de processos, protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular sempre que necessário.

É rastreabilidade com responsabilidade!

Para a Lei, não basta estar seguro, tem que provar que está seguro e segundo a legislação. O agente não só deverá comprovar ter adotado os procedimentos e contramedidas mais adequados aos praticados sob atos permitidos pelo normativo legal, como, também, que todos eles tenham tido eficácia efetiva, pois, do contrário, ainda que o agente tenha agido com boa-fé, se ocorrido descumprimento das normas de proteção de dados, tal equivalerá ao enfrentamento frontal ao princípio da responsabilização e da prestação de contas.

Os direitos a serem garantidos aos titulares de dados estão organizados nos artigos 7º e 8º, aos quais estão segregados em direitos decorrentes dos princípios estabelecidos pelo artigo 6º da Lei e em direitos específicos dos titulares constantes dos demais artigos.