LGPD e burocratização das relações digitais

Resumo: O presente trabalho realizou o estudo da Lei de proteção de dados, conhecida como LGPD, n. 13.709/2018, elevada a estatura Constitucional com a promulgação da Emenda Constitucional 115/22, em 10 de fevereiro de 2022. Assim, abordamos os pontos que entendemos importantes para o entendimento deste inovador marco regulatório. Além disso, realizamos o comparativo com as exigências comerciais da União Europeia através do Regulamento Geral de Proteção de dados pessoais n. 679 (GDPR), sobre a exigência de Países sobre a elaboração de Lei de proteção de dados para manter relações comerciais. Buscamos abordar as principais conceituações dos termos técnico da Lei e a sua estrutura de forma simplificada, das sanções ao descumprimento, e das medidas de adequação à norma, a criação de Autarquia Regulatória da internet. E por fim, tecemos nosso ponto de vista, acerca das dificuldades de sua implementação, questionamentos sua eficiência prática, os aumentos de custos para a implementação, o excesso regulatório que poderá inclusive comprometer a liberdade do uso da internet como já ocorreu na União Europeia com a polêmica do artigo 13 da Diretiva sobre Direito Autoral 2016/0280, que prevê a fiscalização previa de uploads comprometendo e censurando a produção de conteúdo nas plataformas de streaming. E, concluímos, que a efetividade da Lei é inefetiva na prática, e que somente a conscientização da exposição, inevitável, na internet e os dados que pretende disponibilizar são capazes de proteger o indivíduo e a atuação menos burocráticas de empresas privadas e públicas podem preservar os dados e a efetiva liberdade e privacidade.

INTRODUÇÃO

A presente análise tem como finalidade a tentativa de fomentar, incentivar e despertar o interesse pelo o estudo e aprofundamento da LGPD e dessa nova sociedade digital na qual vivemos e suas aplicações e consequências positivas e negativas.

Assim, abordaremos de forma sucinta, modestamente, os pontos que entendemos importantes, com a finalidade de contribuir para os debates sobre esta importante regulamentação sobre tratamento de dados pessoais, bem como um exame crítico sobre eventual distanciamento da realidade, com a burocratização da relação digital e verdadeira abertura de um caminho para o cerceamento da liberdade de forma disfarçada. E, assim, concluirmos com a nossa sugestão para a melhor aplicação da Lei na prática.

Apesar do entusiasmo sobre a Lei e até a sua elevação de Estatura Constitucional pela EC 115/22, alterando em especial o artigo 5º, LXXIX, acreditamos que a Lei 13.709/2018 apresenta certa ingenuidade prática, uma intenção comercial, imaturidade, e um lado sombrio de regulação da internet, na qual discorreremos.

Uma crítica preliminar consiste na elaboração de uma Lei predominantemente principiológica o que perder a objetividade e a devida prioridade e atenção aos termos específicos da Lei, que a meu ver consiste, principalmente, à priore, e em primeira vista na proteção de relações comerciais virtuais.

Tendo em vista a exigência comercial da União Europeia pela elaboração da Regulamento Geral de Proteção de dados pessoais n. 679 (GDPR), que exige que os mesmos cuidados com as informações pessoais e negociais sejam prestados pelos países envolvidos.

Portanto, a finalidade da Lei está longe de apenas assegurar as liberdades e garantias constitucionais, e sim empenhadas na continuidade de transações comerciais, e maior controle do uso da internet.

DA ESTRUTURA E DEFINIÇÕES DE TERMOS APRESENTADOS DA LEI

A presente lei que é dividida em 65 artigos, analisaremos os que entendemos mais importantes para sua compreensão. Assim começaremos pelo o artigo 1º, que como toda boa elaboração de lei, descreve as finalidades e objetivos, e que são basicamente:

Finalidade: tratamento de dados pessoais;
Objetivo: proteger liberdade, privacidade, livre desenvolvimento da personalidade da pessoa natural, e ainda;
Aplicação: são aplicáveis a entidade públicas e empresas privadas, pessoa natural ou jurídica, sem distinção de setor ou categoria profissional.

Ao examinar o artigo 2º da referida Lei, verifica-se uma preocupação maior com questões principiológicas do direito, do que com a preocupação especificas da regulação tecnológicos pretendidas. A Lei traz mais uma preocupação com termos relacionados ao direito e o já preceituada na Constituição Federal do que os meios de garantia a eficaz solução da violação dos dados que se visa tutelar.

Assim dispõem o artigo 2º:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Logo uma violação sem expor uma pessoa de forma prejudicial as garantias constitucionais, não aparenta haver prejuízo e violação à lei.

Já no seu artigo 4º apresenta exceções a aplicação da Lei na qual se inclui:

Pessoas particulares e fins não econômicos;
Jornalísticos e artístico;
Fins acadêmicos;
Para o uso do governo, nas questões de segurança e persecução penal.

O seu artigo 3º trata da abrangência da incidência da Lei na qual descreve que são protegidos os dados coletados e tratados no brasil, confirmando autonomia territorial.

Os dados coletados fora do brasil não terão abrangência desta lei. A extraterritorialidade e a ausência fronteiriça da internet colocam em dúvida acerca de dados em sistemas de nuvens tratados por outros países, que pode deixar dúvidas acerca de sua aplicabilidade.

O artigo 5º da Lei traz os conceitos dos termos usados, assim, descrevem os pontos principais, no qual daremos maior ênfase:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; - (entendemos que são basicamente os documentos de praxe fornecidos pelo próprio governo, tais como: CPF, RG, comprovante de residência, título de eleitor, placa de carro, já apelidos, IP, registros eletrônicos fornecidos pelo envio e sem tratamento não se enquadram na proteção pela falta de certeza da identificação, entre outros).

Traz também que são dados sensíveis:

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dados considerados anônimos ou pseudodados, que permitam a dissociação do titular.

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Tratam-se de dados que não se vincula diretamente a uma pessoa, pois a forma de sua formação não identifica da pessoa.

E uma das principais conceitualização legal consiste no Banco de Dados:

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; - ou seja, é uma tabela ou arquivo com informações pessoais.

Traz uma definição em seu inciso VII e VIII sobre o CONTROLADOR e do OPERADOR, respectivamente, que são os responsáveis por recepcionar os dados e fazer de dar o tratamento aos dados tutelados. E também o ENCARREGADO que atua como intermediário entre o controlador e os titulares, consumidores, e a autoridade nacional, também chamado de data protection Office (DPO).

No inciso X traz a, também, importante definição do que consiste no tratamento de dados:

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

O artigo 6º trata dos princípios da Lei, que como nos referimos há critérios estritamente voltados ao direito e não a tecnologia, assim, dentro do que reputamos mais importantes são os incisos VII e VIII referentes à segurança e à prevenção, que para nosso estudo são os pilares da lei.

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; (Não se trata da conscientização e risco no fornecimento de dados)

Assim, para se obter o tratamento de dados são apresentados no artigo 7º os requisitos entre os mais importantes indicamos os seguintes:

I - mediante o fornecimento de CONSENTIMENTO pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela ADMINISTRAÇÃO pública, para o tratamento e uso COMPARTILHADO de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Verificamos, assim, que o MERO CONSENTIMENTO é o critério mais importante no tratamento de dados, que possibilita a manuseio da forma como responsável, controlador e operador utilizará os dados.

O artigo 9º faz a ressalva de que o consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. O que pela nossa observação existe notória ausência de todos esses requisitos nas exigências de consentimento.

A Lei trata de outro ponto, deixa de tratar de forma efetiva o ciclo de dado, que reputamos de igual relevância que aborda sobre o término do tratamento de dados.

Contudo, não apresenta a mesma ênfase na eliminação, a forma adequada de eliminação, da irresponsabilidade incorreta de eliminação, do comunicado e consentimento na eliminação dos dados.

Essa questão é abordada sucintamente em seus artigos 15 e 16, e basicamente quando já atendidas as finalidades, com a revogação do consentimento entre outras hipóteses.

A questão que se impõe é a forma de eliminação e a exclusão completa e irrestrita dos dados não é abordada de forma satisfatória, mediante a criação ou estipulação de departamento ou responsável técnico pela eliminação completa dos dados, já que uma vez veiculadas de forma irregular pela rede mundial de computadores isso se torna incontrolável e sem possibilidade de exclusão e eliminação.

O §6º preceitua ainda que a comunicação da dispensa dos dados poderá ser dispensada se comprovadamente impossível ou implique esforço desproporcional.

Já no artigo 31 da lei trata de forma sucinta sobre a responsabilidade em decorrência da violação ao tratamento de dados, solicitando apenas as medidas adotadas para a reparação e o relatório de impacto à proteção dos dados pessoais.

DAS TRANSAÇÕES INTERNACIONAIS E DA TRANSFERÊNCIA DE DADOS

Outro ponto importante consiste na transferência internacional de dados, em que a lei dispõe que somente será permitida se observado os termos e princípios de proteção desta Lei.

Sabemos que a LGPD se inspirou em regulação da União Europeia denominada Regulamento Geral de Proteção de dados pessoais n. 679 (GDPR) na qual passou a exigir a mesma proteção de dados de outros países para a pactuação de relações comerciais.

Porém, a Lei retrata uma expectativa distante da realizada, já que as fronteiras entre países restaram superar com a internet, e que com o simples consentimento em termos confusos, já se garante essa transferência sem a observância do cumprimento dos termos desta Lei seja normalmente realizada.

A transferência internacional se tornou um procedimento banal, o compartilhamento de dados é uma realidade inevitável e a simplicidade dos mecanismos desta lei não são capazes de combater ou controlar eventuais violações.

O que nos leva a acreditar a regulação envolvendo o âmbito internacional tratou-se de uma imposição internacional em especial da União Europeia para manter a viabilidade nas transações comerciais, sem embargos.

Entretanto, mesmo antes do surgimento das regulações já ocorrem transferências de dados, considerando-se muitos aplicativos e plataformas são de natureza internacionais, como: facebook, WhatsApp, Instagram, tiktok, youtube entre outros como: aliexpress e alibaba.

Portanto, a nosso entender a transferência de dados internacionais, neste momento é decorativa e sem qualquer efetividade, igualmente os regulamentos da União Europeia.

DOS RESSARCIMENTOS DE DANOS

O artigo 42 ao 45 trata da reparação de danos e ressarcimento pela violação dos danos causados ao titular. Até aqui não há novidades e inovação jurídica, já que a deficiência da prestação de serviços sempre foi motivo de indenização.

DA SEGURANÇA E BOAS PRÁTICAS

Em seus artigos 46 ao 49 obriga de forma importante que os dados prestados sejam protegidos e que sejam resguardadas medidas de segurança para evitar acesso não autorizado, e serão objetos de melhor regulamentação pela Autarquia regulamentadora, por meio de códigos de conduta e comportamentos.

A expectativa, mais uma vez, da Lei é boa, mas a realidade vem se mostrando cada vez mais complexa a referida proteção de dados e ao acesso não autorizado, como será demonstrado.

Isso porque, obriga que empresas de menor porte sejam compelidas a manter equipe de profissionais na área da segurança da informação. Além disso, com o avanço tecnológico nem mesmo as empresas de grande porte tem tido sucesso na preservação dos dados, o que demonstra rotineiramente vazamentos e alterações dos dados.

O que nos resta saber é como a Lei irá assegurar a proteção pretendida e a sofisticação de ataques e desorientação de usuários, sem com isso elevar gastos a ponto de aumentar demasiadamente o custo brasil e gerar ainda mais impostos e encargos a sociedade e para os pequenos empreendedores e surgimento de startups.

Contudo, das boas práticas de segurança, talvez seja a melhor parte da Lei, porém, foi tratada em apenas 1 artigo o 50, caput, em que menciona superficialmente como prática de ações GOVERNAMENTAIS EDUCATIVA.

A presente Lei deveria a nosso modesto entender ser baseada integralmente na conscientização dos riscos do uso da internet, no fornecimento seguro de informações, e educação para evitar práticas maliciosas e que comprometa o uso regular do aparato tecnológico moderno. E mais ainda que a segurança na internet é questão complexa e temos que ter a consciência de que não há anonimato na internet.

DAS PREVISÕES DAS SANÇÕES PELO DESCUMPRIMENTO LEGAL

E já chegando ao final da análise temos a parte igualmente relevante sobre AS SANÇÕES ADMINISTRATIVAS para quem descumprir a previsão desta norma. Por essa razão, a fim de evitar sanções, as empresas e o poder público devem estruturar de forma adequada o banco de dados e segurar nos termos principiológicos da regulação.

Conduto, prevê que antes de qualquer aplicação punitiva deve ser assegurado o exercício da ampla defesa e do contraditório. Além disso, nos artigos 52 § 1º estão elencadas condutas que podem atenuar as penalidades, entre elas a boa-fé, condições econômicas, dano causado e cooperação, entre outras.

As penalidades estão elencadas no rol do artigo 52, incisos I a VII que podem variar de uma mera advertência ao pagamento de 50 milhões de reais por infração.

Porém, na vigência desta Lei ocorreu o vazamento de cerca de 2,4 milhões de pessoas dos bancos de dados do governo, especificamente, do SUS em 10/12/2021, e do TSE na vigência desta Lei e nenhuma medida administrativa aparentemente foram aplicadas no rigor desta Lei.

O que nos leva a refletir sobre quem recairá as penalidades administrativas rigorosamente impostas.

REQUISITOS BUROCRÁTICOS PARA SE ADEQUAR À LGPD

Para se adequar à Lei foi concedido o período de 24 meses, vacation legis, sendo prorrogado pela pandemia, assim, a partir de 1ª de agosto de 2021 entrou em vigência a possibilidade de aplicação das sanções previstas na Lei.

De forma resumida para atender os preceitos da lei são necessários:

Atualização de políticas de privacidade, incluindo expressamente o tratamento de dados e o expresso consentimento;
Atualização de cláusulas contratuais, abordando o tratamento de dados e a privacidade devida;
Clausula contratuais com prestadores de serviços de soluções de informação, nuvem, monitoramento, e-mail, marketing, credit score, big data, mídia sociais;
Mapeamento do fluxo de dados para gestão de TI e dos controles de consentimento, incluindo o ciclo de vida do dado;
Cláusulas de prevenção a aplicação de multas e fiscalização de dados;
Checklist de compliance para o uso da área de compras para novos fornecedores e parceiros, que precisarão estar em conformidade com as novas regulamentações de proteção de dados pessoais;
Gestão e guarda de trilha de auditoria de logs de consentimento.

Documento necessários que precisam fazer parte do acervo de requisitos da lei:

Mapa de fluxo de dados pessoais (personal data flow map);
Tabela de temporalidade de guarda de logs de consentimento;
Política de gestão de dados pessoais;
Política de tratamento de dados pessoais para terceirizados;
Termo de uso e política de privacidade;
Contrato atualizado com clausulas prevista na LGPD;
Código de conduta com previsão de tratamento de dados;
Política de segurança da informação.

Em especial será necessária a documentação específica trazida pela LGPD denominada de Relatório de impacto à Proteção de Dados (RIPD ou DPIA), artigo 5º XVII.

Desse modo, verifica-se a tendencia ao surgimento de nova área de atuação no mercado de trabalho, com independência e autonomia, pela especificidade da documentação exigida e da adequação capacitada.

DA CRIAÇÃO DE AGÊNCIAS REGULADORAS DO USO DA INTERNET

Por fim, a Lei criou o e inovou de forma mais preocupante as denominadas AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE em seus artigos 55-A até o artigo 59, atualmente, são entidade vinculadas à presidência da república, com a autonomia funcional, composição de quadro de funcionário próprios e que serão transformadas em mais uma agência autárquica reguladora, dessa vez da internet e seu uso.

Cuidarão de fazer cumprir a presente legislação e elaborar diretrizes de proteção de dados, Códigos de comportamento, orientação, fiscalização e punição entre outras atribuições inerentes.

A ANPD atualmente já está em funcionamento, ainda de forma estrutural, mas já dispõe de site próprio e com programas de governança e políticas a serem adotadas.

A tendência irreversível é que se torne uma potência regulatória da estatura de ANVISA, ANS, ANEEL, ANP e outras. Já existem cerca de 150 Data protetion authorities (DPAs) pela União Européia.

Com isso, já surgiu na Europa a Proposta Diretiva sobre Direito Autoral 2016/0280 (COD), e veio com a polêmica do artigo 13, que prevê o filtro de Upload, em que prevê uma análise prévia dos conteúdos postados o que foi largamente criticado.

Porém, é importante destacar que a histeria pelo controle de informações em website é desproporcional, e não merece tanta preocupação como se deseja alarmar.

O deve ocorrer é conscientização de que há registros e históricos de navegação, para que as pessoas saibam o que estão fazendo na internet e se conscientizar do bom uso. A CONSCIENTIZAÇÃO É A MELHOR FORMA DE PREVENÇÃO E NÃO A REGULAÇÃO EXCESSIVA COMO SE PRETENDE ADOTAR.

Perceberemos, assim, ao longo do tempo se será um órgão de regulação excessiva e até instrumento de eventual censura da internet ou uma espécie de procon digital que atue nas relações comerciais fraudulentas e prejudiciais. Mas certamente ainda ganhará a musculatura devida e um papel promissor e de protagonismo nas relações comerciais digitais.

Portanto, as empresas privadas e entidade públicas precisam se adequar a essa nova realidade e desafios negociais, para não serem responsabilizadas por esse novo risco que para muitos será invisível e despercebido, mas de potencial lesividade.

DA CONCLUSÃO

Pelo exposto acreditamos que apesar da importância da preservação da privacidade, intimidade de dados e seu tratamento, o excesso regulatório pode acabar por inibir a inovação tecnológica a assunção de riscos, além de aumentar os custos operacionais de empresas privadas e para o poder público custeado pela sociedade já sobrecarregada.

A histeria na proteção de dados não é justificada, mas o que deve ser aplicado de forma segura é a conscientização popular de que a privacidade na internet de dados pessoais é matéria de extrema complexidade e com a maior chance do fracasso regulatório, e que possivelmente seus dados já estão expostos na rede mundial de computadores.

Portanto, concluímos que somente o esclarecimento de que a privacidade na internet é improvável, e que o bom uso, e responsabilidade individual deve ser observadas, em contrapartida as empresas devem se limitar a menor exigência de informações cadastrais, a fim de desburocratizar as transações comerciais. E, por fim, que a tecnologia se encarregará de criar mecanismos para a própria segurança, a fim de se manter confiável e uma potência comercial que já se tornou.