Por Renato Afonso Gonçalves*
No artigo antecedente traçamos um panorama histórico da proteção de dados pessoais, culminando com a edição do Regulamento Geral de Proteção de Dados – RGPD europeu, e da Lei Geral de Proteção de Dados – LGPD brasileira.
Como
visto, o RGPD europeu, Regulamento (UE) 2016/679, constitui talvez o mais
importante diploma de proteção de dados na atualidade, na medida em que busca o
necessário equilíbrio entre o desenvolvimento de um enorme mercado digital e a
proteção de dados pessoais, gerando reflexos inclusive para aquelas nações que
mantém relações comercias com a Europa. Esse diploma é fruto do processo de
amadurecimento das experiências no tratamento da matéria no campo legislativo,
regulatório e jurisprudencial.[i]
Trata-se do reconhecimento de que a matéria adquire enormes proporções
relativas a aspectos econômicos, sociais e culturais.
O RGPD,
que entrou em vigor em 25 de maio de 2018, é composto por 173 Considerandos e
99 Artigos, o que denota não só a grande extensão do diploma mas a preocupação
do legislador europeu em detalhar o seu conteúdo visando a facilitação de sua
aplicação, muito embora esteja prevista uma abertura legislativa e regulamentar
para os Estados-Membros aprimorarem a sua aplicação em seus respectivos
territórios.[ii]
Desta
feita o Regulamento Europeu trata de fixar o âmbito de aplicação material e
territorial das regras; fixar definições, princípios e condições para o
tratamento das diferentes categorias de dados pessoais; conferir direitos dos
titulares de dados pessoais; fixar regras atinentes aos responsáveis pela
manipulação e seus subcontratantes; estabelecer regras para a transferência
internacional de dados pessoais; fixar mecanismos públicos e administrativos de
controle e sanções para a violação de seus preceitos; e normatizar a proteção
de dados no âmbito das relações de trabalho.
Em
apertadíssima síntese procuraremos apontar os principais aspectos do novel
diploma europeu.
Atente-se
que o objetivo do RGPD é “contribuir
para a realização de um espaço de liberdade, segurança e justiça e de uma união
econômica, para o progresso econômico e social, a consolidação e a convergência
das economias a nível do mercado interno e para o bem-estar das pessoas
singulares”.[iii]
Com isso, não se trata de proibir as atividades econômicas no mundo digital, ao
contrário, trata-se de garantir que essas atividades sejam exercidas tendo como
pressuposto o respeito ao direito fundamental à proteção de dados, o que, por
consequência, também garante uma leal concorrência entre os agentes econômicos.
Como expressa o Considerando 7 do RGPD, deverá ser “reforçada a segurança jurídica e a segurança prática para as pessoas
singulares, os operadores econômicos e as autoridades públicas”.
O diploma
em exame estabelece um conceito amplo aos “dados pessoais”[iv],
que são considerados qualquer informação relativa a uma pessoa singular
identificada ou identificável (pessoa singular que possa ser identificada,
direta ou indiretamente, em especial por referência a um identificador, como
por exemplo um nome, um número de identificação, dados de localização,
identificadores por via eletrônica ou a um ou mais elementos específicos da
identidade física, fisiológica, genética, mental, económica, cultural ou social
dessa pessoa singular).
A mesma
amplitude foi empregada para a conceituação de tratamento de dados como uma
operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre
conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais
como a recolha, o registo, a organização, a estruturação, a conservação, a
adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação
por transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou interconexão, a limitação, o apagamento ou a destruição.[v]
Com isso percebe-se que o RGPD ampliou de sobremaneira o seu espectro de
incidência, afetando atividades profissionais ou comerciais que tenham como
pressuposto ou instrumento de desenvolvimento alguma forma de manipulação de
dados pessoais.
Atente-se
que o RGPD estabeleceu uma categorização de dados pessoais e espectros de
proteção diferenciados, conforme se manifeste a expressão da privacidade ou
intimidade do sujeito. São o que a doutrina denomina de dados pessoais sensíveis
(intimidade), ou não sensíveis (privacidade). Por essa razão o Artigo 9º do
RGPD estabelece como regra geral que é “proibido
o tratamento de dados pessoais (sensíveis) que revelem a origem racial ou étnica, as opiniões políticas, as
convicções religiosas ou filosóficas, ou a filiação sindical, bem como o
tratamento de dados genéticos, dados biométricos para identificar uma pessoa de
forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou
orientação sexual de uma pessoa”.As exceções previstas no número
2 do Artigo 9º implicam um nível de proteção mais rigoroso e, por conseguinte,
de maior responsabilização por suas violações.
Outro
aspecto relevante é o que se refere ao tratamento lícito[vi]
de dados pessoais, que somente se dá se o respectivo titular tiver dado o
devido consentimento para uma ou mais finalidades específicas, tais como a fase
pré-contratual ou de execução de um contrato; para o cumprimento de uma
obrigação jurídica a que o responsável pelo tratamento esteja sujeito; para a
defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
para o exercício de funções de interesse público ou ao exercício da autoridade
pública de que está investido o responsável pelo tratamento; para efeito dos
interesses legítimos prosseguidos pelo responsável pelo tratamento ou por
terceiros, exceto se prevalecerem os interesses ou direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais, em especial
se o titular for uma criança[vii],
hipótese não aplicável se o tratamento de dados for efetuado por autoridades
públicas na prossecução das suas atribuições por via eletrônica.
Assim, o
tratamento de dados pessoais só pode se dar de forma lícita, leal e
transparente, almejando finalidades determinadas, explícitas e legítimas, não
podendo ser tratados posteriormente de uma forma incompatível com essas
finalidades. Os dados devem ser adequados, pertinentes e limitados às
finalidades pretendidas (minimização de dados) para as quais são tratados,
devendo ser mantidos exatos, atualizados, e conservados de uma forma que
permita a identificação de seus titulares durante o período necessário para as
finalidades para as quais são tratados (limitação de conservação), podendo ser
conservados por longos períodos, desde que sejam tratados exclusivamente para
fins de arquivo de interesse público, ou para fins de investigação científica,
histórica ou para fins estatísticos.
A
segurança ganha centralidade no RGPD, visando proteger os dados pessoais de
tratamento não autorizado ou ilícito, bem como de sua perda, destruição ou
danificação acidental, com a adoção de medidas técnicas ou organizativas
adequadas, razão pela qual se prevê a responsabilização de todos os
corresponsáveis pela manipulação, exigindo-se o registro de todas as atividade
de tratamento e gestão de riscos, com a nomeação de um encarregado e a
notificação às autoridades competentes sobre eventuais violações.
Para dar
efetividade às suas regras, o RGPD estabelece poderosas sanções à sua violação,
permitindo que os Estados-membros regulem a matéria sempre para ampliar o
espectro de efetividade. É o que dispões o seu Artigo 58, conferindo a cada
autoridade de seus Estados-Membros o poder de correção através de advertências,
repreensões, determinação para a adoção de procedimentos específicos, retirada
de certificações, aplicação de vultosas multas pecuniárias (Artigo 83[viii]),
e determinação de suspensão do envio de dados para destinatários em países
terceiros ou para organizações internacionais.
Por
derradeiro, chama-se a atenção para o aspecto da territorialidade que visa
proteger os dados pessoais de residentes europeus em qualquer lugar do mundo. O
Artigo 3º do RGPD prescreve que o diploma é aplicado ao tratamento de dados de
residentes europeus, independentemente de o tratamento ocorrer dentro ou fora
da União Europeia.
Prevê
ainda a sua aplicação quando o responsável pelo tratamento ou subcontratante,
não estabelecidos na União, ofertar bens ou serviços na União, ou pretender o controle
do comportamento do titular, desde que esse comportamento tenha lugar na União
Europeia. Por essas razões todas as pessoas que estabeleçam algum tipo de
relação econômica com União Europeia devem necessariamente observar o RGPD.
Em
consequência desse cenário, têm-se que o mesmo se dá em relação à transferência
de dados de pessoas que residem na Europa. É o que determina o Artigo 44 do
RGPD, ao prescrever que “qualquer
transferência de dados pessoais que sejam ou venham a ser objeto de tratamento
após transferência para um país terceiro ou uma organização internacional só é
realizada se, sem prejuízo das outras disposições do presente regulamento, as
condições estabelecidas no presente capítulo forem respeitadas pelo responsável
pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às
transferências ulteriores de dados pessoais do país terceiro ou da organização
internacional para outro país terceiro ou outra organização internacional.
Todas as disposições do presente capítulo são aplicadas de forma a assegurar
que não é comprometido o nível de proteção das pessoas singulares garantido
pelo presente regulamento”.
Feita uma
rápida análise do RGPD, passemos à nova LGPD brasileira.
Como
visto, a LGPD veio integrar o arcabouço legislativo existente até 2018 para a
proteção de dados pessoais, reforçando, por conseguinte, a proteção brasileira
à privacidade, intimidade, honra, imagem e dignidade da pessoa humana.
Há muito
tempo a sociedade brasileira ansiava por um diploma específico na matéria, e a
edição do RGPD europeu precipitou a sua aprovação, na medida em que se tornou
estratégico e vital para a nossa economia o estabelecimento de níveis de
proteção semelhantes ao europeu, de forma a contribuir para a competitividade
internacional das empresas brasileiras.
Inicialmente
note-se que LGPD entrará em vigor apenas em fevereiro de 2020, justamente para que
a sociedade e o mercado brasileiros se adaptem às novas exigências.
Trata-se
de uma lei que institui princípios a serem observados na matéria, estipulados
no rol exemplificativo do Artigo 6º, e que contempla a figura da boa-fé,
delineada e consolidada no direito civil.
Destarte,
os princípios expressos na LGPD são: finalidade – o tratamento deve ser
realizado para propósitos legítimos, específicos, e sem possibilidade de manipulação
incompatível com essas finalidades; adequação – o tratamento deve ser
compatível com as finalidades informadas ao titular; necessidade – o
tratamento deve ser limitado ao mínimo necessário para a realização das
finalidades; livre acesso – deve ser garantida aos titulares a consulta
facilitada e gratuita sobre a forma e a duração do tratamento, bem como o
acesso à integralidade dos seus dados; qualidade dos dados – deve ser
garantida a exatidão, clareza, relevância e atualização dos dados; transparência
– deve ser garantida a prestação de informações claras e facilmente acessíveis
pelos titulares; segurança – deverão ser adotadas medidas técnicas e
administrativas aptas a proteger os dados de acessos não autorizados; prevenção
– deverão ser adotadas medidas para prevenir a ocorrência de danos em virtude
do tratamento de dados pessoais; não discriminação – impossibilidade de
tratamento para fins discriminatórios; responsabilização e prestação de
contas – demonstração de medidas eficazes para observar e comprovar o
cumprimento das normas de proteção de dados pessoais.
Esses
princípios orientam toda atividade manipuladora de dados pessoais e se unem ao
dever de privacy by design e privacy by default. Privacy by design
ou privacidade desde a concepção, é um conceito atinente à engenharia de
sistemas, e que leva em conta a privacidade durante todo o processo de
construção e execução (adotando por exemplo a pseudonimização e cifragem),
respeitando os valores humanos em todo o processo. Privacy by default ou
proteção por padrão, implica que os manipuladores devem garantir que os dados
pessoais sejam tratados com a mais elevada proteção da privacidade (somente
dados necessários devem ser tratados por um período de conservação curto e com acessibilidade
limitada) para que, por padrão, os dados pessoais não sejam disponibilizados a
um número indefinido de pessoas. O RGPD, em seu Artigo 25 positivou e delineou
bem esses conceitos, o que não ocorreu com a LGPD. No entanto, a conjugação dos
Artigos 6º e 46 da LGPD nos permite inferir que esses princípios/conceitos
foram adotados pela nossa lei.
Assim
como o RGPD, a nossa lei trata de fixar o âmbito de sua aplicação material e
territorial, estabelecendo definições, princípios e condições para o tratamento
das diferentes categorias de dados pessoais. Também confere direitos aos
titulares de dados pessoais, fixando regras aos responsáveis pela manipulação e
seus subcontratantes, e delineando os mecanismos públicos e administrativos de
controle e sanções para a violação de seus preceitos.
Ao contrário
do RGPD, nossa lei positivou o direito fundamental à autodeterminação
informativa (Art. 2º, II), o que em nossa opinião é um aspecto positivo, pois
consolida na cultura jurídica pátria esta importante conquista da humanidade
frente às novas tecnologias.
A novel
lei brasileira de proteção de dados pessoais passa ser a lei geral na
matéria, que irradia comandos para todas as áreas do direito e deve ser
aplicada e interpretada de forma sistemática a partir dos preceitos
constitucionais da matéria. Portanto, a LGPD possui um caráter matricial que
impactará múltiplos setores da economia e da atividade estatal.
Desta
feita, como regra geral, qualquer manipulação, coleta ou processamento de dados
pessoais realizada no território nacional, cujos titulares se encontrem no
Brasil, estão submetidas à lei brasileira, independentemente da localização ou
nacionalidade de quem as manipula. Excetuam-se de sua aplicação a manipulação
feita por pessoa natural para fins particulares; realizada para fins
jornalísticos ou artísticos ou acadêmicos; realizada para fins de segurança
pública, defesa nacional, segurança do Estado ou atividades de investigação e
repressão de infrações penais, hipóteses que serão objeto de normas próprias,
observados o devido processo legal, os princípios gerais de proteção e os
direitos do titular.
A
manipulação de dados pessoais de crianças e adolescentes foi contemplada na
LGPD, que trata do assunto no Artigo 14, lembrando que nessas hipóteses a lei
deve ser aplicada e interpretada em consonância com o Estatuto da Criança e do
Adolescente – ECA, e o Código Civil. Ao contrário do RGPD, a nossa lei não
fixou a idade limite para que o titular dos dados promova o consentimento de
forma autônoma, fixando apenas que o “tratamento
de dados pessoais de crianças deverá ser realizado com o consentimento
específico e em destaque dado por pelo menos um dos pais ou pelo responsável
legal”( §
1º do Artigo 14). Assim,
entendemos que deve ser aplicado Art. 2º do ECA, que considera criança a pessoa
até doze anos de idade incompletos.
Na
esteira do RGPG, a lei brasileira não se furtou de enfrentar a questão da
anomização de dados, ou seja, a utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo. Como salientado, esses dados não são
considerados como pessoais salvo quando o processo de anonimização puder ser
revertido, utilizando exclusivamente meios próprios ou mediante esforços
razoáveis, considerando-se fatores objetivos, como custo e tempo para reverter
o processo de anonimização (pseudoanomização).
Outro
aspecto digno de nota é o que se refere à responsabilização civil pela lesão à
dados pessoais, matéria tratada de forma bastante similar à disposta pelo
Código de Defesa do Consumidor – CDC. Aliás, o texto do novel diploma fez bem
em enfatizar que lesões à dados pessoais nas relações de consumo serão apuradas
em integração com o CDC (Artigo 45 da LGPD).
Assim,
reconhecendo a possibilidade da ocorrência de danos patrimoniais, morais,
individuais ou coletivos pelos agentes de tratamento, o Artigo 40 da LGPD
estabelece a regra geral de solidariedade entre o controlador e operador quando
este descumprir as obrigações da legislação de proteção de dados ou quando ele
não tiver seguido as instruções lícitas do controlador. Os controladores também
são solidários quando estiverem diretamente envolvidos no tratamento do qual
decorreram danos ao titular dos dados.
As
exceções à essa regra de solidariedade estão dispostas no Artigo 43 da LGPD.
São elas: quando o agente de tratamento (controlador ou operador) provar que
não realizou o tratamento de dados pessoais que lhes é atribuído; quando provar
que, embora tenha realizado o tratamento de dados pessoais que lhe é atribuído,
não houve violação à legislação de proteção de dados; ou provar o dano é
decorrente de culpa exclusiva do titular dos dados ou de terceiros.À essa
sistemática a lei reserva a possibilidade de ação de regresso, e a tutela
coletiva em juízo com a aplicação do CDC e da Lei de Ação Civil Pública.
Outra
medida semelhante ao preconizado no CDC, é a que prevê a inversão do ônus da
prova em favor do titular dos dados, quando for verossímil a alegação, houver
hipossuficiência para fins de produção de prova, ou quando a produção de prova
pelo titular resultar-lhe excessivamente onerosa.
Ao
contrário do RGPD que prevê prazo de 72 horas, a LGPD apenas prevê o dever de o
controlador comunicar, em prazo razoável, à Autoridade Nacional e ao titular
sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano
relevante. Neste ponto falhou a nossa lei pois não há elementos para a
definição de prazo razoável, que possivelmente ficará ao encargo de regulamento
da Autoridade Nacional. Nesta hipótese, a Autoridade Nacional poderá adotar
medidas semelhantes ao recall consumerista, como a ampla divulgação do
fato em meios de comunicação (hipótese bastante constrangedora para a imagem do
controlador), bem como outras medidas que entender necessárias para reverter ou
mitigar os efeitos do incidente.
Quanto à
transferência internacional de dados pessoais (Artigos 33 ao 36) a lei
brasileira seguiu a esteira do RGPD, possibilitando-a apenas para aqueles países
ou organizações internacionais que proporcionarem grau de proteção de dados
pessoais adequado ao previsto na LGPD ou quando o controlador oferecer e
comprovar a conformidade, através de disposições contratuais, normas
corporativas, selos, certificados e códigos de conduta regularmente emitidos,
com conteúdo definido ou verificado pela Autoridade Nacional.
Outro
requisito indispensável para a transferência internacional de dados pessoais é
a necessidade de consentimento específico do titular dos dados, que deve se dar
em destaque e de forma distinta de outras finalidades.
Por
derradeiro, no que se refere às sanções administrativas a LGPD caminhou bem ao
fixar grandes montas. Assim, de acordo com cada caso concreto a Autoridade Nacional,
após conclusão de procedimento administrativo e garantida a ampla defesa, pode
fixar a advertência; multa simples, de até 2% do faturamento da pessoa jurídica
de direito privado, grupo ou conglomerado no Brasil no seu último exercício,
limitada, no total, a R$ 50.000.000,00 por infração; multa diária; publicização
da infração e bloqueio dos dados pessoais a que se refere a infração até a sua
regularização.
Como
visto, o mundo digital alcançou um grau de desenvolvimento extraordinário. A
crescente dependência tecnológica da humanidade só faz crescer a quantidade e o
fluxo de dados pessoais disponíveis para as tecnologias disruptivas. Proteger a
privacidade, intimidade, imagem e dados pessoais é uma tarefa indispensável
para o necessário equilíbrio no mundo da pós-modernidade.
Por isso,
à exemplo do que aconteceu na Europa, a sociedade civil e as empresas
brasileiras deverão se adaptar à LGPD, como uma necessidade premente do
crescente mundo globalizado da economia digital.
Assim, as
empresas deverão instituir ou rever a forma como recolhem, manipulam, armazenam
e processam dados pessoais. Essa adaptação é muito valiosa em todos os
sentidos, desde a consolidação da confiabilidade dessas empresas perante
consumidores e clientes, até a possibilidade de condições igualitárias de
concorrência internacional. Nesse sentido, proteção de dados e compliance
são pressupostos básicos da atividade empresarial no século XXI.
A LGPD em
muitos aspectos se aproxima, porque em certa medida foi inspirada, do RGPD
europeu. No entanto, no que pese representar um bom começo, pensamos que a
novel lei deixou a desejar em muitos aspectos, não regulando ou regulando de
maneira insuficiente, matérias como: dados pessoais nas relações de trabalho;
no espectro de investigações criminais e infrações administrativas; videovigilância;
direito ao esquecimento; biotecnologia; perfirização; subcontratação; aspectos
técnicos de segurança, conduta e certificação; cooperação e coerência;
liberdade de expressão e informação; documentos públicos; tratamento efetivado
por entidades religiosas, entre outras.
É verdade
que caberá à doutrina e à jurisprudência superar eventuais lacunas e antinomias
decorrentes dessa situação. A própria criação da Autoridade Nacional de
Proteção de Dados vinculada à administração direta, junto à Presidência da
República, evidencia o mar de dificuldades que surgirão pela frente. Era
imperiosa a criação de autarquia especial com mais independência institucional,
funcional e financeira, para a adequação de nosso sistema aos padrões
internacionais.
Muito
possivelmente assistiremos os conflitos de interesses econômicos decorrentes da
aplicação da LGPD baterem às portas dos tribunais superiores como ocorreu com o
marco civil da internet e as relações em torno do whatsapp, que discute
os limites da intervenção estatal no desenvolvimento e uso da criptografia. A
lei do cadastro positivo é o exemplo mais nítido e flagrante de conflito com a
LGPD, sobretudo no que diz respeito ao tema do consentimento do titular dos
dados pessoais.
Questões
como aquelas que envolviam a atividade da Cambridge Analytica no
processo do Brexit e nas eleições americanas, começam a ser suscitadas
no Brasil com as denúncias de proliferação de fake news nas eleições
presidências de 2018. A influência jurídica americana que trata o tema à luz do
direito de propriedade contrasta com a concepção europeia de enquadrar o
direito à proteção dos dados pessoais no âmbito dos direitos humanos. A
esquizofrenia vivida no mundo jurídico pátrio (civil law x common law) influenciará
de sobremaneira o futuro da LGPD.
O Brasil
passa por uma profunda crise política, econômica, social e institucional poucas
vezes vista em nossa história. Autoritarismos de agentes públicos, desrespeito
flagrante à ordem constitucional e aos direitos humanos, ódio e intolerância, brotam,
noite e dia, nas ruas e principalmente no mundo digital.
É nesse
cenário que nasce a LGPD. Um bom começo, que poderia ser melhor. Um futuro a
ser construído por linhas tortuosas, que exigirá do mundo jurídico muito
trabalho e superação para a efetivação da proteção integral dos dados de
caráter pessoal no Brasil.
*Renato Afonso Gonçalves, advogado, é doutorando em Ciências Histórico-Jurídicas na Faculdade de Direito da Universidade de Lisboa.
[i]Atente-se para
os paradigmáticos acórdãos do Tribunal de Justiça da União Europeia: Digital
Rights Ireland, de 2014 – Processos C-293/12 e C-594/12; Google Spain SL e
Google Inc, de 2014 (Processo C-131/12); e Maximillian Schrems, de 2015 –
Processo C-362/2014. TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPÉIA. Disponível em:
https://curia.europa.eu/jcms/jcms/j_6/pt/.
[ii]À guisa de
exemplificação, em Portugal foi editada a Lei nº 58/2019, de 08 de Agosto de
2019, que assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, relativo à proteção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à
livre circulação desses dados. Disponível em: https://www.cnpd.pt/.
[iii]Considerando 2
do RGPD.
[iv]Artigo 4º, 1, do
RGPD.
[v]Artigo 4º do
RGPD.
[vi]Artigo 6º do
RGPG.
[vii]O Artigo 8º do
RGPD exige o consentimento dos pais ou responsáveis para a manipulação de dados
pessoais de pessoas menores de 16 anos. De outra parte o regulamento permite
que as leis dos estados-membros possam reduzir esse limite, que não pode ser
inferior a 13 anos.
[viii]Podem variar de
10 milhões de euros ou 2% do faturamento anual global da empresa, a 20 milhões
de euros ou 4% do faturamento anual global da empresa.