Baixe o app para aproveitar ainda mais
Prévia do material em texto
Vice Presidente: Viviane Malanga Apoio: JANEIRO 2020 Coordenação e Revisão: Regiane Martins dos Santos Adriana Cristina F. L. de Carvalho Lei Geral de Proteção de Dados Comentários à Realização e Organização: Comissão de Direito Digital, Tecnologia e Inteligência Artificial. OAB-SP 116ª Subsecção - Jabaquara - Saúde Presidente: Paulo Purkyt Presidente Evandro Andaku Lei Geral de Proteção de Dados Comentários à COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Coordenação e Revisão Regiane Martins dos Santos Adriana Cristina França Leite de Carvalho Realização e Organização: Comissão de Direito Digital, Tecnologia e Inteligência Artificial. OAB-SP 116ª Subsecção Jabaquara - Saúde Edição e Diagramação: Regiane Martins dos Santos Presidente: Paulo Purkyt Vice Presidente: Viviane Malanga Apoio: Presidente Evandro Andaku SUMÁRIO As Disposições Preliminares da LGPD Marcel Brasil de Souza Moura Processos Preliminares do Artigo 6º da LGPD: As novas perspectivas sobre proteção de dados entre o que se quer, o que de fato se precisa e como adequar os dados adquiridos com as permissões pessoais e as permissões legais Fernanda Dutra Vieira Lopes O Tratamento de Dados Pessoais de Crianças e Adolescentes Letícia Lefevre Dos direitos do titular: Finalmente o empoderamento dos indivíduos enquanto titulares de seus dados Andréia da Costa Pereira dos Santos COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 6 20 33 52 SUMÁRIO Do Tratamento de Dados Pessoais pelo Poder Público: O que se espera do Poder Público com a LGPD? Jorge Alves Dias Da Transferência Internacional de Dados Viviane Corrocher Malanga Dos Agentes de Tratamento de Dados Jane Kaunert e Cristina Hang LGPD: Segurança e Boas Práticas Sandra Regina Alexandre Da segurança e das boas prática: LGPD na Educação Adriana Cristina França Leite de Carvalho COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 64 81 88 107 122 SUMÁRIO Da fiscalização em Face da Lei Geral de Proteção de Dados Carlos Henrique Terçariol Bergonso Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade Maria Inês Costa Assaf e Fabio Henrique Assaf Domingues COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS 136 146 Cada Artigo deste e-book é de responsabilidade exclusiva de seu autor e não reflete necessariamente a linha programática e ideológica, tampouco a opinião da Ordem dos Advogados do Brasil (OAB), nem a vincula. Todos os direitos desta obra são cedidos à OAB Seccional São Paulo pelos Autores, nos termos da lei, sendo sua distribuição não onerosa, com finalidade de disseminação de informações ao público em geral e finalidade não acadêmica Imagens por pixabay.com AS DISPOSIÇÕES PRELIMINARES DA LGPD No presente artigo, serão feitas algumas considerações sobre as disposições preliminares da Lei Geral de Proteção de Dados – LGPD. Antes de analisar o conteúdo das disposições preliminares da LGPD, são relevantes algumas considerações sobre a relevância dos dados na sociedade atual. Segundo MENDONÇA (2014, p. 2): A sociedade de hoje é resultado de uma revolução gerada pela informação, razão pela qual ela é comumente chamada ‘sociedade da informação’. O grande fluxo informacional que circula rapidamente de um lado a outro do planeta por meio das novas ferramentas de tecnologia e de comunicação mostra que a informação é orientadora e permeadora das relações, fortalecendo-as (por um lado) e permitindo o surgimento de novas a partir da derrubada das barreiras físicas. Nos dias de hoje, é possível acompanhar fatos que acontecem em um país muito distante em tempo real através da televisão, manter conversas simultâneas com várias pessoas de vários lugares, trocando vídeos e fotos, através das redes sociais e descobrir qual a melhor rota para ir de um lugar a outro sem pegar trânsito por aplicativos de celular em apenas alguns segundos – e enquanto dirige, no breve tempo do sinal vermelho do semáforo. Marcel Brasil de Souza Moura¹ COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS ¹ Marcel é Advogado com experiência em gestão de departamento jurídico de empresa. Doutorando em Direito e Mestre em Direito. Especialista em Direito Processual Civil. Especialista em Direito Público. Presidente da Comissão de Argumentação, Filosofia e Teoria do Direito da OAB/SP, Subsecção Jabaquara-Saúde. Membro da Comissão de Ética e Disciplina da OAB/SP, Subsecção Jabaquara-Saúde. Assessor da Presidência da 4.ª Turma do Tribunal de Ética e Disciplina da OAB/SP 6 O novo é permanentemente criado e a novidade traz em si a obsolescência do velho que, de fato, sempre persiste – gerando tensões de caráter organizacional extremamente complexas. O modo de produção transita do capitalismo industrial para a sociedade do conhecimento, ou como parece se impor: sociedade de dados. A produção de uma massa enorme de informações e informes, a possibilidade de armazenagem em nuvens, os motores de busca cada vez mais refinados e a onipresença de inteligência artificial no controle de processos – transformam o tempo, com a radicalidade tolerável a cada tempo. AS DISPOSIÇÕES PRELIMINARES DA LGPD É elucidativa a lição de PUGLIESI (2015, p. 10) sobre a mudança paradigmática pela qual passa nossa sociedade, transitando do capitalismo industrial para a sociedade de dados: COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura 7 A geração e captação de dados cresce a cada minuto. A cada ato praticado pelas pessoas, grandes empresas recebem seus dados: seja uma compra no cartão de crédito/débito, utilização de aplicativo de transportes, uma inocente navegação pela internet, publicações em redes sociais etc. Há quem diga que as empresas produtoras dos modernos aparelhos celulares têm acesso às nossas localizações ainda que o sistema GPS esteja desligado. Nesse contexto de intensa exposição do indivíduo, convém que o Estado atue para proteção dos dados pessoais. Com esse escopo, foi editada a Lei Geral de Proteção de Dados – LGPD. AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura Na série televisiva “Black Mirror”, que expõe um futuro distópico, não há privacidade mesmo em relação às câmeras dos computadores, que mostram as atividades do usuário para outras pessoas. 8 Segundo o entendimento de PINHEIRO (2018, p. 16): AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura O espírito da lei foi proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazendo a premissa da boa-fé para todo o tipo de tratamento de dados pessoais, que passa a ter que cumprir uma série de princípios, de um lado, e de itens de controles técnicos para governança da segurança das informações, de outro lado, dentro do ciclo de vida do uso da informação que identifique ou possa identificar uma pessoa e esteja relacionada a ela, incluindo a categoria de dados sensíveis. Como se nota, a finalidade da LGPD é a proteção dos particulares em relação a seus dados pessoais. Feitas essas considerações iniciais, passa-se a analisar as disposições preliminares da LGPD. Verifica-se na leitura da LGPD que suas disposições preliminares se dividem da seguinte maneira: objeto (artigo 1º), fundamentos (artigo 2º), aplicação (artigos 3º e 4º), definições de expressões (artigo 5º) e princípios (artigo 6º). A LGPD disciplina as atividades privada e pública de tratamento de dados pessoais. Como se verifica em seu artigo 1º, “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado” é disciplinado pela LGPD, cujas normas são de interesse nacional. 9 Para não deixar dúvidas quanto ao alcance da lei, o parágrafo único do artigo 1º menciona que as disposições da LGPD devemser observadas pela União, Estados, Distrito Federal e Municípios. Com essa previsão, a LGPD se mostra abrangente em relação a seus destinatários. Merece atenção o artigo 2º, que dispõe sobre os fundamentos da disciplina de proteção de dados pessoais. Esses fundamentos são os seguintes: respeito à privacidade; autodeterminação informativa; liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico, tecnológico e inovação; livre iniciativa, livre concorrência e defesa do consumidor; direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais. Nota-se que os fundamentos da LGPD têm correspondência, explícita ou implícita, na Constituição Federal. AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura Com efeito, o respeito à privacidade tem relação com o direito individual à inviolabilidade do sigilo da correspondência e das comunicações (artigo 5º, XII). 10 De seu turno, a liberdade de expressão, de informação, de comunicação e de opinião tem fundamento no inciso IX do artigo 5º, segundo o qual “é livre a expressão da atividade intelectual, artística, científica e de comunicação, independentemente de censura ou licença”. Já a inviolabilidade da intimidade, da honra e da imagem têm proteção no inciso X do artigo 5º, segundo o qual “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação”. Quanto à livre iniciativa, nota-se que se trata de fundamento da república e da ordem econômica brasileira, enquanto a livre concorrência e a defesa do consumidor são princípios da ordem econômica. Frise-se que a defesa do consumidor também é direito individual (artigo 1º, inciso IV; artigo 5º, inciso XXXII; artigo 170, “caput” e incisos IV e V). Em relação aos direitos humanos, nota-se que a Constituição Federal os protege, por exemplo, enquanto princípio das relações internacionais (artigo 4º, inciso II), bem como quando confere caráter constitucional aos tratados e convenções internacionais sobre direitos humanos aprovados, em dois turnos, por três quintos dos votos dos membros do Senado Federal e da Câmara dos Deputados (artigo 5º, parágrafo 3º). AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura 11 Quanto ao livre desenvolvimento da personalidade, à dignidade e ao livre exercício da cidadania pelas pessoas naturais, acredita-se que são decorrências do fundamento republicano da dignidade humana (artigo 1º, inciso III). Sobre o fundamento da autodeterminação informativa, convém mencionar a lição de MENDONÇA (2014, p. 18), segundo a qual a autodeterminação informativa “nasceu de uma preocupação específica dentro da proteção do direito à privacidade e intimidade”. Portanto, nota-se que a autodeterminação informativa também tem previsão constitucional (artigo 5º, inciso X). Sobre tal fundamento, SALDANHA (2019, p. 1) ensina que: AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura [...] a autodeterminação informativa abriga a filosofia de que o indivíduo titular de dados pessoais deve ser o protagonista das matérias relacionadas ao tratamento de seus dados pessoais, trazendo ao sujeito o foco das operações em preocupação perpétua com a privacidade. Desse modo, verifica-se que a intenção do legislador, ao fundamentar a LGPD na autodeterminação informativa, é conferir papel ativo aos cidadãos quanto ao uso de seus dados pessoais. 12 Em resumo, verifica-se que os fundamentos da LGPD têm previsão constitucional, quer implícita, quer explicitamente. Tal constatação demonstra a relevância da disciplina do tratamento de dados para a sociedade brasileira. Prosseguindo, o artigo 3º da LGPD dispõe que ela se aplica a qualquer operação de tratamento de dados realizada no território nacional, desde que atendidos os seguintes requisitos: os dados tenham sido coletados no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Merece destaque o fato de que a LGPD tem alcance extraterritorial, ou seja, efeitos internacionais, na medida em que se aplica também aos dados que sejam tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional, ou por oferta de produto ou serviço para indivíduos no território nacional ou que estivessem no Brasil (PINHEIRO, 2018, p. 30). AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura 13 No artigo 4º, a LGPD traz relevantes exceções à sua aplicação. A LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais. Igualmente, a LGPD não se aplica ao tratamento de dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD. Note-se que, segundo a LGPD, o tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais será regido por legislação específica (artigo 3º, §1º). AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura Esta legislação específica estará vinculada aos ditames da LGPD no que diz respeito aos princípios gerais de proteção e aos direitos do titular. 14 Também no que concerne ao tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, é proibida sua realização por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público que, serão objeto de informe específico à autoridade nacional e que deverão observar a limitação de que fica absolutamente proibido o tratamento da totalidade de dados pessoais por pessoa de direito privado, salvo se possua capital integralmente constituído pelo poder público. A mencionada autoridade nacional é disciplinada nos artigos 55-A a 55-L da LGPD, introduzidos pela Lei n.º 13.853/2019. No artigo 5º, a LGPD define diversas expressões utilizadas em seu texto. Segundo a LGPD, dado pessoal significa “informação relacionada a pessoa natural identificada ou identificável”. Pessoa natural nada mais é que a pessoa física, ou seja, a pessoa dotada de dignidade humana. A pessoa natural é identificada quando é possível individualizá-la sem necessidade de mais informações. É o que ocorre, por exemplo, quando o controlador (pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – artigo 5º, inciso VI) tem dados da pessoa natural como nome completo e inscrição no Cadastro de Pessoas Físicas – CPF. Já a pessoa identificável é aquela da qual se possui um dado e, de posse de outro dado, é possível identificá-la. AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura 15 PINHEIRO (2018, p.25) ensina que dados pessoais correspondem a AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS MarcelBrasil de Souza Moura toda informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, entre outros. Sempre relacionados a pessoa natural viva. No artigo 6º, a LGPD prevê que as atividades de tratamento de dados devem obediência a diversos princípios, quais sejam: boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. O princípio da boa-fé traz a ideia de que todos aqueles que atuam no tratamento de dados devem agir conforme o direito. Convém mencionar que a boa-fé se apresenta “dois enfoques: o subjetivo e o objetivo. A boa-fé subjetiva é a consciência ou a convicção de se ter um comportamento conforme ao direito ou conforme à ignorância do sujeito acerca da existência do direito do outro. Já a boa-fé objetiva permite a concreção de normas impondo que os sujeitos de uma relação se conduzam de forma honesta, leal e correta” (PEZZELLA, 1997, p. 199). 16 Os princípios da finalidade e da adequação, na LGPD, relacionam-se. Com efeito, pelo princípio da finalidade, o tratamento de dados deve se dar para propósitos legítimos devidamente informados ao titular, sendo que, pelo princípio da adequação, o tratamento de dados deve ser compatível com as finalidades informadas ao titular. Os demais princípios são autoexplicativos. De forma geral, convém mencionar o papel dos princípios na interpretação da LGPD. Conforme anotado noutra oportunidade (MOURA, 2019, op. cit), o jurista Robert Alexy AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura define princípios como ‘mandamentos de otimização’, ou seja, como ‘normas que ordenam que algo seja realizado na maior medida possível dentro das possibilidades jurídicas e fáticas existentes’. Aqui, mandamentos são entendidos em sentido amplo, abrangendo tanto permissões como restrições. Aplicando tal noção de princípio à LGPD, verifica-se que todos os princípios nela mencionados devem ser aplicados em todos os casos possíveis, considerando-se a realidade de fato. Tome-se como exemplo o princípio do livre acesso, segundo o qual se deve garantir aos titulares dos dados consulta facilitada e gratuita sobre a integralidade de seus dados pessoais, bem como sobre a forma e a duração do tratamento dos dados. 17 CONCLUSÃO Neste artigo, foram abordadas as disposições preliminares da LGPD. Inicialmente, foram trazidas considerações gerais sobre a relevância do tratamento de dados na sociedade contemporânea, bem como sobre a finalidade da LGPD, qual seja, proteção dos dados das pessoas. Em seguida, comentou-se, de forma geral, as disposições preliminares da LGPD, que, conforme verificado, dizem respeito ao objeto (artigo 1º), aos fundamentos (artigo 2º), à aplicação material e territorial (artigos 3º e 4º), às definições de expressões (artigo 5º) e aos princípios (artigo 6º) da LGPD. Considerando o princípio do livre acesso como mandamento de otimização, os agentes de tratamento de dados devem facilitar o acesso aos dados nos limites de suas possibilidades. Certamente, a garantia legal de facilitação do acesso não significa que o acesso deve se dar sem qualquer critério, podendo os agentes de tratamento condicionar o acesso à apresentação de documentos e ao fornecimento de informações pelos titulares a fim de assegurar a idoneidade do procedimento. AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura 18 REFERÊNCIAS MENDONÇA, Fernanda Graebin. O direito à autodeterminação informativa: a (des)necessidade de criação de um novo direito fundamental para a proteção de dados pessoais no Brasil. Fonte: https://online.unisc.br/acadnet/anais/ index.php/sidspp/article/view/11702. Acesso em: 18 nov 2019. PEZZELLA, Maria Cristina Cereser. O princípio da boa-fé objetiva no direito privado alemão e brasileiro. Revista de direito do consumidor, v. 24/1997. São Paulo: Revista dos Tribunais online, 1997. PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo : Saraiva Educação, 2018. PUGLIESI, Márcio. Teoria do direito: aspectos macrossistêmicos. São Paulo, Sapere Aude: 2015. SALDANHA, João. Fundamentos da LGPD: a autodeterminação informativa. Fonte: https://triplait.com/a- autodeterminacao-informativa/#.XeF9X-hKiUk. Acesso em: 18 nov 2019. AS DISPOSIÇÕES PRELIMINARES DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Marcel Brasil de Souza Moura 19 A Lei Geral de Proteção de Dados – LGPD tem como objetivo principal preservar os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, e será aplicada a qualquer pessoa: natural, jurídica, de direito público ou privado, que realize tratamento de dados online e/ou offline. Porém, deve-se sempre lembrar que, no mundo em que se vive atualmente, os dados pessoais da pessoa natural são necessários e até essenciais para diversas áreas comerciais, como, por exemplo, declaração de imposto de renda retido na fonte, na relação de trabalho, no contrato de trabalho, na relação com plano de saúde, que se fazem necessários, além dos dados pessoais comuns, de dados pessoais sensíveis, como tipo sanguíneo, conhecimento de doenças pré existentes, convicção religiosa, etc. As novas perspectivas sobre proteção de dados entre o que se quer, o que de fato se precisa e como adequar os dados adquiridos com as permissões pessoais e as permissões legais. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD Fernanda Dutra Vieira Lopes¹ COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS ¹ Fernanda é Advogada atuante na área trabalhista. Membra da Comissão de Compliance do IASP, membra da Comissão de Direito Digital Tecnologia e Inteligência Artificial da OAB Subseção Jabaquara-SP, membra da Comissão de Direito Médico da OAB Subseção Jabaquara-SP, Mediadora e Conciliadora. Co-autora de livros na área do Direito Trabalhista. 20 Aqui começa a atuação da LGPD para resolver questões tais como quais dados são obrigados, por lei, a serem fornecidos pela pessoa e quais dados precisam de autorização para serem manipulados. Ainda, surge a preocupação de como estes dados serão armazenados, com quem e para quem poderão ser compartilhados, com ou sem autorização da pessoa física e como e quando serão extintos. Se não bastasse, ainda há grande dificuldade de adequação da LGPD que surge com as empresas de telemarketing e com a rapidez da informação através da informática que, em questão de minutos, compartilha com diversos meios de comunicação os dados de diversas pessoas sem suas autorizações, invadindo, assim, a privacidade da pessoa natural e desrespeitando a liberdade e a privacidade do desenvolvimento da personalidade natural. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 21 PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD De outro lado, deve-se pensar que no mundo capitalista em que se vive hoje, o comércio em geral, as empresas, os fornecedores, os prestadores de serviços e demais atores de mercado, precisam dos dados das pessoas para poderem trabalhar. Assim, deve-se pensar nas necessidades de ambos os lados, entendendo e trabalhando com as leis e o “bom senso” para equilibrar as relações de comercio e de privacidade. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes As novas perspectivas sobre proteção de dados Assim, neste panorama, o artigo 6º da LGPD vem auxiliar na resolução destas questões, esclarecendo que as atividades de tratamento de dados pessoais deverão observar a boa-fé os seguintes princípios: I. finalidade:realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades dos tratamentos de dados; IV. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais; 22 PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes V. qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X. responsabilização e prestação de contas: demonstração pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.” Desta maneira, é possível verificar ver que a LGPD se esforça para resolver a questão definitivamente, de forma clara e concisa, mas, na prática, não é tão simples assim, como veremos a seguir. 23 PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD Antes de se adentrar às duas hipóteses que vão esclarecer a importância do conhecimento e da implantação da LGPD em todos os segmentos de mercado do país, lembre-se que a LGPD surgiu principalmente em decorrência da General Data Protection Regulation (GDPR), que é o Regulamento Geral sobre a Lei de Dados Europeu, regulador da privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu, criado em 2018, servindo de base e de diretriz para a LGPD brasileira. Conforme estudos europeus, em 2018 o Google recebeu uma multa na França de 50 milhões de euros (cerca de US$ 56,8 milhões) por "falta de transparência, informação incorreta e ausência de consentimento válido na publicidade personalizada", esta informação serve para demonstrar a importância da nova lei, que pode destruir uma empresa. A penalização no Brasil não é a mesma da Europa, mas, é tão eficaz e tão comprometida quanto a Europeia, com o fulcro de fazer a diferença e ser fielmente cumprida no Brasil. Neste espeque, de se observar que, embora a LGPD esteja prevista para entrar em vigor no segundo semestre de 2020, as empresas em geral precisam de muito estudo e muito empenho para se adequarem às novas normas e já estão trabalhando nisso, mas o caminho é árduo e longo na maioria dos segmentos. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 24 PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD Em estudos Brasileiros, segundo pesquisa de setembro de 2019 realizada pela Serasa Experian, 85% das empresas ainda não se sentem prontas para atender às novas regras da LGPD. O levantamento, que ouviu um universo de 508 empresas, de todos os portes e segmentos, indicou ainda, que os setores financeiros, serviços e varejo estão mais preparados para a lei e que o setor de saúde ocupa a última posição, com apenas 8,7% das companhias em conformidade com a lei. Vamos entender na prática, com o exemplo abaixo. COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes Situação O site de uma farmácia cadastra um usuário como portador de uma doença crônica para incluí-lo em uma mala direta direcionada a pacientes com esta condição. Mesmo que haja interesse em obter vantagem econômica pela empresa farmacêutica, uma vez que o §4º, do artigo 11 da LGPD possibilita o uso de dados referentes à saúde para a assistência farmacêutica, fica claro que a lei não oferece óbice para tal prática, desde que haja consenso específico e destacado do usuário. Caso não haja consentimento, considerando que as farmácias não podem ser enquadradas como serviços de saúde, na forma do artigo 11, inciso II, alínea “f”, da LGPD, o tratamento desses dados restaria vetado. Ou seja, neste caso a lei evita que a farmácia manipule a informação fornecida pela pessoa e a use como bem entender, 25 proibindo que envie mala direta que não diz respeito à informação prestada pela pessoa. A informação prestada à farmácia deve ser utilizada unicamente para o serviço solicitado pelo cliente e, caso não seja necessário que a farmácia mantenha os dados do cliente após a efetivação do serviço, os dados devem ser devidamente descartados, de forma correta, para que não caiam em mãos de terceiros. Lembrando que, neste segundo caso, a pessoa pode suspender a autorização a qualquer tempo, sem qualquer explicação, somente solicitando que seus dados sejam retirados do banco de dados do estabelecimento. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes Já, na mesma situação, se a pessoa, ao passar os seus dados para a farmácia, assinar consentimento específico, liberando o uso de seus dados pessoais pela farmácia para receber qualquer mala direta ou outro tipo de informação ou propaganda do estabelecimento, a farmácia poderá fazê-lo sem qualquer problema. 26 Contudo, quando a pauta é proteção de dados pessoais e dados pessoais sensíveis na área da saúde, não é demais lembrar que o sistema é bem maior e envolve muitos setores e diversas ramificações, pois aqui envolvem hospitais, clínicas médicas, laboratórios, farmácias, SUS, ambulâncias e a própria pessoa física, lembrando, ainda, que esta questão abrange o setor público e privado e, por isso, o desafio é bem maior do que em muitos outros setores da sociedade. Se não bastassem todos os desafios que a área da saúde tem que enfrentar, as pessoas ainda devem se preocupar com as quadrilhas do crime organizado digital que miram no ataque a essas estruturas, visando obter alguma vantagem, através do sequestro dos dados e o crime de chantagem (crime de extorsão). Assim, para se adaptar as novas normas da LGPD, a área da saúde precisa não só se proteger pelas maneiras convencionais, mas deve, ainda, ter mais investimento na área de cybersegurança, para manter protegidos os dados pessoais de seus pacientes. É relevante ressaltar que sempre existiu a preocupação em relação à segurança dos dados e informações obtidas pelas empresas, mas não havia vigilância. Com a implantação da LGPD, as consequências em função de eventual vazamento de dados pessoais serão bem mais sérias, com multas altíssimas por infração, além da exposição do nome da empresa. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 27 Muitas vezes, em função de uma má reputação, uma empresa nunca mais se levanta, podendo este prejuízo ser ainda maior do que o financeiro. CONCLUSÃO Com estas constatações sobre as dificuldades e necessidade de implantação da LGPD, conclui-se que um dos itens mais relevantes para que se atinja os objetivos é observar o Princípio da Transparência, através do qual a empresa apresenta de forma clarae concisa aos seus clientes, parceiros e a toda a sociedade, quais os dados pessoais se utilizar para cada processo em seus negócios, para quê precisa de tais dados, com quem eles poderão ser compartilhados, porquê serão compartilhados, se os dados serão adquiridos com permissão legal ou permissão específica da pessoa e de que maneira se recolherá a permissão. Aqui observa-se que, conforme mencionado no artigo 6º da LGPD, para haver transparência é necessário que seja informado à pessoa qual a finalidade, adequação e necessidade do uso do dado solicitado, bem como seja especificado quais os dados serão utilizados, para quem serão repassados e por qual motivo, permitindo à pessoa, a qualquer momento, ter acesso às informações coletadas, saber de onde foram obtidas e qual a justificativa para manterem tais informações, quer seja legal ou por consentimento. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 28 Se tratando de consentimento, caso a pessoa solicite, a empresa deverá demonstrar que aquela consentiu com o uso dos dados, conforme especificado, sendo que o consentimento deve ser livre de qualquer vício e deve poder ser suspenso pela pessoa titular dos dados a qualquer momento. Por fim, é sabido que, mesmo cumprindo com todas as exigências da lei e estando em conformidade com todas as normas de conduta, é possível que haja vazamento de dados nas empresas, talvez por má fé de algum funcionário ou por invasão de “hakers”, ou qualquer outro motivo. Desta maneira, é essencial que as empresas já estejam preparadas para atuar em caso de vazamento de dados, para mitigar os danos para a pessoa física e até para a própria empresa, bem como conheça as responsabilidades perante a lei, caso em que as pessoas deverão ser avisadas em tempo hábil para se protegerem, caso seja necessário, independentemente de quais dados foram vazados. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes Aqui vale ressaltar que a lei ainda não estipulou um prazo para que o aviso seja feito, mas, como na GDPR o prazo é de até 72 horas, provável que no Brasil se utilize o mesmo prazo para informar o cidadão e os demais interessados no caso de vazamento de dados pessoais. 29 Fato é que, em caso de incidente de segurança envolvendo dados pessoais, é o controlador quem deve analisar os fatos e a existência de eventuais riscos e danos, sendo este o responsável por comunicar a ANPD e a pessoa titular do dado em prazo razoável que permita aos envolvidos buscar a mitigação dos danos causados. Vale ressaltar que, conforme artigo 45, caput, da LGPD, O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo, salvo exceções do artigo 43 da mesma lei. Enfim, neste momento a sociedade busca estudar e se preparar para os desafios que virão concretamente com a entrada em vigor da LGPD e, quanto mais preparada estiver, menores as chances de erros ou de incidentes e maior a probabilidade de uma sociedade contributiva, permitindo a aplicação da LGPD de maneira eficaz e sem prejuízos para quaisquer dos envolvidos. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 30 REFERÊNCIAS BRASIL. Constituição da República Federativa do Brasil. Fonte: http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709compilado.htm. Acesso em 20/01/2020 BRASIL. WIKIPÉDIA a Enciclopédia livre. Fonte: https://pt.wikipedia.org/wiki/Regulamento_Geral_sobre_a_Pro te%C3%A7%C3%A3o_a_de_Dados. Acesso em 20/01/2020 PICCELLI, Roberto Ricomini. Saúde na lei de proteção de dados: proibições e permissões. JOTA, veículo de imprensa. 31/07/2019. Fonte: https://www.jota.info/paywall? redirect_to=//www.jota.info/opiniao-e-analise/artigos/saude- na-lei-de-protecao-de-dados-proibicoes-e-permissoes- 31072019. Acesso em 20/01/2020. GOMES, Helton Simões. Google recebe maior multa já aplicada por violar dados pessoais na Europa. 21/01/2019. Fonte: https://www.uol.com.br/tilt/noticias/redacao/2019/01/21/googl e-e-multado-na-franca-por-violar-de-dados-pessoais.htm? cmpid=copiaecola, Acesso em 20/01/2020. O que são dados sensíveis, de acordo com a LGPD. SERPRO – Serviço Federal de Processamento de Dados. Fonte: http://www.serpro.gov.br/lgpd/menu/protecao-de- dados/dados-sensiveis-lgpd. Acesso em 20/01/2020 PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 31 Walar IT Business. Fonte: https://www.walar.com.br/campanha/download/eBook_GPD_ WLR_v2.0.pdf. Acesso em 15/12/2019. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. Lei Geral de Proteção de Dados Comentada. 2ª Ed. São Paulo. Thomson Reuters Revista dos Tribunais, 2019. PROCESSOS PRELIMINARES DO ARTIGO 6º DA LGPD COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Fernanda Dutra Vieira Lopes 32 A Lei Federal nº 13.709, de 14 de agosto 2018, denominada Lei Geral de Proteção de Dados (LGPD), tem como objetivo dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com a finalidade de proteger os direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade da pessoa natural. Originada do conteúdo extraído da GDPR - General Data Protection Regulation, a regulação de proteção de dados da União Europeia (EU), a LGPD segue o mesmo sentido de proteger a privacidade de acordo, observando-se o cenário tecnológico atual. Esse trabalho trata-se da análise da legislação, por meio de uma visão geral sobre as inovações trazidas pela LGPD no tocante ao tratamento de dados pessoais de crianças e adolescentes. Assim, esse artigo é um convite a um olhar teórico sobre o futuro do tratamento de dados de crianças e adolescentes, em um mundo globalizado e dinâmico como estamos vivendo hoje. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES Leticia Lefevre¹ COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS ¹ Letícia é Advogada, pós Graduada em Direito Empresarial, possui MBA em Gestão. PósGraduanda em Inclusão e Direito das Pessoas com Deficiência pela CBI of Miami. Membra da CDDTIA - Comissão de Direito Digital Tecnologia e Inteligência Artificial da OAB/SP Subsecção Jabaquara-Saúde 33 O mundo está cada vez mais dinâmico e ágil; quase tudo se resolve com as pontas dos dedos em um simples clique. E crianças e adolescentes sabem disso. Está previsto no caput do artigo 227 da Constituição Federal (CF) que é dever da família, da sociedade e do Estado, assegurar à criança e ao adolescente, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão. Nesse sentido, é a família a responsável por essas crianças e adolescentes, devendo sempre resguardar sua segurança e bem-estar. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre Antes de qualquer análise sobre o tratamento de dados de crianças e adolescentes, é necessário saber o que existe em nosso ordenamento jurídico acerca da proteção de seus dados pessoais. 34 Já o artigo 5º, da Constituição Federal, que trata das garantias fundamentais, dispõe em seu inciso X que são invioláveis a intimidade, a privacidade, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Ocorre que, hoje em dia, diante dos avanços tecnológicos,a quebra dessas garantias fundamentais se torna cada vez mais recorrente, inclusive na vida de crianças e adolescentes, resultando em danos materiais e, principalmente, morais, que muitas vezes trazem consequências irreparáveis em razão da repercussão social de certos atos. A Convenção dos Direitos da Criança, da Organização das Nações Unidas (ONU) de 1989, estabelece que sempre será levado em consideração o melhor interesse da criança. A Convenção considera criança, em seu artigo 1º, todo ser humano com menos de 18 anos de idade, salvo quando, em conformidade com a lei aplicável à criança, a maioridade seja alcançada antes. Nessa Convenção, houve uma mudança de paradigma pelo qual criança passa a ser sujeito de direitos, digna de proteção e tutela especifica. No mesmo sentido, não deve ser esquecido o Estatuto da Criança e do Adolescente (ECA), marco legal interno na defesa dos direitos das crianças e adolescentes, que ,em seu O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 35 artigo 2º, determina que criança, para os efeitos desta Lei, é a pessoa até doze anos de idade incompletos e, adolescente, é aquela entre doze e dezoito anos de idade. Em seu artigo 7º, o ECA prevê que crianças e adolescentes devem ter um desenvolvimento sadio e harmonioso e, para tanto, devem ter resguardadas suas informações. Esse mesmo diploma legal, em seu artigo 16, determina o direito à liberdade de se expressar, que deve ser sempre respeitado, devendo a opinião dessas crianças e adolescentes ser respeitada, sem intromissões arbitrárias, mas com os devidos cuidados. Já o artigo 17 do ECA prevê o direito ao respeito, que consiste na inviolabilidade da integridade física, psíquica e moral da criança e do adolescente, abrangendo, portanto, a preservação da imagem, da identidade, da autonomia, dos valores, ideias e crenças, dos espaços e objetos pessoais. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 36 Em relação ao consentimento dos pais, deve-se levar em consideração o previsto no Código Civil, em seus artigos 3º e 4º, que declara que menores de 16 anos são absolutamente incapazes de exercer atos da vida civil, de modo que também está incluído neste rol, os dados pessoais. Por outro lado, os maiores de 16 anos, são considerados relativamente incapazes, podendo exercer certos atos de sua vida civil, sempre com a assistência de seus pais ou representantes legais. Já a Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Legal da Internet, em seu artigo 29, concede permissão de controle parental em relação ao conteúdo compreendido como impróprio a seus filhos menores, desde que respeitado o ECA. Apesar de o Brasil ter Leis que protegem os dados pessoais de crianças e adolescentes, com o advento do mundo digital e globalizado, haveria necessidade da legislação se enquadrar no que está acontecendo no mundo e estabelecer esclarecimentos em relação a alguns pontos. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 37 O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre O Tratamento dos dados A GDPR - General Data Protetion, de 25 de maio de 2018, veio para apresentar alterações substanciais acerca da proteção de dados pessoais nos países da União Europeia. Seu artigo 8º, juntamente com os “considerandos” 38 e 65, trazem pontos relevantes em relação aos dados pessoais de crianças e adolescentes. No mesmo sentido, a Lei nº 13 709, de 14 de agosto de 2018 (LGPD), veio legislar sobre a proteção de dados pessoais. Foram definidos os tipos de dados pessoais no artigo 5º da LGPD. Sendo eles: dado pessoal, dado pessoal sensível e dado anonimizado. Todavia, o legislador não deixou muito clara a distinção entre dado pessoal não sensível e dado pessoal sensível. Dessa maneira, a análise de cada caso deve ser dinâmica e dependerá sempre do contexto. Tudo porque uma mera definição não impedirá a utilização de algoritmos e inteligência artificial, sendo possível, a partir do dado pessoal não sensível, obter-se um dado pessoal sensível. Essa preocupação com os dados sensíveis advém do fenômeno da publicidade baseada no comportamento das pessoas para traçar perfis de consumo. 38 Os dados sensíveis possibilitam conclusões a respeito de um indivíduo como um todo, como por exemplo, sua orientação sexual, sua religião, alguma doença que possa ter e, com essas informações, torna-se muito perigoso que as pessoas venham a ser classificadas de forma preconceituosa, interferindo diretamente em seus direitos e liberdades individuais. Por isso, quem coleta dados sensíveis de seus usuários deve atender às determinações da LGPD e todos os pontos devem ser levados em consideração, tais como: se houve consentimento livre, informado, inequívoco, expresso e específico sobre a coleta dos dados; se foi explicado como os dados serão tratados e de cada uso dos dados foi explicado para o titular. Tudo deve constar nos termos de uso do serviço prestado, garantindo que os dados sensíveis sejam preservados, dando a opção ao usuário de consentir ou não com cada possível uso. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre A LGPD dedicou um artigo específico sobre o tratamento dos dados pessoais de crianças e adolescentes. 39 O artigo 14 da LGPD trata exclusivamente do tratamento de dados pessoais de crianças e adolescentes. No entanto, não faz qualquer distinção se os dados pessoais desse público são sensíveis ou não; a regra é uma só. No caput desse artigo, é mantida a determinação estabelecida na Convenção dos Direitos da Criança que: para o tratamento dos dados pessoais, deve ser levado sempre em consideração o melhor interesse da criança e do adolescente. Já o §1º do artigo 14 da LGPD determina que o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Nesse caso, não podemos esquecer o estabelecido no ECA que considera criança, para os efeitos legais, a pessoa até doze anos de idade incompletos e adolescente aquela entre doze e dezoito anos de idade. No entanto, um ponto que a Lei não deixa claro, mas que deve ser levado em consideração, é que os dados de menores 12 anos (crianças) podem ser tratados, porém não especifica se podem ser divulgados ainda que com a autorização dos pais. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre No artigo 14, §2º da LGPD, é estabelecida a obrigação dos controladores de manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização, bem como estabelecer os procedimentos para o exercício dos direitos do titular. 40 Então, os controladores - que são os responsáveis pelo tratamento desses dados - deverão manter pública a informação sobre os tipos de dados coletados; a forma de sua utilização e os procedimentos para o exercício dos direitos, conforme regras específicas. Um dos pontos que merece destaque diz respeito ao fato de que os controladores não deverão condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais, além das estritamente necessárias à atividade. Porém, há uma exceção de coleta de dados pessoais de crianças sem o consentimento. Ela está prevista no §3º, do mesmo artigo 14 da LGPD, e se refere à permissão de coleta de dados pessoais de crianças sem o consentimento na hipótese em que a coleta for necessária para contatar os pais ou o responsável legal. Nesse caso, os dados poderão ser utilizados uma única vez, não poderão ser armazenados e, em nenhum caso, poderão ser repassadosa terceiros, sem o consentimento expresso de pelo menos um dos pais ou do responsável legal. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 41 Serviços ofertados pela internet e direcionados a crianças, como por exemplo jogos e desenhos animados, não devem ser condicionados ao fornecimento de informações pessoais, salvo as estritamente necessárias à atividade, conforme o previsto no §4º do art.14. Para a maioria dos serviços on-line, é necessário o consentimento dos pais ou responsáveis para processar os dados pessoais de uma criança com base no consentimento até uma certa idade. Isso se aplica a sites de redes sociais e plataformas para baixar músicas e comprar jogos online. Está previsto, também, que o responsável pelo tratamento deverá sempre empregar esforços para verificar se de fato aquele que deu o consentimento era o real responsável pela criança, como preconiza o artigo 14, § 5º. Para haver uma adequação efetiva à LGPD, as empresas deveriam apresentar mecanismos eficazes para verificar se o consentimento dado está realmente de acordo com a Lei. Medidas de verificação de idade poderiam ser implementadas, como, por exemplo, formular uma pergunta que só os pais ou responsáveis soubessem responder, ou, ainda, solicitar que, para o cadastro da criança fosse fornecido o e-mail de seus pais para permitir o consentimento por escrito. Por fim, de acordo com o §6º do referido art.14, as informações sobre o tratamento e coleta de dados precisa se adequar à capacidade de compreensão das crianças e dos O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 42 adolescentes, podendo, nesse aspecto, valer-se da utilização de recursos audiovisuais, levando-se em conta as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança quando adequado. É necessário se reconheça a vulnerabilidade desse público prestando todas as informações que eles possam necessitar para dar-se a efetiva compreensão e consentimento. Qualquer informação endereçada especificamente a uma criança deve ser adaptada para ser facilmente acessível, usando linguagem clara e objetiva. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre Crianças e adolescentes merecem proteção específica em relação a seus dados pessoais, pois não têm consciência dos riscos, das consequências e de seus direitos em relação ao processamento de dados pessoais. 43 Outra inovação trazida pela LGPD em relação à proteção de crianças e adolescentes está no direito ao esquecimento, que prevê que um titular de dados terá o direito de ter seus dados “esquecidos” quando bem desejar. Conforme o que determina o artigo 18, em seu inciso VI da LGPD, é permitida a eliminação dos dados pessoais tratados com o consentimento do titular quando solicitado por ele. Essa nova prerrogativa é relevante, principalmente quando o titular dos dados der seu consentimento quando adolescente, época em que, por falta de experiência de vida, não está ciente dos riscos envolvidos no processo de divulgação de informações. No entanto, o melhor interesse da criança e do adolescente deve ser considerado sempre como princípio fundamental a ser observado nas situações concretas. Assim, é lícito que, posteriormente, o titular de direitos queira remover seus dados pessoais, especialmente da internet. Como a lei brasileira é muito recente e sua vigência está prevista para agosto de 2020, não há casos práticos parasaber qual será a melhor forma de resolução de vazamento de dados de crianças e adolescentes. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 44 Um caso prático que pode ser citado está em um evento ocorrido na Alemanha. A agência reguladora de telecomunicações daquele país proibiu a venda de smartwatches focados em crianças. Segundo a instituição, esses equipamentos seriam basicamente dispositivos para espionagem de menores, em razão da existência de graves falhas de segurança. A intimidade e privacidade das crianças estariam, portanto, violadas, o que não se pode admitir. Outro caso prático, também na Alemanha, se refere a boneca Cayla. Esse brinquedo trazia falhas de segurança que permitiam que qualquer pessoa conseguisse conectá-lo por meio de um telefone celular. As falhas de segurança permitiram, pois, comunicação com a criança, além de ouvi- la à distância, enquanto ela estivesse interagindo com o brinquedo. Além disso, tudo o que as crianças falassem perto ou para o brinquedo era gravado e enviado a uma empresa especializada em tecnologias de reconhecimento. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 45 Um caso que chamou a atenção do público foi o da jovem cuja gravidez foi divulgada à família, mesmo antes da jovem divulgá-la pessoalmente: de posse de seus dados pessoais, uma loja de departamento enviou à residência da jovem um catálogo com produtos para bebê O pai da jovem, inconformado com o assédio da loja, dirigiu- se à loja para perguntar por que o catálogo tinha sido enviado à filha. Ao questionar a empresa, soube que a filha estava grávida. Isso ocorreu porque, após pesquisa na internet, a empresa municiou-se de informações pessoas da jovem, coletou seus dados pessoais, tratou-os e enviou a mala direta. Vê-se, nesse caso, outro caso grave de violação às garantias fundamentais de privacidade e intimidade da pessoa. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 46 CONCLUSÃO A Lei Geral de Proteção de Dados é um avanço em relação aos direitos de crianças e adolescentes no âmbito digital. A LGPD foi assertiva em relação a proteção de dados pessoais de crianças pois até 12 anos incompletos, esse público está protegido nos termos da Lei. Essa preocupação decorre do fato de que, segundo pesquisadores, até 12 anos, uma criança não tem pensamento abstrato formado completamente. Inclusive, até essa idade é difícil que essa criança consiga fazer uma análise crítica de fatores abstratos. Com isso, não conseguem entender sobre o tratamento de dados de forma completa, razão pela qual o consentimento deve ser dado pelos pais. Porém, alguns pontos não foram levados em consideração pelos legisladores. O caput do artigo 14 da LGPD trata de crianças e adolescentes. No entanto, nos seus parágrafos 1º, 3º, 4º e 5º, tratam apenas de crianças, não contemplando os adolescentes, permitindo, portanto, que, para tratar dados pessoais desse público não haja a necessidade expressa de pais ou responsáveis Entretanto, o legislador deixa uma brecha para os dados pessoais dos adolescentes, principalmente para a faixa etária. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 47 de 13 a 16 anos incompletos, permitindo a esse público a possibilidade de consentir diretamente acerca do tratamento de seus dados pessoais, sem qualquer respaldo de pais ou responsáveis e a despeito da limitação contida no artigo 3º do Código Civil. Saliente-se que, apesar desse público já ter ciência de alguns direitos, dificilmente terão maturidade intelectual e experiência de vida para que, com clareza, entendam o que será feito com seus dados pessoais. A maior preocupação hoje, no tocante ao tratamento de dados de crianças e adolescentes, é que, muitas vezes, eles rapidamente desenvolvem habilidades, tendo a imediata capacidade crítica de entender aquele uso. Mas o público de 13 a 16 incompletos anos é considerado absolutamente incapaz para praticar quaisquer atosda vida civil. Ao concordar com termos de uso de redes sociais, sites de jogos, é celebrado um negócio jurídico entre as partes, sendo que esse público não tem condições de, nessa idade, avalizar o que é melhor para si. Já os adolescentes a partir de 16 anos completos, segundo o Código Civil, são relativamente incapazes, sendo necessária o acompanhamento dos pais ou responsáveis para os atos da vida civil. Ao ser permitido que jovens de 13 a 18 anos tratem de dados pessoais, está sendo concedido a eles a permissão de celebrar negócios jurídicos sem o consentimento dos pais, O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 48 sendo que seus dados, inclusive os sensíveis, poderão ser coletados, tratados e divulgados havendo um risco iminente de prejuízos a esse público vulnerável. Mesmo com o direto ao esquecimento, o dano será causado ao adolescente e o impacto na vida desses jovens pode ser bem preocupante pois pode ser irreversível. É fato que crianças e adolescentes são pessoas em desenvolvimento e é necessário assegurar a sua autonomia e liberdade para resguardar seu livre desenvolvimento de sua personalidade no âmbito digital. No entanto, entende-se que dados de crianças e adolescentes devem ser tratados de forma especial, conforme determina a LGPD, porque está de acordo com a salvaguarda do melhor interesse da criança e do adolescente corroborando com o que preceituam a Convenção dos Direitos da Criança e do Adolescente como também o ECA. Dessa maneira, entende-se que deve ser dado o consentimento expresso dos pais os responsáveis quando se tratar de coleta, armazenamento e tratamento de dados pessoais tanto de crianças quanto de adolescentes. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 49 REFERÊNCIAS BRASIL. Estatuto da Criança e do Adolescente Fonte: http://www.planalto.gov.br/ccivil_03/Leis/L8069.htm. Acesso em: 29/11/2019. Convenção dos Direitos da Criança. Fonte: https://www.unicef.org/brazil/convencao-sobre-os-direitos-da- crianca. . Acesso em: em 28/11/2019 BRASIL. Lei Geral de Proteção de Dados. Fonte: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/Lei/L13709.htm . Acesso em 06/12/2019. BRASIL. Marco Civil da Internet. Fonte: http://www.planalto.gov.br/ccivil_03/_ato2011- 2014/2014/lei/l12965.htm. Acesso em 08/12/2019. LGPD e o tratamento de dados sensíveis e de crianças e adolescentes. Fonte: https://www.kustermachado.adv.br/lgpd-e-o-tratamento-dos- dados-pessoais-sensiveis-e-de-criancas-e-adolescentes/? fbclid=IwAR03GXqUIVVO0dAMSydMaIsL9Xnn72C- 6Vufi7HbkuTUnICgUhA8zydwhnc. Acesso em 04/12/2019. General Data Protetion Regulation. Fonte: https://gdpr- info.eu/art-8-gdpr/ Acesso em 08/12/2019 O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 50 BRASIL. Lei Geral de Proteção de Dados. Fonte http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/L13709.htm. Acesso em 19/11/2019. Alemanha proíbe a venda de smartwatches para crianças. Fonte: https://www.tecmundo.com.br/internet/124287- alemanha-proibe-venda-smartwatches-criancas.htm . Acesso em 08/12/20019. Governo alemão proíbe a venda da boneca espiã. Fonte: https://www.dw.com/pt-br/governo-alem%C3%A3o- pro%C3%ADbe-venda-de-boneca-espi%C3%A3/a-37609353. Acesso em 08/12/20019. 4º Simpósio Crianças e Adolescentes na Internet Debate sobre a LGPD. Fonte: https://www.youtube.com/watch? v=bu1V03nA3Ng. Acesso em 15/11/2019. How Target figured out a teen girl was pregnant before her father did? Fonte: https://www.forbes.com/sites/kashmirhill/2012/02/16/how- target-figured-out-a-teen-girl-was-pregnant-before-her- father-did/#7dae4b3f6668. Acesso em 08/12/20019. O TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Leticia Lefevre 51 O tema relativo aos direitos do titular consiste em ponto de extrema importância no contexto da proteção de dados pessoais e, por consequência, para a própria Lei Geral de Proteção de Dados Pessoais (LGPD) assim como também é para a norma que serviu de inspiração para seu surgimento: a GDPR - General Data Protection Regulation (sigla em inglês para Regulamento Geral de Proteção de Dados, legislação europeia que trata deste tema, em vigor desde 25/05/2018), uma vez que ambos diplomas legais posicionam o titular ou seja, o indivíduo a quem se referem os dados pessoais que são objeto de tratamento, como personagem central no contexto da privacidade e da proteção de dados pessoais. A LGPD surge, portanto, com o objetivo de garantir os direitos fundamentais de liberdade, intimidade e privacidade do titular e em particular seu capítulo III propõe-se a apresentar uma série de direitos específicos que podem ser sintetizados nos chamados direitos ARCO: Acesso, Retificação, Cancelamento (chamado no Brasil de eliminação) e Oposição, conceito também oriundo do continente europeu. Andréia da Costa Pereira dos Santos¹ DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS ¹ Andreia é Advogada com atuação na área de Contratos e Consultoria Graduada em Administração de Empresas e pós graduada em Direito Civil e Processual Civil e em Direito. Integrante da Comissão de Direito Digital, Tecnologia e Inteligência Artificial da OAB/SP, subsecção Jabaquara-Saúde. Finalmente o empoderamento dos indivíduos enquanto titulares de seus dados 52 Além disso, este capítulo define a forma como estes direitos podem ser plenamente exercidos, assim como, as situações que se constituem em exceções. Também possui o condão de reforçar conceitos vistos anteriormente, mas, principalmente, solidifica a ideia fundamental da LGPD que concentra seus dispositivos no titular dos dados pessoais. Os artigos deste capítulo precisam, portanto, ser interpretados em conformidade com os artigos anteriores para que se compreenda sua real extensão: que os dados das pessoas naturais (mais conhecidas como pessoas físicas) que lhes digam respeito, pertencem somente a elas de forma indissociável. Esse direito é irrenunciável e não pode ser cedido ou transmitido. Importante salientar, ainda, que esta proteção legal restringe-se aos dados classificados pela lei como pessoais assim como também não abrange os dados relativos às pessoas jurídicas. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos Em linhas gerais, deve ser garantida ao titular a confirmação da existência de tratamento de seus dados pessoais e, ocorrendo esta confirmação, deve ser concedido a ele o acesso facilitado às informações sobre esse tratamento, bem como, a possibilidade de exigir do agente de tratamento desses dados (controlador ou operador), a qualquer momento e mediante requisição, os direitos estipulados a seguir. 53 A correção de dados incompletos, inexatos ou desatualizados, dispositivo que tem por objetivo garantir a precisão dos dados dos titulares a fim de evitar os riscos relacionados a problemas de identificação de pessoas tanto dentro do território nacional como também no âmbito internacional, inibindo a proliferação de fraudes especialmente no ambiente on-line. Temos, ainda, como direito do titular a anonimização de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD a qual consiste em procedimento por meio do qual um dado perde a possibilidade de identificar um titular. No entanto, sua efetividade depende de utilização de técnicas de elevado grau de dificuldade, que possibilitem determinado grau de confiança na sua irreversibilidade, sem o qual a técnica perde por completo a sua finalidade de proteção. Por esta razão, assim como nas demais hipóteses em que a LGPD menciona sua realização como mera possibilidade[2], também neste item pode-se concluir que o exercício ao direito à anonimizaçãonão se dá de forma ilimitada, fazendo com que a depender da situação fática apresentada, a falta de execução da anonimização não seja considerada descumprimento por parte do agente de tratamento para os fins especificados nestes dispositivos. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos [2] Artigos 7º, inciso IV, 11, inciso II, c, 13, caput, e 16, inciso II da LGPD. 54 Ainda em relação aos dados desnecessários, excessivos ou tratados em desconformidade com a LGPD, o titular poderá solicitar ao controlador seu bloqueio ou eliminação, sendo que o primeiro consiste em medida temporária enquanto que a eliminação ocorre de forma definitiva. O bloqueio ocorre mediante guarda dos dados pessoais ou do conjunto estruturado de dados pessoais (banco de dados), cabendo ao controlador adotar tal medida após avaliação, de ofício ou mediante requisição do titular quanto a necessidade e licitude do tratamento dos dados. Já no que diz respeito à eliminação, além de decorrer do tratamento em desconformidade com a LGPD, também deve ser realizada por ocasião do término do tratamento de dados, ressalvadas as hipóteses estabelecidas na lei. O titular poderá, ainda, requerer a portabilidade, que consiste no direito de transferir seus dados pessoais de um controlador para outro. Para tanto, o agente de tratamento deverá disponibilizar os dados de forma estruturada que permita e facilite sua transferência da mesma forma que já ocorre, por exemplo, na portabilidade de números telefônicos. Importante observar também que o agente de tratamento é obrigado a disponibilizar ao titular tão somente os dados pessoais coletados e não os dados e informações originados do tratamento efetuado, tais como, por exemplo, o perfil de consumo do titular desenvolvido pelo controlador com base em recursos e técnicas inerentes ao seu negócio que configuram-se como segredo comercial. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 55 Já, a requisição expressa exigida para efetivação da portabilidade diz respeito à manifestação de vontade do titular de forma manifesta e inequívoca, ou seja, deve haver uma ação do titular indicando sua vontade, podendo ser efetuada de forma escrita, verbal ou por qualquer meio que transmita sua vontade de forma precisa. No que tange a eliminação especificamente dos dados que vinham sendo tratados com fundamento na base legal do consentimento, esta só não poderá ocorrer se houver obrigação legal ou regulatória a ser cumprida pelo controlador, estudo por órgão de pesquisa, transferência a terceiro ou, ainda, uso exclusivo do controlador após anonimização (hipóteses previstas no artigo 16). Também é garantida ao titular, a obtenção de informações sobre as entidades públicas e privadas com as quais o controlador tenha realizado o compartilhamento de seus dados pessoais. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 56 É assegurado ao titular, ainda, receber antes da coleta de seus dados e independentemente de qualquer solicitação, informações claras acerca da possibilidade de não fornecer o consentimento, bem como, esclarecimentos sobre as consequências decorrentes dessa negativa, de forma expressa e inequívoca. O titular pode também revogar, a qualquer tempo e por procedimento gratuito e facilitado, consentimento que tenha fornecido anteriormente, sem necessidade de cumprir qualquer condição para tanto. Esta revogação produz seus efeitos somente a partir do momento em que for efetivada, não incidindo, portanto, sobre o tratamento dos dados efetuado com fundamento no consentimento até então existente. Os parágrafos 1º e 8º do artigo 18 tratam do direito do titular em formalizar, quando e se lhe convier, reclamações contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD) e/ou perante os organismos de defesa do consumidor sendo que os meios e formas adequados para isso ainda deverão ser regulamentados pela ANPD. Poderá, ainda, recorrer ao poder judiciário em ações individuais ou coletivas para defender seus direitos e interesses, conforme disposto na legislação pertinente. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos Além dos direitos, o capítulo III trata dos procedimentos a serem seguidos para que estes possam ser exercidos. 57 Mais um direito do titular é o de opor-se ao tratamento de seus dados pessoais sempre que constatar o descumprimento de disposições da LGPD, caso este tratamento seja realizado com fundamento em uma das hipóteses de dispensa do consentimento previstas na lei como, por exemplo, no artigo 7º § 4º em que o consentimento é dispensado na situação em que o próprio usuário tenha tornado públicos seus dados pessoais. O §3º do artigo 18, por sua vez, estabelece que somente o próprio titular de dados ou seu representante legalmente constituído poderão efetuar requisições ao agente de tratamento em relação aos direitos previstos neste artigo enquanto que o §4º impõe ao controlador a obrigação de responder ao titular dos dados caso não seja possível cumprir de imediato a providência solicitada por meio do requerimento especificado no §3º, devendo fornecer as razões que impedem o atendimento da pretensão ou comunicar que não é o controlador e, caso tenha conhecimento, indicar quem é o real agente de tratamento. O § 5º estabelece a gratuidade como regra para o exercício dos direitos dos titulares. Em relação aos prazos de atendimento, no entanto, exceto em relação ao Poder Público, as regras relacionadas aos prazos de atendimento pelo setor privado ainda precisam ser detalhadas e regulamentadas pela ANPD. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 58 O § 6º determina que caso o controlador tenha compartilhado dados pessoais para os quais o titular tenha requerido correção, eliminação, anonimização ou bloqueio, deverá informar de maneira imediata os demais agentes envolvidos no tratamento dos dados para que estes repitam idêntico procedimento. E finalmente, o § 7º preconiza que não haverá obrigação do controlador em efetuar a portabilidade solicitada pelo titular caso os dados pessoais tenham sido anonimizados de forma irreversível. E, com isso, avançamos para o artigo 19 o qual estipula que o titular poderá escolher receber as informações relativas à confirmação de existência ou de acesso a seus dados por meio eletrônico ou sob a forma impressa. Além disso, o agente de tratamento deverá disponibilizar as informações de forma imediata se em formato simplificado ou no prazo de até 15 (quinze) dias, contados da data do requerimento do titular se em formato completo, contemplando declaração clara e completa com indicação quanto à origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento. Quando o tratamento de dados tiver fundamento no consentimento ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais em formato que permita e facilite sua transferência, observados os segredos comercial e industrial, nos termos de regulamentação da ANPD. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 59 E chegamos ao artigo 20, o mais polêmico deste capítulo, que trata da possibilidade do titular dos dados requisitar ao controlador explicações e até mesmo revisão de decisões tomadas unicamente com base no tratamento automatizado que possam potencialmente afetar seus interesses, especialmente decorrentes da construção do seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade. Esse tipo de decisão é muito comum atualmente, especialmente em razão do avanço na utilização de métodos e recursos tecnológicos tais como inteligência artificial, analytics,big data, etc que auxiliam as empresas na análise de grandes volumes de dados que ocorrem, por exemplo, em processos de seleção, de concessão de crédito, etc. A revisão das decisões poderá ser efetuada de forma humana ou automatizada, como melhor convier ao Controlador, desde que as informações fornecidas de fato deixem claro ao titular os critérios e procedimentos utilizados para a formação da decisão automatizada. Caso o agente de tratamento não disponibilize tais informações alegando de forma genérica observância do segredo comercial e industrial o titular poderá acionar a ANPD que, por sua vez, poderá realizar auditoria para verificação de eventuais aspectos discriminatórios contra o titular.. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 60 O artigo 21 determina que os dados pessoais decorrentes de direitos regularmente exercidos pelo titular não poderão ser utilizados de forma a prejudicá-lo. Seria o caso, por exemplo, da utilização de informações anteriores de candidatos em processo de seleção relacionadas a existência de ações trabalhistas contra ex- empregadores, resultando na eliminação do titular do referido processo. Algo importante a salientar é que nem todas as requisições do titular serão atendidas, havendo possibilidade de restrições e de exceções de caráter legal, especialmente quando venha a existir preponderância de interesses que se sobreponham à vontade do titular como, por exemplo, na hipótese em que o controlador não possa atender a requisição de eliminação dos dados de funcionário recém demitido em razão da necessidade de manter referida documentação pelos prazos estabelecidos em lei para cada tipo de documento, em cumprimento à obrigação legal. De qualquer forma, o agente de tratamento sempre deverá obrigatoriamente avaliar a solicitação do titular no sentido de confirmar se poderá ou não ser atendida e, em ambas as hipóteses, deverá manter o titular devidamente informado de acordo com as especificações estabelecidas pela própria lei. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 61 CONCLUSÃO Uma vez compreendidos os direitos dos titulares, fica para as organizações o desafio de enxergar a necessidade de adequação às determinações da LGPD, não apenas como um ônus mas sim como uma oportunidade estratégica de agregar valor ao seu negócio, priorizando a privacidade e proteção dos dados de clientes que cada vez mais serão fiéis àquelas empresas que demonstrarem preocupação genuína em relação a este tema, agindo com ética e transparência e alcançando assim ampla vantagem competitiva frente aos concorrentes que não adotarem essa postura a qual é absolutamente essencial em uma sociedade movida a dados. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 62 REFERÊNCIAS COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. 2. ed. rev., atual. e ampl. São Paulo: Thomson Reuters Brasil, 2019. 247 p. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coord.) et al. LGPD: Lei Geral de Proteção de Dados comentada. 1. ed. São Paulo: Thomson Reuters Brasil, 2019. 411 pp. PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD). 1. ed. São Paulo: Saraiva, 2018. 115 pp. PENSANDO O DIREITO – DIREITOS DO TITULAR. Disponível em: <http://pensando.mj.gov.br/dadospessoais/eixo-de- debate/direitos-do-titular/>. Acesso em: 07 dez. 2019. DOS DIREITOS DO TITULAR COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Andréia da Costa Pereira dos Santos 63 O estudo do tratamento de dados pessoais pelo Poder Público não se limita aos artigos do capítulo IV da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), quer porque a LGPD também disciplina o papel do Estado nos demais capítulos, quer porque outros diplomas legais anteriores já tratavam da matéria, mesmo que de maneira esparsa e incipiente, a exemplo da Lei de Acesso à Informação – LAI, Lei nº 12.527/2011. Jorge Alves Dias¹ DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS ¹ Jorge é Advogado, Especialista em Direito Público, Especialista em Qualidade e Produtividade e Spécialiste en “Management des projets et gestion axée sur les résultats” École nationale d'administration - l'ENA - Paris – Françae. O que se espera do Poder Público com a LGPD? Evolução histórica No mundo inteiro, as Administrações Públicas são as maiores controladoras de dados pessoais, seja de seus cidadãos, seja dos estrangeiros em seu território. Pode-se afirmar que, no Brasil, com mais de 210 milhões de habitantes, o Poder Público é, sem dúvida, o maior detentor de dados pessoais. Nos anos 70, o controle de dados pessoais pelo Estado gerou inquietação muito grande na Europa. 64 Em março de 1974[2], o jornal Le Monde publicou artigo intitulado "Safari ou la chasse aux Français"[3], revelando que, na época, o governo francês desenvolvia o Projeto SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus) para realizar a interconexão dos arquivos da previdência social, do tesouro e da polícia. Os franceses, preocupados em preservar suas liberdades individuais, opuseram forte resistência ao projeto, o que levou o governo não somente a desistir do projeto, mas também a criar a “Commission Nationale de l'Informatique et des Libertés – CNIL”, hoje, a autoridade nacional para fins de “Règlement général sur la protection des données – RGPD”. O que é preocupante, hoje em dia, não é mais o volume de dados sob controle do Estado, mas os casos de vazamento de dados pessoais no setor público, como têm acontecido ultimamente. DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Jorge Alves Dias [2] DESGENS-PASANAU, Guillaume. “Protection des données personnelles: le nouveau droit”. Conservatoire national des arts et métiers. FRANCE UNIVERSITÉ NUMÉRIQUE. 2019. Fonte: https://www.fun-mooc.fr/courses/course- v1:CNAM+01032+session02/about. Acesso em 01/12/2019. [3] "Safari ou la chasse aux Français". (Safari ou caça aos franceses, em tradução livre). Fonte: https://www.cnil.fr/sites/default/files/atoms/files/le_monde_0.pdf e https://www.senat.fr/evenement/archives/D45/context.html. Acesso em 06/12/2019. 65 Notícia de 29/10/2019[4] divulgou que Cartórios de São Paulo deixaram expostos na internet quase 1 milhão de arquivos contendo dados pessoais durante pelo menos dois meses. Ainda em outubro, o site techmundo.com.br[5] publicou que “falha no sistema do Departamento Estadual de Trânsito (Detran) do Rio Grande do Norte possibilitou o vazamento dos dados de 70 milhões de brasileiros que possuem a Carteira Nacional de Habilitação (CNH)”. Em Nota oficial, o DETRAN-RN[6] comunicou, em 09/10/2019, que falha já estaria sanada, mas admitiu que dados de usuários teriam sido, indevidamente, acessados. No Brasil, antes da LGPD, a legislação era setorizada e fragmentada, mas já havia preocupação quanto ao equilíbrio entre o sigilo das informações pessoais pelo governo e o acesso da sociedade a essas informações. DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO COMENTÁRIOS À LEI GERAL DE PROTEÇÃO DE DADOS Jorge Alves Dias [4] Falha de cartórios expõe dados de ao menos 1 milhão de pais, mães e filhos ... - Veja mais em https://noticias.uol.com.br/cotidiano/ultimas- noticias/2019/10/29/falha-de-cartorios-expoe-dados-de-ao-menos-1- milhao-de-pais-maes-e-filhos.htm?cmpid=copiaecola. Acesso em 01/12/2019. [5] Falha no Detran vaza dados de 70 milhões de brasileiros com CNH - https://www.tecmundo.com.br/seguranca/146780-falha-detran-vaza- dados-70-milhoes-brasileiros-cnh.htm. Acesso em 01/12/2019. [6] Departamento Estadual de Trânsito RN – Fonte: http://www.detran.rn.gov.br/Conteudo.asp? TRAN=ITEM&TARG=214521&ACT=&PAGE=&PARM=&LBL=NOT%CDCIA. Acesso em 01/12/2019
Compartilhar