Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 ATHON ENSINO SUPERIOR CURSO DE DIREITO A PROTEÇÃO DE DADOS PESSOAIS NA LEGISLAÇÃO BRASILEIRA Luiz Otávio Nordi SOROCABA/SP 2021 2 TEMA: A PROTEÇÃO DE DADOS PESSOAIS NA LEGISLAÇÃO BRASILEIRA Trabalho de Conclusão de Curso apresentado como exigência para aprovação na disciplina de TCC da Graduação em Direito, da Faculdade Athon – Ensino Superior. Orientadoras: Professora Especialista Daniele Pavin e Maria Cristina Vieira Rodrigues. 3 AGRADECIMENTOS Sou grato aos meus professores pelo tempo de convívio, pela dedicação e por todo o conhecimento partilhado. Grato, ainda, às professoras orientadoras Mestra Daniele Pavin e Maria Cristina Vieira Rodrigues. 4 DEDICATÓRIA À minha mãe, por todo o auxílio desde sempre. Aos meus amigos e familiares, principalmente a minha tia Patrícia Arruda. 5 RESUMO O presente trabalho de conclusão de curso tem como objetivo apresentar o direito à proteção de dados pessoais como direito fundamental da pessoa humana, em um contexto de crescente violação de privacidade e de vazamentos de dados pessoais. Para elucidação do tema, são expostos os princípios que regem o instituto e a evolução legislativa brasileira nesse sentido frente a movimentações internacionais, sendo também, portanto, foco do trabalho também evidenciar a influência de leis alienígenas na Lei Geral de Proteção de Dados brasileira. Palavras-chave: Dados pessoais. Proteção de dados. Direito fundamental. Constituição Federal. Lei Geral de Proteção de Dados. LGPD. Vazamento de Dados. Compliance. 6 ABSTRACT This essay aims to present the protection of personal data as a fundamental human right, in a context of growing violation of privacy and leaks of personal data. To elucidate the theme, the principles governing the institute are exposed, the types of personal information and the evolution of such right from the old concept of privacy, passing through informative self- determination and later segregating into an autonomous law. The focus of the work is also to highlight the influence of alien laws on the Brazilian General Data Protection Law. Finally, an analysis will be made of some legislation that deals with the subject, such as the aforementioned General Data Protection Regulation, used as a model of law of the recent Brazilian General Data Protection Law, which takes care of the matter in detail, supplementing the Civil Law of the Internet. Keywords: Protection data. Human rights. Brazilian law. Brazilian General Data Protection Law. LGPD. Data leaks. Compliance. 7 METODOLOGIA Para o desenvolvimento do presente trabalho de pesquisa, foram realizadas revisões de literatura e do texto da lei e artigos sobre a LGPD, publicados em gov.br e em sites citados na bibliografia. Também foram utilizadas pesquisas de palavras-chave como: “Dados pessoais”. “Proteção de dados”. “Direito fundamental”. “Constituição Federal”. “Lei Geral de Proteção de Dados”. “LGPD”. “Vazamento de Dados”. “Compliance”. Foram, por fim, utilizados os resultados provenientes das pesquisas para desenvolvimento do trabalho, trazendo reflexões e os principais aspectos relevantes do instituto. 8 SUMÁRIO 1. Introdução...................................................................................................................08 2. Definições.....................................................................................................................11 3. A proteção de dados no tempo...................................................................................13 4. A “General Data Protection Regulation” ou “GDPR” .............................................15 5. A Lei Geral de Proteção de Dados.............................................................................19 5.1. Aspectos relevantes....................................................................................................... 5.2. A Agência Nacional de Proteção de Dados.............................................................21 6. Conclusão......................................................................................................................24 7. Bibliografia....................................................................................................................26 9 1. Introdução Nos últimos anos, consequência do boom proporcionado pelo crescimento estratosférico da internet em um contexto de mundo cada vez mais globalizado, em que a troca de informações é instantânea, a todo tempo, a proteção aos dados pessoais dos indivíduos passou a ser assunto relevante mundo afora. Incidentes como vazamento de dados pessoais em massa, exposição não autorizada de imagens íntimas de personalidades famosas e capitalização sob venda de informações obtidas ilegalmente trouxeram à tona a imediata necessidade de regulação do chamado tratamento de dados. Não que leis tratando deste tema sejam novas, pois, na realidade, países como Alemanha, França, Suécia e outros, já vêm estabelecendo arcabouço jurídico de proteção a dados pessoais há, pelo menos, 30 (trinta) anos. No entanto, o que foi visto nos últimos anos foi uma verdadeira corrida para estancar a desenfreada banalização sob a propriedade e o uso indevido de dados pessoais, ao passo que, do ponto de vista corporativo-comercial, jurisdições mais atrasadas passaram a acelerar regulamentações a fim de não perder competividade no mercado, dentro do bojo do que se entende por compliance. No ordenamento jurídico brasileiro, conforme disposto no art. 5º, X, c, da Carta Magna, o direito fundamental à privacidade já é conferido às pessoas naturais há pelos menos três décadas: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação” (BRASIL, 1988). Contudo, frente aos movimentos internacionais nesse sentido, como ora exposto, entrou em vigor em setembro de 2020 a Lei 13.709 de 14 de agosto de 2018, mais popularmente conhecida como Lei Geral de Proteção de Dados ou simplesmente “LGPD”, depois de um longo período de vacância e vários adiamentos, com vistas a regulamentar com mais propriedade assunto de tamanha relevância. Com inspiração na General Data Protection Regulation, também conhecida como “GDPR”, vigente em toda a União Europeia, a Lei Geral de Proteção de Dados trouxe algumas inovações à proteção dos dados pessoais como direitos individuais, além de garantir maior competitividade às empresas nacionais, principalmente àquelas que negociam 10 internacionalmente com empresas localizadas em jurisdição de arcabouço de proteção já estabilizado. Com base em pesquisas desenvolvidas, utilizando bibliografias e estudos existentes sobre o tema, além de jurisprudência nacional e internacional, o objetivo do presente trabalho de conclusão de curso é demonstrar o benefício da implementação da legislação no país, mas também evidenciar questões ainda necessárias para uma maior efetividade prática das ações. 11 2. Definições A Lei Geral de Proteção de Dados (“LGPD”)¹, em seu artigo 5º, esclarece conceitos fundamentais que também auxiliam no entendimento do presente trabalho: 1. Dados pessoais: informações relacionadas a pessoa natural identificada ou identificável. 2. Dados pessoais sensíveis: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso etc. 3. Dados anonimizados: dados relativos a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.4. Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. 5. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; 6. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; 7. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; Para identificação dos respectivos responsáveis no tratamento de dados pessoais, a LGPD conceitua da seguinte maneira: 1. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; 2. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 3. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; 4. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. São relevantes, ainda, para o tema tratado no seguinte trabalho, o entendimento dos seguintes princípios, dispostos no art. 6º da mesma Lei: 12 1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 2. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 3. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. 13 3. A proteção de dados no tempo A preocupação com a proteção de dados não é nova, sendo o direito à privacidade das informações tratado há, pelo menos, 3 (três) décadas pela legislação de países mundo afora. A Lei Federal de Proteção de Dados Pessoais de Hessen, estado alemão, foi uma das pioneiras em instituir direitos, obrigações e sanções no que se refere à proteção de dados pessoais ao passo que, ao longo dos anos, novas regulações nesse sentido passaram a surgir na França, Suécia e em outros países². Sendo proteção de dados produto, em grande medida, da revolução tecnológica e econômica causada pela internet, faz sentido que a preocupação com esse instituto tenha começado em países mais desenvolvidos economicamente, onde o acesso à comunicação instantânea chegou com maior antecedência e problemas com violação de privacidade, consequentemente, trouxeram à tona a necessidade de regulações. A lei alemã surgiu num contexto de reação às preocupações sobre os avanços da computação e a privacidade no processamento de dados pessoais. Em 1973, a Suécia criou a primeira lei nacional de privacidade, que estabelece parâmetros para a criminalização da apropriação de dados e deu aos titulares dos dados liberdade para acessar e exigir transparência sobre os seus próprios registros. Em 1978, a Lei Federal de Proteção de Dados alemã definiu parâmetros basilares de proteção de dados, como a necessidade de consentimento para o tratamento de dados pessoais. Em 1979, grande parte da União Europeia já havia incorporado as suas respectivas legislações arcabouço de proteção de dados como direitos de seus cidadãos. Em um julgamento que, de certa forma, foi precursor ao que temos como direito positivado nos dias de hoje, em muitos dos ordenamentos jurídicos que tratam de proteção de dados, o Tribunal da Constituição Federal da Alemanha determinou que seus cidadãos teriam como direito fundamental a prerrogativa sobre seus próprios dados pessoais. Na decisão, foi determinado que os cidadãos alemães deveriam ser protegidos contra o armazenamento, a coleta, o uso e a divulgação ilimitada de seus dados pessoais³. Com o avanço da tecnologia computacional e o avanço do fluxo do envio de informações, a União Europeia adotou, ainda, regramento que impôs padrões mínimos de proteção de dados pessoais aos seus Estados-membros, protegendo os direitos dos cidadãos europeus quanto ao tratamento não autorizado de dados pessoais entre os Estados-membros. Como a lei foi, contudo, adotada de forma diferente pelos Estados do bloco, alguns dos países ficaram sem determinações mais robustas. 14 Nos Estados Unidos, por conta do sistema jurídico adotado, que privilegia, em determinadas matérias, a independência dos Estados em relação a determinações de caráter federal, as leis de proteção de dados foram implementadas por Estado, sendo que nem todos a adotarem. Além de legislações que tratavam de dados bancários e de saúde, não há legislação federal estabelecendo proteção aos dados pessoais de seus cidadãos em geral. Na década de 80, o Conselho Europe anunciou normas para o tratamento de dados em uma perspectiva universal, não somente criada apenas para os países europeus. Em 1995, definiu os conceitos básicos de dados pessoais e outras definições importantes para a conceituação do tema. A GDPR, então, finalmente, no ano de 2018, assume o lugar desses antigos regramentos, para ser aplicada a todos os países-membros da União Europeia. Sob o recorte brasileiro, o direito à privacidade das informações pessoais já era assegurado pela Constituição, como anteriormente citado, além de outras leis que já dispunham genericamente sobre a segurança dos dados pessoais, como o Código do Consumidor, a Lei de Acesso à Informação e, ainda, o Marco Civil da Internet (Lei nº 12.965), pioneiro ao estabelecer diretamente os “princípios, garantias, direitos e deveres para o uso da Internet no Brasil”. Então, frente às movimentações internacionais já mencionadas, além da necessidade de compilar as normas sobre o assunto em um código mais específico, favorecendo o acesso normativo, como também a necessidade de garantir o direito efetivo à privacidade dos seus cidadãos e pressões políticas e de mercado, surgem a Lei Geral de Proteção de Dados (LGPD). 15 4. A “General Data Protection Regulation” ou “GDPR” Como anteriormente exposto, a Europa já reconhecia a questão da privacidade como um direito fundamental, sendo a proteção de dados por eles vista como destacada do direito à privacidade. A proteção de dados se concentra, no ponto de vista do jurista europeu, no aspecto de dados serem usados de forma justa e com a devido autorização, nos limites permitidos por seu titular, enquanto o conceito de privacidade preserva o ideal de vida privada. A GDPR, então, é a medida da União Europeia para abordar essas e outras questões até então pendentes. O estudo teve início em 2009, sendo que a Comissão Europeia publicou uma proposta de redação em 2012. Em 2014, o Parlamento Europeu firmou uma minuta de compromisso, com base em dezenas de alterações propostas. No final de 2015, o Parlamento e o Conselho entraram em concordância sobre o texto do GDPR, aplicável desde maio de 2018. Do ponto de vista de inovação e profundidade no tema, a GDPR é referência atualmente. Seu primeiro artigo inicia enfatizando o objetivo duplo de promover o livre fluxo de dados pessoais dentro da União Europeia, na tentativa de contribuir com as empresas alocadas no território europeu, bem como possui a função de proteger as pessoas físicas e seus dados pessoais. Define, ainda,questões normativas relacionadas às práticas da indústria como o uso de informações em modelos de negócios de big data e aprendizado de máquina. A referida lei europeia ainda procura colocar a questão da privacidade no nível de lei que as empresas, de uma forma geral, tendem a tratar com mais seriedade, como leis antitruste e de práticas de anticorrupção estrangeiras. Antes da promulgação da lei, empresas de dados beneficiavam-se de multas baixas, sendo que os mecanismos de aplicação da GDPR, então, preocuparam-se com a determinação de sanções mais justas e temerárias, instituição de obrigações de notificações de incidentes de segurança e outros aspectos procedimentais com vistas a documentar desvios ou negligência à lei, tudo de forma a impedir violações no tratamento dos dados. Além disso, a visão ampliada da GDPR sobre o tema determina a exigência de que empresas que usam dados pessoais para obrigatoriamente fiscalizem e responsabilizem suas prestadoras de serviços – sendo este ponto, especialmente, uma das grandes influências desta lei na LGPD - e impor limite contratual ao tratamento dos dados. Outra inovação apresentada pela normativa europeia é a promoção dos colaboradores das empresas em geral, cuja implementação do compliance de proteção de dados já esteja efetivado, no status de fiscal da lei, uma espécie de função de oficial de proteção de dados, levando aos 16 nomeados a responsabilidade por registrar qualquer incidente que ocorrer com os dados, inclusive em relação a questões de gestão das autorização, como, por exemplo, em relação ao prazo do consentimento para tratamento dos dados de determinado titular, conforme item (e) do art. 1 da Lei europeia: “... mantido em uma forma que permite a identificação dos titulares dos dados não é mais necessária para os fins para os quais os dados pessoais são tratados; os dados pessoais podem ser armazenados por períodos mais longos, desde que sejam processados exclusivamente para fins de arquivamento de interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos, de acordo com o Artigo 89 (1), sujeito à implementação de procedimentos técnicos e organizacionais apropriados aplica as medidas exigidas pelo presente regulamento para salvaguardar os direitos e liberdades do titular dos dados.” Outro ponto emprestado da GDPR pela LGPD, é a definição de dados pessoais, exposta no título de definições, como “qualquer informação relativa a uma pessoa física identificada ou identificável, sendo que uma pessoa física identificável é aquela que pode ser identificada, direta ou indiretamente (...)”. De forma resumida, todos os dados que identificam uma pessoa ou poderiam, de alguma forma, identificar uma pessoa são dados pessoais. A GDPR aplica-se quando os dados pessoais são tratados, o que significa dizer, basicamente, quando os dados pessoais são processados ou “qualquer operação ou conjunto de operações realizado em dados pessoais ou em conjuntos de dados pessoais, seja ou não por meios automatizados (...).” Neste arcabouço, considera-se como tratamento a coleta, armazenamento, divulgação etc. Conjuntamente e completares entre si, todos esses conceitos significam que sempre que uma organização manipula dados relacionados a um indivíduo, sejam os dados públicos ou privados, independente da forma do consentimento e se confidenciais ou não confidenciais, ainda que não diretamente identifiquem a pessoa, então os regramentos da GDPR aplicam-se a esta empresa. Diferente do funcionamento esparso das leis de proteção de dados nos Estados Unidos, onde cabe aos titulares dos dados ler e avaliar criticamente os disclaimers de privacidade e fazer escolhas com base neste olhar muito mais cuidadoso, visto como autonomia da vontade. Os juristas europeus, assim como na lei brasileira, rejeitam essa abordagem mais liberal, trazendo a responsabilidade aos operadores dos dados. Neste ínterim, por exemplo, os operadores de dados, como datas centers, quando dispostos em países europeus ou tratando dados de cidadãos 17 europeus, precisam cumprir uma considerável parcela da GDPR, sendo responsabilizado o operador que descumprir suas normas. A GDPR também determina que os Estados-membros da União Europeia equilibrem o direito sobre a proteção de dados com os interesses da liberdade de expressão, da liberdade comercial, além de relativizar algumas das disposições da GDPR no sentido de não se apliquem quando os dados pessoais são tratados para expressão artística, produção intelectual ou literária acadêmica. A União Europeia, nota-se, permitiu aos Estados-membros relativizar, flutuando, no campo mais subjetivo, o difícil equilíbrio entre proteção de dados e liberdade de expressão, porque diferentes Estados-Membros têm tradições peculiares neste contexto. Um exemplo disso é a Holanda, que classicamente pende a dar mais peso à liberdade de expressão do que a Espanha. Também podemos esperar mais jurisprudência de outros países sobre o equilíbrio entre liberdade de expressão e proteção de dados, como a França. A GDPR torna bastante claro que o direito à privacidade e outros direitos fundamentais, como a liberdade de expressão, geralmente têm peso igual ou semelhante, por isso permitindo limitações em uma pequena parte de suas regras, mais precisamente quando trata-se de direitos dos indivíduos, quando os governos dos Estados-membro consideram a limitação necessária a fim de proteger outros direitos fundamentais ou interesses públicos. No entanto, como já exposto, a GDPR também traz mudanças bastante significativas e detalhadas. A GDPR coloca os dados pessoais em um regime regulatório complexo, detalhado e protetor, com implicações e nuances mais profundas. Um exemplo disso é o incentivo às empresas a analisem com maior cautela acerca de suas práticas no que se refere ao tratamento de dados pessoais, principalmente aquelas que possuem como seu core business a comercialização ou uma grande manipulação de dados. A GDPR procura, então, fazer com que as empresas coloquem a privacidade em igualdade com outras questões de compliance, por exemplo. Num ponto mais técnico da questão da internet mundial de rede e computadores, a GDPR incentiva as empresas a examinarem suas nuvens e provedores de serviços quanto à conformidade com as regras, com ênfase em responsabilização pela segurança dos dados armazenados, elevando, com esse tipo de medida, os funcionários de privacidade dentro das organizações. Nessa linha de raciocínio (COLNAGO, 2014, p. 767): [...] se o provedor de conexão dispuser da informação acerca de quais aplicações de internet são mais acessadas por seus clientes, aberto estará o caminho para que ele busque firmar acordos comerciais de acesso preferencial diretamente com os provedores 18 de tais aplicações. Um meio ambiente digital sustentável, pois, pressupõe que todos possuam acesso igualitário à rede, sem o estabelecimento de escolhas preferenciais entre os grandes conglomerados econômicos que hoje contribuem para moldar a rede. Aí é que reside a instrumentalidade do dever previsto no artigo 14 para com a neutralidade de rede e, logo, para com a preservação do meio ambiente digital. Além do mais, a GDPR enfatiza a relevância de dados precisos e atualizados, concedendo às pessoas o direito de reivindicar os seus dados em prazo de tempo hábil e não moroso. Prevemos que, no setor privado, as relações de primeira pessoa com pessoas físicas tornem-se ainda mais importantes – já vem se tornando, de fato, em detrimento das relações de terceiros. Também é esperada uma longa trava de braço entre autoridades de proteção de dados, principalmente em governos que não têm observado a importância da proteção dos dados, e grandes empresas de tecnologia e multinacionais mundo afora. A principal desvantagem da GDPR é seu cumprimentoe complexidade: são quase 100 (cem) artigos cujas disposições são bastante detalhadas. As regras para um tratamento justo, equitativo e responsável de dados pessoais nunca serão terminadas, isto é fato, assim como o direito nunca será estático: da mesma forma que na legislação de defesa do consumidor ou na legislação ambiental, as regras e os conceitos terão que ser atualizados, alterados, suprimidos e complementados continuamente, a fim de se adaptar as novas circunstâncias. Em conclusão, a GDPR abre portas para uma nova fase na proteção de dados e da privacidade e influencia governos e políticas em todo o mundo, como o Brasil com a Lei Geral de Proteção de Dados. 19 5. A Lei Geral de Proteção de Dados 5.1 Aspectos gerais O modelo europeu de proteção de dados é certamente considerado como um dos mais avançados no campo, conforme acima demonstrado, sendo com base nesse contexto que o Brasil redigiu sua própria Lei Geral de Proteção de Dados, ou simplesmente “LGPD”, de nº 13.709 de 14 de agosto de 2018. Assim como a GDPR, a LGPD também reconhece que a privacidade e proteção de dados tratam-se de direitos fundamentais, atuando ainda como um regramento geral para o campo, tanto do ponto de vista do direito individual quanto do ponto de vista de limite para manipulação de dados por pessoas jurídicas. Além disso, assim como a lei europeia que a influenciou, como já exposto, estende-se a proteção dos dados coletados no Brasil para armazenamento e processamento fora do país, pelo conceito denominado de extraterritorialidade da lei. A Lei Geral de Proteção de Dados, que passou a vigorar na segunda metade de 2020 depois de muita espera e cancelamentos de prazos, entrando em cena no contexto brasileiro de adaptação progressiva às mais modernas práticas globais de gestão de dados (e de compliance), abrange todas as empresas que oferecem serviços ou possuem operações envolvendo tratamento de dados no Brasil, indistintamente, principalmente aquelas que possuem como seu business principal a comercialização de dados. Empresas sujeitas à lei que violarem suas determinações são sujeitas à aplicação de advertências, multas, suspensões, exposições e proibições parciais ou totais de exercício de suas atividades, chegando a desembolsar até 2% (dois por cento) do seu faturamento, no limite de R$ 50.000,00 (cinquenta milhões de reais) por cada infração. Além de promover a garantia dos direitos individuais de seus cidadãos, a LGPD objetiva incentivar um desenvolvimento mais sustentável da economia e das relações comerciais, muito influenciada por todas as recentes movimentações internacionais. Tanto a legislação brasileira de proteção de dados quanto o GDPR exigem uma abordagem estratégica para a realização do tratamento de dados pessoais, considerando não apenas a implementação de um projeto de compliance de proteção de dados nas empresas, mas também, por outro lado, uma grande oportunidade para as empresas obterem vantagem competitiva no tratamento desses dados, em conformidade com as boas práticas de privacidade. 20 O Lei Geral de Proteção de Dados, então, segue o exemplo de sua lei base europeia, nesse sentido. Estabelece uma série de princípios e fundamentos sob os quais todo o sistema de privacidade e dados proteção deve ser analisados e respeitados, conceitos estes que, em sua maioria, podem ser consultados no título de glossário do trabalho. Os principais objetivos da LGPD, então, é a proteção da coleta e do processamento, a adequação e compatibilidade (entre coleta e processamento), a limitação e minimização de dados na coleção, o processamento e armazenamento, o tratamento calcado na transparência e não discriminação, tudo no âmbito de assunção de responsabilidades. Nesse sentido, acerca do princípio da transparência (CASTRO, 2005, p. 229): [...] o responsável de um tratamento de dados, devidamente identificado, deve dar a conhecer ao titular dos dados a realização do tratamento que lhe respeite, indicando, nomeadamente, os seus fins, categorias de dados tratados, período de conservação dos dados, eventuais comunicações dos mesmos etc. A LGPD, dessa forma, toma o caminho de estabelecer uma variedade de obrigações gerais para processamento de dados e direitos dos titulares dos dados, da mesma forma que a GDPR, e, como outras leis de proteção de dados, efetivamente põe limite à capacidade das organizações no sentido de travar a transferência de dados pessoais para fora do país. Na maior parte das condições, as empresas com sede no exterior devem cumprir parcialmente ou integralmente a LGPD se tiverem clientes, funcionários, contratados e autônomos localizados no dentro do território brasileiro e tiverem meios para transferir os dados pessoais de tais indivíduos para fora do Brasil, independente do destino. O consentimento para transferência de dados pessoais internacionalmente é questão delicada, porque, havendo alteração na manifestação da vontade do titular do direito de tratamento concedido, o ato pode ser considerado anulado, porém nem sempre sendo possível a atuação da Autoridade Nacional de Proteção de Dados (ANPD). Para muitas multinacionais cujas sedes são localizadas fora do Brasil, o grande desafio é administrar os dados dos funcionários que fluem da subsidiária local para a sede no exterior, vez que cada jurisdição trata do tema de acordo com suas peculiaridades, podendo haver conflitos na questão da extraterritorialidade da lei. Nesse ponto específico, em consonância com as diretrizes atuais, é impreciso determinar a real necessidade de notificação quando o vazamento de dados, por exemplo, não for contundentemente massivo ou afetar um grupo mais sensível. Importante salientar que dados 21 apropriados indevidamente muitas vezes são utilizados com fins discriminatórios ou até mesmo para práticas criminosas como estelionato. Outra complicação diz respeito às orientações atuais que sugerem que as organizações devem notificar sobre a ocorrência de incidente em até 02 (dois) dias úteis a partir da data do conhecimento (do incidente). Portanto, é de suma importância que os processadores comuniquem imediatamente um incidente ao controlador, sendo necessário que o controlador tenha mecanismos, preferencialmente por meio de cláusulas contratuais, para alcançar indenização dos processadores. Também é necessário que os contratos para prestação do serviço incluam obrigações específicas para o operador buscar autorização do controlador antes de envolver os subprocessadores. 5.2 A Agência Nacional de Proteção de Dados Outra questão de importante destaque, cuja semelhança entre ambos os sistemas europeu e brasileiro também é notado, é a existência de uma autoridade de proteção de dados (DPA). Como visto acima, o sistema da LGPD, por meio da Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções em caso de violação da legislação a partir de agosto de 2021. As sanções variam de caso a caso, após processo administrativo de análise da ocorrência, sendo aplicadas, como citado anteriormente: advertências simples, multas de 2% (dois porcento) do valor do faturamento da empresa ou grupo no último exercício, bloqueio ou exclusão dos dados envolvidos na ocorrência e suspensão ou proibição do acesso ao tratamento de dados pessoais. Corroborando este pensamento, no contexto de atraso pelas definições envolvendo a ANPD: MANIFESTO PELA CRIAÇÃO IMEDIATA DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS - ANPD Dezembro de 2018 As entidades representativas, instituições acadêmicas, organizações e pessoas (42 no total) que subscrevem este Manifesto clamam pela imediata criação da Autoridade Nacional de Proteção de Dados – ANPD de forma a implementar 22 as providências legais decorrentes da sanção da Lei no 13.709, de 15 de agosto de 2018 (a “Lei Geral de Proteçãode Dados Pessoais - LGPD”). A premência quanto à criação dessa Autoridade se faz latente em razão do inevitável processo de digitalização vivenciado pelas economias mundiais, questão que explicita a interdependência gerada pelo binômio desenvolvimento econômico e proteção de dados. Dada a apertada vacatio legis de 18 meses para adequação à LGPD por todos os seus múltiplos atores – e em razão desse prazo estar se esvaindo com rapidez assustadora – ratificamos o clamor pela criação urgente dessa Autoridade que terá dentre seus principais papéis garantir a eficácia da LGPD; e de ser a responsável por detalhar, através da elaboração de normas e diretrizes, a aplicação dos inúmeros dispositivos da citada Lei pendentes de regulamentação. Essa Autoridade deverá gozar de características imprescindíveis tais como independência e autonomia decisória; o mandato fixo de seus dirigentes; a manutenção do rol de atributos listados no art. 56 do PLC 53/2018, objeto de veto presidencial; ser composta por um corpo funcional estritamente técnico para realizar o gerenciamento deste tema perante seus múltiplos e distintos atores; e ter em sua estrutura um conselho consultivo multissetorial. A criação da Autoridade com essas características é essencial para consolidar no país uma estrutura institucional, apta a propiciar segurança jurídica para o tratamento de dados no país, dar efetividade aos direitos assegurados na LGPD e possibilitar que o Brasil participe do livre fluxo internacional de dados. Reiteramos a urgência na tomada de medidas cabíveis, com vigência imediata, até o final deste ano para que seja instituída a Autoridade nos moldes acima destacados, de modo a permitir a estruturação de todo o arcabouço normativo e diretrizes necessários para a aplicação participe do livre fluxo internacional de dados.”. A criação Autoridade Nacional de Proteção de Dados fez-se necessária para que as organizações que realizam o tratamento e o acesso a informações pessoais cumpram a legislação e possam ser auditadas quando não observarem o devido tratamento destes dados. É, 23 então, a ANPD que fará o poder de fiscalização do cumprimento do que foi estabelecido pela LGPD e, nos casos de vazamento de dados, acessos não autorizados e fora do limite autorizado e outros casos de descumprimento da lei, é a ANPD quem irá analisar e promoverá a autuação dos culpados pelas infrações, podendo também ser contatada pelos titulares dos dados em questão caso estes não tenham seus direitos concedidos por lei respeitados pelos controladores dos dados. Desde a aprovação da lei, em 2018, a Lei Geral de Proteção de Dados tem se estruturado, cada vez mais, ainda que de forma lenta, no ponto de vista de especialistas, existindo uma agenda de debates em torno das interpretações e da forma de implementação da lei, cujos efeitos atingem todo o ecossistema normativo, seja no setor público, seja no privado, bem como no interesse individual dos cidadãos. Sendo somente na data de 6 de novembro de 2020 o Conselho Diretor da ANPD empossado, dando início às operações da ANPD, a Autoridade passou então a ter circuitos administrativos e de promoção do conhecimento para expansão do tema e elucidações. Em 28 de janeiro de 2021, então, neste ínterim, a ANPD definiu a agenda regulatória bianual da ANPD, com os 10 temas prioritários que a ANPD planeja abordar nos próximos dois anos, com base no seu entendimento de prioridades. 24 6. Conclusão Depreende-se, pela análise apresentada, que a LGPD instaurou arcabouço jurídico-legal para a proteção do tratamento de dados pessoais, inaugurando uma série de direitos e obrigações aos titulares dos dados e às empresas que coletam, usam, administram, enfim, que tratam de tais dados. Diante de economias e modelos de negócios que hoje expandem-se a partir da extração, muitas vezes indevidas, e do tratamento de dados pessoais dos usuários como commodities, é de extrema importância que a LGPD regule tais termos, colocando o protagonismo sobre os dados nos próprios titulares. Como foi demonstrado no presente trabalho de conclusão de curso, a questão não paira tão somente na privacidade no sentido da intimidade, como também na autonomia informativa e no controle mais concentrado sobre as informações, assim como numa série de abordagens relacionadas a não discriminação e não comercialização de dados privados indevidamente. Devido a tal complexidade, a LGPD, inspirada na GDPR, adota os princípios necessários para que a proteção dos dados seja instrumento de preservação dos direitos fundamentais e dos valores acima mencionados. É, consequentemente, nesse sentido que devem ser entendidos os direitos básicos dos titulares de dados, cuja previsão está no art. 18 da LGPD, de maneira a equilibrar que os princípios e as preocupações são necessários à regulação de dados. Contudo, a lei por si só não é capaz de resolver todos os problemas relacionados à proteção de dados pessoais tão logo quanto vigente. Os seus regramentos e as suas garantias só podem ter efetividade caso exista a concorrência proveitosa com efetiva prática dos preceitos, razão pela qual a importância da efetiva atuação da Autoridade Nacional de Proteção de Dados (ANPD) é de relevante importância. Conforme exposto no presente trabalho, o tratamento dos dados pessoais num contexto de organizações que capitalizam, cada vez mais, com informações pessoais, sendo esta uma das maiores vulnerabilidades que a lei mais pretende proteger, intenciona frear a exploração não declarada entre o interesse de muitas organizações e até do setor público, que possuem vantagens técnicas e econômicas, e de outro, a sociedade civil como os titulares de dados pessoais. Considerando que, atualmente, a direção que se tem tomado é em sentido a uma sociedade governada por dados, o ambiente social consubstanciado na ideia de privacidade informacional passa a ser essencial par a proteção dos direitos individuais. Portanto, a problemática da 25 privacidade e da banalização da titularidade de dados, hoje, é consequência do conflito constante existente entre os titulares de dados e aqueles que realizam o tratamento dos dados, o que culmina em desequilíbrio social e, então, leva à violação dos princípios da igualdade, privacidade, equidade e da liberdade. A proteção dos dados pessoais sensíveis é, sem dúvidas, instrumento de efetivação dos direitos fundamentais. 26 7. Referências Bibliográficas [¹] BRASIL. DECRETO N° 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais, Brasília – Distrito Federal, agosto de 2018. Disponível em: http://planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/l13709.htm Acesso em 2 de novembro de 2021. [²] Lei Geral de Proteção de Dados. Histórico pelo Mundo. Disponível em: http://dadospessoais.lavits.org/historico-pelo-mundo/. Acesso em: 02 de novembro de 2021. [³] As origens alemãs e o significado de autodeterminação afirmativa. Disponível em: https://migalhas.com.br/coluna/migalhas-de-protecao-de-dados/335735/as-origens-alemas-e- o-significado-da-autodeterminacao-informativa. Acesso em: 05 de novembro de 2021. A, Ivan. A revolução dos dados. 2019. Consumidor Moderno. Disponível em: https://digital.consumidormoderno.com.br/a-revolucao-dos-dados-ed243. Acesso em: 01 de novembro de 2021. BLUM. Renato Opice. LGPD – Lei Geral de Proteção de Dados. 1ª Ed. Revista dos Tribunais. 2018. Lei 12.965/2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em http://planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acessado em 02/set/2020. SILVA. José Afonso da. Curso de direito constitucional positivo. 19. ed. São Paulo: Malheiros, 2009. Autoridade Nacional de Proteção de Dados. Disponível em: https://www.gov.br/anpd/pt-br. Acessoem: 02 de novembro de 2021. SARAIVA NETO, Pery; FENILI, Maiara Bonetti. Novos marcos legais sobre proteção de dados pessoais e seus impactos na utilização e tratamento de dados para fins comerciais. https://www.gov.br/anpd/pt-br 27 Revista de Estudos Jurídicos e Sociais - REJUS ON LINE – ISSN 2594-7702, v. 1, n. 1, dez. 2018. Disponível em: https://www.univel.br/ojs-3.0.2/index.php/revista/article/view/46. Acesso em: 02 de novembro de 2021. MENDES, Laura Schertel. Transparência e privacidade: violação e proteção da informação pessoal na sociedade de consumo. 2008. 156 f. Dissertação (Mestrado em Direito) - Universidade de Brasília, Brasília, 2008. ALCASSA, Flávia. A Lei Geral de Proteção de Dados Pessoais (LGPD) e a exposição de dados sensíveis nas relações de trabalho. Revista do Tribunal Regional do Trabalho da 10ª Região, Brasília v. 24, n. 02, p. 145-151, jul./dez. 2020. Disponível em: https://revista.trt10.jus.br/index.php/revista10/article/view/419. Acesso em 05 de novembro de 2021.
Compartilhar