Baixe o app para aproveitar ainda mais
Prévia do material em texto
AULA 3 Prof. Armando Kolbe Júnior GOVERNANÇA E REGULAÇÕES DA INTERNET NO BRASIL E NO MUNDO 2 CONVERSA INICIAL Olá, seja bem-vindo à nossa disciplina de Governança e Regulações da Internet no Brasil e no Mundo! Continuando com nossa matéria, trataremos da Lei Geral de Proteção de Dados (LGPD), e, na presente aula estudaremos alguns dos conceitos da Lei (Tema 1), os fundamentos da Proteção de Dados Pessoais (Tema 2), o tratamento de dados (Direitos, Deveres e Sanções) (Tema 3) faremos uma análise comparativa com a GDPR (Tema 4) e, ao final, abordaremos um pouco sobre proteção de dados na Administração Pública (Tema 5). Vamos lá! TEMA 1 – CONCEITOS Ouvimos constantemente que os dados e informações são o novo petróleo na atualidade, mas o grande volume de dados gerados diuturnamente enfrenta esforços para que haja sistematização, análise e, a regulação desse volume gigantesco de dados gerados por cada um. A sociedade 5.0, acompanhada pela indústria 4.0 e as tecnologias chamadas de disruptivas (como internet das coisas (IoT), BIG DATA e machine learning, além da segurança cibernética, realidade aumentada e manufatura aditiva) impressionam pela facilidade pervasiva, possibilitando maior integração dos universos físico e digital, que ocorrem em tempo real. O impacto desse conjunto de tecnologias na produção e na sociedade são ainda inimagináveis, mas causam empolgação. Frente a esse cenário, onde temos a circulação de um sem número de dados, é necessário conhecermos o conjunto das novas regras e processos, alguns conceitos que a LGPD, publicada em agosto de 2018 (Direito Digital, 2019). Essa Lei, busca garantir a privacidade dos dados das pessoas em território brasileiro é um documento complexo (Sander, 2019). 3 Tabela 1 – Conceitos da LGPD Conceito Descrição Autoridade nacional Conforme a LGPD e a Autoridade Nacional de Proteção de Dados (ANPD) é uma entidade que auxilia para regular e fiscalizar o cumprimento da LGPD. Avaliações de Impacto da Privacidade Conjunto de procedimentos periódicos e sistemáticos que permitem a entidade ou organização a identificação de possíveis problemas, riscos e inconformidades o mais breve possível. Banco de dados Conjunto estruturado de dados, que pode estar alocado em um ou em vários locais, normalmente de forma digital em suporte eletrônico. Controlador Qualquer pessoa física ou jurídica que recolha informações pessoais, desde que autorizadas e deve manter sigilo Dado pessoal Todos os dados que podem auxiliar na identificação de uma pessoa. Dado anonimizado Informação descaracterizada em algum momento para evitar a identificação do seu titular, entretanto continua sendo importante para o controlador. Dado sensível São dados bem particulares e íntimas das pessoas, tipo a opinião política, convicção religiosa ou sexual, sendo as mais delicadas, sendo solicitadas somente pelo controlador para finalidades muito específicas. Encarregado Àquele que intermedia o controlador, o titular e a ANPD, conhecido como DPO (Data Protection Officer). Incidentes de segurança Qualquer evento contrário na segurança das redes e dos sistemas de informação. Como exemplo: acesso não autorizado ao sistema de informação. Minimização dos Dados Processo de conformidade utilizado na redução ao máximo o volume de dados recolhidos. Operador Pessoa física ou jurídica responsável pelo tratamento dos dados. Órgão de pesquisa Pode ser órgão ou entidade da administração pública, ou mesmo pessoa jurídica com sede e foro no Brasil, “que possua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada” (Sander, 2019), Portabilidade de dados Apesar de não constar na LGPD, trata-se da migração de informações de um canal para o outro Relatório de impacto É a documentação do controlador onde constam a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (Brasil, 2018). Titular Pessoa a quem se referem os dados pessoais. Tratamento de dados Operação que faz uso de informações pessoais. Essas operações incluem a coleta, classificação, reprodução, transmissão e armazenamento dos dados. Uso compartilhado de dados Compartilhamento de dados pessoais por diversas empresas, órgãos ou pessoas. Violação de dados pessoais Quando ocorre de maneira acidental ou ilícita a violação da segurança, provocando a danos ou acesso não autorizado a dados pessoais ou a qualquer outro tipo de tratamento. Fonte: Adaptado de Direito Digital, 2019; Sander, 2019. 4 Antes irmos para o próximo tema, veja um pouco mais sobre a LGPD e a definição de dados pessoais no link: <https://www.serasaexperian.com.br/blog/lgpd-e-a-definicao-de-dados- pessoais>. Acesso em: 15 abr 2020. TEMA 2 – FUNDAMENTOS DA PROTEÇÃO DE DADOS PESSOAIS A LGPD não é a primeira Lei brasileira que trata da privacidade, mas com certeza é a protagonista do tema, sendo sua incumbência estabelecer os fundamentos que a disciplinam no nosso Direito. São sete os fundamentos que estabelecem as principais diretrizes da proteção de dados pessoais descritos no seu art. 2ºda Lei n. 13.709/2018 (Saldanha, 2019): 1. O respeito à privacidade Com o acúmulo de dados pessoais, em alguns casos sem finalidade definida, ou mesmo com finalidades escusas, criou uma situação de extrema insegurança para os titulares dos dados, proporcionando a devassa de informações das pessoas. Nesse contexto ocorreu a necessidade da criação de regras nas operações que envolvessem dados pessoais, deslocando a preocupação com a privacidade desses dados para dentro dos processos criativo e corporativo (Saldanha, 2019). A lei se faz necessária pois visa garantir que os titulares dos dados pessoais possam ter o máximo de controle possível sobre a destinação de seus dados. 2. A autodeterminação informativa De acordo com Saldanha (2019), o princípio da autodeterminação informativa confere a quem é o titular dos dados a palavra final nas operações que envolvem tratamento dos seus dados pessoais. Se não puder opor-se ao tratamento dos seus dados, com base em outros interesses, tem ao menos o direito de informação sobre a limitação de finalidade desses dados e quanto à segurança conferida a eles. 5 3. A liberdade de expressão, de informação, de comunicação e de opinião Fundamento misto, composto por quatro liberdades que se comunicam entre si: Liberdades de Expressão, de Informação, de Comunicação e de Opinião Saldanha (2019), afirma que a LGPD é uma legislação regulatória, e adentra, nesse caso, em território muito complexo e delicado, por cruzar com caminhos de outros princípios entrelaçados com a própria natureza do estado democrático de direito. Esse fundamento visa garantir que “nenhuma interpretação da lei, mesmo aquela feita em absoluta preocupação com a privacidade, se dê em tolha de direitos básicos de informação, expressão, opinião ou comunicação” (Saldanha, 2019). 4. A inviolabilidade da intimidade, da honra e da imagem Teixeira (2019), afirma que além da “posição de destaque quanto à proteção do direito à privacidade, o legislador cuidou de incluir os demais direitos da personalidade no rol de fundamentos da LGPD, direitos estes garantidos também por força constitucional, no inciso X, artigo 5 da Constituição Federal”. A inclusão dos demais direitos da personalidade dentre os fundamentos da LGPD reforça a proteção ampla ao titular dos dados pessoais, objetivo da Lei, inclusive em seus desdobramentos do direito à privacidade (Teixeira, 2019). 5. O desenvolvimento econômico e tecnológico e a inovação A Constituição Federal (arts. 218 e 219), garante a promoção e incentivo desenvolvimento econômico e científico, sendo este o dever doEstado, e quando o assunto é o desenvolvimento nacional, devem ser interpretados como princípios funcionais da República Federativa do Brasil. A inclusão desse fundamento na Lei Geral de Proteção de Dados deixa claro que o legislador não visa impor limites ao livre avanço da tecnologia e de suas utilidades, mas busca garantir que esse desenvolvimento ocorra atendendo a proteção dos dados pessoais (Teixeira, 2019). 6. A livre iniciativa, a livre concorrência e a defesa do consumidor De acordo com Teixeira (2019), a livre iniciativa é fundamento da República Federativa do Brasil (art. 1º, IV, da CF), enquanto a livre concorrência e a defesa do consumidor são princípios da ordem econômica (art. 170, caput e I, da CF). Na 6 LGPD, esses fundamentos objetivam, também, demonstrar a plena aplicabilidade das normas de proteção dos dados pessoais com o desenvolvimento econômico do país. 7. Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais Demonstra a preocupação do legislador em tentar a proteção dos direitos fundamentais à liberdade e à privacidade e a livre desenvolvimento da personalidade da pessoa natural, reafirmando alguns dos fundamentos discutidos anteriormente, afirmando, o caráter protetivo da norma em favor do titular de dados pessoais com vistas a atingir os objetivos da lei (Teixeira, 2019). Leia um pouco mais sobre LGPD e danos em dados link: <https://www.tiespecialistas.com.br/lei-geral-de-protecao-de-dados-lgpd-evite-o- dano-ao-inves-de-consertar-o-estrago/>. Acesso em: 15 abr 2020. Nesse link a MP n. 869/2018, que trata da proteção de dados pessoais: <https://www.congressonacional.leg.br/materias/medidas-provisorias/- /mpv/135062>. Acesso em: 15 abr 2020. TEMA 3 – TRATAMENTO DE DADOS (DIREITOS, DEVERES E SANÇÕES) Consta no artigo 1º da LGPD: “Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural’. (Brasil, 2018) O foco é em torno do consentimento, pois em diversos casos, não está explícita a concessão de direitos sobre os dados. Ocorrendo de o usuário consentir de maneira tácita com uma cláusula que desconhece. Essa legislação aborda aspectos dos usos desses dados, buscando limitar as atividades das empresas, assegurando direitos como a liberdade, a privacidade e a personalidade. Todo cidadão brasileiro ou não, que esteja no Brasil, pode pedir para acessar dados seus que estejam em uso por qualquer instituição. Pode inclusive solicitar que certos dados pessoais sejam eliminados. Entre outros direitos, pode realizar a portabilidade de seus dados de um fornecedor de serviços para outro. A LGPD assegura diferentes direitos, pois os dados são das pessoas. 7 Os deveres estão destacados no Capítulo VI, artigos 37 a 45 da LGPD: “Do Controlador e do Operador Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. ... Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. ... Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. ... Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. (Brasil, 2018) Apesar da LGPD, prever sanções quando de seu descumprimento, não tem exatamente um código de infrações. (Mattiuzzo , 2020). De acordo com Bastos (2018), a legislação caracteriza a “responsabilidade sobre o dano como solidária entre os agentes de tratamento (operador e controlador) quando: o operador descumprir normas de proteção de dados; o operador não seguir as instruções lícitas do controlador; o controlador estiver diretamente envolvido no tratamento realizado pelo operador e do qual resulte o dano” (Bastos, 2018). Leia um pouco mais sobre proteção de dados regulados em <https://www.ferraznet.com.br/blog/protecao-de-dados-em-setores-regulados>. Acesso em: 15 abr 2020. TEMA 4 – ANÁLISE COMPARATIVA COM RGPD No ano de 2018, na União Europeia, foi aprovada a GDPR (General Data Protection Regulation), em português, Regulamento Geral sobre a Proteção de Dados (RGPD) (DRZ, 2019). Veja a seguir, as principais diferenças entre a LGPD e a GDPR: 8 Tabela 2 – As principais diferenças entre a LGPD e a GDPR LGPD GDPR T ra ta m e n to d e D a d o s S e n s ív e is Estabelece proteção especial aos dados sensíveis. O tratamento deverá acontecer apenas nas situações expressamente previstas na Lei. Não tem equivalência na GDPR. Independente do titular aprovar, os dados sensíveis poderão ser tratados, nos casos em que for indispensável para: 1. A execução, pela administração pública prevista em lei ou regulamento, 2. Garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. É proibido o tratamento de dados sensíveis. Estabelece algumas exceções à proibição. Na LGPD não foram incluídas duas delas: 1. Dados tornados públicos pelo titular, 2. Dados relativos a atuais ou ex- membros de fundações, associações ou organizações sem fins lucrativos, tratados para fins legítimos e com medidas de segurança apropriadas. T ra ta m e n to d e D a d o s d e M e n o re s Para todos os menores de 18 anos é obrigatório o consentimento dos responsáveis legais para o tratamento de dados pessoais, seguindo as definições trazida pelo ECA (Estatuto da Criança e do Adolescente). Se tiver pelo menos 16 anos a lei aceita o consentimento dado por menores. Para menores de 16 anos, é obrigatório o consentimento do responsável legal. P o lí ti c a s d e P ro te ç ã o d e D a d o s Trata a implementação de programa de governança e privacidade como faculdade dos controladores de dados. Atribui ao controlador de dados a obrigação de adotar medidas organizacionais e técnicas adequadas a assegurar que o tratamento de dados seja realizado de acordo com a legislação. R e p re s e n ta n te s É previsto que a empresa estrangeira será notificada e intimada dos atos processuais na pessoa do agente, representante ou pessoa responsável por sua filial, agência, estabelecimento ou escritório que esteja instalado em solo brasileiro. Diferentemente da LGPD, na regulamentação europeia a figura do controlador ou processador deverá estabelecer, por escrito, um representante seu em um dos seus Estados-Membros. R e s p o n s a b ili z a ç ã o d o s A g e n te s São três situações em que o controlador/operador é liberado de responsabilidade: 1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação, 3. Quando os agentes comprovam que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros. Na lei europeia constam apenas dois itens: 1. Quando a pessoa física ou jurídica não estiver envolvida com o tratamento dos dados; 2. Quando, a despeito do dano, o tratamento for realizado em conformidade com a legislação, 9 M a rk e ti n g D ire to A LGPD aplica as regras gerais de consentimento, transparência e direito de objeção dos titulares dos dados pessoais. Na GDPR são apresentadas previsões específicas. Pode se opor a qualquer momento o titular dos dados ao tratamento de seus dados, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta. R e la ç ã o E n tr e C o n tr o la d o r e O p e ra d o r Não é exigido a formalização por meio de contrato, apesar da lei brasileira estabelecer que o operador deverá realizar o tratamento de dados conforme a instrução do controlador, Na lei europeia é previsto que o tratamento de dados que será realizado por operador deverá constar em contrato ou outro ato jurídico que vincule o controlador ao operador. R e la tó ri o d e I m p a c to Não está muito claro na lei brasileira quais situações o controlador será obrigado a realizar um relatório de impacto à proteção de dados pessoais, sendo delegado a uma regulamentação posterior o tratamento deste assunto. Está previsto que o controlador deve prover um relatório de impacto à proteção de dados pessoais, nos casos em que o tratamento venha a resultar em um elevado risco para o direito e a liberdade das pessoas. Traz inclusive uma detalhada descrição do que deve constar neste relatório. T ra n s fe rê n c ia I n te rn a c io n a l d e D a d o s É permitido a transferência de dados pessoais para países ou órgãos internacionais, desde que habilitem grau de proteção de dados pessoais adequados ao previsto. São estabelecidos pela LGPD unicamente algumas diretrizes genéricas a serem observadas pelas autoridades nacionais. Alega que a transferência internacional dos dados poderá ser realizada independente de autorização específica caso a comissão europeia reconheça que o país de destino possa assegurar um nível de proteção adequado. Caso contrário, essa transferência estará condicionada a garantias adequadas, devidamente asseguradas pelo Agente. Estão devidamente descritos na GDPR todos os procedimentos e elementos que são levados em consideração pela Comissão para a autorização da transferência. F is c a liz a ç ã o d o C u m p ri m e n to d a L e i No projeto de lei original a LGPD previa a criação da Autoridade Nacional de Proteção de Dados, acompanhando a linha do regulamento europeu. Entretanto, os dispositivos previstos na sua criação e responsabilidades foram vetados, por incorrerem em inconstitucionalidade do processo legislativo. É estabelecido a criação do Comitê Europeu para Proteção de Dados, responsável por assegurar a aplicação coerente da GDPR” (DRZ, 2019). Fonte: Adaptado de DRZ, 2019. Veja nesse Link um artigo sobre as principais diferenças da LGPD e GDPR: https://cio.com.br/quais-as-semelhancas-e-diferencas-entre-a-lgpd-do-brasil-e- gdpr-da-ue/. Acesso em: 15 abr. 2020. 10 TEMA 5 – PROTEÇÃO DE DADOS NA ADMINISTRAÇÃO PÚBLICA De acordo com Mielli (2018), o texto da LGPD buscou não fazer de forma distinta o tratamento de dados que é realizado pelo setor público ou privado, mas constam algumas situações bem específicas pela natureza da atividade do poder público: Dispensa de consentimento em alguns casos Aumento dos mecanismos de transparência Limitações para a transferência e/ou compartilhamento de dados entre o poder público e o setor privado (Mielli, 2018). Alexandrino e Paulo (2017) citados por Rosso (2019) argumentam que para entendermos o impacto que a Lei Geral de Proteção de Dados causará no Setor Público devemos inicialmente buscar definições fornecidas pelo Direito Administrativo no que tange a sua constituição: “o ordenamento jurídico brasileiro submete as variadas hipóteses de atuação da administração pública, nos três poderes e em todos os níveis da Federação, ora a um regime jurídico tipicamente de direito público, ora a normas oriundas predominantemente do direito privado”. (Alexandrino; Paulo, 2017, p. 111) (Rosso, 2019) Rosso (2019) ainda afirma que: “Determinar qual a natureza jurídica do ente e em qual interesse age - se no interesse público e em sua finalidade ou em regime concorrencial - no caso concreto é o primeiro passo para identificar como a LGPD a ele se aplicará” (Rosso, 2019). Discutir os efeitos da LGPD no setor público nos levará a diversos questionamentos: “Qual é a melhor forma dos órgãos do governo se adequarem à lei? Será criando um comitê de segurança? Contratando uma empresa especializada? Obtendo assessoria jurídica? Formando uma comissão multidisciplinar?” (Guynemer, 2019) Guynemer (2019) afirma que estas respostas ainda não podem ser cravadas com a devida exatidão. Inúmeras outras questões partem da pergunta inicial, mas se nos aprofundarmos de forma cautelosa no cenário atual, podemos auspiciar que se arrebatarmos todas estas opções poder ser uma resposta aos 1 ALEXANDRINO, M.; PAULO, V. Direito Administrativo Descomplicado. 27 ed. Rio de Janeiro: Forense; São Paulo: Método, 2017. 11 questionamentos que passamos atualmente. Existem inúmeras indefinições, que tem ocorrido em forma de vetos e mudanças no texto original, gerando diversas incertezas, que ocorre pela inexperiência, e da grave falta de alinhamento político, sem falar da famosa morosidade legislativa, que nos acomete a cada mudança de legislação (Guynemer, 2019). Na LGPD existe uma base fundamental para o correto processamento de dados pessoais dentro do setor público, conhecida como Base de Interesse Público. Onde constam as principais diretrizes e regras a serem seguidas pela administração pública, no exercício das atividades de tratamento e uso compartilhado de dados, que serão utilizados na execução das mais diversas políticas públicas. Grande quantidade de dados, de natureza sensível são mantidos na maior parte das organizações governamentais, que são coletados e mantidos por estas. Ocorre constantemente a sobrecarga das bases de dados e sistemas de arquivamento com substanciais quantidades de informações desatualizadas e desnecessárias, e que apesar de ser uma tarefa de adequação primária em se tratando de dados, é bem desafiadora. Deve haver entendimento de questões como essa, para que se possa avaliar quais impactos podem ocorrer e assim planejar ações preventivas, que devem ocorrer na fase de estruturação, e posteriormente no aspecto legal. Esse cenário impactará em mudanças nas estruturas da Administração Pública, principalmente em setores de TI. Se intere um pouco mais sobre a proteção de dados na Administração Pública, no link a seguir: https://www.pnm.adv.br/protecao-de-dados-na- administracao-publica/. Acesso em: 15 abr 2020. FINALIZANDO Na aula de hoje vimos diversos conceitos oriundos da LGPD, alguns fundamentos da proteção de dados pessoais, inclusive mostrando a consonância com o que já consta na Constituição Federal. Os direitos, deveres e sanções aos Agentes responsáveis pelo tratamento de dados também foi tema de nossas conversar. A importância de questões internacionais, no que tange às comparações com a RGPD, bem como o papel da Administração Pública nesse cenário foram contemplados. 12 A LGPD, é alvo de inúmeras discussões. Era inicialmente prevista a sua vigência para agostos de 2020, tendo nova data sugerida para 2022, pelo Projeto de Lei 5762/19, da vigência da maior parte da Lei. Na próxima aula, veremos alguns meios de regulação indireta. Nos encontramos lá! 13 REFERÊNCIAS BASTOS, A. Direito Digital: guia da Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <https://blog.sajadv.com.br/direito-digital-lei-de-protecao- de-dados/>. Acesso em: 1 abr 2020. BRASIL. Lei N. 13.709, de 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>.Acesso em: 31 mar 2020. DIREITO DIGITAL. LGPD: 11 conceitos de proteção de dados que você precisa conhecer. Disponível em: <https://assisemendes.com.br/blog/lgpd-conceitos/>. Acesso em: 31 mar 2020. DRZ. Diferenças entre a GDPR e a LGPD. Disponível em: <https://www.drz.global/blog/diferencas-entre-a-gdpr-e-a-lgpd>. Acesso em: 1 abr 2020. MATTIUZZO, M.; HADDAD, F.;PONCE, P. Proteção de dados em setores regulados: Clipping. Disponível em: <https://www.ferraznet.com.br/blog/protecao-de-dados-em-setores-regulados>. Acesso em: 1 abr 2020. SALDANHA, J. Os fundamentos da proteção de dados pessoais de acordo com a LGPD. Disponível em: <https://triplait.com/os-fundamentos-da-protecao- de-dados-pessoais/>. Acesso em: 31 mar 2020. SANDER, G. Principais conceitos da LGPD. Disponível em: <https://sisqualis.com.br/conceitos-lgpd/>. Acesso em: 31 mar 2020. TEIXEIRA, J. LGPD LEI GERAL DE PROTEÇÃO DE DADOS. . [S.l: s.n.], 2019. Disponível em: <https://joaopedrofteixeira.jusbrasil.com.br/artigos/753086549/lgpd-101- comentarios-a-lei-geral-de-protecao-de-dados?ref=feed>. Acesso em: 31 mar 2020.
Compartilhar