Baixe o app para aproveitar ainda mais
Prévia do material em texto
ORGANIZAÇÃO APARECIDO PIMENTEL DE EDUCAÇÃO E CULTURA – OAPEC FACULDADE DE ADMINISTRAÇÃO DE SANTA CRUZ DO RIO PARDO – FASC DIEGO MARTINS CARVALHO ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS SANTA CRUZ DO RIO PARDO 2021 ORGANIZAÇÃO APARECIDO PIMENTEL DE EDUCAÇÃO E CULTURA – OAPEC FACULDADE DE ADMINISTRAÇÃO DE SANTA CRUZ DO RIO PARDO – FASC DIEGO MARTINS CARVALHO ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS Trabalho de Conclusão de Curso apresentado à Banca Examinadora do curso de Direito da Faculdade de Administração de Santa Cruz do Rio Pardo para a obtenção do grau de bacharel em Direito sob orientação da Professor Alexandre Pimentel. SANTA CRUZ DO RIO PARDO 2021 ORGANIZAÇÃO APARECIDO PIMENTEL DE EDUCAÇÃO E CULTURA – OAPEC FACULDADE DE ADMINISTRAÇÃO DE SANTA CRUZ DO RIO PARDO – FASC DIEGO MARTINS CARVALHO ANÁLISE SOBRE O CONSENTIMENTO E A AUTODETERMINAÇÃO INFORMATIVA NA LEI GERAL DE PROTEÇÃO DE DADOS Trabalho de Conclusão de Curso apresentado à Banca Examinadora do curso de Direito da Faculdade de Administração de Santa Cruz do Rio Pardo para a obtenção do grau de bacharel em Direito sob orientação da Professor Alexandre Pimentel. Data da defesa: ____/____/______ Banca Examinadora Prof. __________________________ Prof. __________________________ Prof. __________________________ Primeiramente dedico este trabalho a Deus por me conceder o dom da vida e me servir de combustível para transpor as barreiras encontradas nessa longa caminhada. Dedico também à toda minha família, em especial aos meus pais Raul e Elizabeth que sempre acreditaram e me incentivaram, servindo de fonte para minhas inspirações. AGRADECIMENTOS Agradeço ao professor Alexandre Pimentel por ter aceitado ser o orientador deste trabalho e dar todo apoio necessário para que fosse possível sua realização. Aos professores que lecionaram durante os meus 5 anos de curso, transmitindo seus conhecimentos e experiências, que fizeram toda diferença para meus novos horizontes. A todos que me apoiaram de certa forma para a concretização deste trabalho. RESUMO A presente pesquisa tem por finalidade analisar a Lei nº 13.709, de 14 de agosto de 2018, que trata da proteção de dados pessoais, bem como quanto à intimidade e a privacidade, à luz do direito da autodeterminação informacional e do consentimento, princípios basilares da Lei Geral de Proteção de Dados. Para elucidar tais questões, o presente trabalho tem por objetivo esclarecer aspectos jurídicos importantes relacionados à proteção de dados, analisando os conceitos da autodeterminação informativa e consentimento, verificando se a lei é capaz de fornecer a segurança necessária para os usuários e se com as medidas adotadas realmente é possível ter o controle sobre seus dados. A pesquisa em seu decorrer trás aspectos importantes sobre o poder de autodeterminação e consentimento proposto pela lei, demonstrando os artigos que devem ser respeitados para que o poder da autodeterminação seja realmente possível e os requisitos no que diz respeito ao consentimento para que ele seja aceito de forma a trazer segurança tanto ao titular dos dados quanto ao controlador no momento do tratamento de dados. Quanto à metodologia, utilizou-se uma análise indutiva, partindo de pesquisas bibliográficas e documental de livros e artigos. Conclui-se ao final que, embora importante avanço a legislação brasileira no que diz respeito ao tratamento de dados e a sua proteção, existe ainda um pseudoconsentimento, frente a limitação intelectual e racional do ser humano em conseguir controlar todo esse poder de consentimento lhe dado. Por isso, a importância da implementação de novas tecnologias para que facilite o consentimento, lhe tornando possível. Ao se falar em autodeterminação informacional, não se trata de um único direito e sim de um conjunto de direitos reservados aos titulares que quando respeitados e atendidos torna possível seu exercício. Palavras-chave: Lei Geral de Proteção de Dados; Privacidade; Intimidade; autodeterminação informacional; Consentimento; ABSTRACT This research aims to analyze Law No. 13.709, of August 14, 2018, which deals with the protection of personal data, as well as intimacy and privacy, in light of the right of informational self-determination and consent, basic principles of General Data Protection Law. To elucidate such issues, this work aims to clarify important legal aspects related to data protection, analyzing the concepts of informative self- determination and consent, verifying whether the law is able to provide the necessary security for users and whether with the measures adopted it really is possible to have control over your data. The research in progress brings important aspects about the power of self-determination and consent proposed by the law, demonstrating the articles that must be respected so that the power of self-determination is really possible and the requirements regarding consent for it to be accepted from in order to bring security to both the data subject and the controller at the time of data processing. As for the methodology, an inductive analysis was used, based on bibliographic and documentary research of books and articles. It is concluded at the end that, although Brazilian legislation is important in terms of data processing and data protection, there is still a pseudo-consent, given the intellectual and rational limitation of human beings in being able to control all this power of consent given to them. Therefore, the importance of implementing new technologies to facilitate consent, making it possible. When talking about informational self-determination, it is not a single right, but a set of rights reserved to the holders which, when respected and attended to, makes its exercise possible. Keywords: General Data Protection Law; Privacy; Intimacy; Informational self- determination; Consent; SUMÁRIO 1 INTRODUÇÃO ......................................................................................................... 8 2 SOCIEDADE DA INFORMAÇÃO .......................................................................... 11 3 PROTEÇÃO JURÍDICA AOS DADOS PESSOAIS NO BRASIL ........................... 13 3.1 Direito à privacidade e à intimidade ................................................................ 13 3.2 Direito à proteção aos dados pessoais ........................................................... 17 4 GENERAL DATA PROTECTION REGULATION - GDPR .................................... 22 5 LEI GERAL DE PROTEÇÃO DE DADOS: 13.709/2018 ....................................... 25 6 O CONSENTIMENTO NA LGPD ........................................................................... 39 6.1 Consentimento livre .......................................................................................... 44 6.2 Consentimento informado ................................................................................ 46 6.3 Consentimento inequívoco .............................................................................. 49 6.4 Consentimento com finalidade específica e determinada ............................. 50 7 AUTODETERMINAÇÃO INFORMATIVA .............................................................. 52 7.1 Princípios da autodeterminação informativa ..................................................54 8 ANÁLISE ACERCA DO CONSENTIMENTO E AUTODETERMINAÇÃO INFORMATIVA ......................................................................................................... 56 9 CONSIDERAÇÕES FINAIS ................................................................................... 62 10 CONCLUSÃO ...................................................................................................... 66 REFERÊNCIAS ......................................................................................................... 67 8 1 INTRODUÇÃO É notório que os avanços tecnológicos trouxeram grandes benefícios à sociedade, em especial a internet possibilitou o encurtamento de distâncias, facilitou a comunicação, ampliou a interação entre as pessoas, revolucionou a forma de fazer negócios, permitindo por exemplo que se faça uma compra sem sair de casa, no entanto, para que se consuma toda essa tecnologia a sociedade em geral é forçada a se expor, fornecendo dados pessoais e muitas vezes sensíveis. As interações sociais são cada vez mais mediadas pela tecnologia, o que torna tudo “datificado”, surge aí a chamada “sociedade da informação”. Toda essa grande massa de informação (Big Data) passa a ser trabalhada como um produto, vendida e compartilhada entre empresas, que irão utilizá-las para definir suas regras de negócios, quais as melhores formas de produção, quais os interesses em seus produtos, suas estratégias de marketing e influenciar os usuários nas tomadas de decisões, inclusive políticas. A Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), que entrou em vigor no ano de 2020, depois de 24 meses da sua sanção. A LGPD surge sob influência do regulamento Europeu - General Data Protection Regulation (GRPD) - com o desígnio de tratar sobre a proteção de dados pessoais no Brasil, implementando mudanças no panorama da coleta, armazenamento, acesso, gerenciamento, compartilhamento e uso das informações pessoais. Importante ressaltar que, a aplicabilidade da Lei também diz respeito aos dados em estado físico ou off-line, migrando ou não, posteriormente, para o meio digital ou on-line. Dessa forma, a LGPD tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade, e a livre formação da personalidade de cada indivíduo, além de fomentar o desenvolvimento econômico e tecnológico, protegendo os dados pessoais dos titulares, especialmente os dados pessoais sensíveis. A partir dessas considerações, há a necessidade de se fazer algumas análises quanto à intimidade e a privacidade, à luz do direito da autodeterminação informacional e do consentimento, princípios basilares da LGPD. Para elucidar tais questões, o presente trabalho tem por objetivo esclarecer aspectos jurídicos importantes relacionados à proteção de dados pessoais presentes na Lei Geral de Proteção de Dados, analisando os conceitos da autodeterminação 9 informativa e consentimento, verificando se a lei é capaz de fornecer a segurança necessária para os usuários e se com as medidas adotadas realmente é possível ter o controle sobre seus dados. Com isso, o estudo será dividido em 10 capítulos, no primeiro e segundo capítulo será feita uma análise sobre a evolução da informação perante a sociedade, sendo o terceiro capítulo reservado a estudar o direito à privacidade e intimidade no nosso ordenamento jurídico e ainda explicitar o surgimento, a evolução jurídica da proteção de dados pessoais, os princípios que norteiam o direito tutelado e as legislações que serviram de amparo jurisdicional. No quarto capítulo será comentado de maneira breve sobre a GDPR, regulamento que serviu de inspiração para a formulação da Lei de Proteção de Dados no Brasil. No quinto capítulo adentra-se no ponto principal da pesquisa, no que tange à Lei Geral de Proteção de Dados, onde será estudado artigos específicos para se compreender a importância dada à autodeterminação e ao consentimento, artigos esses que definem a finalidade da Lei, seus fundamentos, quais operações ela se aplica ou não, definição de conceitos, princípios e medidas exigidas para o tratamento de dados. No sexto capítulo, será analisado o conceito do consentimento na LGPD e suas variantes, assim como a sua exigência para que possa haver a coleta e tratamentos de dados. No sétimo capítulo, será estudado a autodeterminação informacional, sua conceituação e características, para que se possa analisar sua aplicação como direito absoluto. No oitavo capítulo, será analisado a aplicabilidade do direito de consentimento e da autodeterminação informativa, e verificado se mesmo com as medidas impostas pelo LGPD, é possível que o titular dos dados possa ter o real controle sobre eles. No nono capítulo, será apresentado as considerações finais, apresentando quais eram os objetivos e objetos da pesquisa, demonstrando se os mesmos foram alcançados. E por fim, no décimo capítulo uma breve conclusão. Ademais, a pesquisa não visa esgotar todo o assunto e o procedimento metodológico utilizado será, principalmente, de pesquisas bibliográficas, com analise de conteúdos documentais, tais como livros, teses, monografias, artigos científicos, 10 sites governamentais e via internet, desta forma recorrer-se-á ao método indutivo. Feito isso, houve uma ordenação das informações obtidas e a posterior análise dos dados. Assim, a pesquisa é de natureza bibliográfica, exploratória, descritiva e interpretativa, de cunho qualitativo, mediante análise doutrinária e documental. 11 2 SOCIEDADE DA INFORMAÇÃO O homem como ser pensante, adaptável e evolutivo, ao longo de sua vida em sociedade, passou por diversas transformações. Em cada momento dessa longa jornada, existiu um elemento essencial, que foi determinante para que essa evolução ocorresse, de forma a propiciar uma melhor qualidade de vida ou satisfação do seu eu. No início, vivíamos em um mundo em que os negócios eram realizados no “boca a boca”, as fontes de riqueza provinham da terra, por meio da produção agrícola e a prática comercial era o escambo. Até a sociedade pré-industrial, a documentação acerca das relações pessoais era restrita a uma pequena parte da vida das pessoas, poucos fatos da rotina de vida eram documentados de forma escrita, por conta da facilidade de coleta de informações e proximidade das relações. Após esse período, com a criação das máquinas a vapor e da eletricidade, passamos à era da sociedade industrial, onde se verifica um abandono das relações pessoais pela perda de confiança, e a adoção de relações mais racionais, onde presencia-se uma maior importância da informação documentada, para que se possa aproveitá-las no desenvolvimento econômico da sociedade: O modelo de produção industrial fez necessário que se enrobustecesse o registro dos fatos e acontecimentos diários, como forma de auxílio à memória, como forma de fazer evidências e como ferramentas para o próprio planejamento da vida. A divisão de tarefas, bem como as máquinas e produtos tinham que ser planejados, controlados e dirigidos. Sem documentação e contabilidade nada disso seria possível. Ao contrário, antes desta era, tinha-se uma produção e estruturação “de boca em boca”. Para o método adotado na produção industrial, que se impôs na Europa desde o fim do século XVIII, já não era mais suficiente este modo de armazenamento tradicional de informações. (SCHAAR, 2011, p. 4) A partir daí, e com a evolução tecnológica rápida e constante, a importância dada ao armazenamento, documentação e uso das informações pessoais, vem crescendo a cada dia, o que culminou na sociedade informacional que conhecemos hoje. Atualmente, a sociedade vive em outro momento revolucionário, em uma nova forma de organização, os computadores antesgigantescos, de difícil manuseio e caros, deram espaço à equipamentos compactos e relativamente baratos em 12 relação ao seu poder de processamento cada dia maior. Criou-se mecanismos capazes de processar e transmitir informações em quantidade e velocidade jamais imaginável, esse novo momento alterou até mesmo nosso modo de se relacionar. Nas palavras de Bioni: Os relacionamentos sociais foram energizados por um fluxo informacional que não encontram mais obstáculos físicos distanciais. Há uma nova compreensão (mais abreviada) da relação entre tempo- espaço, o que outrora acarretava maior cadência às interações sociais. (BIONI, 2020, p. 4) Por isso, a denominação de sociedade informacional. A informação é o elemento determinante, central e estruturante, que reorganiza a sociedade atual, assim como fizeram os elementos anteriores a está Era. 13 3 PROTEÇÃO JURÍDICA AOS DADOS PESSOAIS NO BRASIL 3.1 Direito à privacidade e à intimidade Nesse contexto, demonstra-se inevitável discorrer, mesmo que brevemente, acerca da evolução dos meios de proteção e dos direitos constitucionais, que no primeiro momento não dizem respeito propriamente à proteção de dados pessoais, mas que, no conceito concreto de “direito fundamental” servem de base para a tão almejada proteção de dados pessoais. Conforme leciona João Trindade Cavalcante Filho (2010), tais direitos vem com o surgimento do movimento constitucional como instrumento de limitação do poder estatal, mas que no transcorrer da história passa a ser fundamental contra qualquer tipo de violação, tanto estatal, quanto por particulares. Esses direitos são a privacidade e a intimidade, diretamente ligados à dignidade da pessoa humana, que serão estudados adiante. Há uma discussão constantemente em curso sobre a natureza do conceito de privacidade, se seria um valor natural ao homem, como o direito à vida, ou se seria uma construção social e civilizatória, dependente do manejo de outros valores complexos, como a segurança, o bem-estar e a própria dignidade da pessoa. Embora de difícil manejo solidificar o conceito de privacidade, torna-se relativamente aprazível chancelar que ela sempre esteve diretamente dependente do estado da tecnologia de determinada sociedade. As primeiras organizações tribais tinham como propriedade a sobrevivência, em ambientes hostis ao ser humano. Daí a escolha, consciente ou inconsciente, desejar um certo grau de isolamento de assuntos pessoais diante da exposição ou intromissão social ou pública. Desde as primeiras discussões jurídicas mais profundas sobre o tema, passou-se a compreender a privacidade sob a ótica de um direito do indivíduo. Assim, a preocupação com a proteção de dados pessoais está associada à própria noção de proteção da privacidade, um bem jurídico cuja inviolabilidade foi elevada ao status de direito fundamental pelas principais constituições democráticas do mundo. Sociedades civilizadas perceberam que a proteção da privacidade é um elemento indissociável da dignidade da pessoa, razão pela qual qualquer ato capaz 14 de afetar a intimidade do cidadão seria também um ato atentatório à experiencia humana de uma vida digna. O direito à privacidade está previsto como direito da pessoa na Declaração Universal de Direitos Humanos (ONU, 1984), e em nosso ordenamento jurídico, a privacidade se apresenta como Direito e Garantia Fundamental, conforme disposto na Constituição Federal, ao cravar que são invioláveis a intimidade e a vida privada, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Por sua vez, o Código Civil dispõe que a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providencias necessárias para impedir ou fazer cessar ato contrário a essa norma. A inviolabilidade de dados, independentemente do sigilo da correspondência, comunicações telegráficas e telefônicas, também está presente em nossa Constituição Federal, em seu art. 5º, inc. XII, e foi consolidada por força de julgamento no Supremo Tribunal Federal (STF). Para Danilo Doneda (2020), a tutela da privacidade envolvendo dados pessoais não nos permite determinar parâmetros para julgar o que ela representa em um mundo no qual o fluxo de informações aumenta incessantemente, assim como aumenta o número de oportunidades de realizarmos escolhas que podem influir na definição da nossa esfera privada. O direito à privacidade liga-se diretamente ao direito da personalidade da pessoa humana, que são inerentes ao próprio homem que, Carlos Roberto Gonçalves, definiu como: A concepção dos direitos da personalidade apoia-se na ideia de que, a par dos direitos economicamente apreciáveis, destacáveis da pessoa de seu titular, como a propriedade ou o crédito contra um devedor, outros há, não menos valiosos e merecedores da proteção da ordem jurídica, inerentes à pessoa humana e a ela ligados de maneira perpétua e permanente. São os direitos da personalidade, cuja existência tem sido proclamada pelo direito natural, destacando- se, dentre outros, o direito à vida, à liberdade, ao nome, ao próprio corpo, à imagem e à honra. (GONÇALVES, 2014, p. 157) Ainda de acordo com Gonçalves (2014), no Brasil, têm sido tutelados em leis especiais e principalmente na jurisprudência, a quem coube a tarefa de desenvolver a proteção à intimidade do ser humano, sua imagem, seu nome, seu corpo e sua dignidade. 15 Francisco Amaral (2008) define os direitos da personalidade como “direitos subjetivos que têm por objeto os bens e valores essenciais da pessoa, no seu aspecto físico, moral e intelectual”. Por sua vez, Maria Helena Diniz (2012), com apoio na lição de Limongi França, os conceitua como “direitos subjetivos da pessoa de defender o que lhe é próprio, ou seja, a sua integridade física (vida, alimentos, próprio corpo vivo ou morto, corpo alheio vivo ou morto, partes separadas do corpo vivo ou morto); a sua integridade intelectual (liberdade de pensamento, autoria científica, artística e literária); e a sua integridade moral (honra, recato, segredo profissional e doméstico, identidade pessoal, familiar e social). Importante salientar que a interpretação de privacidade vem se alterando substancialmente, devido às mudanças trazidas pelos avanços tecnológicos e a maior vulnerabilidade a que o titular dos dados pessoais está exposto. O direito à privacidade vem ganhando novos contornos no âmbito internacional e clama por maior autonomia. O direito à proteção de dados pessoais visa garantir que o titular não tenha sua esfera intima invadida por terceiros e está conquistando maior espaço. Como dito anteriormente, no contexto brasileiro, a Constituição Federal de 1988 é omissa quanto à proteção específica de dados pessoais, e, em relação ao direito à privacidade, confere ao indivíduo direito de não ingerência de outrem na vida sua privada familiar, correspondência e comunicações, conforme art. 5º, inciso XII: Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...] XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal. (BRASIL, 1988, on-line) Podemos afirmar também que, de forma ampla, o direito à intimidade e à vida privada está protegido e previsto no ordenamento jurídico brasileiro como direito fundamental, basta olharmos para o inciso X, do Art. 5º, da Constituição Federal de 1988:16 X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. (BRASIL, 1988, on-line) Assim como tal proteção reflete nas relações entre privados, conforme Art. 21 do Código Civil, garantindo os efetivos direitos de personalidade: Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma. (BRASIL, 2002, on-line) O Art. 21 nos permite reconhecer uma estrutura suficiente sobre a proteção da esfera privada, com um efetivo direito subjetivo à proteção da intimidade e da vida privada. Se torna não somente uma proteção ao direito, mas também uma diretiva que deve ser seguida pelo juiz e aplicada ao caso concreto. Maria Cláudia Cachapuz (2021), afirma ser importante analisar o Art. 187 do CC em conjunto ao Art. 21 do mesmo dispositivo, visto que, embora entenda-se o Art. 187 como um instituto regulador do abuso do direito, uma interpretação diversa permite a ideia da boa-fé entre as relações particulares, o que regularia a intimidade ou a vida privada de alguém: E nisso assume papel essencial a leitura conjunta do art. 21 ao art. 187 do Código Civil brasileiro. Mesmo que uma primeira doutrina (Theodoro Jr., 2003) tenha descrito, na apreciação do art. 187, a manifestação jurídica do instituto do abuso do direito, quer-se, aqui, defender premissa diversa, no sentido de que o direito subjetivo à intimidade e à vida privada é, em sua essência, ilimitado quanto à liberdade que tutela – o que não quer dizer que não possa sofrer restrições. Estas, porém, partem não de uma configuração abstrata (no conceito), mas das condições fáticas e jurídicas que são impostas pelo caso concreto. Nessa medida, a ideia de boa-fé, como um dos elementos da conduta lícita do indivíduo pelo art. 187, aproxima-se da concepção de confiança, visando assegurar a relação do particular com o universal, não dispensando relevância ao princípio da igualdade na esfera pública. [...] Pela ideia de boa-fé, pode-se analisar a extensão da autoexposição promovida pelo indivíduo e medir como quer a pessoa aparecer no espaço público, tornar-se vista. Tal condição é relevante para a própria compreensão da necessidade ou não de se restringir uma liberdade subjetiva, a fim de tutelar a intimidade ou a vida privada de alguém. (CACHAPUZ, 2021, p. 101) 17 3.2 Direito à proteção aos dados pessoais A proteção aos dados pessoais no ordenamento jurídico brasileiro era dada de maneira esparsa, com o passar dos tempos, em conjunto às evoluções da sociedade e sua cultura, diversas leis foram sendo criadas para tratar do tema, a seguir exemplificaremos as principais que tratam sobre o assunto. Além do direito à privacidade e intimidade, que de maneira ampla se relaciona com o direito a proteção aos dados pessoais, ligado ao art. 5º, XII, como já foi explanado anteriormente, a Constituição Federal de 1988, também instituiu no seu art. 5º, inciso LXXII, o importante instituto do habeas data: LXXII - conceder-se-á "habeas-data": a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo; (BRASIL, 1988, on-line) O Habeas Data é um remédio constitucional, utilizado para resguardar direitos fundamentais, tanto de caráter público quanto privado, assim o doutrinador Gilmar Mendes (2009) classificou sua finalidade: Tal como decorre da própria formulação constitucional, o habeas data destina-se a assegurar o conhecimento de informações pessoais constantes de registro de bancos de dados governamentais ou de caráter público, podendo ensejar a retificação de dados errôneos deles constantes. O texto constitucional não deixa dúvida de que o habeas data protege a pessoa não só em relação aos bancos de dados das entidades governamentais, como também em relação aos bancos de dados de caráter público geridos por pessoas privadas. (MENDES, 2009, p. 588) Com o objetivo de regulamentar o dispositivo constitucional, a Lei 9.507/97 trouxe as hipóteses que autorizam o Habeas Data: Art. 7° Conceder-se-á habeas data: I - para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registro ou banco de dados de entidades governamentais ou de caráter público; II - para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo; 18 III - para a anotação nos assentamentos do interessado, de contestação ou explicação sobre dado verdadeiro, mas justificável e que esteja sob pendência judicial ou amigável; (BRASIL, 1997, on- line) Outro instituto que trata sobre o tema é a Lei do Cadastro Positivo (Lei 12.414/11), pela proposta, a Lei instituiu a criação de um banco de dados que contenha informações do histórico de crédito do consumidor, como valores, parcelamentos e pagamentos de financiamentos, cartões de crédito, empréstimos em bancos, dentre outras informações de operações financeiras realizadas durante um período de tempo específico. Esse banco de dados serve como uma espécie de “referência” do consumidor, por meio do qual as empresas concessoras de créditos irão consultá-lo e verificar a probabilidade de risco para ofertar créditos com menores ou maiores taxas de juros. Dessa forma, ainda que de maneira não clara, a Lei trata sobre o procedimento necessário para a exclusão e cancelamento desse cadastro, o modo como o consumidor pode ter acesso às informações de tratamento de seus dados e o conceito de gestor dos dados: Art. 2º Para efeitos desta Lei, considera-se: II - gestor: pessoa jurídica que atenda aos requisitos mínimos de funcionamento previstos nesta Lei e em regulamentação complementar, responsável pela administração de banco de dados, bem como pela coleta, pelo armazenamento, pela análise e pelo acesso de terceiros aos dados armazenados; Art. 4º O gestor está autorizado, nas condições estabelecidas nesta Lei, a: I - abrir cadastro em banco de dados com informações de adimplemento de pessoas naturais e jurídicas; II - fazer anotações no cadastro de que trata o inciso I do caput deste artigo; III - compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados; e Art. 5º São direitos do cadastrado: I - obter o cancelamento ou a reabertura do cadastro, quando solicitado; II - acessar gratuitamente, independentemente de justificativa, as informações sobre ele existentes no banco de dados, inclusive seu histórico e sua nota ou pontuação de crédito, cabendo ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta às informações pelo cadastrado; (BRASIL, 2011, on-line) 19 A Lei 12.527 de 2011, conhecida como Lei de Acesso à Informação Pública, visa regulamentar o direito constitucional de acesso às informações públicas, previsto no inciso XXXIII, do art. 5º da CF. Ela trata de questões relacionadas à informação, porém, somente sobre o direito de acesso às informações públicas no âmbito da União, Estados, Distrito Federal e Municípios, não se pronunciando sobre o direito de proteção de possíveis dados particulares e sensíveis contidos nessas informações disponibilizadas pelos órgãos públicos. Sendo assim, uma Lei mais voltada para a transparência pública e um instrumento anticorrupção, do que uma ferramenta realmente de proteçãode dados. Ainda falando em matéria infraconstitucional de proteção, podemos citar também o Código de Defesa do Consumidor (CDC), Lei nº. 8.078 de 1990, que trata do direito ao acesso, retificação e complementação de cadastros de consumidores, nos seus artigos 43 e 44: Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. § 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos. § 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. § 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. § 4° Os bancos de dados e cadastros relativos a consumidores, os serviços de proteção ao crédito e congêneres são considerados entidades de caráter público. § 5° Consumada a prescrição relativa à cobrança de débitos do consumidor, não serão fornecidas, pelos respectivos Sistemas de Proteção ao Crédito, quaisquer informações que possam impedir ou dificultar novo acesso ao crédito junto aos fornecedores. § 6o Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor. (Incluído pela Lei nº 13.146, de 2015) (Vigência) Art. 44. Os órgãos públicos de defesa do consumidor manterão cadastros atualizados de reclamações fundamentadas contra fornecedores de produtos e serviços, devendo divulgá-lo pública e http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13146.htm#art100 http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13146.htm#art100 http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13146.htm#art127 20 anualmente. A divulgação indicará se a reclamação foi atendida ou não pelo fornecedor. § 1° É facultado o acesso às informações lá constantes para orientação e consulta por qualquer interessado. § 2° Aplicam-se a este artigo, no que couber, as mesmas regras enunciadas no artigo anterior e as do parágrafo único do art. 22 deste código. (BRASIL, 1990, on-line) Muito embora existam todas essas legislações esparsas, criadas com o intuito de proteger, não se foi capaz de acompanhar a evolução tecnológica e consequentemente o aumento do número de dados disponíveis, coletados e utilizados pela sociedade, o fato de ser diversas normas, com finalidades diferentes, dificulta a sua aplicação, e gera ainda uma insegurança jurídica. Com isso, o mercado acabava criando suas próprias rotinas de tratamento de dados, cada qual a sua maneira, abrindo brechas para o vazamento de dados, tratamentos indevidos, ferindo os direitos dos proprietários. Assim aponta Gediel: Assim, é de ressaltar que os princípios que norteiam o Direito europeu podem, embora de forma implícita, ser identificados no nosso ordenamento jurídico. Entretanto, a opção pela ausência de disciplina legislativa, no Brasil, acaba, na pratica, por transferir para o mercado a tarefa de autor regulamentar a matéria, interpolada por intervenções estatais; em geral, marcadas pelo recurso às razões do Estado. (GEDIEL, 2008, p. 147) Frente a isso, em 2014 foi aprovada a Lei nº 12.965 ou “O Marco Civil da Internet” como também é conhecida, visando regulamentar como os direitos constitucionais ou contidos em leis esparsas seriam protegidos também no ambiente virtual. Conforme contido no art. 1º, ela prevê princípios, garantias, direitos e deveres para uso da internet no Brasil, como exemplo, o livre desenvolvimento da personalidade, a defesa do consumidor, a finalidade social da rede, além disso, a Lei também vem tratar da exigência do livre consentimento e expresso por parte do usuário, e reforça o direito à inviolabilidade da intimidade e da vida privada: Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei; III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial; 21 IV - não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização; V - manutenção da qualidade contratada da conexão à internet; VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade; VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet; IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei. [...] (BRASIL, 2014, on- line) Porém, ao analisar, podemos concluir que, o Marco Civil da Internet embora muito importante para o momento em que vivíamos, foi criado mais precisamente com a finalidade de expandir os direitos já garantidos na vida cotidiana, para as atividades realizadas nos meios digitais. No entanto, no que se refere ao tratamento de dados pessoais por entidades públicas ou privadas, e como esses dados serão utilizados e seus destinos, a legislação ainda se encontrava omissa, continuando a permitir que os personagens dessa cadeia se autorregulassem. 22 4 GENERAL DATA PROTECTION REGULATION - GDPR Antes de adentramos na Lei Geral de Proteção de Dados – LGPD do Brasil, importante comentarmos, mesmo que brevemente, a respeito do Regulamento Geral da Proteção de Dados (General Data Protection Regulation - GDPR) - Regulamento 2016/679, que entrou em vigor em 25 de maio de 2018, e trouxe a inovação necessária para área de proteção de dados pessoais. O regulamento foi um dos grandes responsáveis pela criação da LGPD no Brasil e no mundo, todos as legislações criadas sofreram grande influência de conteúdo e tiveram por base o regulamento europeu, esse movimento legislativo foi como um efeito dominó. A Europa se antecipou no reconhecimento e na importância do aumento de fluxo de dados entre particulares, empresas e entes públicos, frente a mudança cultural que houve na sociedade. Assim criou um regulamento que adequou todas as leis de proteção de dados de todos, estabelecendo regras para o processamento, armazenamento e gerenciamento de dados de pessoas que estão atualmente na União Europeia. O Regulamento reconheceu que o aumento inevitável dofluxo de dados pessoais associado ao desenvolvimento de novas tecnologias e plataformas gerou a necessidade de adaptação e criação de novos princípios capazes de enfrentar a realidade virtual e também real. Além de regulamentar o fluxo de informações dentro da Europa, também trouxe exigências quanto aos sites e empresas, estabelecidas fora do território europeu, as quais deveriam seguir suas regras quando utilizadas ou contratadas por cidadãos europeus. A filosofia básica do GDPR é que, quando organizações não sediadas na UE processam conscientemente dados pessoais de pessoas da UE, o GDPR será aplicado, não importando a nacionalidade da pessoa em causa, o critério relevante é se as pessoas estão na UE. O artigo 3º do Regulamento determina as regras no âmbito de aplicação territorial: 1. O presente regulamento aplica-se ao tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um transformador na União, independentemente de o tratamento ter lugar na União ou não. 2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados que se encontram na União por um 23 responsável pelo tratamento ou processador não estabelecido na União, quando as atividades de tratamento estão relacionadas com: a) a oferta de bens ou serviços, independentemente de ser exigido um pagamento ao titular dos dados, a esses titulares na União; ou b) o controlo do seu comportamento, desde que o seu comportamento tenha lugar na União. 3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num local onde a legislação do Estado-Membro é aplicável por força do direito internacional público. (UE, 2016, on-line) Outro ponto importante imposto pelo GDPR, que implicou na pressão junto aos outros países para criarem suas leis de proteção de dados, é que, as empresas europeias foram vetadas expressamente de continuar negócios com empresas de países que não possuíssem legislação específica para tratamento de dados pessoais. Nesse sentido, as palavras do Min. Luis Felipe Salomão no julgamento de uma ação, explicam o princípio da territorialidade das leis relativas à proteção de dados pessoais e suas possibilidades de aplicações: A comunicação global via computadores pulverizou as fronteiras territoriais e criou um novo mecanismo de comunicação humana, porém não subverteu a possibilidade e a credibilidade da aplicação da lei baseada nas fronteiras geográficas, motivo pelo qual a inexistência de legislação internacional que regulamente a jurisdição no ciberespaço abre a possibilidade de admissão da jurisdição do domicílio dos usuários da internet para a análise e processamento de demandas envolvendo eventuais condutas indevidas realizadas no espaço virtual. (BRASIL, 2011, on-line) Isso demonstra que o Regulamento Europeu impôs e implementou diversas diretrizes e regras no que tange ao tratamento e proteção de dados, indo além inclusive do seu próprio território, expandindo sua legislação aos países que não tenham lei específica e que tratam de informações pertencentes às pessoas da UE, mas isso não retirou a liberdade de outros países membros ou não da União Europeia de legislarem sobre o tema. É nesse sentido que a GDPR influenciou os demais países, atingindo em especial o Brasil, que culminou na criação da LGPD, vindo a tratar do assunto mais especificamente que as leis esparsas já existentes na legislação vigente, como demonstrada anteriormente. A LGPD cuidou de trabalhar de maneira mais detalhada e específica os conceitos, regras e sanções de modo mais alinhado aos padrões internacionais. 24 No próximo capítulo veremos com mais detalhes a LGPD em vigor no Brasil, analisando seus pontos mais importantes, seus princípios, conceitos, regras e sansões, porém, não ao ponto de esgotar o assunto. 25 5 LEI GERAL DE PROTEÇÃO DE DADOS: 13.709/2018 Depois de quase uma década de debates, o Brasil finalmente aprovou a Lei Geral de Proteção de Dados Pessoais. Dessa forma, a proteção de dados pessoais no Brasil veio a ser tratada de maneira específica a partir da edição da Lei nº 13.709/2018. Importante ressaltar que a lei atinge tão somente dados pessoais de pessoas físicas, e não diretamente dados de pessoa jurídica, conforme ensina Maldonado et al. (2019): A Lei Geral de Proteção de Dados brasileira (LGPD) se preocupa e versa apenas e tão somente sobre o tratamento de dados pessoais. Ou seja, não atinge diretamente dados de pessoa jurídica, documentos sigilosos ou confidenciais, segredos de negócio, planos estratégicos, algoritmos, fórmulas, softwares, patentes, entre outros documentos ou informações que não sejam relacionadas a pessoa natural identificada ou identificável. Toda essa miríade de outros tipos de informações ou documentos encontram tutela em distintos diplomas legais, como a Lei de Propriedade Industrial (Lei 9.279/1996), a Lei de Direitos Autorais (Lei 9.610/1998) e a Lei de Software (Lei. 9.609/1998), apenas para citar alguns exemplos. (MALDONADO et al., 2019, p. 19) Em suma, a lei trata sobre como as informações pessoais podem ser coletadas e tratadas, levando-se em conta as mais diversas formas possíveis de coletas dessas informações, seja a partir de cadastros, na realização de compras, fornecimento de serviços e outras hipóteses em que dados pessoais possam ser coletados. Nesse sentido, é possível encontrar na lei requisitos necessários para que estas informações pessoais possam ser tratadas, repassadas ou publicadas, esses requisitos vão desde o cadastro do tipo de informação, a idade do seu titular, até as formas obrigatórias de consentimento. Com a aprovação da lei é necessário que todos os responsáveis pela coleta, armazenagem e tratamento de dados, abrangendo desde empresas privadas até entidades governamentais ou organizações, devam se adequar às normas impostas pela LGPD. De acordo com as palavras de Maldonado et al. (2019): A LGPD busca a proteção de direitos e garantias fundamentais da pessoa natural, equilibradamente, mediante a harmonização e atualização de conceitos de modo a mitigar riscos e estabelecer regras bem definidas sobre o tratamento de dados pessoais. As empresas públicas e privadas que enxergarem tais proteções como 26 direitos dos cidadãos estarão um passo à frente dessa nova fase do Compliance, que agora, além do combate a corrupção, visa o uso seguro e ético dos dados pessoais. (MALDONADO et al., 2019, p. 23) Assim, podemos dizer que o cumprimento à legislação e a adequação às normas da lei é quem trará na prática a garantia e sua eficácia, de modo que beneficie a sociedade em um todo. Outra questão que chama a atenção no art. 1º da legislação é a aplicabilidade também ao tratamento de dados em estado físico ou off-line, migrando ou não, posteriormente, para o meio digital ou on-line, vejamos: Art. 1º Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. (BRASIL, 2018, on-line) A utilização do verbo “proteger”, no art. 1º, também demonstra essa necessidade coerente que o legislador enxergou no titular dos dados como vulnerável em comparação com os agentes de tratamento de dados. A LGPD alterou a Lei nº 12.965, de 23 de abril de 2014, Marco Civil da Internet (Brasil, 2014), ao dispor também sobre princípios, garantias, direitos e deveres para o uso da internet no Brasil, porém, LGPD veio para unificá-los, visando regulamentar a concessão e o uso de dados noambiente virtual, proporcionando ao cidadão proteção dos direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural, o que é uma tendência mundial de regulamentação das relações jurídico-virtuais, conforme Laura Schertel Mendes e Danilo Doneda (2018) apontam: A lei aprovada proporciona ao cidadão garantias em relação ao uso dos seus dados, a partir de princípios, de direitos do titular de dados e de mecanismos de tutela idealizados tanto para a proteção do cidadão quanto para que o mercado e setor público possam utilizar esses dados pessoais, dentro dos parâmetros e limites de sua utilização. Esta é uma experiência que vem se mostrando exitosa em diversos outros países, introduzindo o paradigma do controle – pelo qual se garante ao cidadão o controle sobre seus dados, inclusive para que os divulgue e use, em oposição ao paradigma do segredo e do sigilo. A ideia é a de que, com o empoderamento do cidadão e com a institucionalização de mecanismos de controle e supervisão sobre o uso de seus dados, o cidadão passe a ser protagonista das decisões sobre o uso de seus dados, em linha com o conceito de 27 autodeterminação informativa, consagrada em decisão histórica da Corte Constitucional alemã, e agora também positivado como princípio na LGPD. (MENDES, Laura Schertel; DONEDA, Danilo, 2018, p. 22) O art. 2º traz os fundamentos que serviram de base para a LGPD, conforme a redação legal: Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. (BRASIL, 2018, on-line) O respeito à privacidade aparece em destaque nos fundamentos, se antes pelas legislações existentes não tínhamos a certeza da sua abrangência e expansividade para a comunicação de dados, agora diante da LGPD passou-se a ser objeto de proteção, podendo o titular ter o direito de determinar quais informações dele mesmo poderão ser utilizados. Em segundo temos a autodeterminação informativa, que inclusive é um dos objetos de estudo da pesquisa, onde se entende pelo poder do cidadão em ter controle sobre seus próprios dados, num momento em que a coleta de dados é realizada de maneira massiva, a LGPD busca devolver ao titular dos dados a possibilidade de determinar quem terá o direito de fazer uso de seus dados, é portanto, uma extensão de liberdade do indivíduo. Veremos mais a frente que essa autodeterminação será exercida pelos direitos pertinentes ao titular em obter dos controladores informações sobre seus dados, bloqueio ou eliminação, revogação de consentimento e etc. Visando garantir o equilíbrio de preceitos legais, a lei garante a liberdade de expressão, a fim de não causar censura prévia, para fins jornalísticos, artísticos ou acadêmicos, respeitando também à Lei de Acesso à informação. Da mesma forma que a LGPD enfatiza a privacidade, também o faz com a inviolabilidade da 28 intimidade, honra e da imagem, direitos igualmente fundamentais previstos no art. 5º da Constituição Federal, resguardando da intromissão de estranhos, na esfera inviolável do ser humano. Embora resguardado todos os direitos dos titulares, não se poderia deixar de notar a possiblidade do desenvolvimento econômico e a livre iniciativa da sociedade, a nova forma de economia é pautada em dados pessoais, não poderia a lei prejudicar o desenvolvimento social, por isso a lei dialoga com o progresso da sociedade. E por fim, como valor máximo do ordenamento jurídico, o respeito aos direitos humanos e o livre desenvolvimento da personalidade, é necessário permitir que o ser humano não sofra repreensão dos meios externos no seu desenvolvimento, atualmente a utilização dos dados visam influenciar as tomadas de decisões, chegando a projetar a vida dos usuários como desejam. O caput do art. 3º da LGPD trata sobre onde a lei será aplicável, ou sua aplicação material, deixando claro que não importa o tipo de tecnologia empregada para a realização do tratamento, se por meio digital ou analógico, com uso de inteligência artificial, de forma automatizada ou manualmente. Nesse sentido, aplica- se a LGPD para dados existentes no papel, no prontuário médico, nos dados armazenados em computadores dos bancos ou até mesmo em imagens de câmeras de segurança por exemplo. Vejamos o art. 3º: Art. 3º Esta lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I – a operação de tratamento seja realizada no território nacional; II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; III – os dados pessoais objeto do tratamento tenha sido coletados no território nacional. § 1º. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. (BRASIL, 2018, online) Importante ressaltar que a aplicação da lei não se dá somente para o tratamento realizado por pessoas jurídicas, aplica-se também a pessoa natural, 29 desde que o tratamento seja com a finalidade de alguma atividade profissional ou comercial com fins econômicos. A LGPD também se aplica a pessoa de direito público, prevendo, entre outras questões, que o tratamento deverá ser realizado para o atendimento de sua finalidade pública, em razão do interesse público, com o objetivo de executar as competências legais. Por fim, o artigo também dispõe sobre a aplicabilidade territorial da lei, explicitando que independe do país da sede ou do país da localização dos dados tratados. As hipóteses de aplicabilidade dispostas na lei são independentes entre si, de modo que, preenchendo uma delas a LGPD terá seu efeito. De maneira simples, a LGPD sempre será aplicada quando a operação de tratamento for realizada em território nacional, sem levar em conta a origem dos dados, ou desde que o tratamento for para oferta de serviço para titulares presentes no território brasileiro. A última hipótese se assemelha muito com o regramento da GDPR, onde independentemente do local de tratamento ou nacionalidade do titular, se os dados foram coletados em território nacional, estarão sobre jurisprudência da LGPD. Conforme o § 1º do art. 3º da LGPD, são considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. Analisando a lei, percebe-se que não se delimitou a sua aplicação em determinado tipo de tratamento de dados ou de um tipo de estabelecimento do agente de tratamento situado no Brasil, mas sim prever o cumprimento da Lei em qualquer tipo de operação realizada em território nacional, culminando numa abrangência para qualquer tipo de atividade. Nesse sentido, Laura Schertel Mendes e Danilo Doneda informam as três principais características que amparam a Lei Geral de Proteção de Dados: Esse modelo está amparado em três características centrais: i) amplo conceito de dado pessoal; ii) necessidade de que qualquer tratamento de dados tenha uma base legal; iii) legítimo interesse como hipótese autorizativa e necessidade de realização de um teste de balanceamento de interesses. Por se basear em um amplo conceito de dado pessoal, todo tratamento de dados pessoais a princípio está submetido à LGPD, seja elerealizado pelo setor público ou privado. (MENDES, Laura Schertel; DONEDA, Danilo, 2018, p. 22) 30 A LGPD tratou de cuidar também de algumas hipóteses em que a sua aplicação não será realizada, são as situações previstas no art. 4º, conforme apontado a seguir: Art. 4º Esta lei não se aplica ao tratamento de dados pessoais: I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta lei; II – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta lei. (BRASIL, 2018, on-line) A tecnologia está presente na vida de todos atualmente, se trata de uma ferramenta crucial para o dia a dia da sociedade em geral, e que, felizmente, nos trouxe muitos benefícios, viabilizando uma série de atividades que envolvem o tratamento de dados pessoais sem fins econômicos, e que muitas vezes não são percebidos pelos seus titulares. Por exemplo, quando se armazena informações pessoais e imagens nas nuvens, quando se troca e-mails com pessoas com interesses em comum. Como a adequação à LGPD é complexa, as atividades pessoais foram excluídas da mira de fiscalização, para que a lei seja aplicada para questões relevantes. Também se limitou a possibilidade da Lei interferir na liberdade de pensamento, criação, expressão e acesso a informação. Inclusive tais excessos exercidos nessas matérias já encontram respaldo em legislações existentes, no entanto, o tratamento dos dados deve levar em consideração a finalidade, a boa-fé e o interesse público que justifiquem sua disponibilização, sendo dispensado a exigência do consentimento. Assim como também foram excluídos o tratamento 31 para fins de segurança, investigações criminais e medidas de repreensão, e por fim, quando os dados não forem brasileiros, não se comunicarem com agentes brasileiros e o país de origem tenha a proteção desses dados. Outro ponto de grande relevância em relação à LGPD foi a adequação e a padronização dos conceitos relacionados ao objeto da legislação para o seu melhor entendimento, o art. 5º é quem traz esses conceitos: Art. 5º Para os fins desta lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional; IX – agentes de tratamento: o controlador e o operador; X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados; 32 XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; XIX – autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta lei. (BRASIL, 2018, on-line) Um dos principais conceitos para a pesquisa é o do dado pessoal e do que ele se trata, conforme inciso I. Uma particularidade importante é que de acordo com Maldonado et al. (2019), o Brasil adotou o conceito expansionista de dado pessoal, pelo qual não somente a informação relativa a pessoa diretamente identificada estará protegida pela Lei, mas também qualquer informação que tenha o potencial de tornar a pessoa identificável, por exemplo, e-mail, hábitos, gostos e interesses, não são dados diretos da pessoa, mas que relacionados a torna identificável. Importante lembrar que somente os dados de pessoas naturais são abrangidos pela LGPD, não levando em consideração as pessoas jurídicas. Nos incisos II e III, temos dois outros conceitos importantes, “dados pessoais sensíveis” e “dados anonimizados”. Dados pessoais sensíveis são aqueles que tratam de etnia, raça, crenças religiosas, opiniões políticas, dados genéticos/biométricos, além de informações sobre filiação da pessoa natural a quaisquer organizações. São dados que podem trazer algum tipo de discriminação quando tratados, implicando riscos e vulnerabilidades mais gravosas aos direitos fundamentais dos titulares. Aos dados sensíveis, devido à vulnerabilidade oferecida 33 ao titular mediante a coleta e tratamento de dados que exponham preferências vinculadas a seu espectro íntimo, a LGPD confere um escopo de proteção ampliado, além de dedicar obrigações diferenciadase limitadas ao tratamento de dados sensíveis, dispostas no art. 11 da LGPD que será abordado brevemente logo mais. Para compreender o conceito de dado anonimizado, é necessário entender o instituto da anonimização, que é um processo pelo qual é quebrado o vínculo entre os dados e seus respectivos titulares. De acordo com Bioni (2020), esse processo pode se valer de diferentes técnicas que buscam eliminar elementos identificadores de uma base de dados, variando entre: a) supressão; b) generalização; c) randomização e; d) pseudoanonimização. Deve-se identificar quais elementos dos dados poderiam ser modificados por algumas dessas técnicas, e então torná-los anonimizados. Sabe-se que a LGPD não é aplicável ao dado considerado anonimizado, com a ressalva de que não sejam aplicados meios técnicos e disponíveis além dos utilizados no momento da anonimização para tornar esses dados identificáveis. Estudos já demonstraram a possibilidade de realizar cruzamentos de bancos de anonimizados, que acabaram por identificar seus titulares, por isso, o processo não é considerado uma técnica infalível. O art. 6º da LGPD traz em seu escopo a espinha dorsal pela qual a LGPD foi constituída, na realidade os princípios nela estabelecidos formam a base de inúmeras normas já, quais sejam, a boa-fé, o princípio da finalidade, da adequação, da necessidade, o princípio do livre acesso, da qualidade dos dados, o princípio da transparência, o princípio da segurança, da prevenção, da não discriminação, o princípio da responsabilização e da prestação de contas. Conforme o texto legal: Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 34 V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (BRASIL, 2018, on-line) O importante é que, como ensina Maldonado et al. (2019), o controlador além avaliar o atendimento de ao menos uma das bases legais para o tratamento de dados pessoais, como obrigação legal, consentimento e exercício regular de direito por exemplo, também deverá se atentar ao cumprimento de todos os princípios dispostos na lei. O art. 7º da lei apresenta as 10 bases legais que legitimam o tratamento dos dados pessoais, lembrando que as quais são taxativas, não existindo nenhuma outra além das expressamente descritas no artigo. Entre elas, as principais são o consentimento, a execução de um contrato, o dever legal do controlador, o legítimo interesse e o tratamento pela Administração Pública (MENDES, Laura Schertel; DONEDA, Danilo, 2018, p. 23). Basta o atendimento de uma das dez bases para o tratamento ser considerado legítimo, vejamos: Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei; 35 IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (LGL\1996\72) (Lei de Arbitragem); VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (BRASIL, 2018, on-line) Na compreensão de Maldonado et al. (2019), apesar de ainda ser considerado a principal base, o consentimento passa a ser apenas uma das dez hipóteses legais trazidas na legislação, sendo que todas as outras nove hipóteses existentes independem do consentimento para que sejam tidas como válidas. O consentimento será objeto de estudo no próximo capítulo, no momento é relevante saber da existência de outras hipóteses em que não é necessário o consentimento do titular para que se permita o tratamento de seus dados. No art. 9º são descritos alguns dos direitos dos titulares dos dados pessoais, cabendo destacar a previsão geral de acesso facilitado às informações sobre o tratamento dos seus dados pessoais, o que pode ser incluído em contrato, políticas de privacidade, entre outros. Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III – identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta lei. (BRASIL, 2018, online) 36 O art. 11º trata sobre o tratamento de dados pessoais sensíveis. O tratamento de dados pessoais sensíveis recebem um tratamento diferenciado por parte da legislação e poderão ser realizados em oito hipóteses, indo também além do consentimento: Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I – quando otitular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (LGL\1996\72) (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. § 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. § 2º Nos casos de aplicação do disposto nas alíneas a e b do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta lei. § 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular. (BRASIL, 2018, on-line) 37 Naturalmente o tratamento de dados sensíveis deve ser protegido com medidas ainda maiores, já que um eventual uso indevido pode trazer consequências mais gravosas aos direitos e liberdades dos titulares. Nas situações em que o consentimento for a causa de autorizar o tratamento dos dados, ele deverá ser realizado observando as mesmas regras descritas no artigo 7º, I, livre, informada e inequívoca. Ademais, será possível o tratamento com fundamento em outras bases legais, além do consentimento, desde que o tratamento seja indispensável para atingir a finalidade desejada, lembrando que ainda assim devem ser respeitados os princípios e direitos resguardados aos seus titulares. Conforme o art. 12, os “dados anonimizados” não são considerados dados pessoais a serem regidos pela Lei Geral de Proteção de Dados: Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. § 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios. (BRASIL, 2018, on-line) Trata-se de conceito relevante trazido na legislação, uma vez que, se estivermos diante de dados que não identifiquem nem tornem identificáveis uma pessoa, não serão objeto das previsões trazidas na Lei. Exceção ocorrerá se o “processo de anonimização” a que os dados forem submetidos for revertido ou, ainda, se ele possa ser revertido, a partir de “esforços razoáveis”. O parágrafo tenta tornar objetivo o conceito de “esforço razoável”, mencionando que, para sua determinação, serão considerados o custo e tempo necessários para a reversão do processo, considerando o estado atual da tecnologia e o uso exclusivo de meios próprios. No art. 15 são relatadas as hipóteses reconhecidas por lei em que deverá acontecer o término do tratamento dos dados pessoais: Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: 38 I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; II – fim do período de tratamento; III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta lei, resguardado o interesse público; ou IV – determinação da autoridade nacional, quando houver violação ao disposto nesta lei. (BRASIL, 2018, on-line) Quando ocorrer alguma das situações elencadas no artigo ensejará a eliminação dos dados utilizados, cabendo destacar que tal deverá se operar de forma automática, não se fazendo necessário qualquer pedido expresso do titular dos dados. Deve-se observar, contudo, que não se trata de algo absoluto, sendo fundamental observar as exceções previstas no artigo 16: Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – cumprimento de obrigação legal ou regulatória pelo controlador; II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta lei; ou IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. (BRASIL, 2018, on-line) Vimos até aqui os pontos importantes da Lei que são relevantes para compreendermos o objeto de proteção da legislação, e quais os momentos de sua aplicabilidade ou não. Pontos relevantes para estudarmos no próximo Capítulo o instituto do consentimento. 39 6 O CONSENTIMENTO NA LGPD Além das outras nove bases legais, como o art. 7º e seus incisos e art. 11 da LGPD, o consentimento do titular dos dados pessoais é um dos pontos mais importantes da Lei Geral de Proteção de Dados, pelo fato que se for respeitado e aplicado de maneira correta, trará segurança jurídica para o tratamento de dados em relação ao controlador, como adverte Maldonado et al. (2019): O consentimento é apenas uma das dez bases legais previstas para o tratamento de dados pessoais. Porém, em razão do alto grau de transparência perante o titular, é a hipótese que pode trazer mais segurança jurídica para o controlador, a quem incumbe o ônus da prova de que foi obtido em conformidade com a Lei. (MALDONADO et al., 2019, p. 109) Consentimento, segundo o Dicionário Houaiss (2001, p. 807), “é o ato ou efeito de consentir; manifestação favorável a que alguém faça algo; licença; manifestação de que se aprova; anuência”. Para Guimarães (2013, p. 203), é “ato de consentir; acordo, por manifestação livre da vontade, com outras pessoas, para que se forme ato jurídico; assentimento prévio, aquiescência, consenso, autorização”. O consentimento é concordância de vontades em uma relação jurídica. É o mútuo consenso, mediante a uniformidade de opinião, de forma que duas ou mais expressões volitivas destinam-se à produção de efeitos legalmente permitidos e desejados pelas partes. Sobre o consentimento, o autor Carlos Roberto Gonçalves, abrange três aspectos: (i) acordo sobre a existência e natureza do acordo (se um dos contratantes não aceitar, acordo não há); (ii) acordo sobre o objeto em questão;
Compartilhar