Baixe o app para aproveitar ainda mais
Prévia do material em texto
W BA 04 93 _V 2. 0 LEI GERAL DE PROTEÇÃO DE DADOS 2 Milena Guarda São Paulo Platos Soluções Educacionais S.A 2021 LEI GERAL DE PROTEÇÃO DE DADOS 1ª edição 3 2021 Platos Soluções Educacionais S.A Alameda Santos, n° 960 – Cerqueira César CEP: 01418-002— São Paulo — SP Homepage: https://www.platosedu.com.br/ Diretor Presidente Platos Soluções Educacionais S.A Paulo de Tarso Pires de Moraes Conselho Acadêmico Carlos Roberto Pagani Junior Camila Turchetti Bacan Gabiatti Camila Braga de Oliveira Higa Giani Vendramel de Oliveira Gislaine Denisale Ferreira Henrique Salustiano Silva Mariana Gerardi Mello Nirse Ruscheinsky Breternitz Priscila Pereira Silva Tayra Carolina Nascimento Aleixo Coordenador Gislaine Denisale Ferreira Revisor Paulo Eduardo Diniz Ricaldoni Lopes Editorial Alessandra Cristina Fahl Beatriz Meloni Montefusco Carolina Yaly Mariana de Campos Barroso Paola Andressa Machado Leal Dados Internacionais de Catalogação na Publicação (CIP)________________________________________________________________________________________ Guarda, Milena G914l Lei Geral de Proteção de Dados / Milena Guarda, – São Paulo: Platos Soluções Educacionais S.A., 2021. 51 p. ISBN 978-65-89965-71-8 1. Proteção. 2. Dados. 3. Segurança. I. Título. CDD 343.07 ____________________________________________________________________________________________ Evelyn Moraes – CRB-8 SP-010289/O © 2021 por Platos Soluções Educacionais S.A. Todos os direitos reservados. Nenhuma parte desta publicação poderá ser reproduzida ou transmitida de qualquer modo ou por qualquer outro meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer outro tipo de sistema de armazenamento e transmissão de informação, sem prévia autorização, por escrito, da Platos Soluções Educacionais S.A. 4 SUMÁRIO Liberdade de expressão e direito à informação versus ofensa aos direitos da personalidade ________________________________ 05 Legislação Brasileira de segurança da informação e privacidade de dados e RGPD ____________________________________________ 21 Lei Geral de Proteção de Dados (LGPD) – Parte I _____________ 38 Lei Geral de Proteção de Dados (LGPD) – Parte II _____________ 53 LEI GERAL DE PROTEÇÃO DE DADOS 5 Liberdade de expressão e direito à informação versus ofensa aos direitos da personalidade. Autoria: Milena Guarda Leitura crítica: Paulo Ricaldoni Objetivos • Verificar a importância normativa dos direitos fundamentais, dentre os quais se inserem o direito à liberdade de expressão, o direito à informação e os direitos da personalidade. • Analisar as definições de fake news e suas consequências jurídicas. • Examinar o direito de retificação ou resposta pela pessoa atingida pela fake news. 6 1. Introdução Na era da comunicação digital, com apenas um celular, os dados e informações são acessados quase que instantaneamente, por milhares de pessoas, em qualquer ugar do mundo. Por meio dessa facilidade comunicativa, as fake news se espalham disseminando informações inverídicas com o intuito de prejudicar outrem. Em situações assim, direitos fundamentais como liberdade de expressão e dignidade da pessoa humana se colidem e os operadores do Direito precisam analisar pontualmente qual deverá sobressair momentaneamente. Assim como a sociedade que precisa unir o analógico com o digital, novos desafios surgem para os operadores do Direito que precisam adequar o tradicional ao novo. 2. Direitos Humanos e Direitos Fundamentais Os direitos humanos são direitos subjetivos e inerentes a toda pessoa humana em razão desta condição. Trata-se de direitos do homem em nível supranacional; são fruto de reivindicações morais e políticas perante a sociedade e o governo; referem-se a regras essenciais mínimas para que o homem viva em sociedade. Os direitos fundamentais são os direitos humanos positivados no ordenamento jurídico interno do Estado, geralmente, na Constituição Federal. São denominados fundamentais porque estão inseridos na norma fundamental do Estado, que é a Constituição. E, ainda, face a sua relevância, são direitos indisponíveis, ou seja, o homem não pode renunciá-los. Os direitos fundamentais têm como núcleo central o princípio da dignidade da pessoa humana (direito fundamental geral e valor 7 supremo para toda a ordem jurídica, bem como base da constituição do Estado Democrático de Direito–art. 1º, III, da Constituição Federal de 1988 – CF/88). A maioria dos direitos fundamentais estão inseridos no artigo 5º da CF/88, que correspondem ao direito à vida, a integridade física, a liberdade, a vida privada, a intimidade, de não ser discriminado pelo Estado e/ou por seus pares, dentre outros. Os direitos humanos são válidos para todos os povos e todos os tempos, enquanto os direitos fundamentais são limitados no tempo e espaço (território do Estado). 2.1 Direitos da personalidade e à privacidade Os direitos da personalidade são direitos subjetivos, fundamentais, intransmissíveis, irrenunciáveis e absolutos (oponível contra todos); encontram-se previstos no artigo 5º, inciso X, da CF/88 e referem-se: a) a intimidade; b) a vida privada, c) a honra; d) a imagem das pessoas. Também correspondem ao direito à privacidade, o direito à inviolabilidade da casa e ao sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas (art. 5º, incisos XI e XII, da CF/88). O direito à defesa da honra se refere ao direito de não ser ofendido ou lesado em sua honradez, dignidade ou consideração social. Em sentido amplo, esse decorre do princípio da dignidade da pessoa humana, ao bom nome, a consideração (prestígio social), o decoro (que se reporta às características comportamentais de natureza social da pessoa), o crédito (prestígio da pessoa associado às suas qualidades e capacidades econômicas-financeiras).1 1 MACHADO, Jónatas E. M.; BRITO, Iolanda Rodrigues de. Curso de Direito da Comunica- ção Social. Lisboa: Wolters Kluwer Portugal, 2013, p. 110. 8 O Código Penal possui um capítulo específico sobre os crimes contra a honra (parte especial, capítulo V, título I), sendo que no artigo 141, inciso I, prevê o crime a ofensa à honra do Presidente da República, com aumento da pena em um terço. O direito à imagem compreende o direito de autodeterminar a exposição, reprodução e lançamento da própria imagem, ou seja, que sejam capturadas ou divulgadas fotografias ou vídeos de uma pessoa sem seu consentimento. Contudo, o consentimento é dispensado e se restringe o âmbito de proteção ao direito à imagem se justificar a notoriedade da pessoa, o cargo que exerce, ou quando a reprodução da imagem originar de locais públicos ou fatos de interesse público.2 2.3 Direito à proteção de dados pessoais A CF/88 não regula especificamente o direito à proteção de dados pessoais, mas apenas o direito à privacidade, razão pela qual originou a Proposta de Emenda à Constituição (PEC) n. 17/2019, objetivando o acréscimo do “inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal” para incluir a proteção de dados pessoais, inclusive nos meios digitais, entre os direitos fundamentais do cidadão.3 2.3 Normas internacionais de privacidade e proteção de dados pessoais No âmbito internacional, os principais instrumentos legislativos em matéria de privacidade e proteção de dados pessoais são: • Declaração Universal dos Direitos Humanos (DUDH – 1948) que, em seu artigo 12, dispõe que “ninguém será sujeito às 2 MACHADO, BRITO, op. cit., p. 118. 3 Proposta de Emenda à Constituição n. 17, de 2019. Disponível na página do Senado Fede- ral. 9 interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação”. • Convenção Europeia dos Direitos do Homem (CEDH, 1953), artigo 8º, “direito ao respeito pela vida privada e familiar”. • Convenção 108 doConselho da Europa (1981) foi o primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados, com objetivo de “garantir (...) a todas as pessoas singulares (...) o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de caráter pessoal que lhes digam respeito (“proteção dos dados”). A Convenção foi ratificada por 45 Estados europeus e um sul- americano (Uruguai). Pela primeira vez foi estabelecida: a) “a necessidade de recolha e tratamento de dados pessoais de forma leal e lícita”; b) o armazenamento “para determinados fins legítimos”; c) “a utilização com fins compatíveis com a recolha e no direito a serem conservados por determinados períodos”; d) que devem ser exatos e passível de retificação , proporcionais, adequados e pertinentes.4 • Carta dos Direitos Fundamentais da União Europeia (CDFUE, 2000), em seus artigos 7º e 8º reconhecem o respeito pela vida privada e a proteção dos dados pessoais como direitos fundamentais estreitamente relacionados, mas distintos. • Tratado sobre o Funcionamento da União Europeia (TFUE, 2009), artigo 16, n. 1, “todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito”. 4 SALDANHA, Nuno. Novo Regulamento Geral de Proteção de Dados. O que é? A quem se aplica? Como implementar? Lisboa: FCA, 2018, p. 4. 10 3. Direitos comunicativos O direito comunicativo tem respaldo legal no direito internacional e nacional. Na concepção contemporânea, integra o rol de direitos humanos e fundamentais. O direito comunicativo corresponde a qualquer forma de expressão ou de recebimento de informações, se refere a liberdade de expressar ideias e opiniões, em qualquer meio de comunicação.5 São espécies de direitos comunicativos, a liberdade de: a) expressão; b) opinião; c) informação; d) religião; e) jornalismo; f) imprensa; g) radiodifusão; h) programação; i) telecomunicações; j) navegação em meios digitais, dentre outras.6 3.1 Direito à liberdade de expressão A Convenção Americana de Direitos Humanos (CADH, também conhecida como Pacto de San José da Costa Rica, 1969), artigo 13, n. 1, expressamente conceitua o direito à liberdade de pensamento e de expressão, como sendo “a liberdade de buscar, receber e difundir informações e ideias de toda natureza, sem consideração de fronteiras, verbalmente ou por escrito, ou em forma impressa ou artística, ou por qualquer outro processo de sua escolha”. A liberdade de expressão integra a categoria de direitos fundamentais, com previsão artigo 5º, incisos IV, V, IX e artigo 220, ambos da CF/88; no artigo 10º da Convenção Europeia de Direitos Humanos (CEDH)7; no 5 MAZZUOLI, Valério de Oliveira. Direitos Comunicativos como direitos humanos: abran- gência, limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos Tribu- nais, 2015, v. 960/2015, p. 249/267. 6 MAZZUOLI, op. cit., p. 249/267. 7 Artigo 10°–“Liberdade de expressão. 1. Qualquer pessoa tem direito à liberdade de ex- pressão. Este direito compreende a liberdade de opinião e a liberdade de receber ou de transmitir informações ou ideias sem que possa haver ingerência de quaisquer autori- 11 artigo 19º da Declaração Universal dos Direitos Humanos (DUDH)8 . Está fundamentada no valor da dignidade da pessoa humana e é princípio estruturante do Estado democrático de direito. A liberdade de expressão engloba o direito de informar, de se informar e de ser informado (direito à informação). 3.2 Direito à informação O direito à informação também é um direito fundamental consagrado no artigo 5º, inciso XIV e no artigo 220, § 1º, ambos da CF/889 e está ligado às demais liberdades da comunicação. O direito de informar, tradicionalmente ligado à figura do jornalista e da comunicação social, vem se transformando, passando os próprios indivíduos a exercer tal direito, por meio das postagens em redes sociais, ou por meio da propagação de notícias de terceiros. Com o advento das plataformas de tecnologia, o cidadão comum que antes era o receptor da informação, passa a ser o emissor, partilhando-a de forma imediata.10 dades públicas e sem considerações de fronteiras. O presente artigo não impede que os Estados submetam as empresas de radiodifusão, de cinematografia ou de televisão a um regime de autorização prévia. 2. O exercício desta liberdades, porquanto implica deveres e responsabilidades, pode ser submetido a certas formalidades, condições, restrições ou sanções, previstas pela lei, que constituam providências necessárias, numa sociedade de- mocrática, para a segurança nacional, a integridade territorial ou a segurança pública, a defesa da ordem e a prevenção do crime, a protecção da saúde ou da moral, a proteção da honra ou dos direitos de outrem, para impedir a divulgação de informações confidenciais, ou para garantir a autoridade e a imparcialidade do poder judicial.” 8 Artigo 19°–“Todo o indivíduo tem direito à liberdade de opinião e de expressão, o que implica o direito de não ser inquietado pelas suas opiniões e o de procurar, receber e di- fundir, sem consideração de fronteiras, informações e idéias por qualquer meio de expres- são.” 9 Art. 5º, XIV, CF/88: “é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional”. Art. 220, § 1º, CF/88: “Nenhuma lei conterá dispositivo que possa constituir embaraço à ple- na liberdade de informação jornalística em qualquer veículo de comunicação social, obser- vado o disposto no art. 5º, IV, V, X, XIII e XIV”. 10 MARANHÃO, CAMPOS, op. cit., p. 81 e 82. 12 O direito de ser informado é condição essencial de uma sociedade democrática e, ainda, é imprescindível para a formação da própria opinião pública. As novas plataformas de comunicação apresentam a informação por palavra escrita, mas também por imagem e som, reconhecendo-se o direito à informação multimídia.11 Entretanto, não existe um direito de ser informado quanto às informações que se pretende obter e que impliquem em violação de outros direitos, como o direito à privacidade, ao bom nome, a reputação, ao sigilo de correspondência e de telecomunicações, documentos confidenciais. Logo, não existe um direito de acesso ilimitado às fontes de informação.12 3.3 Censura O princípio da proibição da censura aplica-se à liberdade de expressão e de informação e demais liberdades da comunicação. O artigo 220, parágrafo segundo, da CF/88, veda toda e qualquer censura de natureza política, ideológica e artística. No ambiente virtual, medidas para coibir determinados conteúdos podem caracterizar censura ao exercício da liberdade de expressão e acesso à informação. Também há a violação ao direito comunicativo pela restrição ou impedimento ao acesso aos meios de comunicação (CADH, artigo 13, nº 3). Como norteia a CADH (art. 13, nº 2), é proibida a censura, mas a responsabilidades posteriores devem ser expressamente fixadas pela lei e necessárias para assegurar o respeito aos direitos ou à reputação das demais pessoas. 11 MARANHÃO, CAMPOS, op. cit., p. 82 e 83. 12 MARANHÃO, CAMPOS, op. cit., p. 83 e 84. 13 3.4 Anonimato O anonimato é uma das características mais marcantes da comunicação social on-line, porém, ele não é absoluto, já que ao navegar na internet ficam registrados dados como o IP que podem ser utilizados para identificar usuários. A doutrina apresenta duas hipóteses de anonimato: a) pela livre manifestação do pensamento; b) de trânsito (decorrente da navegação na Internet).13 O anonimato pela livre manifestação do pensamento é vedado pela CF/88 (art. 5º, inciso IV), resguardado o sigilo da fonte, quando necessário ao exercício profissional (art. 5º, XIV, CF/88).14 Portanto, não é admitido o anonimato para violação de direitos fundamentais. O anonimato de trânsito é autorizado, já que não há impedimento legal neste sentido (art. 5º, II, CF/88).Paredes (2002), entende que “qualquer tentativa de limitar o anonimato, obrigando o usuário a fornecer seus dados pessoais ao gestor da rede, violaria um dos pontos cardeais da Internet: o de ser o espaço da liberdade total”.15 13 PAREDES, Marcus. Violação da privacidade na internet. São Paulo: Revista de Direito Priva- do, Jan–Mar / 2002, vol. 9/2002, p. 183 – 203. 14 PAREDES, op. cit., p. 183 – 203. 15 PAREDES, op. cit., p. 183 – 203. 14 4. Fake news 4.1. Definições O termo fake news é entendido como notícias fraudulentas; notícias falsas; conteúdo falsificado; conteúdos enganosos, manipulados e fabricados; desinformação; hacking cognitivo; propaganda cibernética; campanhas de desinformação. A fake news, geralmente, é utilizada com a finalidade de ofensa a um direito da personalidade (privacidade, a honra, à palavra e à imagem das pessoas), com propósito político, de lucro, dentre outros. Todavia, a mentira pode relacionar-se a fraude, o que motivou a conceituação de fake news como notícias fraudulentas. O termo fake news também está ligado a desinformação, já que as pessoas de boa-fé acreditam estar em contato com uma notícia verdadeira e, muitas vezes, a repassam, colaborando com a disseminação da fake news. De tal modo, a informação é a melhor maneira de combater a desinformação. Temos como exemplo, site do Ministério da Saúde – Governo Federal, que combate as fake news em temas relacionados à saúde dos cidadãos16. É possível ainda encontrar o termo pós-verdade, que é designado para o momento em que a verdade já não é mais importante como já foi. Na esfera jurídica, a mentira não é o objeto principal da tutela do Estado. O direito não se preocupa com a informação inverídica, mas com o dano efetivo ou possível de acontecer, com a culpa ou dolo da prática do ato. 16 BRASIL. Ministério da Saúde. Governo Federal. Texto informativo sobre Saúde sem Fake News disponibilizado no site do órgão na Internet. 15 4.2. Democracia (fake news nas eleições) A liberdade de expressão é um valor indispensável da democracia. O Código Eleitoral brasileiro (art. 222) prevê a anulação da votação, quando fruto de fake news difundida de forma massiva e influente no resultado (manipulação do voto). A fake news também é regulada pela Resolução n. 23.551/17, que dispõe sobre a propaganda eleitoral, utilização e geração do horário gratuito e condutas ilícitas em campanha eleitoral durante as eleições, prevendo o cabimento de indenização no caso de violação de direitos autorais, perante a justiça comum. A Lei n. 13.834/19 inseriu, no Código Eleitoral brasileiro, a tipificação do crime de denunciação caluniosa com finalidade eleitoral, com aumento da pena em caso de anonimato.17 Como exemplo, podemos citar o caso Cambridge Analytica e a eleição de Donald Trump, nos Estados Unidos da América18. 4.3. Direito de retificação ou resposta A CADH (art. 14) assegura o direito de retificação ou resposta pela pessoa atingida.19 17 BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Decreto Lei n. 2848, de 7 de dezembro de 1940. 18 MARTINS, M. G. TATEOKI, V. A. Proteção de dados pessoais e democracia: fake news, manipulação do eleitor e o caso da Cambridge Analytica. Revista Eletrônica Direito e So- ciedade. v. 7. n. 03. Editora Unilasalle, 2019. 19 Convenção Americana de Direitos Humanos Art. 14. “1. Toda pessoa atingida por informações inexatas ou ofensivas emitidas em seu prejuízo por meios de difusão legalmente regulamentados e que se dirijam ao público em geral, tem direito a fazer, pelo mesmo órgão de difusão, sua retificação ou resposta, nas condições que estabeleça a Lei. 2. Em nenhum caso, a retificação ou a resposta eximirão das outras responsabilidades legais em que se houver incorrido. 3. Para a efetiva proteção da honra e da reputação, toda publicação ou empresa jornalística, cinematográfica, de rá- 16 A CF/88 (art. 5º, V) autoriza o direito de resposta, proporcional ao agravo, além da indenização por dano material, moral ou à imagem. A Lei de Imprensa (Lei n. 5.250/67–revogada em 30/04/2009 por incompatibilidade com a CF/88, por meio da ADPF 130/09) regulava a liberdade de manifestação do pensamento e de informação, bem como a garantia ao direito de resposta e de retificação. Atualmente, o direito de resposta ou retificação do ofendido em matéria divulgada, publicada ou transmitida por veículo de comunicação social tem permissão na Lei n. 13.188/15. Dessa forma, a vítima de fake news tem o direito: a) à remoção do conteúdo; b) de resposta das referências inverídicas ou errôneas que lhe digam respeito; c) à indenização por dano material, moral e à imagem. 3.4. Direito ao esquecimento e desindexação de conteúdos O direito ao esquecimento corresponde à retirada do conteúdo (fatos verdadeiros e pretérito), prejudiciais a determinada pessoa, objetivando o direito à privacidade. Contudo, o STF julgou o Recurso Extraordinário 1010606 no ano de 2021 e concluiu que, o Direito ao esquecimento que não permita a divulgação de fatos ou dados verdadeiros pelo decurso do tempo é incompatível com a Constituição Federal. No entanto, isso não impede que, diante da análise do caso concreto, seja analisado se ocorreu excesso ou abuso do direito de liberdade de expressão ou informação20 dio ou televisão, deve ter uma pessoa responsável que não seja protegida por imunidades nem goze de foro especial. Disponível em: https://www.cidh.oas.org/basicos/portugues/c.convencao_americana.htm. Acesso em: 11 jun. 2021. 20 BRASIL. Supremo Tribunal Federal. STF conclui que direito ao esquecimento é incompa- tível com a Constituição Federal. 2021. Disponível em: https://portal.stf.jus.br/noticias/ver- https://www.cidh.oas.org/basicos/portugues/c.convencao_americana.htm https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1 17 Por outro lado, a desindexação de conteúdos é a remoção dos resultados de busca com informações sobre alguém que não é de interesse público, e que é ou estão desatualizadas, imprecisas ou irrelevantes. Os fatos inverídicos não possuem qualquer exigência, sendo passíveis de exclusão, sem prejuízo do direito à reparação do dano. Nessa hipótese, se enquadra a fake news. 4. Colisão de direitos fundamentais De um lado, há o direito à liberdade de expressão e o direito à informação. Do outro lado, pode ocorrer ofensa a um direito da personalidade. Todos os direitos envolvidos são fundamentais, inexistindo hierarquia entre eles. Diante de tal situação, a doutrina indica o emprego do processo de ponderação como critério de resolução, norteado pelos princípios da unidade da Constituição, da concordância prática e da proporcionalidade lato sensu (que engloba os subprincípios da adequação, da necessidade e proporcionalidade em stricto sensu). No processo de ponderação, preserva-se ambos os direitos fundamentais, flexibilizando os efeitos da vinculatividade, mas sem vulnerar o núcleo essencial dos direitos contrapostos, ou seja, analisa-se qual princípio possui maior aplicabilidade no caso concreto. O princípio da unidade da Constituição objetiva o equilíbrio e harmonização das normas constitucionais. NoticiaDetalhe.asp?idConteudo=460414&ori=1. Acesso em 11 jun. 2021. https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1 18 Pelo princípio da concordância prática, a aplicação de uma norma constitucional deve se realizar em conexão com a totalidade das normas constitucionais. O subprincípio da adequação exige que o meio utilizado seja adequado para atingir o fim. O subprincípio da necessidade impõe que o meio escolhido seja necessário para o fim. O subprincípio da proporcionalidade considera que o meio utilizado seja proporcional ao fim perseguido. 5. Conclusão O Brasil não tem legislação específica que veda a produção e o compartilhamento das fake news. O Estado não tem como legislar de modo abstrato, sob pena de ofensa à liberdadede expressão, podendo caracterizar censura. Assim, cabe ao Judiciário analisar o caso concreto e determinar as medidas cabíveis, dentre as quais a indenização pelo dano causado e retirada do conteúdo lesivo. O Código Civil tem um capítulo específico que trata dos direitos da personalidade (arts. 11 ao 21), estabelecendo: a) a possibilidade de se exigir que cesse a ameaça ou lesão; b) a proibição do emprego do nome por outrem, que exponha o desprezo público; c) a vedação do uso da imagem sem autorização; d) a inviolabilidade da vida privada; e) a possibilidade de reclamar perdas e danos; f) a aplicação de outras sanções previstas em lei.21 21 “Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e re- clamar perdas e danos, sem prejuízo de outras sanções previstas em lei”. “Art. 17. O nome da pessoa não pode ser empregado por outrem em publicações ou repre- sentações que a exponham ao desprezo público, ainda quando não haja intenção difama- tória”. “Art. 20. Salvo se autorizadas, ou se necessárias à administração da justiça ou à manuten- ção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu reque- 19 Portanto, o direito à liberdade de expressão e o direito à informação são direitos fundamentais, qualquer limitação pode caracterizar censura. O direito à personalidade também é um direito fundamental. Assim, em caso de colisão, não é possível desconsiderar um direito em face de outro, devendo preservar ambos os direitos fundamentais, flexibilizando os efeitos da vinculatividade, mas sem vulnerar o núcleo essencial dos direitos contrapostos. Nas hipóteses de fake news, com ofensa ao direito da personalidade, o ofendido tem o direito a indenização pelo dano moral, material e à imagem, bem como, o direito de retirada do conteúdo dos meios de comunicação social. Referências Bibliográficas BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Decreto Lei n. 2.848, de 7 de dezembro de 1940. Disponível em: http://www. planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Constituição da República Federativa do Brasil de 1988. Disponível em: http:// www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos Jurídicos. Lei n. 13.188, de 11 de novembro de 2015. Disponível em: http://www. planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13188.htm. Acesso em: 11 jun. 2021. BRASIL. Ministério da Saúde. Governo Federal. Saúde sem fake news. Disponível em: https://www.saude.gov.br/fakenews?start=30. Acesso em: 11 jun. 2021. rimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais”. “Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessa- do, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”. http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm http://www.planalto.gov.br/ccivil_03/decreto-lei/del2848compilado.htm http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm http://www.planalto.gov.br/ccivil_03/constituicao/constituicaocompilado.htm http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13188.htm http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2015/Lei/L13188.htm https://www.saude.gov.br/fakenews?start=30 20 BRASIL. Supremo Tribunal Federal. STF conclui que direito ao esquecimento é incompatível com a Constituição Federal. 2021. Disponível em: https://portal.stf.jus. br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1. Acesso em: 11 jun. 2021. ECHR. Convenção Europeia dos Direitos do Homem. França, 1950. Disponível em: https://www.echr.coe.int/documents/convention_por.pdf. Acesso em: 11 jun. 2021. MACHADO, J. E. M.; BRITO, I. R. de. Curso de Direito da Comunicação Social. Lisboa: Wolters Kluwer, Portugal, 2013. MARANHÃO, J.; CAMPOS, R. Fake New e autorregulação regulada das redes sociais no Brasil: fundamentos constitucionais. In: ABBOUD, G.; NERY JUNIOR, N.; CAMPOS, R. (Coord.). Fake News e Regulação. São Paulo: Thonson Reuters Brasil, 2018. MAZZUOLI, V. de O. Direitos Comunicativos como direitos humanos: abrangência, limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos Tribunais, 2015, v. 960, p. 249-267. MARTINS, M. G. TATEOKI, V. A. Proteção de dados pessoais e democracia: fake news, manipulação do eleitor e o caso da Cambridge Analytica. Revista Eletrônica Direito e Sociedade. v. 7. n. 3. 2019. Editora Unilasalle. OHCHR. Declaração Universal dos Direitos Humanos. 1948. Disponível em: https://www.ohchr.org/en/udhr/documents/udhr_translations/por. pdf. Acesso em: 11 jun. 2021. PAREDES, M. Violação da privacidade na Internet. São Paulo: Revista de Direito Privado, v. 9, p. 183-203, 2002. CÂMARA DOS DEPUTADOS. Proposta de Emenda à Constituição n. 17, de 2019. Brasília, DF: Câmara dos Deputados, [2019]. Disponível em: https://www.camara.leg. br/proposicoesWeb/fichadetramitacao?idProposicao=2210757. Acesso em: 11 jun. 2021. SALDANHA, N. Novo Regulamento Geral de Proteção de Dados. O que é? A quem se aplica? Como implementar? Lisboa: FCA, 2018. SIQUEIRA JÚNIOR, P. H. Direitos Humanos. São Paulo: Revista dos Tribunais, v. 824, p. 723-747, 2014. https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1 https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1 https://www.echr.coe.int/documents/convention_por.pdf https://www.ohchr.org/en/udhr/documents/udhr_translations/por.pdf https://www.ohchr.org/en/udhr/documents/udhr_translations/por.pdf 21 Legislação Brasileira de segurança da informação e privacidade de dados e RGPD Autoria: Milena Guarda Leitura crítica: Paulo Ricaldoni Objetivos • Conhecer as principais normas brasileiras de segurança da informação e privacidade de dados pessoais. • Analisar as razões da criação de um Regulamento de Proteção de Dados Pessoais na UE. • Estudar as expressões privacy by design (privacidade desde a concepção) e privacy by default (privacidade por padrão), diante de sua relevância na sociedade da informação. 22 1. Introdução Indiscutível que, na atualidade, todos os cidadãos, independentemente do país, estão sujeitos: a) à inexistência de fronteiras digitais; b) a um mundo interconectado, com grande volume de informações e em alta velocidade; c) à excessiva exposição de dados pessoais; d) às redes sociais, que se tornam grandes provedoras de conteúdo. Hoje, os dados possuem valor econômico1 e o conhecimento privilegiado de informações sobre algo ou alguém representa poder, como, por exemplo, a Cambridge Analytica, empresa privada, no Reino Unido, que utilizou dados pessoais para comunicação estratégica e influência das eleições de diversos países, como Estados Unidos, em 2016. Diante das situações acima relatadas, houve a preocupação pelo Estado com a proteção dos direitos fundamentais, em especial, o direito à privacidade de dados pessoais. O Brasil possui leis recentes que tratam da segurança da informação e privacidade de dados. Já a União Europeia tem legislação há muitos anos, mas o principal instrumento jurídico da UE sobre proteção de dados é a Diretiva 95/46/CE (revogada pelo Regulamento Geral de Proteção de Dados – RGPD). 1 RUIZ, M. Os dados são o novo petróleo. Isto é Dinheiro, nove de março de dois mil e oito. ed. 1060. Disponível em: https://www.istoedinheiro.com.br/os-dados-sao-o-novo-pe- troleo/. Acesso em: 11 jun. 2021. 23 2. Legislação brasileira de segurança da informação e privacidade de dados pessoais A segurança da informação (SI) é um conjunto de medidas necessáriaspara salvaguardar a confidencialidade, integridade e disponibilidade da informação (tríade denominada CID). Tem como finalidade proteger a informação de ataques cibernéticos e violações. A confidencialidade tem como escopo assegurar a privacidade das informações, com o acesso apenas das pessoas autorizadas. A integralidade corresponde a confirmação de que a informação permanece íntegra, ou seja, que não houve modificação durante sua transmissão ou armazenamento. A disponibilidade é a garantia de que a informação, quando solicitada, sempre estará disponível e acessível para as pessoas autorizadas. A privacidade de dados pessoais2 se refere a coleta dos dados, sua finalidade e possibilidade legal de compartilhamento. 2.1 Marco Civil da Internet A Lei n. 12.965/14,3 conhecida como Marco Civil da Internet (MCI), estabelece princípios (art. 3º), direitos e garantias (arts. 7º e 8º) e deveres (arts. 9º, 13, 14 e 15) para o uso da Internet no Brasil e determina as diretrizes para atuação do Estado (arts. 24 ao 28). 2 Dados pessoais correspondem a toda informação relacionada a uma pessoa natural viva identificada (nome, sobrenome, apelido, idade, endereço residencial ou eletrônico) ou identificável (por meio de dados de localização, perfis de compra, número de Internet Pro- tocol–IP). 3 O Decreto n. 8.771/16 regulamenta a Lei n. 12.965/14 e indica procedimentos para guar- da e proteção de dados por provedores de conexão e de aplicações, aponta medidas de transparência na requisição de dados cadastrais pela administração pública e estabelece parâmetros para fiscalização e apuração de infrações. 24 É possível caracterizar a violação dos direitos comunicativos pelo Estado quando: a. Censura a expressão de ideias e opiniões. b. Impede o acesso dos cidadãos aos meios de comunicação (televisão, rádio, internet etc.). c. Por omissão, pela falta de regulamentação do uso dos meios de comunicação.4 Por consequência, o MCI atende à obrigação do Estado em disciplinar o direito comunicativo na era digital, em especial na rede mundial de computadores. 1. Mazzuoli (2015), observa que os direitos humanos e o exercício da cidadania são alguns dos fundamentos da Lei (art. 2º) e conclui que “o direito comunicativo à internet livre faz parte do núcleo dos direitos humanos e fundamentais que a ordem jurídica brasileira deve consagrar a todos os cidadãos”. O uso da Internet é disciplinado por princípios, dentre os quais é relevante destacar (art. 3º): a. Garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal, e como condição para o pleno exercício do direito de acesso à Internet (art. 8º). b. Proteção da privacidade. c. Proteção dos dados pessoais, na forma do MCI e da Lei n. 13.709/18 (Lei Geral de Proteção de Dados Pessoais – LGPD). d. Responsabilização dos agentes de acordo com suas atividades. 4 MAZZUOLI, Valério de Oliveira. Direitos Comunicativos como direitos humanos: abran- gência, limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos Tribu- nais, v. 960, p. 24-/267, 2015. 25 Esses princípios não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que o Brasil é parte (art. 3º, parágrafo único). O MCI também assegura o direito (art. 7º): I. inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação; II. inviolabilidade e sigilo do fluxo de suas comunicações pela Internet; III. inviolabilidade e sigilo de suas comunicações privadas armazenadas; IV. não suspensão da conexão à Internet, salvo por débito diretamente decorrente de sua utilização; V. manutenção da qualidade contratada da conexão à Internet; VI. não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de Internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei; VII. informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de Internet, VIII. consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais; IX. exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas na Lei. X. publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet; XI. acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e XII. aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet. 26 2.2 Lei do Cadastro Positivo A Lei n. 12.414/11, denominada Lei do Cadastro Positivo, “disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito”. De acordo com a redação inicial da Lei, a inclusão do nome do consumidor no referido banco de dados dependia de aprovação prévia. Todavia, a LGPD (artigo 7º, inciso X) determina que os dados referentes a proteção do crédito sofrerão tratamento independentemente de autorização do titular, ou seja, trata-se de situação que não exige consentimento. A Lei Complementar n. 166/19 alterou a Lei do Cadastro Positivo para se adequar a LGPD, autorizando o tratamento de dados pessoais sem concordância do titular, desde que observadas as finalidades estabelecidas no artigo 7º, da Lei do Cadastro Positivo: a. realização de análise de risco de crédito do cadastrado; b. subsidiar a concessão ou extensão de crédito e a realização de venda a prazo ou outras transações comerciais e empresariais que impliquem risco financeiro ao consulente (pessoa natural ou jurídica que acesse informações em bancos de dados para qualquer finalidade permitida por esta Lei). Sem o consentimento do titular dos dados, o responsável pela administração de banco de dados poderá (art. 4º): a. abrir cadastro em banco de dados com informações de adimplemento de pessoas naturais e jurídicas; b. fazer anotações no cadastro; c. compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados; 27 d. disponibilizar o score (a nota ou pontuação de crédito elaborada com base nas informações de adimplemento armazenadas) para o consulente. A autorização prévia e específica do cadastrado (titular dos dados) somente é necessária em caso de histórico de crédito (art. 4º, inciso IV, alínea “b”). O cadastrado tem direito (art. 5º): I. obter o cancelamento ou a reabertura do cadastro, quando solicitado; II. acessar gratuitamente, independentemente de justificativa, as informações sobre ele existentes no banco de dados, inclusive seu histórico e sua nota ou pontuação de crédito, cabendo ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta às informações pelo cadastrado; III. solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de dados que compartilharam a informação; IV. conhecer os principais elementos e critérios considerados para a análise de risco, resguardado o segredo empresarial; V. ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais. VI. solicitar ao consulente a revisão de decisão realizadaexclusivamente por meios automatizados; e VII. ter os seus dados pessoais utilizados somente de acordo com a finalidade para a qual eles foram coletados. 2.3 Lei de Acesso à Informação A Lei n. 12.527/11, Lei de Acesso à Informação (LAI), assegura a qualquer pessoa o direito fundamental de acesso às informações produzidas 28 ou armazenadas pelos órgãos e entidades públicas, e proíbe exigir do solicitante os motivos de sua solicitação (art. 10, § 3º). Essa lei determina que “o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais”. E, ainda, estabelece (art. 31): a. a restrição de acesso, independentemente de classificação de sigilo e pelo prazo máximo de 100 anos a contar da sua data de produção; b. a possibilidade de autorização de sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem; c. a responsabilização, pelo uso indevido, por quem obtiver acesso das informações pessoais (§ 2º). 2.4 Lei Carolina Dieckmann A Lei n. 12.737/12, Lei Carolina Dieckmann ou Lei dos Crimes Informáticos, tipifica os delitos informáticos por condutas realizadas na Internet, com a inclusão dos artigos 154-A e 154-B ao Código Penal. Os crimes instituídos por essa lei são: invasão de dispositivo informático; interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública; falsificação de documento particular; falsificação de cartão de crédito ou débito. 2.5 Código de Defesa do Consumidor A Lei n. 8.078/90 (Código de Defesa do Consumidor–CDC) concede ao consumidor o direito de ter “acesso às informações existentes em 29 cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes” (art. 43). Essa lei também determina que (art. 43): a. as informações negativas devem ser limitadas ao período máximo de cinco anos (§ 1°); b. a abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele (§ 2°); c. o direito do consumidor de corrigir seus dados e cadastros inexatos, devendo o arquivista comunicar a alteração no prazo de cinco dias úteis (§ 3°). A lei, embora não tenha previsto a autorização do consumidor para a coleta de dados, determina que, caso seja feita, a empresa deve comunicar por escrito o que será feito com os mesmos. Complementando o CDC, o Decreto n. 7.962/13 (Decreto do Comércio Eletrônico) determina que o fornecedor adote mecanismos de segurança eficazes para pagamento e para tratamento de dados do consumidor (art. 4º, inciso VII). 2.6 Estatuto da Criança e do Adolescente A Lei n. 8.069/90 (Estatuto da Criança e do Adolescente–ECA) estabelece medidas específicas de proteção à criança e ao adolescente, devendo tais medidas serem orientadas, dentre outros princípios, pelo da privacidade. Com base no princípio da privacidade, a promoção dos direitos e proteção da criança e do adolescente é garantida por meio do respeito pela intimidade, direito à imagem e reserva de sua vida privada (art. 100, parágrafo único, inciso V). 30 Constituiu crime o registro, troca, oferecimento, armazenamento, transmissão, comercialização, distribuição e divulgação, por qualquer meio, inclusive por meio de sistema de informática ou telemático, de material pornográfico com criança e adolescente (arts. 240 ao 241-D). 2.7 Direitos autorais e a proteção da propriedade intelectual das obras de seus titulares A Lei n. 9.610/98 (Lei de Direitos Autorais–LDA) enumera as obras intelectuais protegidas pela norma (art. 7º), garante ao autor o direito exclusivo de utilizar, fruir e dispor da obra literária, artística ou científica (art. 28) e assegura os direitos morais e patrimoniais sobre a obra que criou (art. 22). O artigo 5º, inciso XXVII, da Constituição Federal de 1988 (CF/88), assegura “aos autores o direito exclusivo de utilização, publicação ou reprodução de suas obras”. E, ainda, os incisos XXVIII e XXIX, da referida norma, garantem o direito autoral e a propriedade intelectual. O plágio (falsa atribuição de autoria de conteúdo e ideias) tem previsão na LDA e as penalidades estão previstas no artigo 184 do Código Penal. A Lei n. 10.695/03 (Nova Lei dos Direitos Autorais ou Lei Antipirataria) aumenta a punição máxima para quatro anos para quem cometer crimes com violação aos direitos autorais, ou que lhe são conexos, quando tiverem o intuito de auferir lucro, deixando de ser considerado crime de menor potencial ofensivo. Os direitos autorais também são aplicados no meio digital, permanecendo inalterado seu âmbito jurídico. Contudo, não se pode negar que a tecnologia e a Internet favoreceram a violação dos direitos autorais, como, por exemplo, os aplicativos de digitalização de documentos e a fácil e rápida disseminação da obra pela Internet. 31 3. Instrumentos jurídicos da União Europeia de proteção de dados A Europa possui vários instrumentos jurídicos relevantes, referentes a proteção de dados.5 A Diretiva 95/46/CE, do Parlamento Europeu e do Conselho (Diretiva de Proteção de Dados, revogada pelo Regulamento n. 2016/679), dispunha sobre “a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados”. Entretanto, a diretiva não tinha aplicação automática, exigia que cada país fizesse sua transposição para o Direito nacional, por meio de processos legislativos,6 possibilitando a transcrição com alguma liberdade em seu conteúdo. Isso gerou diferenças significativas na legislação dos diversos países, com diferentes formas de atuação das autoridades de proteção de dados, o que justificou os diferentes níveis de conformidade.7 Diante da necessidade de harmonização da legislação referente a proteção de dados, surgiu a proposta de criação de um regulamento. Para a aprovação do texto final do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho (Regulamento Geral sobre a Proteção de Dados – RGPD ou em inglês General data Protection 5 Manual da Legislação Europeia sobre Proteção de Dados. Versão digital disponível no site da Internet da European Union Agency. Disponível em: https://fra.europa.eu/en. Aces- so em: 11 jun. 2021. 6 Em Portugal, a Diretiva 95/46/CE foi transposta pela Lei n. 67/98. 7 “As diretivas exigem que os países da UE atinjam um determinado resultado, deixando- -os escolher a forma de o fazer. Os países da UE têm de adotar medidas para incorporar as diretivas no direito nacional (transposição), a fim de atingir os objetivos fixados nas mes- mas. As autoridades nacionais devem comunicar essas medidas à Comissão Europeia. A transposição para o direito nacional deve ser feita no prazo fixado quando da adoção da diretiva (geralmente, no prazo de dois anos). Quando um país não transpõe uma diretiva, a Comissão pode dar início a um processo por infração”. Tipos de direito europeu. Disponível em: https://ec.europa.eu/info/law/law-making-process/types-eu-law_pt. Acesso em: 11 jun. 2021. https://fra.europa.eu/en https://ec.europa.eu/info/law/law-making-process/types-eu-law_pt 32 Regulation–GDPR) foram quatro anos de deliberações (desde 2012), com aprovação em 27/04/2016, com prazo de dois anos para adequação pelas empresas, sendo que sua eficácia plena ocorreu simultaneamente em todos os países em 25/05/2018. O RGPD tem como objetivo “à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e revoga a Diretiva 95/46/CE”. O RGPD tem âmbito de aplicação territorial nos vinte e oito Estados- Membros da UE e os Estados que não são membros, mas que fazem parte do Espaço Econômico Europeu–EEE (Islândia, Listenstaine, Noruega e Suíça). Esses países devem assegurara execução do RGPD na ordem jurídica interna, bem como devem criar normas, das quais o RGPD requer ou permite a intervenção do legislador nacional. O RGPD é considerado mundialmente como norma mais avançada e rigorosa de proteção de dados. 3.1 A proteção de dados desde a concepção (privacy by design) e por padrão (privacy by default) As expressões privacy by design (privacidade desde a concepção) e privacy by default (privacidade por padrão), diante da relevância na sociedade da informação, foram expressamente inseridas no RGPD, no Considerando 78 e no artigo 25. Na legislação brasileira, embora não estejam expressamente previstas, encontram-se na ratio do MCI e implicitamente na LGPD. Privacy by design corresponde a uma trilogia de medidas de prevenção da segurança da informação e da privacidade dos dados em todo seu ciclo de vida: 33 1. Sistemas de TI. 2. Práticas comerciais responsáveis. 3. Projeto físico e infraestrutura de rede.8 Os objetivos do privacy by design são alcançados por meio dos setes princípios fundamentais:9 1º–Proativo, não reativo; preventivo, não corretivo: antecipa e evita eventos invasivos de privacidade antes que eles aconteçam, não espera que os riscos de privacidade se materializem, nem oferece remédios para resolver infrações de privacidade depois que elas ocorrerem. 2º–Privacidade como configuração padrão: busca oferecer o máximo grau de privacidade, garantindo que os dados pessoais sejam protegidos automaticamente em qualquer sistema de TI ou prática comercial. Se um indivíduo não faz nada, sua privacidade ainda permanece intacta. Nenhuma ação é necessária por parte do indivíduo para proteger sua privacidade–ela é incorporada ao sistema, por padrão. 3º–Privacidade incorporada ao design: privacidade como parte integrante do sistema. 4º–Funcionalidade total: considera todos os interesses e objetivos legítimos de maneira positiva, sem a realização de compensações desnecessárias, evitando as falsas dicotomias, como privacidade versus segurança, demonstrando que é possível ter as duas. 5º–Segurança de ponta a ponta, proteção total do ciclo de vida: fortes medidas de segurança são essenciais para a privacidade, do início ao fim. 6º–Privacidade e transparência: procura garantir a todos os interessados que, independentemente da prática ou tecnologia comercial envolvida, ela esteja de fato operando de acordo com as promessas e objetivos declarados, sujeitos a verificação independente. Suas partes e operações 8 Privacy by Design. The 7 Foundational Principles. Disponível em: ipc.on.ca. Acesso em: 11 jun. 2021. 9 Idem. Tradução nossa. 34 permanecem visíveis e transparentes, tanto para usuários quanto para fornecedores. 7º–Respeito pela privacidade do usuário: exige que todos devem respeitar os interesses dos titulares de dados em primeiro plano, oferecendo medidas como padrões de privacidade fortes, aviso apropriado e oferecendo opções para o usuário. Privacy by design esclarece que: Os princípios de Privacy by Design podem ser aplicados a todos os tipos de informações pessoais, mas devem ser aplicados com especial vigor aos dados sensíveis, como informações médicas e dados financeiros. A força das medidas de privacidade tende a ser proporcional à sensibilidade dos dados.10 No privacy by default, as configurações de privacidade estão asseguradas em um modo mais restritivo possível por padrão, sem a necessidade de ação do usuário, sendo coletadas apenas as informações necessárias, assim, cabendo ao titular liberar o acesso de outros dados. 3.2 Do Regulamento Geral de Proteção de Dados O RGPD11 criou um conjunto de novos direitos dos cidadãos, novos procedimentos e novas obrigações para todas as pessoas jurídicas públicas e privadas do EEE (refere-se a uma questão legal, processual e tecnológica). Teve efeito triplo (no passado, presente e futuro), ou seja, 10 Privacy by Design. The 7 Foundational Principles; 2013; p.1. Disponível em: https://www. ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf. Acesso em: 11 jun. 2021. 11 UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679. Acesso em: 11 jun. 2021. https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf 35 os dados colhidos e armazenados antes da vigência da lei, tiveram que se adequar à nova legislação.12 O RGPD classificou 12 diferentes direitos, independentes entre si:13 (...) direito à proteção de dados pessoais (artigo 1º), direto à informação (artigo 13º), de acesso (artigo 15º), de retificação (artigo 16º), ao apagamento dos dados (artigo 17º), à limitação do tratamento (artigo 18º), à notificação (artigo 19º), de portabilidade dos dados (artigo 20º), de oposição (artigo 21º), a não ficar sujeito a decisões automatizadas (artigo 22º), a ser avisado em caso de uma violação de dados pessoais (artigo 34º) e, claro, os direitos relacionados com os princípios do tratamento dos dados pessoais (e constantes do artigo 5º), nomeadamente que os dados sejam objetos de tratamento licito, leal e transparente, recolhidos com finalidades determinadas, adequados, pertinentes, limitados, exatos, atualizados, etc. Para tornar eficaz o RGPD, as entidades Europeias estabeleceram um valor sancionatório mais alto, com coimas que podem chegar a 20 milhões de euros ou 4% do valor do faturamento anula das empresas ou do grupo de empresas (art. 83ª).14 4. Conclusão A União Europeia possui legislação sobre proteção de dados pessoais desde 1995 (Diretiva 95/46/CE do Parlamento Europeu e do Conselho), além de outras Direitas, Regulamentos e legislação internas dos países. Em 25 de maio de 2018 iniciou a vigência do RGPD, reconhecido mundialmente como norma mais avançada e rigorosa de proteção de dados, a qual influenciou a criação da LGPD. 12 SALDANHA, Nuno. Novo Regulamento Geral de Proteção de Dados: o que é? A quem se aplica? Como implementar? Lisboa: FCA, 2018, p. 8. 13 Idem nota anteior, p. 15. 14 Idem nota anterior, 16. 36 Igualmente, buscando uma maior adequação e segurança jurídica para os cidadãos, o Brasil possui normas de segurança da informação e privacidade de dados pessoais, como o MCI, LGPD (com vigência a partir de agosto de 2020), Lei do Cadastro Positivo, LAI, Lei Carolina Dieckman, CDC, ECA, LDA e propriedade intelectual. Referências Bibliográficas BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos Jurídicos. Decreto 8.771, de 11 de maio de 2016. Brasília, DF: Presidência da República, [2016]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2016/decreto/d8771.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 8069, de 13 de julho de 1990. Brasília, DF: Presidência da República, [1990a]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 8078, de 11 de setembro de 1990. Brasília, DF: Presidência da República, [1990b]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 9610, de 19 de fevereiro de 1998. Brasília, DF: Presidência da República, [1998a]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9610.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 10.695, de 20 de agosto de 1998. Brasília, DF: Presidência da República,[1998b]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L9695.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 12.965, de 23 de abril de 2014. Brasília, DF: Presidência da República, [2014]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965. htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos Jurídicos. Lei n. 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015- 2018/2018/lei/L13709.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 12.527, de 18 de novembro de 2011. Brasília, DF: Presidência da República, http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8771.htm http://www.planalto.gov.br/ccivil_03/leis/l8069.htm http://www.planalto.gov.br/ccivil_03/leis/l8078.htm http://www.planalto.gov.br/ccivil_03/leis/l9610.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm 37 [2011]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/ l12527.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei n. 12.737, de 30 de novembro de 2012. Brasília, DF: Presidência da República, [2012]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/ l12737.htm. Acesso em: 11 jun. 2021. BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei Complementar n. 166, de 8 de abril de 2019. Brasília, DF: Presidência da República, [2019]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/lcp/ Lcp166.htm. Acesso em: 11 jun. 2021. EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS (FRA). Manual Da Legislação Europeia sobre Proteção de Dados. Agência dos Direitos Fundamentais da União Europeia, Conselho da Europa, 2014. Disponível em: https://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-pt.pdf. Acesso em: 11 jun. 2021. INFORMATION AND PRIVACY COMMISSIONER OF ONTARIO (IPC). Privacy by Design. The 7 foundational principles. Disponível em: https://www.ipc.on.ca/wp- content/uploads/2013/09/pbd-primer.pdf. Acesso em: 11 jun. 2021. MAZZUOLI, V. de O. Direitos comunicativos como direitos humanos: abrangência, limites, acesso à Internet e direito ao esquecimento. São Paulo: Revista dos Tribunais, v. 960, p. 249-267, 2015. RUIZ, M. Os dados são o novo petróleo. Isto é Dinheiro, nove de março de dois mil e oito. ed. 1060. Disponível em: https://www.istoedinheiro.com.br/os-dados-sao-o- novo-petroleo/. Acesso em: 11 jun. 2021. SALDANHA, N. Novo regulamento geral de proteção de dados: o que é? A quem se aplica? Como implementar? Lisboa: FCA, 2018. UNIÃO EUROPEIA. Regulamento Geral sobre a Proteção de Dados. Jornal Oficial da União Europeia. Disponível em: https://eur-lex.europa.eu/legal-content/PT/ ALL/?uri=celex%3A32016R0679. Acesso em: 11 jun. 2021. http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm http://www.planalto.gov.br/ccivil_03/leis/lcp/Lcp166.htm http://www.planalto.gov.br/ccivil_03/leis/lcp/Lcp166.htm https://fra.europa.eu/sites/default/files/fra-2014-handbook-data-protection-pt.pdf https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf https://www.ipc.on.ca/wp-content/uploads/2013/09/pbd-primer.pdf https://www.istoedinheiro.com.br/os-dados-sao-o-novo-petroleo/ https://www.istoedinheiro.com.br/os-dados-sao-o-novo-petroleo/ https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679 https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=celex%3A32016R0679 38 Lei Geral de Proteção de Dados (LGPD) – Parte I Autoria: Milena Guarda Leitura crítica: Paulo Ricaldoni Objetivos • Conhecer a contextualização da legislação de proteção de dados. • Analisar os conceitos e terminologias da Lei Geral de Proteção de Dados (LGPD). • Estudar os princípios gerais e as bases legais específicas da LGPD. 39 1. Introdução A Lei Geral de Proteção de Dados Pessoais (LGPD) foi introduzida no ordenamento jurídico brasileiro, por meio da Lei n. 13.709, de 14 de agosto de 2018. Tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, além de alterar a Lei n. 12.965, de abril de 2014 (Marco Civil da Internet). 2. Lei Geral de Proteção de Dados 2.1 Contextualização Certamente, dois escândalos mundiais contribuíram para agilizar a tramitação do projeto legislativo1 e a sanção da LGPD. O primeiro foi em 2013, com a revelação dada por Edward Snowden (ex-analista da Agência Nacional de Segurança – NSA, órgão vinculado ao Governo dos Estados Unidos), sobre os detalhes dos programas utilizados para monitoramento e vigilância das informações trafegadas pela web, pois além de informações coletadas para o combate ao terrorismo, a NSA vigiava todo e qualquer cidadão de diferentes países, bem como seus chefes de Estados. Isso demonstrou a vulnerabilidade da privacidade de dados no ambiente digital.2 O segundo escândalo foi o uso de dados dos usuários do Facebook, pela Cambridge Analytica, para fins políticos. A investigação contra o Facebook sugere a possibilidade do uso das informações para influenciar o Brexit, 1 Projetos de Leis principais: n. 4.060/2012, n. 330/2013 e n. 5.276/2016, que foram essen- ciais para a base do Projeto de Lei n. 53/2018. 2 MACIEL, Rafael. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais: atualizado com a Medida Provisória n. 869/18.RM Digital Education. 40 as eleições presidenciais dos Estados Unidos de 2016 e as eleições do Brasil de 2018.3 Em 2018, o Brasil foi incluído ao rol dos países que apresentam uma legislação específica sobre proteção de dados pessoais. Antes da promulgação da LGPD (Lei n. 13.709/18), havia apenas leis setoriais: • Direitos fundamentais: Constituição Federal de 1988, artigo 5º, inciso X, que garante à inviolabilidade a intimidade, a vida privada, a honra e a imagem das pessoas, bem como assegura o direito a indenização pelo dano material ou moral decorrente de sua violação. • Código de Defesa do Consumidor (CDC): primeira lei brasileira a prever dispositivos que protegem os dados pessoais. O CDC foi complementado pela Lei do Cadastro Positivo. • Direito Penal: Lei Carolina Dieckman tipificou os delitos informáticos por condutas realizadas na Internet, com a inclusão dos artigos 154-A e 154-B ao Código Penal; Lei n. 9.296/96 supriu a lacuna constitucional quanto às interceptações telefônicas, telemática e de informática. • Setor público: Lei de Acesso à Informação regula o direito constitucional de acesso às informações públicas. • Uso da Internet no Brasil: Marco Civil da Internet é a lei que regula o uso da Internet no país por meio da precisão de princípios, garantias, direitos e deveres para quem utiliza da rede. A elaboração de uma legislação para proteção de dados pessoais foi impulsionada pelo Regulamento Geral de Proteção de Dados (RGPD), que determina que os países que pretendem comercializar com a União 3 MACIEL, Rafael. Manual prático sobre a Lei Geral de Proteção de Dados Pessoais: atualizado com a Medida Provisória n. 869/18.RM Digital Education. 41 Europeia disponham de uma legislação de proteção de dados no mesmo nível. A LGPD, que possui sessenta e cinco artigos esem orientações interpretativas, foi influenciada pelo RGPD, que possui cento e setenta e três considerandos e noventa e nove artigos. Contudo, a legislação nacional, além de ser menor, deixou margens para uma interpretação ampla e subjetiva, podendo gerar insegurança jurídica. 2.2 Conceitos e terminologias Os conceitos e terminologias apresentados na LGPD são fundamentais para o entendimento da legislação e devem ser utilizados em documentos, contratos, termos de consentimentos. Os principais conceitos legais estão previstos no artigo 5º da Lei. Pessoa natural: ser humano vivo. • Titular: é a pessoa natural detentor dos dados pessoais que são objeto de tratamento. • Dado pessoal: é a informação relacionada a pessoa natural identificada ou identificável. O conceito abrange as informações pessoais diretas, como nome, documento de identificação, endereço, e as indiretas, como dados de geolocalização, cookies, endereços de IP, que em conjunto com outras informações suplementares são capazes de identificar o indivíduo. • Dado pessoal sensível: é um dado acerca de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. Também abrange dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 42 • Dado anonimizado: são os que não permitem identificar, de forma direita ou indireta, o titular. Portanto, o dado anonimizado não necessita de proteção legal (art. 12), mas se o processo de anonimização puder ser revertido, aplica-se a LGPD. • Anonimização: é a utilização de meios técnicos pelos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. • Pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (art. 13, § 4º). • Banco de dados: é o conjunto estruturado de dados pessoais, arquivados em um ou em vários locais, em suporte eletrônico ou físico. • Controlador: é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. • Operador: é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. • Encarregado: também conhecido como Data Protection Officer (DPO), é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). • Agentes de tratamento: são os controladores e os operadores. • Bloqueio: trata-se da suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. 43 • Eliminação: é a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. • Uso compartilhado de dados: é a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas, no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. • Autoridade nacional: é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional. E, ainda, é possível obter um Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República, por meio da Portaria n. 93, de 26 de setembro de 20194. 2.3 Aplicação material e territorial A LGPD aplica-se a todo o tratamento de dados pessoais, por meios físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, desde que ocorra uma das seguintes hipóteses: Seja realizada no território nacional. O objetivo seja a oferta ou o fornecimento de bens ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional. 4 BRASIL. Portaria nº 93, de 26 de setembro de 2019. Aprova o Glossário de Segurança da Informação. Brasília, DF: Presidência da República, [2019]. Disponível em: https://www. in.gov.br/en/web/dou/-/portaria-n-93-de-26-de-setembro-de-2019-219115663. Acesso em: 20 jun. 2021. 44 Que os dados tenham sido coletados no território nacional. Inclusive, os provedores de serviços em nuvens devem se adequar a LGPD, caso os dados tenham sidos coletados no Brasil e tratados fora do país.5 Importante ressaltar que a lei não se aplica ao tratamento de dados pessoais, que foi realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como exclusivamente jornalístico, artísticos ou acadêmicos e, ainda, para segurança pública e do Estado, defesa nacional ou atividades de investigação e repressão de infrações penais. 2.4 Princípios A LGPD é uma legislação principiológica, assim como o RGPD. Todo o tratamento de dados, para ser lícito, deve ser pautado pelos princípios previstos na lei, além do dever de boa-fé do controlador. Os princípios são: • Finalidade: entende-se pela realização do tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular. Adequação: o tratamento deve se compatibilizar com a finalidade informada, por exemplo, se os dados colhidos forem inadequados, o tratamento é ilícito. • Necessidade: esse princípio impede que os dados sejam tratados mais do que o necessário para atingir a finalidade informada. Os dados devem ser pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento. • Livre acesso: confere garantia aos seus titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento. 5 PINHEIRO, P. P. Proteção de Dados Pessoais. Comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2018, p. 30. 45 • Qualidade dos dados: trata-se de garantia, aos titulares, da exatidão, clareza, relevância e atualização dos seus dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. • Transparência: confere aos titulares a garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento de dados, observados os segredos comercial e industrial. • Segurança: é a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. • Prevenção: é o princípio que adota medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. • Não discriminação: não admite a realização do tratamento para fins discriminatórios ilícitos ou abusivos. • Responsabilização e prestação de contas: a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 2.5. Base legal O tratamento dos dados pessoais legítimo e lícito ocorre quando observado os princípios gerais, previstos no art. 6º e uma das bases legais específicas contidos no art. 7º: • Mediante o fornecimento de consentimento pelo titular, que deve ser dado por escrito ou de outro modo que demonstre a sua vontade, conforme o artigo 8º. 46 • Cumprimento de obrigação legal ou regulatória pelo controlador. • Execução de políticas públicas. • Realização de estudos por órgão de pesquisa e que seja garantida a anonimização dos dados pessoais sensíveis, sempre que possível. • Execução de contratos. • Assegurar o exercício regular de direitos nos processos judicial, administrativo ou arbitral. • Na proteção da vida, saúde e crédito. • Atendimentoaos interesses legítimos do controlador ou de terceiro, exceto em caso de direitos e liberdades fundamentais que exijam a proteção dos dados pessoais. O interesse legítimo só pode ser exercido para finalidades legítimas, consideradas a partir de situações concretas, conforme previsto no artigo 10. 2.6. Consentimento O consentimento é uma base legal (fundamento) que autoriza o tratamento de dados. Sob pena de não ser considerado válido, o consentimento deve ser livre, informado e inequívoco, fornecido por escrito ou outro meio que demonstre a manifestação da vontade do titular, em cláusula destacada, sem vício de consentimento (erro, dolo, coação ou simulação) e deve se referir a finalidades determinadas (art. 8º), sendo que as autorizações genéricas são nulas (§ 4º). 47 É dever do controlador comprovar que o consentimento foi obtido nos termos da Lei (art. 8º, § 2º). A lei dispensa o consentimento do titular de dados pessoais para os dados tornados manifestamente públicos pelo titular (art. 7º, § 4º). Contudo, qualquer dispensa do consentimento não afasta a obrigação aos agentes de tratamento em observar as demais obrigações previstas na Lei, conforme artigo 7º, § 6º, especialmente no que refere a observância dos princípios gerais constantes do art. 6º e da garantia dos direitos do titular previsto no art. 9º. Em caso de comunicação ou compartilhamento de dados pessoais com outros controladores, necessário que o consentimento seja obtido pelo titular para esse fim, ou seja, consentimento específico. Todavia, há hipóteses de dispensa do consentimento previstas nesta Lei, mais especificamente no art. 7º, § 5º, como, por exemplo, no caso de dados tornados manifestamente públicos pelo titular. Importante ressaltar que o consentimento poderá ser revogado a qualquer momento, desde que com manifestação expressa do titular, conforme art. 8º, § 5º. Caso haja alteração da finalidade, na forma ou duração do tratamento de dados, o controlador deverá informar ao titular do teor das alterações. É possível, todavia, que o titular revogue seu consentimento, caso discorde da alteração. Essa possibilidade encontra-se prevista no art. 8º, § 6º. 2.7. Tratamento de dados pessoais O tratamento de dados corresponde a toda operação realizada com dados pessoais, como as que se referem a:6 6 POHLMANN, S. A. LGPD Ninja. Entendendo e implementando a Lei Geral de Proteção de 48 • Coleta: obtenção de dados por meio de um procedimento manual ou automatizado. • Produção: produção/ geração de dado adicional. • Recepção: recebimento, por parte do tratamento, de um dado já existente na base de outro agente. • Classificação: organizar de acordo com as necessidades dos agentes de tratamento. • Utilização: uso de dados já existentes. • Acesso: acessar um dado de um titular. O acesso, preferencialmente, deve ter níveis de permissão. • Reprodução: obtenção de uma cópia. • Transmissão: enviar informações de alguma forma. • Distribuição: entrega de dados para um ou mais destinatários. • Processamento: tratar dado por qualquer forma. • Encriptação: codificar uma informação em outro formato, por meio de um algoritmo, com a possibilidade de sua leitura somente a partir de senha ou chave. • Armazenamento: guardar os dados. • Arquivamento: armazenar por longo período. O tratamento de dados pessoais, cujo acesso é público, deverá considerar a finalidade, a boa-fé e o interesse público que podem sua disponibilização (art. 7º, § 3º). Dados na Empresa. Nova Friburgo: e-book, 2019. 49 2.7.1. Sensíveis Os dados sensíveis são objeto de uma proteção mais rigorosa. A lei exige o consentimento do titular, de forma específica e destacada, para finalidades exclusivas. Há hipóteses em que o tratamento dos dados sensíveis pode ocorrer sem o consentimento, são elas (art. 11): para cumprir obrigação legal ou regulatória; executar políticas públicas; estudos por órgão de pesquisa exercício regular de direito; exercício regular de direito, proteção a vida e da saúde, prevenção à fraude e garantia à segurança do titular em procedimentos eletrônicos de identificação ou autenticação de cadastro. 2.7.2. De crianças e adolescentes Os dados pessoais dos menores de dezoito anos são classificados como dados especiais, razão pela qual exige um tratamento diferenciado. A lei determina que haja consentimento específico por um dos pais e/ ou responsáveis para esse acesso. Não é possível o compartilhamento desses dados sem consentimento. Importante ressaltar que o acesso ou coleta aos dados da criança sem consentimento, só poderá ser realizado para contatar o pai ou responsável. No que se refere ao acesso a jogos, aplicações de Internet ou outras atividades, não poderá se exigir o fornecimento de informações pessoais, salvas necessárias as práticas das atividades. 2.7.3. Pelo poder público O poder público está autorizado a realizar o tratamento de dados pessoais para realizar atendimento público, na persecução de interesse público ou para cumprir atribuições do serviço público. É necessário, 50 porém, que as orientações sejam comunicadas de forma clara de fácil acesso, nos moldes do artigo 23 da lei. 2.8. Término do tratamento de dados O artigo 15 da lei trata das hipóteses do término do tratamento de dados. Abaixo, listamos alguns deles: • Atingir ou perder a finalidade inicial. • No fim do período de tratamento. • Quando o consentimento for revogado. • Por determinação da agência nacional de proteção de dados. • Por violação da lei ou cumprimento de obrigação leal, dentre outras. Após o término de tratamento, os dados pessoais deverão ser eliminados, salvo se necessários para cumprir obrigação legal ou regulatória; por órgãos de pesquisa; para transferir a terceiros; e uso exclusivo do controlador, desde que anonimizados (art. 16). 2.9. Direitos do titular dos dados A LGPD assegura a toda pessoa natural a titularidade de seus dados pessoais, garantindo os direitos fundamentais de liberdade, de intimidade e de privacidade (art. 17) e relacionado no artigo 18 os direitos do titular dos dados pessoais. O controlador tem a obrigação de ceder as informações solicitadas pelo titular que pode solicitá-las a qualquer tempo mediante pedido expresso. O titular tem direito 51 de obter a confirmação da existência do tratamento de seus dados, bem como acesso facilitado às informações referentes aos seus dados pessoais. Esse acesso deve ser claro e adequado, contendo a forma de obtenção, duração e finalidade do tratamento dos dados. Ainda há necessidade do controlador se identificar e indicar contato. Caso haja algum dado incompleto, inexato ou desatualizado, o titular tem o direito de pedir a correção. É direito do titular revogar o consentimento dado para acesso e tratamento dos seus dados pessoais, bem como de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. Ocorrendo a eliminação, a anonimização ou o bloqueio dos dados, o responsável deverá, imediatamente, informar à correção aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados. Por fim, é direito do titular ser informado sobre entidades públicas e privadas com as quais os seus dados foram compartilhados e sobre a possibilidade de não fornecer o seu consentimento e o que isso acarretará. 3. Conclusão Influenciado diretamente pelo RGPD, o Brasil, em 2018, promulgou a LGPD que busca proteger, na era da globalização, os dados pessoais (físicos ou eletrônicos) de pessoas físicas. Em seu texto, ela enumera os direitos que todo cidadão possui, garantindo maior proteção aos dados sensíveis e de crianças e adolescentes, bem como pontua regras e deveres que os agentes de tratamento precisam cumprir para que possam estar em conformidade com as boas práticas e governança. 52 Referências Bibliográficas BRASIL. Portaria nº 93, de 26 de setembro de 2019. Aprova o Glossário de Segurança da Informação. Brasília, DF: Presidência
Compartilhar