Proteção de Dados Pessoais: Conceitos e Bases Legais

Prévia do material em texto

2 
SUMÁRIO 
 
 Conceitos Estruturantes da Proteção de Dados Pessoais.....................................................3 
 Bases Legais de Tratamento de Dados Pessoais.......................................................................6 
 O Desafio dos Direitos dos Titulares de Dados......................................................................16 
 Dados Pessoais Sensíveis – Cuidados e Tratamento............................................................17 
 Prevenção e Sanções.........................................................................................................................21 
 
 
 
 
DIREITO DIGITAL E TECNOLOGIA JURÍDICA 
 
 
1. CONCEITOS ESTRUTURANTES 
• Como aponta Nick Srnicek, o capitalismo do século XXI passou a centrar-se na 
extração e no uso de dados pessoais. Ou seja, conforme já foi demonstrado 
anteriormente, estamos vivendo a era da economia orientada a dados. 
• A professora Ana Frazão aponta que: “o Big Data e o Big Analytics permitiram 
que, a partir da coleta e do registro de dados, fossem a eles atribuídas utilizações 
e aplicações que não seriam sequer imagináveis há poucos anos atrás e que, na 
ausência de uma regulação adequada, passaram a ser realizadas sem limites e 
com resultados que podem se projetar para sempre.” 
• Do ponto de vista econômico, dados importam na medida em que podem ser 
convertidos em informações necessárias ou úteis para a atividade econômica. 
• A ausência de uma adequada regulação para o tratamento de dados pessoais, 
conforme apontado acima gerou uma coleta desenfreada e a consequente 
utilização descomedida dos dados de usuários/titulares. Este fato, somado ao 
crescente apetite por mais e mais dados pessoais, gerou o fenômeno conhecido 
como capitalismo de vigilância, onde utiliza-se de toda experiência humana, 
 
 
4 
incluindo vozes, personalidades e emoções, como matéria-prima gratuita para ser 
traduzida em dados comportamentais. 
• A ausência de uma adequada regulação para o tratamento de dados pessoais, 
conforme apontado acima gerou uma coleta desenfreada e a consequente 
utilização descomedida dos dados de usuários/titulares. Este fato, somado ao 
crescente apetite por mais e mais dados pessoais, gerou o fenômeno conhecido 
como capitalismo de vigilância, onde utiliza-se de toda experiência humana, 
incluindo vozes, personalidades e emoções, como matéria-prima gratuita para ser 
traduzida em dados comportamentais. 
• A Professora Ana Frazão aponta ainda que: “é possível verificar que a economia 
movida a dados e o capitalismo de vigilância são as duas faces da mesma moeda 
pois, quanto maior a importância dos dados, mais incentivos haverá para o 
aumento da vigilância e, por conseguinte, maior será a coleta de dados.” 
• E segue afirmando que: “Se os dados são os insumos e os inputs da economia 
digital, os algoritmos são os instrumentos por meio dos quais os dados são 
processados e podem ser revertidos em resultados (outputs) a serem utilizados 
para as mais diversas finalidades.” 
• Algoritmos são indispensáveis para a estruturação completa do capitalismo de 
vigilância. 
• É diante deste cenário que emerge uma crescente percepção de que para muito 
além de um simples problema de privacidade, no sentido de intimidade ou do 
direito de ser deixado só, a proteção de dados revela-se como um verdadeiro 
 
 
5 
fundamento para a preservação da individualidade, da liberdade e da própria 
democracia. 
 
• Nesse contexto, surge a LGPD tendo como seus conceitos estruturantes: 
1) Definição de Dados Pessoais; 
2) Conceitos de Dados Sensíveis e Dados Anonimizados; 
3) Atores de tratamento de dados; 
4) Hipóteses de incidência da lei (aspecto material e territorial); 
5) Exceções de incidência da lei; 
6) Bases Legais (especial atenção para o consentimento); 
7) Grupos especiais de titulares; 
8) Tratamento pelo Poder Público; 
9) Responsabilizações; 
10) Sanções; 
11) Órgãos de Controle. 
 
 
 
6 
 
 
2. BASES LEGAIS DE TRATAMENTO DE DADOS PESSOAIS 
 
 Para que os dados pessoais sejam tratados de forma adequada a LGPD são 
trazidas 10 hipóteses de bases legais que autorizam o tratamento, nos incisos do 
Art. 7º: 
 Mediante o fornecimento do consentimento pelo titular; 
 Para o cumprimento de obrigação legal ou regulatória pelo controlador; 
 Pela Administração Pública para execução de políticas públicas; 
 Realização de estudos por órgão de pesquisa; 
 
 
7 
 Execução de contrato ou de procedimentos preliminares relacionados a 
contrato do qual seja parte o titular; 
 Para o exercício regular de direitos em processo judicial, administrativo 
ou arbitral; 
 Proteção da vida ou da incolumidade física do titular ou de terceiro; 
 Tutela da saúde, em procedimento realizado por profissionais da área da 
saúde ou por entidades sanitárias; 
 Necessário para atender aos interesses legítimos do controlador ou 
terceiro; 
 Para a proteção do crédito. 
 
 
 
 
 
 
 
 
 
 
8 
DEFINIÇÃO DAS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS 
 
 
 
ATENÇÃO 1: O rol do Art. 7º é taxativo e exaustivo! 
ATENÇÃO 2: As bases podem ser cumuladas, mas alterações devem ser analisadas com 
cuidado. 
 
CONSENTIMENTO 
 Especial atenção tem que ser dada para o CONSENTIMENTO, uma vez que este 
valida a própria vontade dos titulares de dados. Não à toa, o consentimento, para 
ser considerado válido, tem requisitos obrigatórios e que precisam ser 
concomitantemente preenchidos: 
 Prévio; 
 Livre; 
 
 
9 
 Informado; 
 Inequívoco; 
 Revogável. 
 
 Sempre vinculado às finalidades!!! 
 Para o Professor Tarcisio Teixeira e Ruth Maria Guerreiro, em seu livro Lei Geral 
de Proteção de Dados Pessoais Comentada artigo por artigo: “ O consentimento 
do titular, mesmo diante de novas possibilidades legais de tratamento, continua 
a ter certa preferência sobre os demais, pois geralmente facilita a obrigação do 
agente de tratamento em demonstrar que o tratamento foi feito dentro de uma 
hipótese legal, ante o princípio da accountability.” 
 O consentimento só serve para o agente que o obteve, não sendo extensivo a 
outras pessoas para que possam realizar qualquer tratamento de dados. 
 Caio Lima na Lei Geral de Proteção de Dados Comentada da Editora RT aponta 
que para aprofundar o conceito é importante observar a Guideline 259/2017 do 
Article 29 (atual European Data Protection Board – EDPB): “endereça 
especificamente duas questões acerca do “desbalanceamento do 
consentimento” (em decorrência da posição hierarquicamente superior do 
controlador de dados pessoais), que pode interferir na obtenção do 
consentimento livre, as quais podem ser observadas, basicamente: i) nas relações 
de emprego; 
 
 
10 
e ii) no tratamento de dados realizado pelo poder público. Nestes dois casos deve-se 
ter bastante atenção, se o consentimento for a base legal utilizada, sendo, inclusive, 
pertinente buscar outras hipóteses para justificar o tratamento de dados (conforme 
descrito nos incisos II a X), a fim de mitigar os riscos relacionados, conforme a seguir 
melhor analisado.” 
• Granularidade – não se pode ter como válido o consentimento manifestado no 
formato “tudo ou nada”. Nas situações em que houver coleta de dados para 
diferentes finalidades, o titular dos dados deve ter a possibilidade de escolher, de 
uma a uma, a finalidade específica em relação a qual autoriza o tratamento de 
dados, sendo inválido se não houver essa opção. 
 
• Art. 8º em seu §1º determina que o consentimento, caso obtido por escrito, deverá 
estar em CLÁUSULA DESTACADA das demais cláusulas contratuais. 
• Já o §2º traz a regra da inversão do ônus da prova, devendo o controlador fazer 
a prova da obtenção do consentimento do titular, na forma da Lei 13.709/18. 
• Ação afirmativa: opt-in e opt-out. 
• Neste sentido, esclarecem os professores Tarcisio Teixeira e Ruth MariaGuerreiro 
da Fonseca em sua obra: “A norma brasileira segue o padrão europeu e argentino 
quanto à necessidade de autorização expressa do usuário para a coleta de dados, 
bem como para o seu uso, armazenamento e tratamento de dados pessoais 
(sistema opt-in). 
 
 
11 
• Ao contrário, os Estados Unidos seguem o sistema opt-out, em que se pode 
utilizar os dados livremente independentemente de prévio consentimento; mas se 
o usuário solicitar a exclusão de seus dados e/ou não envio de mensagens e, 
ainda sim, o remetente insistir, isso é considerado crime”. 
• A regra de informação e transparência deve ser observada sempre que os dados 
forem passados para outras empresas, ainda que dentro do mesmo grupo 
empresarial ou conexas por qualquer meio. O titular tem o direito de saber com 
exatidão todas as empresas que estão tratando os seus dados. 
 É a primeira hipótese de tratamento de dados que o controlador poderá executar 
o tratamento SEM o consentimento do titular (eventual oposição do titular não 
surtirá nenhum efeito legal), mediante o cumprimento de alguma decisão judicial 
ou alguma determinação decorrente de lei. 
 Fundamental frisar, logo de início, que o fato de não necessitar o consentimento 
do titular NÃO desobriga o controlador a cumprir dos princípios que regem o 
tratamento de dados, em especial os da transparência e finalidade, devendo este 
último informar claramente tudo que será executado com os dados daquele 
titular. 
 Na obra Comentários à Lei Geral de Proteção de Dados, coordenada por Bruno 
Feigelson e Antonio Henrique Albani Siqueira, os atores trazem interessante 
hipótese desta base legal: “Outro cenário é a possibilidade do desbloqueio de 
rede social quando a empresa responsável é solicitada pela justiça para prestar 
informações sobre os seus empregados em prol do bem-estar coletivo. 
 
 
12 
Evidenciando-se que empresas prestadoras de serviços e exploradoras do 
mercado nacional devem estar em compliance com a legislação e dispositivos 
normativos brasileiros, de modo a não gerar ambiente inatingível pelo Estado, 
que traga risco à segurança jurídica e prejuízo à estabilidade política, econômica 
e social do país”. 
 
INTERESSES LEGÍTIMOS 
• Embora o legítimo interesse permita o tratamento de dados sem o consentimento 
do titular de dados, é preciso haver cuidado e cautela com a utilização desta base 
legal. Isto porque o legislador optou por não conceituar o que seria interesse 
legítimo deixando um conceito aberto capaz de se amoldar as mais diversas 
hipóteses. 
• Contudo, isto não significa que esta base pode ser utilizada livremente para 
qualquer hipótese. É necessário observar-se os dois requisitos que SEMPRE 
deverão ser respeitados: FINALIDADE LEGÍTIMA, EXISTÊNCIA DE SITUAÇÃO 
CONCRETA e NÃO VIOLAÇÃO DE DIREITOS E LIBERDADES DO TITULAR. 
 
 FINALIDADE LEGÍTIMA – pode ser entendida como aquela que é especificada, 
explicitada, devidamente informada e faz sentido para o titular de dados. 
 EXISTÊNCIA DE SITUAÇÃO CONCRETA – é aquela que decorre, necessária e 
obrigatoriamente, de uma situação real e concreta já existente entre o titular e o 
 
 
13 
controlador. A mera expectativa de que tal vínculo venha a existir não é uma 
situação autorizativa para a utilização desta base legal. 
 Todos os requisitos acima expostos são CUMULATIVOS e devem estar 
NECESSARIAMENTE presentes para utilização da base legal do interesse legítimo. 
 Ambos os requisitos acima expostos são CUMULATIVOS e devem estar 
NECESSARIAMENTE presentes para utilização da base legal do interesse legítimo. 
 
 Esta é a base que melhor pode tutelar os tratamentos de dados que tenham 
ocorrido antes da existência da LGPD, pois, dado o alto grau de subjetivismo, é 
capaz de adequar-se as mais diversas situações pré-existentes que são essenciais 
para o negócio, mas que poderiam se tornar inúteis com a LGPD por não 
encaixarem-se em nenhuma das hipóteses descritas no Art. 7º. 
 O Art. 10 trata especificamente do legítimo interesse, traz duas hipóteses 
exemplificativas e especifica em seus parágrafos que: a) ainda que utilizada esta 
base legal, deverá ser observado o princípio da necessidade; b) também deverá 
ser respeitado o princípio da transparência e c) a ANPD poderá, a qualquer 
momento, solicitar o RIPD quando esta base legal for usada como fundamento 
para o tratamento de dados, ressalvando-se os segredos comerciais e industriais. 
 Conforme já apontado anteriormente, o desafio que maior se impõe é o de saber 
o que poderia ser considerado como legítimo interesse para embasar o 
tratamento de dados pessoais, sem a necessidade de consentimento do titular. 
 
 
14 
Desta forma, como balizadores para tal utilização, além dos critérios já descritos 
deve-se somar uma análise de razoabilidade e proporcionalidade. 
 
 
 
 
 
 
 
 
 
15 
TESTE DE PROPORCIONALIDADE 
 
 
 
 
 
 
 
 
16 
3. O DESAFIO DOS DIREITOS DOS TITULARES DE DADOS 
 
 A LGPD traz em sua razão maior a possibilidade de que os cidadãos possam 
controlar seus dados pessoais nesta era digital, onde, conforme já vimos, a 
sociedade de formata em torno de informação e a economia se alimenta 
ferozmente de dados das pessoas. 
 Nesta ótica o Art. 18 da LGPD são traz os seguintes direitos a todos os titulares 
de dados pessoais: 
 Confirmação de existência de tratamento; 
 Acesso aos dados; 
 Correção de dados incompletos, inexatos ou desatualizados; 
 Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou 
tratados em desconformidade com a lei; 
 Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante 
requisição expressa, de acordo com a regulamentação da autoridade nacional, 
observados os segredos comercial e industrial; 
 Eliminação dos dados pessoais tratados com o consentimento do titular, exceto 
nas hipóteses previstas no art. 16 da Lei; 
 Informação das entidades públicas e privadas com as quais o controlador realizou 
uso compartilhado de dados; 
 
 
17 
 Informação sobre a possibilidade de não fornecer o consentimento e 
consequências da negativa; 
 Revogação do consentimento, nos termos do § 5º do art. 8º da Lei. 
 
4. DADOS PESSOAIS SENSÍVEIS – CUIDADOS E TRATAMENTO 
 
• A LGPD trata de forma especial os chamados dados sensíveis, tanto que reservou 
o Art. 11 para discorrer especificamente sob este tipo de dado pessoal. 
• Os dados pessoais sensíveis demandam maiores cuidados (pois ingressam na 
esfera da intimidade), uma tutela mais apurada e com maior rigor em seu 
tratamento, pois possuem a elevada capacidade de expor seu titular a 
constrangimentos, discriminações e situações complicadas, caso venham a ser 
revelados a terceiros. 
• O rol disposto no Art. 11 quanto as hipóteses de tratamento destes dados é 
taxativo (somente). Trabalha com dois grupos de hipóteses: a) consentimento do 
titular; e b) demais hipóteses em que o interesse do próprio titular ou da 
coletividade autorizam o tratamento de dados sensíveis, independentemente do 
consentimento. 
 
 
18 
• O consentimento para o tratamento de dados sensíveis, além dos clássicos 
requisitos de ser livre, informado e inequívoco, deverá ser também: específico e 
de forma destacada. 
 
 É válido trazer o posicionamento de Isabelle Carneiro e Luiza Caldeira 
na obra Comentários à Lei Geral de Proteção de Dados da Editora 
RT: 
“Primeiramente, é importante ressaltar que o tratamento de dados 
pessoais sensíveis é residual, e, por essa razão, os dados pessoais 
que não se encaixam nesse rol estarão sujeitos à Seção I, do Capítulo 
II, da LGPD, qual seja “Dos Requisitos para o Tratamento de Dados 
Pessoais”. 
A diferenciação no tratamento de dados pessoais sensíveis em 
relação aos dados pessoais não sensíveis torna-se um destaque na 
Lei em comento, isso, porque há uma preocupação especial no que 
diz respeito a assegurar a privacidade,assim como assegurar que tais 
dados não possam ser utilizados contra os titulares, trazendo-lhes 
restrições ao acesso a bens, serviços e ao exercício de direitos”. 
 
 Desta forma fica claro que, sob esse prisma, a menos que seja 
necessário, sujeito a regras rígidas e controle diferenciado dados 
sensíveis NÃO deverão ser solicitados ao titular para tratamento. 
 
 
19 
 De acordo com o Art. 11 são hipóteses permitidas para tratamento 
de dados sensíveis: 
a) quando o titular ou seu responsável legal consentir, de forma 
específica e destacada, para finalidades específicas; 
b) sem fornecimento de consentimento do titular, nas hipóteses 
em que for indispensável para: 
I. cumprimento de obrigação legal ou regulatória pelo 
controlador; 
II. tratamento compartilhado de dados necessários à 
execução, pela administração pública, de políticas 
públicas, previstas em leis ou regulamentos; 
I. realização de estudos por órgão de pesquisa, garantida, 
sempre que possível, a anonimização dos dados 
pessoais sensíveis; 
II. exercício regular de direitos, inclusive em contrato e em 
processo judicial, administrativo e arbitral, este último 
nos termos da Lei 9.307, de 23 de setembro de 1996 
(Lei de Arbitragem); 
III. Proteção da vida ou da incolumidade física do titular 
ou de terceiro; 
 
 
20 
IV. Tutela da saúde, em procedimento realizado por 
profissionais da área da saúde ou por entidades 
sanitárias; ou 
V. GARANTIA DA PREVENÇÃO À FRAUDE E À SEGURANÇA 
DO TITULAR, NOS PROCESSOS DE IDENTIFICAÇÃO E 
AUTENTICAÇÃO DE CADASTRO EM SISTEMAS 
ELETRÔNICOS, REGUARDADOS OS DIREITOS 
MENCIONADOS NO ART. 9º DESTA LEI E EXCETO NO 
CASO DE PRAVALECEREM DIREITOS E LIBERDADES 
FUNDAMENTAIS DO TITULAR QUE EXIJAM A 
PROTEÇÃO DOS DADOS PESSOAIS 
 
 Entre estas hipóteses há uma diferença grande, uma vez que a 
primeira alcança direitos de terceiros e a segunda foca no titular. 
 O próprio texto da lei restringe o processo de identificação e 
autenticação a meios eletrônicos. Contudo, entendo que, apesar do 
legislador ter objetivado meios virtuais, deve ser entendido em 
espectro mais amplo como quaisquer meios que utilizem sistemas 
eletrônicos para coleta de dados, independentemente de ser virtual 
ou físico. 
 
 
 
 
21 
5. PREVENÇÃO E SANÇÕES 
 
• A não observância de todos os princípios e requisitos trazidos na LGPD, 
descumprimento dos direitos dos titulares, não adequação dos tratamentos 
realizados as bases legais e desvios de finalidade no tratamento, ocasionarão 
sanções de ordem administrativa. 
• Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às 
normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas 
aplicáveis pela autoridade nacional: 
 Advertência, com indicação de prazo para adoção de medidas corretivas; 
 Multa simples, de até 2% (dois por cento) do faturamento da pessoa 
jurídica de direito privado, grupo ou conglomerado no Brasil no seu último 
exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 
(cinquenta milhões de reais) por infração; 
 Multa diária, observado o limite total a que se refere o inciso II; 
 Publicização da infração, após devidamente apurada e confirmada a sua 
ocorrência; 
 Bloqueio dos dados pessoais a que se refere a infração até a sua 
regularização; 
 Eliminação dos dados pessoais a que se refere a infração; 
 
 
22 
 Suspensão parcial do funcionamento do banco de dados a que se refere 
a infração pelo período máximo de 6 (seis) meses, prorrogável por igual 
período, até a regularização da atividade de tratamento do controlador; 
 Suspensão do exercício da atividade de tratamento dos dados pessoais 
a que se refere a infração pelo período máximo de 6 (seis) meses, 
prorrogável por igual período; 
 Proibição parcial ou total do exercício de atividades relacionadas a 
tratamento de dados. 
 
 Questão que merece reflexão é a atinente ao disposto no Art. 3º da LGPD, onde 
aponta que a lei se aplica a qualquer operação de tratamento de dados realizada 
por PESSOA NATURAL ou pessoa jurídica. Contudo, no art. 52, a penalidade de 
multa aponta como base de cálculo o FATURAMENTO da pessoa jurídica de direito 
privado, grupo ou conglomerado, não mencionando pessoas físicas. 
 Neste sentido vale trazer as excelentes ponderações de Fabrício da Mota Alves, 
na LGPD Comentada da RT: “É preciso, antes de responder a tais questionamentos, 
ponderar a natureza do direito sancionatório. Já é assentado na doutrina sua 
convergência semântica com o Direito Penal, tendo em vista seu propósito 
punitivo. Dessa forma, alargada é a jurisprudência quanto à aplicação de preceitos 
e princípios próprios do Direito Penal nessa seara, ainda que administrativa, em 
especial os princípios da taxatividade e da legalidade. Mais ainda quando esse 
recurso hermenêutico é utilizado em prejuízo do autor da infração. 
 
 
23 
Ora, na questão em apreço, está claro que o legislador objetivou estabelecer 
punibilidade pecuniária a todos os destinatários da LGPD. 
 
Questão, porém, de difícil solução, é a fixação da base de cálculo. Uma proposta, aqui 
formulada, considerando a autorização doutrinária e jurisprudencial ao manejo da 
interpretação extensiva, seria, ainda, o uso do mesmo recurso, para se compreender o 
cálculo da multa sobre a receita auferida pela pessoa natural, em decorrência da 
atividade de tratamento de dados pessoais.” 
 
§ 1º As sanções serão aplicadas após procedimento administrativo 
que possibilite a oportunidade da ampla defesa, de forma gradativa, 
isolada ou cumulativa, de acordo com as peculiaridades do caso 
concreto e considerados os seguintes parâmetros e critérios: 
I - a gravidade e a natureza das infrações e dos direitos pessoais 
afetados; 
II - a boa-fé do infrator; 
III - a vantagem auferida ou pretendida pelo infrator; 
IV - a condição econômica do infrator; 
V - a reincidência; 
VI - o grau do dano; 
 
 
24 
VII - a cooperação do infrator; 
VIII - a adoção reiterada e demonstrada de mecanismos e 
procedimentos internos capazes de minimizar o dano, voltados ao 
tratamento seguro e adequado de dados, em consonância com o 
disposto no inciso II do § 2º do art. 48 desta Lei; 
IX - a adoção de política de boas práticas e governança; 
X - a pronta adoção de medidas corretivas; e 
XI - a proporcionalidade entre a gravidade da falta e a intensidade 
da sanção. 
 
 
 
 
 
 
25