Prévia do material em texto
2 SUMÁRIO Conceitos Estruturantes da Proteção de Dados Pessoais.....................................................3 Bases Legais de Tratamento de Dados Pessoais.......................................................................6 O Desafio dos Direitos dos Titulares de Dados......................................................................16 Dados Pessoais Sensíveis – Cuidados e Tratamento............................................................17 Prevenção e Sanções.........................................................................................................................21 DIREITO DIGITAL E TECNOLOGIA JURÍDICA 1. CONCEITOS ESTRUTURANTES • Como aponta Nick Srnicek, o capitalismo do século XXI passou a centrar-se na extração e no uso de dados pessoais. Ou seja, conforme já foi demonstrado anteriormente, estamos vivendo a era da economia orientada a dados. • A professora Ana Frazão aponta que: “o Big Data e o Big Analytics permitiram que, a partir da coleta e do registro de dados, fossem a eles atribuídas utilizações e aplicações que não seriam sequer imagináveis há poucos anos atrás e que, na ausência de uma regulação adequada, passaram a ser realizadas sem limites e com resultados que podem se projetar para sempre.” • Do ponto de vista econômico, dados importam na medida em que podem ser convertidos em informações necessárias ou úteis para a atividade econômica. • A ausência de uma adequada regulação para o tratamento de dados pessoais, conforme apontado acima gerou uma coleta desenfreada e a consequente utilização descomedida dos dados de usuários/titulares. Este fato, somado ao crescente apetite por mais e mais dados pessoais, gerou o fenômeno conhecido como capitalismo de vigilância, onde utiliza-se de toda experiência humana, 4 incluindo vozes, personalidades e emoções, como matéria-prima gratuita para ser traduzida em dados comportamentais. • A ausência de uma adequada regulação para o tratamento de dados pessoais, conforme apontado acima gerou uma coleta desenfreada e a consequente utilização descomedida dos dados de usuários/titulares. Este fato, somado ao crescente apetite por mais e mais dados pessoais, gerou o fenômeno conhecido como capitalismo de vigilância, onde utiliza-se de toda experiência humana, incluindo vozes, personalidades e emoções, como matéria-prima gratuita para ser traduzida em dados comportamentais. • A Professora Ana Frazão aponta ainda que: “é possível verificar que a economia movida a dados e o capitalismo de vigilância são as duas faces da mesma moeda pois, quanto maior a importância dos dados, mais incentivos haverá para o aumento da vigilância e, por conseguinte, maior será a coleta de dados.” • E segue afirmando que: “Se os dados são os insumos e os inputs da economia digital, os algoritmos são os instrumentos por meio dos quais os dados são processados e podem ser revertidos em resultados (outputs) a serem utilizados para as mais diversas finalidades.” • Algoritmos são indispensáveis para a estruturação completa do capitalismo de vigilância. • É diante deste cenário que emerge uma crescente percepção de que para muito além de um simples problema de privacidade, no sentido de intimidade ou do direito de ser deixado só, a proteção de dados revela-se como um verdadeiro 5 fundamento para a preservação da individualidade, da liberdade e da própria democracia. • Nesse contexto, surge a LGPD tendo como seus conceitos estruturantes: 1) Definição de Dados Pessoais; 2) Conceitos de Dados Sensíveis e Dados Anonimizados; 3) Atores de tratamento de dados; 4) Hipóteses de incidência da lei (aspecto material e territorial); 5) Exceções de incidência da lei; 6) Bases Legais (especial atenção para o consentimento); 7) Grupos especiais de titulares; 8) Tratamento pelo Poder Público; 9) Responsabilizações; 10) Sanções; 11) Órgãos de Controle. 6 2. BASES LEGAIS DE TRATAMENTO DE DADOS PESSOAIS Para que os dados pessoais sejam tratados de forma adequada a LGPD são trazidas 10 hipóteses de bases legais que autorizam o tratamento, nos incisos do Art. 7º: Mediante o fornecimento do consentimento pelo titular; Para o cumprimento de obrigação legal ou regulatória pelo controlador; Pela Administração Pública para execução de políticas públicas; Realização de estudos por órgão de pesquisa; 7 Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; Para o exercício regular de direitos em processo judicial, administrativo ou arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; Necessário para atender aos interesses legítimos do controlador ou terceiro; Para a proteção do crédito. 8 DEFINIÇÃO DAS BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS ATENÇÃO 1: O rol do Art. 7º é taxativo e exaustivo! ATENÇÃO 2: As bases podem ser cumuladas, mas alterações devem ser analisadas com cuidado. CONSENTIMENTO Especial atenção tem que ser dada para o CONSENTIMENTO, uma vez que este valida a própria vontade dos titulares de dados. Não à toa, o consentimento, para ser considerado válido, tem requisitos obrigatórios e que precisam ser concomitantemente preenchidos: Prévio; Livre; 9 Informado; Inequívoco; Revogável. Sempre vinculado às finalidades!!! Para o Professor Tarcisio Teixeira e Ruth Maria Guerreiro, em seu livro Lei Geral de Proteção de Dados Pessoais Comentada artigo por artigo: “ O consentimento do titular, mesmo diante de novas possibilidades legais de tratamento, continua a ter certa preferência sobre os demais, pois geralmente facilita a obrigação do agente de tratamento em demonstrar que o tratamento foi feito dentro de uma hipótese legal, ante o princípio da accountability.” O consentimento só serve para o agente que o obteve, não sendo extensivo a outras pessoas para que possam realizar qualquer tratamento de dados. Caio Lima na Lei Geral de Proteção de Dados Comentada da Editora RT aponta que para aprofundar o conceito é importante observar a Guideline 259/2017 do Article 29 (atual European Data Protection Board – EDPB): “endereça especificamente duas questões acerca do “desbalanceamento do consentimento” (em decorrência da posição hierarquicamente superior do controlador de dados pessoais), que pode interferir na obtenção do consentimento livre, as quais podem ser observadas, basicamente: i) nas relações de emprego; 10 e ii) no tratamento de dados realizado pelo poder público. Nestes dois casos deve-se ter bastante atenção, se o consentimento for a base legal utilizada, sendo, inclusive, pertinente buscar outras hipóteses para justificar o tratamento de dados (conforme descrito nos incisos II a X), a fim de mitigar os riscos relacionados, conforme a seguir melhor analisado.” • Granularidade – não se pode ter como válido o consentimento manifestado no formato “tudo ou nada”. Nas situações em que houver coleta de dados para diferentes finalidades, o titular dos dados deve ter a possibilidade de escolher, de uma a uma, a finalidade específica em relação a qual autoriza o tratamento de dados, sendo inválido se não houver essa opção. • Art. 8º em seu §1º determina que o consentimento, caso obtido por escrito, deverá estar em CLÁUSULA DESTACADA das demais cláusulas contratuais. • Já o §2º traz a regra da inversão do ônus da prova, devendo o controlador fazer a prova da obtenção do consentimento do titular, na forma da Lei 13.709/18. • Ação afirmativa: opt-in e opt-out. • Neste sentido, esclarecem os professores Tarcisio Teixeira e Ruth MariaGuerreiro da Fonseca em sua obra: “A norma brasileira segue o padrão europeu e argentino quanto à necessidade de autorização expressa do usuário para a coleta de dados, bem como para o seu uso, armazenamento e tratamento de dados pessoais (sistema opt-in). 11 • Ao contrário, os Estados Unidos seguem o sistema opt-out, em que se pode utilizar os dados livremente independentemente de prévio consentimento; mas se o usuário solicitar a exclusão de seus dados e/ou não envio de mensagens e, ainda sim, o remetente insistir, isso é considerado crime”. • A regra de informação e transparência deve ser observada sempre que os dados forem passados para outras empresas, ainda que dentro do mesmo grupo empresarial ou conexas por qualquer meio. O titular tem o direito de saber com exatidão todas as empresas que estão tratando os seus dados. É a primeira hipótese de tratamento de dados que o controlador poderá executar o tratamento SEM o consentimento do titular (eventual oposição do titular não surtirá nenhum efeito legal), mediante o cumprimento de alguma decisão judicial ou alguma determinação decorrente de lei. Fundamental frisar, logo de início, que o fato de não necessitar o consentimento do titular NÃO desobriga o controlador a cumprir dos princípios que regem o tratamento de dados, em especial os da transparência e finalidade, devendo este último informar claramente tudo que será executado com os dados daquele titular. Na obra Comentários à Lei Geral de Proteção de Dados, coordenada por Bruno Feigelson e Antonio Henrique Albani Siqueira, os atores trazem interessante hipótese desta base legal: “Outro cenário é a possibilidade do desbloqueio de rede social quando a empresa responsável é solicitada pela justiça para prestar informações sobre os seus empregados em prol do bem-estar coletivo. 12 Evidenciando-se que empresas prestadoras de serviços e exploradoras do mercado nacional devem estar em compliance com a legislação e dispositivos normativos brasileiros, de modo a não gerar ambiente inatingível pelo Estado, que traga risco à segurança jurídica e prejuízo à estabilidade política, econômica e social do país”. INTERESSES LEGÍTIMOS • Embora o legítimo interesse permita o tratamento de dados sem o consentimento do titular de dados, é preciso haver cuidado e cautela com a utilização desta base legal. Isto porque o legislador optou por não conceituar o que seria interesse legítimo deixando um conceito aberto capaz de se amoldar as mais diversas hipóteses. • Contudo, isto não significa que esta base pode ser utilizada livremente para qualquer hipótese. É necessário observar-se os dois requisitos que SEMPRE deverão ser respeitados: FINALIDADE LEGÍTIMA, EXISTÊNCIA DE SITUAÇÃO CONCRETA e NÃO VIOLAÇÃO DE DIREITOS E LIBERDADES DO TITULAR. FINALIDADE LEGÍTIMA – pode ser entendida como aquela que é especificada, explicitada, devidamente informada e faz sentido para o titular de dados. EXISTÊNCIA DE SITUAÇÃO CONCRETA – é aquela que decorre, necessária e obrigatoriamente, de uma situação real e concreta já existente entre o titular e o 13 controlador. A mera expectativa de que tal vínculo venha a existir não é uma situação autorizativa para a utilização desta base legal. Todos os requisitos acima expostos são CUMULATIVOS e devem estar NECESSARIAMENTE presentes para utilização da base legal do interesse legítimo. Ambos os requisitos acima expostos são CUMULATIVOS e devem estar NECESSARIAMENTE presentes para utilização da base legal do interesse legítimo. Esta é a base que melhor pode tutelar os tratamentos de dados que tenham ocorrido antes da existência da LGPD, pois, dado o alto grau de subjetivismo, é capaz de adequar-se as mais diversas situações pré-existentes que são essenciais para o negócio, mas que poderiam se tornar inúteis com a LGPD por não encaixarem-se em nenhuma das hipóteses descritas no Art. 7º. O Art. 10 trata especificamente do legítimo interesse, traz duas hipóteses exemplificativas e especifica em seus parágrafos que: a) ainda que utilizada esta base legal, deverá ser observado o princípio da necessidade; b) também deverá ser respeitado o princípio da transparência e c) a ANPD poderá, a qualquer momento, solicitar o RIPD quando esta base legal for usada como fundamento para o tratamento de dados, ressalvando-se os segredos comerciais e industriais. Conforme já apontado anteriormente, o desafio que maior se impõe é o de saber o que poderia ser considerado como legítimo interesse para embasar o tratamento de dados pessoais, sem a necessidade de consentimento do titular. 14 Desta forma, como balizadores para tal utilização, além dos critérios já descritos deve-se somar uma análise de razoabilidade e proporcionalidade. 15 TESTE DE PROPORCIONALIDADE 16 3. O DESAFIO DOS DIREITOS DOS TITULARES DE DADOS A LGPD traz em sua razão maior a possibilidade de que os cidadãos possam controlar seus dados pessoais nesta era digital, onde, conforme já vimos, a sociedade de formata em torno de informação e a economia se alimenta ferozmente de dados das pessoas. Nesta ótica o Art. 18 da LGPD são traz os seguintes direitos a todos os titulares de dados pessoais: Confirmação de existência de tratamento; Acesso aos dados; Correção de dados incompletos, inexatos ou desatualizados; Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei; Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 17 Informação sobre a possibilidade de não fornecer o consentimento e consequências da negativa; Revogação do consentimento, nos termos do § 5º do art. 8º da Lei. 4. DADOS PESSOAIS SENSÍVEIS – CUIDADOS E TRATAMENTO • A LGPD trata de forma especial os chamados dados sensíveis, tanto que reservou o Art. 11 para discorrer especificamente sob este tipo de dado pessoal. • Os dados pessoais sensíveis demandam maiores cuidados (pois ingressam na esfera da intimidade), uma tutela mais apurada e com maior rigor em seu tratamento, pois possuem a elevada capacidade de expor seu titular a constrangimentos, discriminações e situações complicadas, caso venham a ser revelados a terceiros. • O rol disposto no Art. 11 quanto as hipóteses de tratamento destes dados é taxativo (somente). Trabalha com dois grupos de hipóteses: a) consentimento do titular; e b) demais hipóteses em que o interesse do próprio titular ou da coletividade autorizam o tratamento de dados sensíveis, independentemente do consentimento. 18 • O consentimento para o tratamento de dados sensíveis, além dos clássicos requisitos de ser livre, informado e inequívoco, deverá ser também: específico e de forma destacada. É válido trazer o posicionamento de Isabelle Carneiro e Luiza Caldeira na obra Comentários à Lei Geral de Proteção de Dados da Editora RT: “Primeiramente, é importante ressaltar que o tratamento de dados pessoais sensíveis é residual, e, por essa razão, os dados pessoais que não se encaixam nesse rol estarão sujeitos à Seção I, do Capítulo II, da LGPD, qual seja “Dos Requisitos para o Tratamento de Dados Pessoais”. A diferenciação no tratamento de dados pessoais sensíveis em relação aos dados pessoais não sensíveis torna-se um destaque na Lei em comento, isso, porque há uma preocupação especial no que diz respeito a assegurar a privacidade,assim como assegurar que tais dados não possam ser utilizados contra os titulares, trazendo-lhes restrições ao acesso a bens, serviços e ao exercício de direitos”. Desta forma fica claro que, sob esse prisma, a menos que seja necessário, sujeito a regras rígidas e controle diferenciado dados sensíveis NÃO deverão ser solicitados ao titular para tratamento. 19 De acordo com o Art. 11 são hipóteses permitidas para tratamento de dados sensíveis: a) quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; b) sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: I. cumprimento de obrigação legal ou regulatória pelo controlador; II. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas, previstas em leis ou regulamentos; I. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; II. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); III. Proteção da vida ou da incolumidade física do titular ou de terceiro; 20 IV. Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou V. GARANTIA DA PREVENÇÃO À FRAUDE E À SEGURANÇA DO TITULAR, NOS PROCESSOS DE IDENTIFICAÇÃO E AUTENTICAÇÃO DE CADASTRO EM SISTEMAS ELETRÔNICOS, REGUARDADOS OS DIREITOS MENCIONADOS NO ART. 9º DESTA LEI E EXCETO NO CASO DE PRAVALECEREM DIREITOS E LIBERDADES FUNDAMENTAIS DO TITULAR QUE EXIJAM A PROTEÇÃO DOS DADOS PESSOAIS Entre estas hipóteses há uma diferença grande, uma vez que a primeira alcança direitos de terceiros e a segunda foca no titular. O próprio texto da lei restringe o processo de identificação e autenticação a meios eletrônicos. Contudo, entendo que, apesar do legislador ter objetivado meios virtuais, deve ser entendido em espectro mais amplo como quaisquer meios que utilizem sistemas eletrônicos para coleta de dados, independentemente de ser virtual ou físico. 21 5. PREVENÇÃO E SANÇÕES • A não observância de todos os princípios e requisitos trazidos na LGPD, descumprimento dos direitos dos titulares, não adequação dos tratamentos realizados as bases legais e desvios de finalidade no tratamento, ocasionarão sanções de ordem administrativa. • Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: Advertência, com indicação de prazo para adoção de medidas corretivas; Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; Multa diária, observado o limite total a que se refere o inciso II; Publicização da infração, após devidamente apurada e confirmada a sua ocorrência; Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; Eliminação dos dados pessoais a que se refere a infração; 22 Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento do controlador; Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Questão que merece reflexão é a atinente ao disposto no Art. 3º da LGPD, onde aponta que a lei se aplica a qualquer operação de tratamento de dados realizada por PESSOA NATURAL ou pessoa jurídica. Contudo, no art. 52, a penalidade de multa aponta como base de cálculo o FATURAMENTO da pessoa jurídica de direito privado, grupo ou conglomerado, não mencionando pessoas físicas. Neste sentido vale trazer as excelentes ponderações de Fabrício da Mota Alves, na LGPD Comentada da RT: “É preciso, antes de responder a tais questionamentos, ponderar a natureza do direito sancionatório. Já é assentado na doutrina sua convergência semântica com o Direito Penal, tendo em vista seu propósito punitivo. Dessa forma, alargada é a jurisprudência quanto à aplicação de preceitos e princípios próprios do Direito Penal nessa seara, ainda que administrativa, em especial os princípios da taxatividade e da legalidade. Mais ainda quando esse recurso hermenêutico é utilizado em prejuízo do autor da infração. 23 Ora, na questão em apreço, está claro que o legislador objetivou estabelecer punibilidade pecuniária a todos os destinatários da LGPD. Questão, porém, de difícil solução, é a fixação da base de cálculo. Uma proposta, aqui formulada, considerando a autorização doutrinária e jurisprudencial ao manejo da interpretação extensiva, seria, ainda, o uso do mesmo recurso, para se compreender o cálculo da multa sobre a receita auferida pela pessoa natural, em decorrência da atividade de tratamento de dados pessoais.” § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; II - a boa-fé do infrator; III - a vantagem auferida ou pretendida pelo infrator; IV - a condição econômica do infrator; V - a reincidência; VI - o grau do dano; 24 VII - a cooperação do infrator; VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; IX - a adoção de política de boas práticas e governança; X - a pronta adoção de medidas corretivas; e XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção. 25