Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE LUTERANA DO BRASIL – ULBRA CURSO DE DIREITO ERICK DA SILVA GARCIA TAVARES TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS PELA LEI Nº 13.709/18: EVOLUÇÃO DA TUTELA DA PRIVACIDADE E O PAPEL DO CONSENTIMENTO Guaíba 2020/2 PARECER DE ADMISSIBILIDADE O (A) acadêmico (a) ERICK DA SILVA GARCIA TAVARES apresenta o Trabalho de Conclusão de Curso sobre o tema: “Tratamento e proteção de dados pessoais pela lei nº 13.709/18: Evolução da tutela da privacidade e o papel do consentimento”. Analisamos e discutimos juntamente o trabalho elaborado, o mesmo encontra-se em conformidade com as normas e diretrizes do regulamento que o disciplina. Assim, o acadêmico preencheu com satisfação todos os requisitos de admissibilidade do presente trabalho, tendo condições de apresentá-lo perante a Banca Examinadora. Guaíba, de novembro de 2020. Professora Rosângela Dall’Acqua Orientadora TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS PELA LEI Nº 13.709/18: EVOLUÇÃO DA TUTELA DA PRIVACIDADE E O PAPEL DO CONSENTIMENTO Erick da Silva Garcia Tavares1 Rosângela Dall’Acqua2 RESUMO: O presente artigo tem como objeto de estudo a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18) e aborda aspectos históricos e jurídicos que culminaram nesta lei. A intenção é a de apresentar um breve panorama da privacidade, que nada mais é do que o direito cuja proteção de dados pessoais é resultado. O estudo parte da mudança de paradigma ocasionado pela sociedade da informação, um fenômeno social que surge a partir da evolução das tecnologias da informação. No decorrer do texto é trazida uma reflexão sobre a crescente importância da privacidade no meio social e jurídico. Então é apresentado o contexto de surgimento da Lei Geral de Proteção de Dados no Brasil, discorrendo-se no tópico, também, sobre o cenário americano e principalmente o europeu, que inspirou a legislação brasileira. Após, realiza-se uma análise estrutural e principiológica da lei, destacando-se os requisitos para o tratamento de dados e os direitos do titular. Ao final, é feita uma abordagem sobre a relevância e o papel do consentimento do titular no âmbito da lei. Palavras-chave: Sociedade da Informação – Privacidade – Dados Pessoais – LGPD – Consentimento ABSTRACT: The present article has as object of study the General Law of Protection of Personal Data (Law nº 13.709 / 18) and addresses historical and legal aspects that culminated in this law. The intention is to present a brief overview of privacy, which is nothing more than the right whose protection of personal data is the result. The study starts from the paradigm shift caused by the information society, a social phenomenon that arises from the evolution of information technologies. Throughout the text, a reflection is brought about the growing importance of privacy in the social and legal environment. Then, the context of the emergence of the General Data Protection Law in Brazil is presented, discussing the topic, also, about the American scenario and mainly the European scenario, which inspired Brazilian legislation. Then, a structural and principiological analysis of the law is carried out, highlighting the requirements for data processing and the rights of the holder. At the end, an approach is made about the relevance and the role of the consent of the holder in the scope of the law. Keywords: Information Society - Privacy - Personal Data - LGPD - Consent 1 Estudante do curso de Direito da Universidade Luterana do Brasil – ULBRA 2 Mestre em Educação Superior Internacional pela Universidade Tecnológica Nacional – UTN de Buenos Aires – Argentina, Especialista em Direito Penal e Processual Penal, Professora de Direito do Consumidor e Direito Penal da Universidade Luterana do Brasil – ULBRA, Professora Coordenadora do Projeto Balcão do Consumidor ULBRA/Guaíba. 4 SUMÁRIO: Introdução 1. Evolução do cenário da proteção de dados no Brasil e no mundo. 1.1. A sociedade da informação. 1.2. A importância da privacidade e da proteção de dados. 1.3. Contexto de surgimento da Lei nº 13.709/18. 2. Análise da Lei Geral de Proteção de Dados (Lei nº 13.709/18). 2.1. Fundamentos e princípios. 2.2. Requisitos para o tratamento de dados. 2.3. Dos direitos do titular. 3. Tratamento de dados pessoais e o papel do consentimento do titular. Considerações finais. Referências. INTRODUÇÃO Em meados do ano de 2018, mais precisamente em 14 de agosto, foi aprovada a Lei nº 13.709/2018, que dispõe sobre a proteção de dados pessoais e traz outras providências no ordenamento jurídico brasileiro. Uma lei que marca um novo momento para o Brasil e o insere no rol de países que acompanha a tendência da normatização da matéria relativa ao tratamento de dados pessoais. Se trata de um importante instrumento jurídico que é resultado de uma era da informação, ou melhor traduzindo, de uma sociedade que tem como uma das bases de suas relações a tecnologia. Modelos de negócios estão baseados no fluxo dessas informações, que são fornecidas sem uma correta compreensão dos consumidores, o que acaba culminando em políticas de privacidade de empresas e órgãos controladores muitas vezes insuficientes e genéricas. Um ordenamento jurídico protetivo em relação ao titular dessas informações visa restabelecer a autodeterminação informativa e o controle do fluxo de dados, sendo a análise dos principais aspectos envolvidos nessa pretensa solução normativa que é a LGPD que me proponho a realizar. Certamente a lei não traz soluções definitivas e incontestáveis para problemas como o uso e compartilhamento indevido de dados pessoais, ou o problema da falta de interpretação e racionalidade na tomada de decisão dos consumidores ao fornecerem seus dados para as empresas, algumas pouco comprometidas com a segurança da informação, mas ao certo aponta incisivamente para os meios de evitar esses problemas. No decorrer deste trabalho será possível verificar aspectos históricos relativos à privacidade que motivaram a criação da lei, assim como as legislações que a antecederam. Apresenta-se a LGPD em seus diversos aspectos, tais como em suas 5 disposições preliminares, que trazem fundamentos, princípios e, também, conceitos, inseridos no próprio corpo da lei por serem considerados importantes para uma melhor compreensão do tema. Em seguida, apresentam-se os requisitos para o tratamento de dados pessoais e os direitos do titular. O primeiro dos requisitos – consentimento, talvez o mais importante, é o que ganha maior destaque neste trabalho, tendo em vista as possíveis controvérsias identificadas na sua implementação. Por isso é que me dedico a discorrer brevemente sobre sua evolução e sobre suas diferentes definições, que a depender do contexto que o envolve pode representar desde o nível mais básico de controle do fluxo dos dados até o nível em que o titular possui plena participação no processo de tratamento de dados. 1. EVOLUÇÃO DO CENÁRIO DA PROTEÇÃO DE DADOS NO BRASIL E NO MUNDO A sociedade vive em constantes avanços tecnológicos nos últimos tempos e esta evolução causou um aumento significativo no fluxo de informações em todas as relações. A partir da segunda metade do século XX o mundo passou a viver uma era de inovações que transformou as rotinas sociais. A velocidade do compartilhamento de informações se tornou quase instantânea e, dentro deste universo, os dados aos poucos passaram a ser considerados mais do que mera informação. A coleta e utilização indiscriminada de dados por empresas e pelo setor público, para os mais diversos fins, se tornou uma questão pertinente, o que deu espaço para que a tutela da proteção de dados entrasse em pauta em muitos países para garantir a proteção da privacidade e resguardar os direitos dapersonalidade dos usuários em geral. O Brasil, por sua vez, apesar de suas dimensões continentais e relevância mundial, só começou a desenvolver um diálogo mais sólido acerca da proteção de dados mais recentemente, o que veio a ser impulsionado pela aprovação e entrada em vigor da GDPR na Europa, em maio de 2018. A General Data Protection Regulation é atualmente o regulamento mais abrangente sobre a forma de tratamento de dados pessoais e é referência no assunto. Toda essa transformação a nível mundial se deve, primordialmente, ao avanço das tecnologias da informação, que acarretou em um fenômeno social denominado sociedade da informação, ou apenas sociedade informacional. 6 1.1. A sociedade da informação O fenômeno social ocasionado pela evolução substancial das tecnologias da informação denominado sociedade da informação deve ser entendido como uma era em que as interações sociais se baseiam na tecnologia. A mudança de paradigma se deve a inúmeros fatores, mas Manuel Castells3 destaca a evolução da engenharia do macro para o microssistema com a criação de microprocessadores, a criação da internet e a difusão em massa da computação e as tecnologias de rede como telefones e celulares como fatores chave neste processo. A mudança gradual no comportamento e nas rotinas da sociedade global, percebida a partir do final do século XX, pode ser atribuída, segundo Castells4, à revolução das tecnologias da informação. Por tecnologia da informação, explica este autor, entende-se “o conjunto convergente de tecnologias em microeletrônica, computação (software e hardware), telecomunicações/radiodifusão, e optoeletrônica”. O conhecimento produzido através das tecnologias cria novos meios de produção do conhecimento, alimentando um ciclo que abre possibilidades para o desenvolvimento de sistemas que até então não poderiam existir. No decorrer das leituras realizadas durante este trabalho de pesquisa e pelo conhecimento empírico adquirido durante os anos, pude notar que a tecnologia da informação, atualmente, se desenvolveu a ponto de estar inserida em todos os segmentos sociais. O mercado de consumo, por exemplo, se tornou tão abrangente e evoluído tecnologicamente que alcança desde as tarefas mais básicas do cotidiano, como a possibilidade de ordenar a realização de tarefas domésticas através de robôs assistentes pessoais domésticos5, até a possibilidade de condução remota de veículos à distância em tempo real, possível através da rede móvel 5G6, tecnologia ainda em fase de implementação no mundo, mas que revela potencial para uma nova revolução através da internet das coisas. 3 CASTELLS, Manuel. A sociedade em rede. v. 1. São Paulo: Paz e Terra, 1999, p. 76. 4 Ibidem, p. 67. 5 https://g1.globo.com/economia/tecnologia/ces/2020/noticia/2020/01/07/samsung-apresenta-ballie- robo-assistente-para-casas-conectadas.ghtml 6 https://www.otempo.com.br/super-motor/homem-dirige-carro-a-distancia-via-conexao-5g-de-internet- confira-o-video-1.2239363 7 A criação deste mercado de consumo ocorreu gradativamente e podemos dizer que os produtos e serviços hoje disponibilizados são, em parte, fruto da análise de dados relacionados aos hábitos de consumo e demandas dos consumidores pelas empresas. O setor público, da mesma maneira, se vale das tecnologias para aprimorar os instrumentos de controle e fiscalização através de sistemas automatizados. Toda a sociedade vive conectada. No início deste processo de difusão de tecnologias, no entanto, o controle de informações não era algo tão disponível como nos dias atuais. Não havia técnica suficiente nem sistemas de armazenamento com altas capacidades e ferramentas. Assim, o domínio e utilização das informações era muito mais restrito, sendo um negócio demasiadamente custoso até para grandes empresas, razão pela qual seu manejo perpetuou inicialmente as esferas públicas, como instrumento de controle e fiscalização dos sujeitos na sociedade7. Conforme a modernização das tecnologias da informação foi alcançando novos patamares e a sociedade foi aderindo a este novo ambiente, as informações passaram a integrar uma posição estratégica também nos negócios privados. Isso porque a informação na era da tecnologia é sinônimo de poder. Um poder que serve como instrumento de controle fiscal e social e que pode ser utilizado para elaboração de políticas públicas, por exemplo. Ou, ainda, um poder que representa um ativo valioso para o desenvolvimento de produtos, serviços, marketing e publicidade. Nesse viés, um problema surge: existe uma forma ética de se utilizar esses dados? Sobre o tema, a autora Joseane Suzart Lopes da Silva8 sustenta que a formação de perfis de consumidores sem consentimento dos titulares dessas informações é um problema existente desde a criação dos “cookies”, em 1994, um pequeno pacote de dados contendo informações que identificam o dispositivo do usuário ao acessar determinado site. Este é apenas um exemplo, mas outros problemas tais como o compartilhamento e exposição indevida de dados assolam uma sociedade que atualmente se tornou dependente das tecnologias da informação e principalmente da computação. Quais as possibilidades de sermos vítimas das 7 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 1 ed. São Paulo: Thomson Reuters Brasil, 2019, p. RB-1.1 8 SILVA, Joseane Suzart Lopes. A proteção de dados pessoais dos consumidores e a Lei 13.709/2018: em busca da efetividade dos direitos à privacidade, intimidade e autodeterminação. Revista de Direito do Consumidor, Rio de Janeiro. v. 121/2019, jan - fev. 2019, p. 369. 8 informações fornecidas por nós mesmos a empresas e ao poder público e como poderemos combater esta situação? Destas questões parte a importância de entendermos o papel da privacidade, da autodeterminação informacional e da proteção de dados. 1.2. A importância da privacidade e da proteção de dados Diversos autores estudados que tratam sobre a privacidade citam a obra lançada pelos autores Samuel Warren e Louis Brandeis, intitulada “The right of privacy”, como um dos maiores referenciais sobre o tema9. O trabalho foi lançado em 1890 e foi o precursor no debate jurídico sobre o assunto, vindo a desenvolver a ideia de privacidade como “o direito de estar só”, uma percepção certamente individualista. Na época, a questão começou a ser tratada em decorrência do surgimento das fotografias instantâneas e da invasão jornalística à vida privada10, inclusive pela constante intromissão na vida pessoal do próprio Warren. Mais do que um direito concebido para o fim de resguardar a propriedade privada, a privacidade visava proteger a personalidade do indivíduo e a sua opção por não compartilhar alguns aspectos da sua vida com outros indivíduos. Esta concepção histórica é também citada por Danilo Doneda ao utilizar a expressão zero-relationship como sinônimo deste período, em que a privacidade era vista como “ausência de comunicação entre uma pessoa e as demais”11. Hoje, a privacidade está consagrada em diversos diplomas internacionais como um direito fundamental. Vejam-se as menções à vida privada na Declaração Americana dos Direitos e Deveres do Homem (1948), na Declaração Universal dos Direitos Humanos (1948), na Convenção Europeia dos Direitos do Homem (1950) e no pacto de São José da Costa Rica (1969). Da mesma forma ocorre com a nossa 9 RUARO, Regina Linden; SOUZA, Fernando Inglez de. Cenários da regulação da proteção de dados pessoais e os desafios de uma tutela efetiva no ordenamento jurídico brasileiro: a internet e suas implicações na privacidade e na proteção de dados pessoais. Interesse Público – IP, Belo Horizonte, ano 19, n. 103, mai – jun. 2017, p. 199. 10 FERREIRA, Keila Pacheco. A Privacidade no Ambiente Virtual: Avanços e Insuficiências da Lei Geral de Proteçãode Dados no Brasil (Lei 13.709/18). Revista de Direito do Consumidor, Rio de Janeiro. v. 122/2019, mar - abr. 2019, p. 186-187. 11 DONEDA, op. cit., p. RB-1.1 9 Constituição, de 1988, que repete os diplomas anteriores com a menção à vida privada e à intimidade no seu artigo 5º, inciso X. Assim, pode-se afirmar sem dúvida que a privacidade é compreendida como um bem jurídico tutelado e que foi incorporada à nossa sociedade como um desdobramento do direito de personalidade, mesmo que de forma mais abrangente e abstrata, como resposta ao paradigma da sociedade da informação. Neste ponto, é importante destacar que a proteção à privacidade está mais relacionada à proteção da intimidade, ou seja, ao antigo conceito idealizado por Warren e Brandeis e, portanto, a algo mais amplo, ao passo que a proteção de dados pessoais, como salienta o autor Gustavo Artese12, busca assegurar a privacidade informacional, ou seja, os dados privados que revelem informações sobre o seu titular, representando um aspecto mais específico da privacidade. Ocorre que a utilização de dados pessoais pode ser associada a uma extensa gama de finalidades, sendo que diversos eventos recentes revelam que algumas vezes essas finalidades podem ser maliciosas, violando os direitos de milhares e até milhões de pessoas. No cenário internacional, o caso mais conhecido e polêmico envolvendo violação de privacidade e utilização indevida de dados é da empresa Cambridge Analytica13, uma empresa de análise de dados americana. O caso ficou famoso em razão da influência na campanha eleitoral de Donald Trump como presidente dos Estados Unidos em 2016, que teve grande envolvimento do Facebook. A empresa de Zuckerberg teria adquirido do pesquisador Aleksandr Kogan, que desenvolveu um aplicativo de teste de personalidade para o Facebook, dados de 50 milhões de usuário da rede social, ainda em 2014. Dentre os dados coletados estavam nome, profissão, endereço, gostos, hábitos e rede de contatos dos usuários. O procedimento de coleta não era ilegal pelas políticas do Facebook, mas não havia consentimento sobre a forma de utilização dos dados. A comercialização, que era proibida, não contava com meios de ser controlada. A utilização dos dados foi feita para fins políticos, ou seja, para direcionar conteúdo aos usuários a favor de Donald Trump e contra Hillary Clinton, além de incentivar aqueles que demonstravam estar indecisos a votar a favor 12 ARTESE, Gustavo. Privacidade e proteção de dados pessoais: a diluição do consentimento e a responsabilidade demonstrável (accountability). Revista Fórum de Direito na Economia Digital, Belo Horizonte. ano 1, no 01, jul-dez. 2017, p. 144. 13 https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados- que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml 10 de Trump. O caso colocou à prova o compromisso da empresa de Mark Zuckerberg com a proteção dos dados pessoais dos seus usuários, tendo negado até o último momento a má utilização das informações, mas também chamou a atenção da importância dos dados que fornecemos às empresas e como isso pode ser utilizado sem o devido cuidado. No Brasil também houveram diversos episódios recentes de vazamentos e exposição de dados pessoais de usuários de serviços como Uber, Netshoes, Vivo, Oi, Claro, Banco Inter, C&A e até mesmo do Facebook, lembrando que o caso da empresa Cambridge Analytica também expôs dados de usuários brasileiros da rede social. Assim, a fim de dar uma resposta ao descompasso verificado entre os avanços da tecnologia da informação e o mundo jurídico, os países tem se munido de legislações cada vez mais protetivas aos titulares dos dados, a exemplo da novel lei europeia que regulamenta a proteção de dados. Tudo isso com o objetivo de assegurar que os modelos de negócios que surgem e que já estão no mercado respeitem o direito à privacidade e a capacidade de os titulares decidirem as informações sobre si que serão divulgadas e compartilhadas com outras pessoas e empresas, ou seja, devolverem a autodeterminação informacional dos consumidores. 1.3. Contexto de surgimento da Lei nº 13.709/18 Como referido no primeiro tópico deste trabalho, a Lei Geral de Proteção de Dados Pessoais do Brasil (Lei nº 13.709/18) foi aprovada em 13 de agosto de 2018, meses após o começo da vigência da lei de proteção de dados pessoais europeia, a GDPR. A norma regulamentadora do continente europeu impulsionou a tramitação do Projeto de Lei nº 53/2018 no Senado e provocou até pedidos de urgência na sua aprovação. Na Câmara dos Deputados, o Projeto de Lei nº 4060/2012 foi aprovado em 29 de maio de 2018, ou seja, entre a aprovação na Câmara, onde a lei foi originalmente proposta, e a sua sanção, em 13 de agosto de 2018, foram menos de três meses. Ao contrário do que pode parecer, no entanto, há tempo o Congresso Nacional já vinha abrindo espaço para debates sobre o assunto. Apesar de a LGPD ser uma norma que posiciona nosso país no cenário internacional, o Brasil já contava com legislações recentes dispersas que tratam de alguns aspectos da regulamentação do uso de dados pessoais. 11 Antes de se abordar o contexto local de aprovação da lei no congresso, que teve a sanção do então Presidente da República Michel Temer e entrou em vigor em 18/09/2020, apresentarei brevemente uma retrospectiva sobre assunto, apontando as legislações e estudos que inspiraram e antecederam a nossa lei de proteção de dados. A regulação do uso de dados pessoais vem ganhando forte enfoque mundial, sendo a mudança de paradigma da sociedade da informação e os grandes escândalos envolvendo violação de privacidade os principais responsáveis por esta mudança. Tratarei em brevíssima síntese, antes de discorrer sobre a legislação brasileira a respeito, dos modelos americano e europeu de proteção de dados, este último que inspirou a Lei 13.709/2018. O cenário americano da proteção de dados começou a ganhar contornos a partir do estudo feito por Warren e Brandeis, que partiu da concepção de privacidade como reflexo do direito à propriedade, assimilada a uma liberdade fundada na inviolabilidade da personalidade e que era o principal fundamento utilizado pela jurisprudência naquela época de 1890 para proteger este direito, chegando a conclusão de que a privacidade estaria vinculada ao direito do indivíduo ter protegidos seus pensamentos, emoções e sentimentos, independentemente da forma como as expressasse, e que somente o indivíduo deveria determinar com quem e de que forma compartilharia essas informações14. Assim, com uma forte vinculação ao direito à privacidade é que estão alicerçadas as regulamentações relativas à proteção de dados pessoais americana até os dias atuais, que se encontram predominantemente em legislações esparsas entre os estados. Já o cenário europeu, por força da União Europeia, vem desde a década de 1970 expedindo resoluções, diretivas e recomendações a fim de assegurar a proteção de dados pessoais dos cidadãos europeus. Esse arcabouço normativo resultou em proposições que visavam nortear o tratamento de dados através de princípios inspirados na autodeterminação informativa e na proteção da vida privada. A partir desse rumo fortemente principiológico surgiu a General Data Protection Regulation, Regulamento do Parlamento Europeu e do Conselho nº 95/46/CE, aprovado em 2016 e que entrou em vigor em maio de 2018, sendo a principal fonte de inspiração da Lei Geral de Proteção de Dados. 14 RUARO; SOUZA, op. cit., p. 202. 12 No nosso ordenamento jurídico, como dito antes, a LGPD não foi em todo uma inovação, pois já existiam algumas leis dispersas que cuidavam de alguns aspectos do tratamento de dados. Além, é claro, dos Tratados dos quais o Brasil é signatário que garantem a proteção da vida privada e da própria ConstituiçãoFederal que prevê a privacidade como direito fundamental, também podemos citar o Código de Defesa do Consumidor (Lei nº 8.078/1990), que trata dos bancos de dados e do direito de acesso do consumidor às informações ali armazenadas; o Código Civil (Lei nº 10.406/2002), que trata dos direitos de personalidade e garante da vida privada; a Lei do Habeas Data (Lei nº 9.507/97), que serve como instrumento para conhecimento e retificação de dados em banco de dados públicos; a Lei de sigilo das operações de instituições financeira (Lei Complementar nº 105/2001), que estabelece o sigilo bancário; o Decreto 6.523/2008, que regulamenta o serviço de SAC e estabelece o sigilo dos dados pessoais manuseados; a Lei nº 12.414/2011, que instituiu o cadastro positivo para formação de histórico de crédito; a Lei de Acesso à Informação (Lei nº 12.527/2011), que é um importante marco regulatório que definiu a diferenciação entre informações comuns e dados pessoais; e, além de outras tantas, o Marco Civil da Internet (Lei nº 12.965/2014), junto ao seu regulamento (Decreto 8.771/2016), certamente a legislação mais abrangente sobre proteção de dados pessoais antes da LGPD, mas que conta com limitações que inviabilizam a sua aplicação em determinados contextos. Aqui merece destaque o Marco Civil da Internet, tendo em vista a semelhança com a Lei nº 13.709/2018. A principal diferença entre as duas normas está no fato de que o Marco Civil está limitado em sua abrangência ao tratamento de dados realizado na internet. Ou seja, seria necessário que, ao menos em algum momento, os dados tenham passado pela rede mundial de computadores15. Neste cenário surgiu a proposta legislativa apresentada pelo Deputado Milton Monti, ainda em 2012. Ressalte-se que a tramitação se prolongou por muitos anos. Entre arquivamentos e desarquivamentos, foram propostas duas audiências públicas que contaram com a participação de muitas autoridades sobre o assunto para discussão e debate. Os debates também ocorreram no âmbito de outras propostas 15 COTS, Márcio. Lei Geral de Proteção de Dados Pessoais Comentada. 2. ed. ver., atual. e amp. São Paulo: Thomson Reuteurs Brasil, 2019, p. 36. 13 semelhantes que tramitavam concomitantemente, e de certa foram contribuíram para o resultado final. Assim, com a proposta de suprir a lacuna de uma norma mais abrangente e que pudesse nortear o tratamento de dados pessoais em todos os setores, incluindo o público, e que também firmasse os princípios e fundamentos envolvidos no processo, foi promulgada, em 14 de agosto de 2018, a Lei nº 13.709/2018, cuja vigência, à exceção das sanções administrativas e após diversas discussões, decorreu da aprovação pelo Senado da MP nº 959/2020, passando a ser aplicável a partir de 18/09/2020. A lei veio como resposta ao iminente risco de entrave nos negócios do nosso país em relação ao continente europeu, tendo em vista que a regulamentação de lá exige que os países que tenham ou que pretendam ter negócios em países acobertados pela GDPR apresentem um nível mínimo de segurança e proteção dos dados pessoais dos titulares. Ou seja, uma empresa brasileira enfrentaria problemas em realizar negócios na Europa caso não apresentasse uma política de tratamento de dados adequada àquela legislação. Nas palavras de Gustavo Artese, “a lei protege os dados (pessoais) para proteger as pessoas” 16. O objetivo da Lei Geral de Proteção de Dados Pessoais é definir parâmetros de utilização considerados aceitáveis em relação ao tratamento de dados pessoais, dentro de critérios éticos, morais, principiológicos e técnicos, de maneira a assegurar o respeito e a observância de direitos fundamentais como a privacidade e o direito à livre expressão, por exemplo, além de tantos outros. 2. ANÁLISE DA LEI GERAL DE PROTEÇÃO DE DADOS (LEI Nº 13.709/18) Logo de início, no capítulo destinado às disposições preliminares da lei, percebe-se que o legislador se preocupou em definir uma série de conceitos, fundamentos e princípios para a lei. Os fundamentos e princípios serão objeto de análise no próximo tópico, razão pela qual me atentei, neste momento, em apresentar a lei em si, sua estrutura e alguns aspectos considerados importantes. 16 ARTESE, op. cit., p. 145. 14 Conforme Laura Schertel e Danilo Doneda17, a lei apresenta três características básicas: (i) adoção de um conceito amplo de dado pessoal; (ii) necessidade de base legal para qualquer tratamento de dados; e (iii) existência de um legítimo interesse capaz de justificar o tratamento. A adoção ampla do conceito de dado pessoal, que se abstrai do inciso I do art. 5º, permite concluir que a aplicação da lei se dá para todo e qualquer tratamento realizado, razão pela qual as hipóteses de não aplicação devem estar previstas na lei. E assim se observa no art. 4º, que delimita os casos em que não se aplicará a lei. A lei não se aplicará quando o tratamento de dados for: (i) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; (ii) realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos; (iii) realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou (iv) proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. Note-se que a lei também traz a anonimização como procedimento técnico capaz de afastar a sua incidência, vide art. 12. A anonimização é a utilização de meios técnicos razoáveis capazes de evitar a associação da informação a uma pessoa, ou seja, quando não seria mais possível individualizar o dado, ainda que agregado a outros elementos informativos. A exceção ao afastamento da incidência da lei pode ocorrer caso seja possível reverter o processo de anonimização, sendo que o parágrafo primeiro do artigo 12 prevê que o “meio técnico razoável” para adoção do procedimento deve levar em conta fatores objetivos, tais como custo e tempo necessários para sua reversão, de acordo com as tecnologias disponíveis. Segundo comentários de Isabelle da Nóbrega Rito Carneiro, Luiza Caldeira Leite Silva e 17 MENDES, Laura Schertel; DONEDA, Danilo. Comentário à nova lei de proteção de dados (lei 13.709/2018): o novo paradigma da proteção de dados no brasil. Revista de Direito do Consumidor, Rio de Janeiro. v. 120/2018, nov - dez. 2018, p. 22. 15 Danielle Tabach18, o parágrafo primeiro do art. 12 serve como balizador de possível subjetividade que pode ser atribuída ao processo de reversão da anonimização, tendo em vista que os avanços tecnológicos facilitam essa prática, priorizando a segurança do meio técnico utilizado como critério. O art. 3º da lei confere extraterritorialidade à lei, pois prevê que o tratamento de dados, ainda que realizado por empresa estrangeira e que os dados não estejam localizados aqui, desde que ofereça bens ou serviços em território brasileiro, está sujeita a sua aplicação. Outro ponto importante deste artigo e que já foi mencionado em tópico anterior é que em sua redação consta a expressão “independentemente do meio”. Daí decorre a maior abrangência da LGPD em relação ao Marco Civil da Internet (Lei nº 12.965/2014), que visa estabelecer princípios, garantias, direitos e deveres para o uso da internet, sem possibilidade de extrapolar o seu âmbito. No que se refere à conceituação de dados pessoais, a lei traz apenas uma distinção importante, que diz respeito aos dados pessoais considerados sensíveis. Dado pessoal, de acordo com a definição do art. 5º, inciso I, é a “informaçãorelacionada a pessoa natural identificada ou identificável”. A diferença do dado pessoal sensível está no potencial lesivo do conteúdo revelado por este tipo de informação, razão pela qual mereceu uma proteção extraordinária pelo legislador. O inciso II do referido artigo traz um rol exemplificativo, podendo ser classificados em dados pessoais sensíveis de origem (dados sobre origem racial ou étnica), dados pessoais sensíveis de crença (convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político), dados pessoais sensíveis sexuais (referente à vida sexual) e dados pessoais sensíveis corporais (dado genético ou biométrico). Tratamento especial também é conferido aos dados de crianças e adolescentes, em razão da vulnerabilidade já reconhecida através do ECA e do art. 227 da Constituição Federal. Na LGPD há uma seção específica sobre a questão, presente no artigo 14. A lei prevê que o tratamento de dados pessoais de crianças e adolescentes deve ser realizado levando em conta seu melhor interesse, o que deve ser interpretado em conjunto com as demais legislações que dispõem a respeito. Ponto importante que se destaca é o consentimento específico de ao menos um dos 18 CARNEIRO, Isabelle da Nóbrega Rito; SILVA, Luiza Caldeira Leite; TABACH, Danielle. In FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019, p. RB-2.1. 16 pais ou responsável legal exigido no parágrafo primeiro, para que o tratamento possa ser realizado. O armazenamento e/ou tratamento de dados pessoais não pode ocorrer por tempo indeterminado, a critério do controlador. Para resolver essa questão, o legislador previu, basicamente, quatro casos em que ocorrerá o término do tratamento de dados e, consequentemente, a sua eliminação. São os casos: (i) verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (ii) fim do período de tratamento; (iii) comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou (iv) determinação da autoridade nacional, quando houver violação ao disposto nesta Lei. A hipótese prevista no inciso II prevê que o tratamento seja findado nos casos em que o consentimento do titular tenha se dado por tempo determinado, ocasião em que só poderá continuar sendo realizado caso se renove o consentimento. A LGDP se aplica aos dados pessoais tratados pelo poder público da mesma forma que para empresas privadas e se dedicou nos artigos 23 ao 30 a dispor sobre as regras para tanto. Não diferente do que ocorre nos outros casos, o poder público está submetido aos princípios e requisitos para tratamento de dados pessoais, mas o caput do art. 23 faz referência aos dispositivos da Lei de Acesso à Informação (Lei nº 12.527/2011) para definir quais sujeitos estão submetidos a lei, dispondo o parágrafo 4º que os serviços notariais e de registro exercidos em caráter privado, por delegação do poder público, também devem obedecer à lei. Seguindo os ditames já estabelecidos por outras normas que regulam o exercício do poder público, o tratamento de dados pessoais nesse segmento deve observar, sobretudo, o interesse público (caput do art. 23). Não poderia ser diferente. Nessa toada, nos incisos do art. 23 se verifica que o legislador previu duas condições básicas para o tratamento: (i) fornecer informações claras e atualizadas sob a previsão legal que autorizou o tratamento, o que converge no mesmo sentido que as demais disposições já apresentadas pela lei; e (ii) indicação de um encarregado responsável por assumir as obrigações previstas no art. 41 e seguintes (que dispõe sobre as funções do encarregado). A lei também trata de outros aspectos particulares relacionados ao tratamento, como os parâmetros para a transferência internacional de dados (art. 33 17 e seguintes), os agentes de tratamento (arts. 37 e 41) e da responsabilização por violação aos seus dispositivos (art. 42) com suas respectivas sanções (art. 52), bem como possui normas específicas que incentivam a adoção de políticas de segurança e sigilo dos dados (art. 46) e de boas práticas e governança de dados (art. 50). No entanto, reservei o último espaço deste tópico para discorrer acerca da Autoridade Nacional de Proteção de Dados, cuja criação foi vetada quando da sanção da Lei nº 13.709/2018. Originalmente a autoridade seria constituída como autarquia especial, com autonomia econômica, administrativa e técnica. O veto ocorreu em razão da presidência entender haver vício de iniciativa do legislador, uma vez que o órgão só poderia ser constituído desta forma a partir do Poder Executivo, pois acarretaria novos gastos no orçamento público. Superada a questão, sobreveio a Medida Provisória 869/2018, posteriormente convertida na Lei nº 13.853/2019, que criou a ANPD sob a forma de órgão público da administração direta, retirando grande parte da autonomia econômica e administrativa. Ainda assim, através do art. 55-B, restou garantida a autonomia técnica do órgão, através da qual as decisões tomadas em última instância só poderão ser questionadas judicialmente19. As competências atribuídas à Autoridade Nacional de Proteção de Dados são consistentes em: (i) zelar pela proteção dos dados pessoais, nos termos da legislação; (ii) zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º; (iii) elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (iv) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (v) apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; (vi) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; (vii) promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; (viii) estimular a adoção 19 BARROS, Rafael Souza Paiva de. FERREIRA, Gianne Glória Lima. In FEIGELSON, Bruno. SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019, p. RB-9.1. 18 de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; (ix) promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional; (x) dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; (xi) solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; (xii) elaborar relatórios de gestão anuais acerca de suas atividades; (xiii) editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco àgarantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; (xiv) ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; (xv) arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; (xvi) realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (xvii) celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; (xviii) editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; (xix) garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); (xx) deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; (xxi) comunicar às autoridades competentes as 19 infrações penais das quais tiver conhecimento; (xxii) comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; (xxiii) articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e (xxiv) implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. 2.1. Fundamentos e princípios Empresas privadas e o setor público precisam mostrar que estão preparadas para atuar nesse novo cenário de regulação. Infelizmente, se preparar previamente parece não ser o forte das empresas brasileiras, pois conforme pesquisas realizadas pela Serasa Experian20 e pela equipe de consultoria da ICTS Protiviti21, entre 84% e 85% das empresas declaram não estar prontas para atender às exigências da Lei Geral de Proteção de Dados. De qualquer forma, é necessário que os negócios se adaptem à nova realidade que está por vir, e o primeiro passo é compreender os fundamentos e princípios previstos na lei, para então poder implementá-los. Os fundamentos da LGPD estão dispostos no art. 2º. Observa-se da análise do referido artigo que nos seus incisos estão expressos fundamentos que englobam todos os aspectos até então apresentados no início deste artigo, senão vejamos: (a) o respeito à privacidade; (b) a autodeterminação informativa; (c) a liberdade de expressão, de informação, de comunicação e de opinião; (d) a inviolabilidade da intimidade, da honra e da imagem; (e) o desenvolvimento econômico e tecnológico e a inovação; (f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e (g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Já os princípios estão previsto no art. 6º, sendo, além da ressaltada boa-fé presente no caput: (a) finalidade; (b) adequação; (c) necessidade; (d) livre acesso; (e) qualidade dos dados; (f) transparência; (g) segurança; (h) prevenção; (i) não 20 https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram-que-ainda-nao- estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de-dados-pessoais-mostra-pesquisa- da-serasa-experian 21 https://epocanegocios.globo.com/Tecnologia/noticia/2019/11/84-das-empresas-brasileiras-nao- estaopreparadas -para-lgpd.html 20 discriminação; e (j) responsabilização e prestação de contas. Estes princípios estão refletidos por todo o escopo da lei, composta por 10 capítulos subdivididos em algumas seções. Os princípios, por serem os norteadores de todo esse microssistema protetivo, merecem apresentação individualizada, razão pela qual serão desenvolvidos a seguir22. Finalidade: A utilização dos dados somente poderá ocorrer para realizar fins específicos informados expressa e previamente ao titular dos dados. Uma nova destinação aos dados está sujeita a novo consentimento do consumidor. Adequação: diz respeito à compatibilidade da coleta e tratamento dos dados com a finalidade especificada na hora de realizar a coleta dos dados. Não pode ocorrer tratamento de dados para fins diversos do contexto informado. Necessidade: o controlador dos dados deverá coletar o mínimo de dados pessoais possíveis para realizar o tratamento. Ou seja, deve haver pertinência na coleta do dado para o tratamento pretendido. Livre acesso: o titular dos dados deverá poder acessar a qualquer momento e de forma facilitada e gratuita os dados que estão sendo tratados, solicitar a informação sobre a sua existência, identificação do controlador, duração do tratamento e compartilhamento. Qualidade dos dados: deve ser garantia a exatidão e a clareza dos dados coletados, além de que estes deverão estar sempre atualizados. Além disso, deverá poder modificar, solicitar a correção e até mesmo a eliminação dos seus dados coletados. Transparência: o titular deve ter acesso facilitado ao fluxo dos seus dados, a forma que estão sendo utilizados e quem são os sujeitos responsáveis pelo tratamento. Segurança: o controlador deve empregar meio técnicos razoáveis que assegurem a proteção do dado coletado de agentes não autorizados e de possíveis adulterações, violação, perda, destruição ou uso indevido. Prevenção: todas as medidas de segurança adotadas pelo controlador devem visar que se evite incidentes ou problemas através de políticas de governança 22 SIQUEIRA, Antonio Henrique Albani. In FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019, p. RB-1.1. 21 voltadas às boas práticas. Complementar o princípio anterior ao incentivar a adoção de medidas educativas. Não discriminação: proibição de que o controlador utilize os dados coletados para fins discriminatórios, ilícitos ou abusivos. Responsabilização e prestação de contas: tanto o controlador quanto o operador, quando solicitados, deverão comprovar a adoção das medidas tomadas em caso de incidentes como exposição ou utilização indevida dos dados. Caso fique demonstrado que as medidas não atenderam os critérios de segurança e prevenção e que o incidente tenha causado dano ao titular, ambos poderão ser responsabilizados. Lei prevê sanções no sentido de indenizar os titulares de dados afetados por incidentes, cujo montante varia de 2% do faturamento da empresa até 50 milhões de reais, bem como a suspensão e até eliminação dos dados pelo controlador. 2.2. Requisitos para o tratamento de dados Representando um dos aspectos mais importantes trazidos pela LGPD, a lei previu dez hipóteses em que poderá ocorrer o tratamento de dados pessoais, que estão expressamente elencados no art. 7º. Para estar de acordo com a lei, basta que o controlador se enquadre em pelo menos uma delas. Cumpre destacar que alguns tipos de dados exigem a observância de maiores níveis de proteção, como é o caso dos dados pessoais sensíveis ou de dados de crianças e adolescentes, como já referido no tópico 2. Para tanto,a lei dispõe de dispositivos específicos que garantem essa camada extra de proteção. Inobstante, o tratamento de dados pessoais somente poderá ocorrer: (i) mediante o fornecimento de consentimento pelo titular; (ii) para o cumprimento de obrigação legal ou regulatória pelo controlador; (iii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; (iv) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (v) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (vi) para o exercício regular de direitos em 22 processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); (vii) para a proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (ix) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou (x) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Das dez hipóteses previstas no art. 7º, o consentimento pode ser considerado o requisito mais controverso23. Isso porque, por ser a expressão da concordância do titular com o tratamento de dados, muitas podem ser suas implicações caso não tenha se dado de forma válida. De acordo com o art. 5º, inciso XII, o consentimento pode ser definido como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Essa manifestação pode ser fornecida como uma autorização ampla para o tratamento de dados quando nenhuma das outras hipóteses seja possível, o que o torna um requisito essencial e de especial relevância, apesar de poder ser dispensado em alguns casos especificados na lei. Seu manejo de forma equivocada pode provocar afronta a princípios e justamente por isso é que o tema será tratado em tópico à parte, a fim de que se possa analisar sua importância. A segunda hipótese, assim como todas as seguintes, não está diretamente vinculada ao fornecimento de consentimento, visto ser este apenas uma das hipóteses autorizativas, entretanto diz respeito aos casos em que, por força de lei, o titular não poderá se opor ao tratamento, o qual se dará para fins de obrigação imposta. A ocasião exigirá a observância dos demais princípios que regem o tratamento de dados, tais como o livre acesso e a transparência no fluxo de dados. Exemplo claro da terceira hipótese está na utilização de dados pessoais de cidadãos brasileiros para realização de cadastro e habilitação no programa de auxílio emergencial criado pelo governo através da Lei nº 13.982/2020, regulamentado pelo Decreto nº 10.316/2020, em decorrência da pandemia causada pelo COVID-19. O auxílio faz parte de um programa de políticas públicas voltadas para o enfrentamento do vírus. 23 CARNEIRO; SILVA; TABACH, op. cit. 23 A quarta hipótese trata da utilização de dados pessoais para realização de pesquisas, podendo ter origem em entidade pública ou privada, desde que sem fins lucrativos24. De acordo com este inciso, sempre que possível o controlador deve tomar medidas para evitar a identificação do titular, através do processo de anonimização. A quinta hipótese se refere a execução de contrato cuja obrigação tenha sido firmada no momento da aceitação dos termos pelo consumidor. Pode ser o caso em um grupo, contratado pelo controlador, fica responsável pela análise e manipulação dos dados coletados. A sexta hipótese não precisa de muitos esclarecimentos, tendo em vista que a utilização de dados pessoais em processo judicial para fins de exercício regular de direito, a depender do caso, está acobertada pelo sigilo judicial, garantindo a proteção das informações. A sétima hipótese e a oitava hipótese podem ser verificadas no tratamento de dados pessoais no âmbito da saúde. Na ponderação de direitos fundamentais, a vida sempre prevalecerá em detrimento de outros direitos fundamentais, regra que não faz exceção ao caso da privacidade e da proteção de dados pessoais. A nona hipótese, que autoriza o tratamento de dados para atender interesse legítimo do controlador, apesar de parecer uma ideia vaga, é particularmente detalhada no art. 10, que traz um rol exemplificativo de ao menos duas situações: (a) apoio e promoção de atividades do controlador; e (b) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. A disposição contida na décima hipótese foi prevista com vistas a viabilizar formas de oferecimento de crédito privilegiando os adimplentes25, podendo ser exemplificada no caso de utilização dos dados pessoais no Cadastro Positivo. 2.3. Dos direitos do titular Como forma de garantir o controle do fluxo de dados pessoais do titular, a LGPD instrumentalizou, em diversas disposições legais ao longo dos arts. 17 a 22, uma série de direitos, que serão suscintamente descritos. 24 COTS, op. cit., p. 82. 25 COTS, op. cit., p. 87. 24 Além de outros direitos decorrentes da observância dos princípios já enumerados, bem como de previsões expressas no texto da lei em outros momentos, a LGPD, nos termos do art. 18, garante os seguintes direitos26: (i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; (v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (vi) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16; (vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; (viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (ix) revogação do consentimento, nos termos do § 5º do art. 8º. Os dois primeiros direitos previstos no art. 18 dispõem sobre a possibilidade de confirmação da existência de tratamento e acesso aos dados pessoais existentes junto aos controladores. Notadamente se percebe uma referência aos princípios do livre acesso, da qualidade dos dados e da transparência insculpidos no art. 6º, incisos IV, V e VI. Nada mais são do que um direito básico à informação sobre os dados do titular. O direito de retificação de dados incompletos, no inciso III, dispõe acerca da garantia do titular de modificar as informações a seu respeito constantes de bancos de dados dos controladores. No inciso IV, constata-se o direito à anonimização, eliminação ou bloqueio dos dados considerados desnecessários ou que não estejam sendo tratados conforme a lei. Faz referência ao princípio da necessidade disposto no art. 5º, inciso III. O direito de portabilidade do inciso V diz respeito ao direito de o titular solicitar a transferência dos seus dados para outro fornecedor de produtos ou serviços, assim como ocorre nos serviços de telefonia móvel, desde que o pedidoseja realizado expressamente. 26 BECKER, Daniel; RODRIGUES, Roberta de Brito. In FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019, p. RB-3.1. 25 O direito de eliminação previsto no inciso VI trata apenas de uma garantia de que o titular poderá excluir seus dados, em ocasião que não seja aquele identificada no art. 16, ou seja, quando não houver mais interesse. A previsão do inciso VII faz referência aos casos em que o titular teve seus dados compartilhados com entidades públicas, na esteira da hipótese autorizativa de tratamento de dados prevista no art. 7º, incisos III e IV. O direito previsto no inciso VIII merece destaque por estar relacionado ao tema abordado no último tópico: consentimento. Trata-se do direito de ser informado das consequências do não fornecimento do consentimento. Correlaciona-se com o direito previsto no inciso IX, que traz a possibilidade de revogar o consentimento. 3. TRATAMENTO DE DADOS PESSOAIS E O PAPEL DO CONSENTIMENTO DO TITULAR A Lei Geral de Proteção de Dados Pessoais exige, dentre outros requisitos já analisados, o consentimento do titular para que o controlador possa tratar dados pessoais. Apesar das exceções previstas, é de suma importância observar a evolução do papel do consentimento no paradigma da sociedade da informação, a partir do que Danilo Doneda descreve como as gerações das leis de proteção de dados27. Em síntese, a primeira geração de leis foi criada com a visão de que a tendência tecnológica seria de criação de grandes bancos de dados controlados pelos órgãos públicos. A proteção jurídica era voltada para estes centros da informação e não para a privacidade em si, pois havia um temor sobre o que a evolução tecnológica lastreada pela disseminação dos computadores poderia proporcionar. Por isso, sob nenhuma perspectiva as leis previam a participação do titular, apenas traziam disposições rígidas que visavam o controle da criação desses bancos de dados. Na segunda geração, motivada pela Lei Francesa de Proteção de Dados Pessoais, o cenário tomou outros contornos e a privacidade e a proteção de dados pessoais ganhou notoriedade como uma liberdade negativa, ou seja, cujo exercício dependia exclusivamente do titular interessado em ter esses direitos garantidos. Neste momento é que o consentimento se tornou importante instrumento de exercício do controle e da liberdade das informações do titular. 27 DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Revista Espaço Jurídico, Joaçaba. v. 12, n. 2, jul - dez. 2011, p. 96. 26 A terceira geração de leis foi impulsionada pela mudança de paradigma firmada no entendimento de que o fornecimento de dados pessoais havia se tornado essencial para que os titulares pudessem participar da vida social. Buscou-se instrumentalizar formas de efetivar a liberdade do titular na sua escolha de fornecer, modificar ou remover os dados fornecidos, ganhando força a autodeterminação informativa. O tratamento de dados pessoais foi enfrentado como um processo, e não como um único momento, em que apenas se optaria por consentir ou não. Finalmente, avançando até a quarta geração, que vivemos atualmente, temos uma geração de leis que eleva o papel do indivíduo no processo de tratamento de dados, no sentido de possibilitar o restabelecimento de um equilíbrio nas relações entre os titulares e os controladores dos dados, assim como ocorre nas relações de consumo, em que se confere especial proteção ao consumidor em decorrência do reconhecimento da sua vulnerabilidade na relação. Na quarta geração de leis, vale ressaltar, ao mesmo tempo em que o indivíduo conquista essa força na relação, as leis também reconhecem uma excepcionalidade que reduz seu poder: a de que o titular não deve ter o controle total de como certos dados pessoais são tratados. A representação disto é verificada na especialidade conferida aos dados pessoais considerados sensíveis. Na Lei nº 13.709/2018, por exemplo, em seu artigo 11, constata-se que somente nos casos ali indicados poderá haver tratamento de dados pessoais sensíveis pelo controlador. Portanto, observando a evolução das leis de proteção de dados descrita por Doneda fica evidente que o consentimento possui papel primordial no controle do fluxo de informações. Inobstante, é inevitável que outra dúvida seja levantada a respeito do consentimento, ainda mais sob o enfoque da LGPD: o que define o consentimento e como ele é expresso na lei? Uma reflexão rápida permite concluir que o consentimento pode ser definido como a expressão de uma vontade, mas a leitura mais aprofundada sobre o tema permite trazer outras definições. Em resposta a esse questionamento, tenho que o consentimento, conforme leciona Bruno Bioni28, pode assumir vários adjetivos, cuja valoração varia conforme o grau de controle conferido ao titular no fluxo de dados. 28 BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p. 187. 27 No primeiro grau de controle temos o consentimento informado29, em que o controlador dos dados deve informar de forma ostensiva e perceptível que o usuário terá seus dados tratados. O tratamento baseado no consentimento informado, quando utilizado em excesso, pode causar desinformação ao consumidor, pois o conteúdo cujo consentimento será aproveitado deve ser capaz de desencadear o entendimento de todo o processo de tratamento, já que consentimento quantitativo não é sinônimo de consentimento qualitativo. Aliás, o aspecto qualitativo está estritamente ligado à transparência. Somente quando o consumidor é capaz de compreender com clareza o fluxo dos seus dados pessoais em um processo é que o consentimento informado atinge o seu fim, que é o de permitir o controle das suas informações. A LGPD traz o consentimento informado correlacionado ao princípio da transparência, elencado no art. 6º, inciso VI, o qual dispõe que devem ser garantidas informações clara, precisas e facilmente acessíveis ao titular. Já no segundo grau temos o consentimento livre30, que é caracterizado pela opção do titular em escolher de forma fragmentada o tipo de dado que poderá ser tratado. A lógica por trás do consentimento livre está no distanciamento da ideia de política de privacidade baseada no tudo ou nada, em que ou se dá permissão para todo tipo de tratamento dos dados ou não. É também chamado de consentimento granular. Na LGPD a representação deste tipo de consentimento é retirada da interpretação dada ao art. 9º, parágrafo 3º, que prevê em sua última parte que o titular dos dados deverá ser informado sobre os meios de exercer os direitos previstos no art. 18 (direitos do titular). No terceiro grau temos o consentimento inequívoco e com finalidade determinada31. Este grau de controle está correlacionado ao princípio da finalidade previsto no art. 6º, inciso I da LGPD. A finalidade está atrelada ao propósito do tratamento dado à informação coletada. Em outras palavras, o consentimento deve sempre estar vinculado ao destino informado pelo controlador dos dados. Outra característica importante do controle do fluxo de dados conferido neste grau está no abandono de políticas de privacidade baseada no consentimento genérico, ou seja, na afirmação de que “os dados serão utilizados para melhorar a experiência do usuário”. 29 Ibidem, p. 188. 30 Ibidem, p. 194. 31 Ibidem, p. 195. 28 Por fim, no último grau temos o consentimento específico e expresso32. Neste grau há o que o Bioni denomina de carga máxima de participação do titular, pois representa o maior nível de interação. Esta adjetivação preconiza um zelo maior pelo fluxo, uma camada a mais de proteção exigida em conformidade com o risco assumido. O consentimento específicoé exigido, por exemplo, nos casos de tratamento de dados pessoais sensíveis (art. 11, inciso I), tratamento de dados de crianças e adolescentes (art. 14, parágrafo 1º) e no caso de transferência internacional de dados (art. 33, inciso VIII). Essas são, enfim, as adjetivações do consentimento, todas identificadas em algum momento na redação da LGPD, e que são o resultado da evolução das legislações protetivas de dados pessoais, as quais visam empoderar os consumidores no processo decisório consistente no fornecimento de dados. Sem a sua devida valorização, o tratamento de dados pessoais pode representar potencial lesivo ao titular, tal como discorrido no tópico relativo à importância da privacidade e da proteção de dados. Daí porque valer-se do consentimento como única hipótese autorizativa de tratamento de dados pessoais exige um cuidado redobrado por parte de quem lida com esse tipo de informação. CONSIDERAÇÕES FINAIS No decorrer do presente artigo foi possível notar que a sociedade como um todo viveu, nas últimas décadas, grandes mudanças ocasionadas pela evolução tecnológica. Um novo movimento surgiu a partir disto e foi o que deu origem à mudança de paradigma para a sociedade da informação, uma sociedade que baseia suas relações nas tecnologias da informação. Neste meio, a privacidade, que timidamente começou a ganhar um espaço nos debates jurídicos na época de 1890, através da obra norte americana “The right of privacy”, de autoria de Samuel Warren e Louis Brandeis, passou a tomar contornos jurídicos em diversos países e até no âmbito de tratados internacionais. A notoriedade deste direito foi motivada por mudanças tecnológicas que culminaram na exposição da vida privada de consumidores nos mais diversos ambientes, mas que foi potencializada na internet. 32 Ibidem, p. 198. 29 Como resultado disso e impulsionada pela entrada em vigor da norma regulamentadora de tratamento de dados europeia em maio de 2018, o Brasil, em agosto do mesmo ano, entrou no cenário de países que contam com uma norma protetiva aos dados pessoais. Neste cenário surge a Lei nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados Pessoais, fortemente inspirada na norma europeia. Nossa lei conta com diretrizes principiológicas que norteiam o tratamento de dados pessoais e consolida instrumentos já existentes criados pelo Marco Civil da Internet, como o livre acesso às informações, a retificação de dados e até mesmo a possibilidade de solicitação de eliminação. A LGPD expressa fundamentos que englobam e levam em consideração toda essa mudança de paradigma, a exemplo da proteção à vida privada, bem como aspectos apresentados no decorrer do artigo, a saber: (a) o respeito à privacidade; (b) a autodeterminação informativa; (c) a liberdade de expressão, de informação, de comunicação e de opinião; (d) a inviolabilidade da intimidade, da honra e da imagem; (e) o desenvolvimento econômico e tecnológico e a inovação; (f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e (g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Importante destacar que a lei garante que o tratamento de dados só pode ocorrer caso possa se enquadrar dentro de uma das dez hipóteses autorizativas do art. 7º. Dentre essas hipóteses, destaca-se o consentimento, conceituado no art. 5º, inciso XII, como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. No decorrer do artigo, notou-se que o papel do consentimento a partir da segunda geração de leis de proteção de dados só aumentou, chegando a ponto de que na quarta geração, a qual vivemos atualmente, o legislador passou a reconhecer que certos dados, por serem potencialmente lesivos, deveriam ganhar tratamento mais rígido e de certa forma até mesmo limitando o poder de escolha do titular em relação a estes. É o que ocorre no tratamento de dados pessoais considerados sensíveis ou no tratamento de dados de crianças e adolescentes, que exigem uma camada extra de proteção especificada na lei. Observou-se que o consentimento dentro da LGPD pode assumir vários adjetivos, que variam conforme o grau de participação do titular no fluxo dos dados. 30 Do mais básico ao mais participativo nível: consentimento informado; consentimento livre; consentimento inequívoco e com finalidade determinada e o consentimento específico e expresso. Cada um desses níveis pode ser verificado em algum momento dentro do escopo da lei, representando a importância dessa manifestação dada pelo titular conforme o nível de proteção que deve ser dado à informação. Isso releva a importância de que o titular deve ter o controle do fluxo de dados a seu respeito, sob pena de comprometimento do processo de tratamento de dados e frustração do objetivo da lei, que é garantir a proteção desses dados. REFERÊNCIAS ARTESE, Gustavo. Privacidade e proteção de dados pessoais: a diluição do consentimento e a responsabilidade demonstrável (accountability). Revista Fórum de Direito na Economia Digital, Belo Horizonte. ano 1, no 01, p. 141-162. jul- dez. 2017. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019. CASTELLS, Manuel. A era da informação: economia, sociedade e cultura. A sociedade em rede, São Paulo: Paz e Terra, 6ª ed. v.1. 1999. COTS, Márcio. Lei Geral de Proteção de Dados Pessoais Comentada. 2. ed. ver., atual. e amp. São Paulo: Thomson Reuteurs Brasil, 2019. DONEDA, Danilo. A proteção dos dados pessoais como um direito fundamental. Revista Espaço Jurídico, Joaçaba. v. 12, n. 2. p. 91-108, jul - dez. 2011. __________. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 1 ed. São Paulo: Thomson Reuters Brasil, 2019. FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Comentários à Lei Geral de Proteção de Dados Lei 13.709/2019. São Paulo: Thomson Reuteurs. 2019. 31 FERREIRA, Keila Pacheco. A Privacidade no Ambiente Virtual: Avanços e Insuficiências da Lei Geral de Proteção de Dados no Brasil (Lei 13.709/18). Revista de Direito do Consumidor, Rio de Janeiro. v. 122/2019. p. 181-202, mar - abr. 2019. RUARO, Regina Linden; SOUZA, Fernando Inglez de. Cenários da regulação da proteção de dados pessoais e os desafios de uma tutela efetiva no ordenamento jurídico brasileiro: a internet e suas implicações na privacidade e na proteção de dados pessoais. Interesse Público – IP, Belo Horizonte, ano 19, n. 103, p. 197- 216, mai – jun. 2017. SILVA, Joseane Suzart Lopes. A proteção de dados pessoais dos consumidores e a Lei 13.709/2018: em busca da efetividade dos direitos à privacidade, intimidade e autodeterminação. Revista de Direito do Consumidor, Rio de Janeiro. v. 121/2019. p. 367-418, jan - fev. 2019. LINKS ACESSADOS 84% das empresas brasileiras não estão preparadas para a LGPD. Época Negócios Online, 14 de nov. de 2019. Disponível em: <https://epocanegocios.globo.com/Tecnologia/noticia/2019/11/84-das-empresas- brasileiras-nao-estaopreparadas-para-lgpd.html>. Acesso em 09 de abr. de 2020. 85% das empresas declaram que ainda não estão prontas para atender às exigências da Lei de Proteção de Dados Pessoais, mostra pesquisa da Serasa Experian. Serasa Experian, 08 de ago. de 2019. Disponível em: <https://www.serasaexperian.com.br/sala-de-imprensa/85-das-empresas-declaram- que-ainda-nao-estao-prontas-para-atender-as-exigencias-da-lei-de-protecao-de- dados-pessoais-mostra-pesquisa-da-serasa-experian>. Acesso em 09 de abr. de 2020. BBC. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. G1, 08 deago. de 2018. Disponível em: 32 <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso- politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de- autoridades.ghtml>. Acesso em 31 de mar. de 2020. LAVADO, Tiago. Samsung apresenta Ballie, robô assistente para casas conectadas. G1, 07 de jan. de 2020. Disponível em: <https://g1.globo.com/economia/tecnologia/ces/2020/noticia/2020/01/07/samsung- apresenta-ballie-robo-assistente-para-casas-conectadas.ghtml>. Acesso em 11 de mar. de 2020. VEIGA, Igor. Homem dirige carro a distância via conexão 5G de internet; confira o vídeo. Portal O Tempo, 20 de set. de 2019. Disponível em <https://www.otempo.com.br/super-motor/homem-dirige-carro-a-distancia-via- conexao-5g-de-internet-confira-o-video-1.2239363>. Acesso em 11 de mar. de 2020. LEGISLAÇÃO CONSULTADA BRASIL. Lei nº 13.709/2018, de 14 de agosto de 2018. Brasília, DF, 2018.
Compartilhar