A PROTEÇÃO DE DADOS PESSOAIS NA INTERNET À LUZ DO DIREITO PÁTRIO

Prévia do material em texto

1. INTRODUÇÃO
A Lei Geral de Proteção de Dados (LGPD), aprovada pelo Congresso Nacional em 14 de agosto de 2019, está prevista para entrar em vigor em 15 de agosto de 2020, seis meses após a data prevista inicialmente para fevereiro de 2020. 
A legislação semelhante ao Regulamento Geral de Proteção de Dados (GDPR) cria uma nova estrutura legal para o uso de dados pessoais processados ​​ou relacionados a indivíduos no Brasil, independentemente de onde o processador de dados esteja localizado.
Como parte da Medida Provisória nº 869/2018, o Brasil estabeleceu sua própria Autoridade Nacional de Proteção de Dados, a ANPD, em dezembro de 2018, para supervisionar e fazer cumprir as orientações. Enquanto algumas disposições do LGPD foram vetadas pelo presidente Michel Temer em agosto de 2018, a ordem de dezembro as restabeleceu. 
Antes da aprovação do LGPD, a proteção de dados no Brasil era aplicada principalmente por meio de uma coleção de estruturas, incluindo a aplicação do Direito Civil para a Internet e o Código de Defesa ao Consumidor.
O direito à privacidade é um direito fundamental consagrado em muitas constituições ao redor do mundo, bem como no direito internacional dos direitos humanos. O direito à privacidade é multifacetado, mas um aspecto fundamental, cada vez mais relevante para a vida das pessoas, é a proteção dos dados das pessoas.
Desde 1988, o Comitê de Direitos Humanos da ONU, o órgão do tratado encarregado de monitorar a implementação do Pacto Internacional sobre Direitos Políticos e Civis (PIDCP) reconheceu a necessidade de leis de proteção de dados para salvaguardar o direito fundamental à privacidade reconhecido pelo artigo 41 da Lei 13709/18.
Proteger a privacidade na era digital é essencial para uma governança democrática eficaz e boa. No entanto, apesar do crescente reconhecimento e conscientização da proteção de dados e do direito à privacidade em todo o mundo, ainda falta estruturas, processos e infraestrutura legais e institucionais para apoiar a proteção de dados e direitos de privacidade. 
Ao mesmo tempo, o crescente volume e uso de dados pessoais, juntamente com o surgimento de tecnologias que permitem novas formas de processamento e uso, significam que a regulamentação de uma estrutura eficaz de proteção de dados é mais importante do que nunca.
Proteger a privacidade é essencial e a maioria dos Estados adotou algumas formas de proteção; no entanto, as estruturas geralmente são inadequadas e não acompanham os usos modernos de dados e os desafios que elas representam. As leis de proteção de dados precisam ser atualizadas para enfrentar os desafios emergentes.
Nas últimas três décadas, a Privacy International vem promovendo e defendendo o direito à privacidade e, por meio do Privacy Rede Internacional, é pedida a adoção e a aplicação das mais fortes salvaguardas de proteção de dados em todo o mundo.
Ao longo dos anos, algumas dessas questões se expandiram e outras totalmente novas surgiram: as narrativas dominantes que evoluíram e os novos atores, aliados e adversários, entraram no escopo de intervenção.
2. DIREITO À PRIVACIDADE OU PROTEÇÃO DE DADOS PESSOAIS?
Os princípios e disposições gerais sobre proteção de dados e privacidade no Brasil podem ser derivados da Constituição, do Código Civil Brasileiro e das estátuas e regulamentos que tratam de tipos específicos de relações públicas e privadas, diferentes setores (por exemplo, instituições financeiras, indústria da saúde, e o setor de telecomunicações) e o tratamento e acesso a documentos e informações manipulados por entidades e órgãos governamentais. Entre esses estatutos, os mais importantes são o Código do Consumidor (Lei 8.078/90) e o Marco Civil da Internet (Lei 12.965/2014).
Em termos gerais, a Constituição Federal brasileira de outubro de 1988 protege o direito à privacidade, incluindo o sigilo de correspondência, comunicações telegráficas, telefônicas e de dados.
Existem também mecanismos legais que permitem o acesso à informação. Em resposta às demandas sociais após o fim da ditadura militar, a Constituição também concedeu acesso a informações pessoais coletadas por órgãos governamentais. 
Esse acesso foi viabilizado através da redação de Habeas Data, que foi introduzida na Constituição de 1988 e regulamentada pela Lei nº 9.507 de 1997 (Lei de Dados Habeas). A ação influenciou outros países da América Latina que implementaram instrumentos similares de proteção de dados.
Os documentos Habeas Data, como remédio constitucional, podem ser usados ​​para conceder acesso a informações relacionadas ao indivíduo armazenadas em bancos de dados públicos ou governamentais, para corrigir ou atualizar dados, ou para prosseguir com anotações ou esclarecimentos em bancos de dados públicos sobre litígios pendentes. 
Um escrito Habeas Data pode ser endereçado a qualquer banco de dados que colete informações que sejam ou possam ser transmitidas a terceiros, bem como informações que não sejam usadas exclusivamente pelo órgão governamental ou entidade legal que gerou ou gerenciou essas informações. 
No entanto, o mandado de Habeas Data é um remédio caro e lento, porque uma petição deve ser apresentada por um advogado após uma solicitação de dados sem êxito do réu. O mandado não é considerado uma ferramenta moderna de proteção de dados, nem se desenvolveu para tal. Em vez disso, outros instrumentos foram desenvolvidos na legislação brasileira para abordar o crescente uso do processamento eletrônico de dados. Esses instrumentos incluem a Lei de Informação de Crédito e Lei de Acesso à Informação.
A Constituição Federal também se refere diretamente à proteção do consumidor, tanto no artigo 5º XXXII, que considera a proteção do consumidor como um direito fundamental, quanto no artigo 170 V, que estabelece a proteção do consumidor como um princípio da ordem econômica nacional, bem como no Artigo 48 de Disposições temporárias que criam uma obrigação de promulgar um Código de Defesa do Consumidor. 
Esse Código fornece uma estrutura multifacetada para tratar de questões de proteção ao consumidor e equilibrar as assimetrias de informação e poder entre consumidores e empresas comerciais. Isso implica uma variedade de normas baseadas em princípios, que são amplas o suficiente para oferecer soluções para novos conflitos relacionados à tecnologia da informação e à proteção dos direitos de privacidade. 
De fato, embora o país não tenha uma lei abrangente de proteção de dados em vigor, a Secretaria Nacional de Defesa do Consumidor (Senacon), que opera no Ministério da Justiça, tem sido a principal entidade pública que atua como vigilante em relação à proteção dos direitos à privacidade. 
Em um caso famoso, uma multa de R$ 3,5 milhões (cerca de 1 milhão de dólares) foi cobrado do provedor de telecomunicações Oi, que desenvolveu um software chamado "Navegador" com a empresa britânica, que coletava tráfego de dados para criar perfis de padrões de navegação de indivíduos. A OI foi acusada de vender esses perfis para empresas que buscam dados para publicidade ou personalização de conteúdo.
2.1 CONVENÇÕES REGIONAIS E INTERNACIONAIS
O Brasil ratificou vários instrumentos internacionais com implicações na privacidade, incluindo:
O Pacto Internacional sobre Direitos Civis e Políticos (PIDCP). O artigo 17 estabelece que ninguém será sujeito a interferências arbitrárias ou ilegais em sua privacidade, família, lar ou correspondência, nem a ataques ilegais à sua honra e reputação. 
O Comitê de Direitos Humanos observou que os Estados-partes no PIDCP têm uma obrigação positiva de “adotar medidas legislativas e outras para efetivar a proibição de tais interferências e ataques, bem como a proteção desse direito [privacidade]”.
O Brasil é signatário da Americana sobre Direitos Humanos (Pacto de San José da Costa Rica) desde 25 de setembro de 1992, mas ainda não aceitou a jurisdição obrigatória da Corte Interamericana de Direitos Humanos.
O Brasil também tem estado na vanguarda de muitos dos avanços feitos na ONU sobre o direito à privacidade.Foi um dos copatrocinadores da Resolução 68/167 da ONU sobre o direito à privacidade na era digital, que foi adotada pela assembleia geral em 18 de dezembro de 2013.
2.2 PRINCÍPIOS DA PROTEÇÃO DE DADOS PESSOAIS
Da mesma forma que o RGPD, o LGPD estabelece princípios gerais que devem sustentar todo o processamento de dados pessoais e, depois, se baseia nesses princípios, identificando bases legais específicas nas quais se pode confiar para apoiar atos específicos de processamento de dados.
Os dez princípios gerais aplicáveis ​​a todo o processamento de dados estão descritos no artigo 6. Um princípio fundamental é a limitação de objetivos, ou seja, todo o processamento deve ser “para fins legítimos, específicos e explícitos dos quais o titular dos dados é informado”. Da mesma forma, exige “limitação do processamento ao mínimo necessário para atingir seus objetivos”. 
Outros princípios-chave incluem acesso livre e transparência ao titular dos dados e qualidade dos dados isto é, “precisão, clareza, relevância e atualização” dos dados pessoais. O princípio da "prestação de contas" exige demonstrar a adoção de medidas eficazes para garantir a proteção dos dados pessoais.
É importante ressaltar que, embora o LGPD se concentre principalmente na privacidade dos dados, os princípios também impõem requisitos substanciais de segurança de dados: as empresas devem adotar medidas técnicas e administrativas para proteger os dados pessoais contra acesso não autorizado e destruição, perda, alteração, comunicação ou disseminação acidental ou ilegal.
As dez bases jurídicas disponíveis para apoiar atos específicos de processamento de dados estão definidas no artigo 7º. Para as empresas, as principais bases incluem:
· O consentimento, quando claramente manifestado - se por escrito, “destacado para se destacar de outras cláusulas contratuais” - e quando baseado em uma divulgação clara dos “propósitos particulares” do processamento;
· Cumprimento de obrigações legais, regulamentares ou contratuais; 
· Para os interesses legítimos do responsável pelo tratamento ou de terceiros, onde esses interesses superam, em geral, os direitos e liberdades do titular dos dados.
Todo ato de processamento deve obedecer a todos os princípios do artigo 6 e a pelo menos uma das bases do artigo 7. Entre outras coisas, o LGPD exige que as empresas:
· Informar, corrigir, anonimizar, excluir ou fornecer uma cópia dos dados, se solicitado pelo titular dos dados;
· Exclusão de dados após o término do relacionamento relevante, a menos que seja expressamente permitido retê-los;
· Adoção de medidas técnicas e administrativas de segurança de dados para proteger os dados pessoais contra acesso não autorizado, acidentes, destruição, perda e alteração;
· Nomeação de oficial de proteção de dados responsável por receber reclamações e comunicações e para fornecer orientação dentro da empresa sobre as melhores práticas; e
· Notificação dos titulares dos dados e as autoridades brasileiras após uma violação de dados.
Da mesma forma que o GDPR, o LGPD estabelece obrigações e responsabilidades separadas para controladores de dados (empresas que controlam os dados e decidem como serões usados) e para processadores de dados (empresas, como empresas de armazenamento em nuvem, marketing ou análises, que lidam com dados em nome dos controladores). 
Em parte porque os processadores e controladores que diferenciam a linguagem do LGPD não é o mesmo que o idioma no GDPR e em parte porque provavelmente haverá regulamentação adicional, resta saber como o LGPD governará as interações entre controladores e processadores.
Segundo o LGPD, as violações estão sujeitas a multas que variam de avisos a multas de até 2% da receita bruta da empresa ou grupo econômico no Brasil no ano anterior, limitadas a R$ 50 milhões por violação (aproximadamente 12,7 milhões de dólares na época de escrevendo). Observa-se que a penalidade é calculada apenas na receita brasileira, não na receita global, conforme o GDPR.
O processo legislativo brasileiro permite que o presidente aprove a legislação enquanto veta partes específicas dela. Ao aprovar o LGPD, o Presidente Temer vetou disposições na legislação que permitiriam a suspensão parcial ou total da permissão dos infratores para processar dados e proibições mais amplas das atividades dos infratores.
Com o LGPD, o Brasil ingressa na União Europeia e em muitas outras jurisdições (mas não nos Estados Unidos) que limitam a transferência de dados pessoais fora de suas fronteiras. A regra padrão, nos termos do artigo 33 da LGPD, é que essa transferência seja proibida, sem algumas exceções enumeradas.
Os mecanismos de transferência enumerados do LGPD se parecem muito com os disponíveis no GDPR. São permitidas transferências de dados internacionais para fora do Brasil, por exemplo:
· Quando o país ou organização receptora fornece um nível de proteção de dados comparável ao do LGPD (embora ainda não tenham sido feitas designações de comparabilidade, a UE seria presumivelmente considerada comparável à luz do RGPD);
· O importador de dados não brasileiro está vinculado por contrato (sob medida ou "cláusulas contratuais padrão") ou pela política corporativa global para fornecer e demonstrar um nível de proteção de dados comparável ao do LGPD;
· Cooperação jurídica internacional entre agências governamentais; e
· Quando o titular dos dados tiver dado consentimento específico para a transferência, distinto de outras finalidades.
Tais preceitos passaram a ser vistos em outras normativas sobre a proteção de dados, e passaram a ser intitulados de Fair Information Principles. Esse grupo comum se estabilizou nos anos 80. (OECD, 2013).
No Brasil, a lei de proteção de dados pessoais que trata de maneira bastante plausível, lista em seu artigo 6º os princípios que devem ser empregados no trato de informações pessoais, além do mais, a aplicação do princípio da boa-fé que devem ser respeitada nas relações cíveis.
 Assim sendo, o assunto é ministrado de maneira direta e patente, em um notório ensaio de não deixar limites de comportamento prejudiciais ao titular a que se referem às informações.
2.3	A FUNDAMENTALIZAÇÃO DA PROTEÇÃO DE DADOS PESSOAIS
Antes de aplicar a proteção das informações pessoais como um Direito Fundamental, é fundamental definir a abrangência do assunto, assim como o procedimento de criação e peculiaridades dos mesmos.
A doutrina internacional, especialmente Bobbio (2004) “defende que a determinação de um Direito Fundamental é realizada a começar do fato de tornarem globais”, isto é, de equivalem para a todas as pessoas, não importando a raça, nacionalidade, entre outras individualidades. 
Empregar um direito fundamental é confirmar que o mesmo é essencial à situação humanística e às relações sociais, compreendendo a essência explicativa da ordem normativa, (SARLET, 2005) que visa sobre tudo, à tutela dos direitos à igualdade, propriedade, liberdade, e à dignidade de todos os indivíduos.
 As garantias Fundamentais são uma produção histórica, alternando de tempo para tempo e de ambiente para ambiente. Na França antiga em fase de revolução, verbi gratia os Direitos Fundamentais valiam, sobretudo a liberdade, a igualdade e a fraternidade, e nem se imaginaria acreditar na perspectiva de uma Garantia Fundamental a um meio ambiente ecologicamente equilibrado ou à isonomia entre os sexos. 
Por mais essenciais que figurem estar são garantias históricas surgidas em determinadas situações e configurados por embates em amparo de novas liberdades, estando criados de forma progressiva e o que representa fundamental no tempo e determinada cultura, absolutamente primordial em outros momentos.
No meio aos inumeráveis riscos e ameaças à vida, à liberdade e à segurança, oriundos da expansão da evolução tecnológica, surgem essas garantias da nova geração. A começar disso, ponderado o argumento que a instituição humana de forma geral passa hodiernamente a garantia à proteção de informações pessoais, especialmente nas situaçõesvirtuais, é de grande importância, expondo se com a integral promoção das demais garantias e direitos.