882 96 5MB
Portuguese Pages [474] Year 2019
Diretora de Conteúdo e Operações Editoriais JULIANA MAYUMI ONO Gerente de Conteúdo MILISA CRISTINE ROMERA Editorial: Aline Marchesi da Silva, Diego Garcia Mendonça, Karolina de Albuquerque Araújo e Quenia Becker Gerente de Conteúdo Tax: Vanessa Miranda de M. Pereira Direitos Autorais: Viviane M. C. Carmezim Assistente de Conteúdo Editorial: Juliana Menezes Drumond Analista de Projetos: Camilla Dantara Ventura Estagiárias: Bárbara Baraldi Sabino e Stefanie Lopes Pereira Produção Editorial Coordenação ANDRÉIA R. SCHNEIDER NUNES CARVALHAES Especialistas Editoriais: Gabriele Lais Sant’Anna dos Santos e Maria Angélica Leite Analista de Projetos: Larissa Gonçalves de Moura Analistas de Operações Editoriais: Caroline Vieira, Damares Regina Felício, Danielle Castro de Morais, Mariana Plastino Andrade, Mayara Macioni Pinto e Patrícia Melhado Navarra Analistas de Qualidade Editorial: Ana Paula Cavalcanti, Fernanda Lessa, Rafael Ribeiro e Thaís Pereira Estagiárias: Beatriz Fialho, Tainá Luz Carvalho e Victória Menezes Pereira Capa: Linotec Adaptação de capa: WK Editoração Controle de Qualidade da Diagramação: Carla Lemos Equipe de Conteúdo Digital Coordenação MARCELLO ANTONIO MASTROROSA PEDRO Analistas: Jonatan Souza, Luciano Guimarães, Maria Cristina Lopes Araujo e Rodrigo Araujo Gerente de Operações e Produção Gráfica MAURICIO ALVES MONTE Analistas de Produção Gráfica: Aline Ferrarezi Regis e Jéssica Maria Ferreira Bueno
Estagiária de Produção Gráfica: Ana Paula Evangelista Dados Internacionais de Catalogação na Publicação (CIP) (Câmara Brasileira do Livro, SP, Brasil) LGPD: Lei Geral de Proteção de Dados comentada [livro eletrônico] / coordenadores Viviane Nóbrega Maldonado e Renato Opice Blum. – 2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2020. Vários autores. Bibliografia. ISBN 978-65-5065-023-0 1. Direito à privacidade 2. Proteção de dados – Leis e legislação I. Maldonado, Viviane Nóbrega. II. Blum, Renato Opice. 20-34655
CDU-342.721(094.56) Índices para catálogo sistemático: 1. Lei geral de proteção de dados: Comentários: Direito à privacidade 342.721(094.56) Maria Alice Ferreira – Bibliotecária – CRB-8/7964
Versão de Livre Distribuição Online: DONA BIBLIOTECÁRIA Pela isenção fiscal em livros de qualquer natureza, pelo fim do superfaturamento em livros eletrônicos.
LGPD: LEI GERAL DE PROTEÇÃO DE DADOS COMENTADA Coordenadores VIVIANE NÓBREGA MALDONADO E RENATO OPICE BLUM Autores ALESSANDRA BORELLI, ANDRIEI GUTIERREZ, CAIO CÉSAR CARVALHO LIMA, CAMILLA DO VALE JIMENE, FABRICIO DA MOTA ALVES, FERNANDO ANTONIO TASSO, LUIS FERNANDO PRADO CHAVES, MARCOS GOMES DA SILVA BRUNO, NURIA LÓPEZ, RONY VAINZOF, VIVIANE NÓBREGA MALDONADO 2a edição revista, atualizada e ampliada 1a edição: abril de 2019 © desta edição [2020] THOMSON REUTERS BRASIL CONTEÚDO E TECNOLOGIA LTDA. JULIANA MAYUMI ONO Diretora responsável Rua do Bosque, 820 – Barra Funda Tel. 11 3613-8400 – Fax 11 3613-8450 CEP 01136-000 – São Paulo, SP, Brasil TODOS OS DIREITOS RESERVADOS. Proibida a reprodução total ou parcial, por qualquer meio ou processo, especialmente por sistemas gráficos, microfílmicos, fotográficos, reprográficos, fonográficos, videográficos. Vedada a memorização e/ou a recuperação total ou parcial, bem como a inclusão de qualquer parte desta obra em qualquer sistema de processamento de dados. Essas proibições aplicam-se também às características gráficas da obra e à sua editoração. A violação dos direitos autorais é punível como crime (art. 184 e parágrafos, do Código Penal), com pena de prisão e multa, conjuntamente com busca e apreensão e indenizações diversas (arts. 101 a 110 da Lei 9.610, de 19.02.1998, Lei dos Direitos Autorais). Os autores gozam da mais ampla liberdade de opinião e de crítica, cabendo-lhes a responsabilidade das ideias e dos conceitos emitidos em seu trabalho. CENTRAL DE RELACIONAMENTO THOMSON REUTERS SELO REVISTA DOS TRIBUNAIS (atendimento, em dias úteis, das 09h às 18h) Tel. 0800-702-2433 e-mail de atendimento ao consumidor: [email protected] e-mail para submissão dos originais: [email protected] Conheça mais sobre Thomson Reuters: www.thomsonreuters.com.br Acesse o nosso eComm
www.livrariart.com.br Profissional Fechamento desta edição [26.09.2019]
ISBN 978-65-5065-023-0
SOBRE OS COORDENADORES
VIVIANE NÓBREGA MALDONADO Juíza de Direito do Tribunal de Justiça do Estado de São Paulo (1993/2018). Data Protection Expert (CIPP/E – IAPP – e Data Protection Officer Professional – Universidade de Maastricht). Membro do Núcleo de Direito Digital da Escola Paulista da Magistratura. Docente em Proteção de Dados em nível de Educação Executiva, bem como ministrados in company. Membro do Training Advisory Board da International Association of Privacy Professionals e da ITechLaw. Pós-graduação em Direito Civil à luz da Constituição Federal (EPM), MBA em Relações Internacionais (FGV-SP) e Mestre em Direito Comparado pela Universidade de Samford (USA). Coordenadora e instrutora do primeiro curso sobre o GDPR no Brasil. Idealizadora e coordenadora do primeiro evento sobre o GRPR no País e do 1° Privacy Summit Brazil. Autora do livro Direito ao esquecimento (Ed. Novo Século, 2017), do livro LGPD Comentada e Advocacia 4.0 (Ed. Thomson Reuters, 2019), bem como de diversos artigos acadêmicos publicados no Brasil e no exterior. Partner do Instituto de Inovação Legal (Portugal) e fundadora da Nextlaw Academy. RENATO OPICE BLUM Advogado e Economista. Mestre pela Florida Christian University. Professor coordenador do curso de Direito Digital e Proteção de Dados do INSPER e do MBA em Direito Eletrônico da Escola Paulista de Direito. Presidente da Associação Brasileira de Proteção de Dados (ABPDados); Juiz do Inclusive Innovation Challenge do MIT. Membro da diretoria da Technology Law Association. Membro Convidado do Grupo de Cybercrimes do Conselho da Europa. Membro da Associação Europeia de Privacidade – European Privacy Association – Think Tank. Membro Convidado da EuroPrivacy (Senior
Expert em Proteção de Dados). Autor dos livros Direito eletrônico: a internet e os tribunais (. 1. ed. São Paulo: Edipro, 2001. v. 1. 688p); Coordenador e coautor do livro Manual de direito eletrônico e internet (São Paulo: Aduaneiras, 2006. v. 1.) e O Bug do Ano 2000 – Aspectos Jurídicos e Econômicos (São Paulo: LTR, 1999. v. 1).
SOBRE OS AUTORES
ALESSANDRA BORELLI Advogada especialista em Direito Digital, pós-graduada em Direito Bancário e Mercado de Valores Mobiliários pela FGV/SP, com extensão em Direito Digital pela Escola Paulista de Magistratura, diretora executiva da Nethics Educação Digital e da Opice Blum Academy, professora convidada dos cursos Proteção de Dados e Direito Digital do Insper, membro efetivo da Comissão Permanente de Estudos de Tecnologia e Informação do IASP, colaboradora do Manual de Orientação da Sociedade Brasileira de Pediatria Saúde de Crianças e Adolescentes na Era Digital, co-autora do livro Educação Digital, Ed. RT, 2015, Coordenadora e autora do Manual de Boas Práticas para Uso Seguro das Redes Sociais da OAB/SP, autora da primeira Coleção de Educação para Cidadania Digital do Brasil, Ed. FTD, 2016, coautora do livro Comentários ao GDPR – Regulamento Geral de Proteção de Dados da UE, Ed. RT, 2018, co-autora do livro Lei Geral de Proteção de Dados Comentada, Ed. RT, 2019 e de diversos artigos e cartilhas relacionados ao tema. Palestrante no Brasil e exterior, tendo participado da Bett Show, do LearnIT – London/2019 e do International Society for Technology in Education (ISTE) – Philadelphia/2019. ANDRIEI GUTIERREZ Ph.D em Ciência Política pela Unicamp e em Sociologia pela Université de Provence. Foi Pesquisador da Unicamp por cerca de dez anos na área de Ciência Política. Atua há mais de 15 anos no setor privado e na academia nas áreas de Ciências Sociais, Tecnologia, Mineração e Bens de Capital. Trabalhou na VALE S/A e na Associação Brasileira de Máquinas e Equipamentos (ABIMAQ) em funções ligadas a assuntos corporativos e relações institucionais. Diretor de Relações Governamentais e Assuntos
Regulatórios na IBM, sendo um dos seus principais interlocutores para temas de Privacidade e Proteção de Dados Pessoais no Brasil. Líder do Comitê Regulatório da Associação Brasileira das Empresas de Software (ABES) e do Grupo de Trabalho de Política Digital e Inovação na Associação Brasileira das Empresas de Tecnologia da Informação e da Comunicação (BRASSCOM). É um dos idealizadores e coordenador do Movimento Brasil, País Digital, iniciativa multissetorial liderada pela ABES com o foco de estimular a transformação digital do País. CAIO CÉSAR CARVALHO LIMA Mestre em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Professor convidado de universidades, ministrando disciplinas de Proteção de Dados e Direito Digital. Autor de artigos e capítulos de livro en-volvendo esses temas. Certificado em Privacy and Data Protection Essentials (LGPD), Foundation (GDPR) e Practitioner (GDPR) pela EXIN. Advogado especialista em Proteção de Dados e Direito Digital. CAMILLA DO VALE JIMENE Advogada e Professora. Sócia do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados. Pós-Graduada em Direito Processual Civil pela PUCSP. Conselheira da Associação Brasileira de Proteção de Dados – ABPDados.Coordenadora do Comitê de Estudos em Compliance Digital da LEC – Legal, Ethics & Compliance. FABRICIO DA MOTA ALVES Advogado e Professor em Direito Digital. Sócio do escritório Antônio Fernando de Souza e Garcia de Souza Advogados Associados e Coordenador da área de Proteção de Dados, Tecnologia e Inovação. Membro da Comissão Nacional de Proteção de Dados do Conselho Federal da Ordem dos Advogados do Brasil. Non Key Expert da Comissão Europeia. Alumnus do International Visitors Leadership Program em Regulação e Legislação na Era Digital e do European Union Visitors Program. Coordenador jurídico da Frente Parlamentar de Proteção de Dados Pessoais. Professor em Privacidade e Proteção de Dados do Instituto Brasiliense de Direito Público – IDP, do Instituto de Ensino e Pesquisa – Insper e da Legal, Ethics & Compliance – LEC, Pontifícia Universidade Católica do Paraná, Campus de Toledo, Escola Paulista de Direito, Fundação Getúlio Vargas (Rio de Janeiro). Membro
benemérito da Associação Brasileira de Proteção de Dados – ABPDados e membro associado da International Association of Privacy Professionals. FERNANDO ANTONIO TASSO Juiz de Direito em São Paulo. Graduado em Direito pela PUC-SP. Especialista em Gestão e Governança de Tecnologia da Informação pela FIAP. Juiz formador de magistrados habilitado pela Escola Nacional de Formação e Aperfeiçoamento de Magistrados – ENFAM. Coordenador de Tecnologia da Informação e Direito Digital da Escola Paulista da Magistratura – EPM, onde também é Coordenador do Núcleo de Estudos em Direito Digital. LUIS FERNANDO PRADO CHAVES Advogado especialista em Direito Digital e Proteção de Dados, com certificação internacional CIPP-E (Certified Information Privacy Professional) pela IAPP (Inter-national Association of Privacy Professionals). Professor convidado do curso DPO – Proteção de Dados e Privacidade da FGV Direito Rio. Mestre em Direito Digital e Sociedade da Informação pela Universidade de Barcelona. Especialista em Propriedade Intelectual e Novos Negócios pela Escola de Direito de São Paulo (FGV-SP). Coautor do livro Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia (Ed. RT, 2018). Foi pesquisador externo do Grupo de Ensino e Pesquisa em Inovação (GEPI) da FGV Direito SP, onde participou das contribuições ao Anteprojeto de Lei sobre Proteção de Dados (Ministério da Justiça), que resultou na LGPD. MARCOS GOMES DA SILVA BRUNO Advogado. Membro da Comissão Especial de Direito Digital e Compliance da Ordem dos Advogados do Brasil – Seção de São Paulo (OAB/SP). Diretor da Associação Brasileira de Comércio Eletrônico – ABCOMM. Professor do Instituto de Ensino e Pesquisa – INSPER e da Lex Editora. Professor convidado do Programa de Educação Continuada da Escola Politécnica da USP. Palestrante convidado em várias instituições e congressos. Autor de diversos artigos relacionados ao Direito Digital, Privacidade e Proteção de Dados. Colaborador em diversos veículos de informação. Autor da monografia Os aspectos jurídicos do comércio eletrônico e do livro Resumo jurídico de direito civil: obrigações e contratos no novo Código Civil”
(Quartier Latin). Coautor de Novo Código Civil: questões controvertidas – Série Grande Temas de Direito Privado – v. I (Método) e de Internet legal: o direito na tecnologia da informação (Juruá). Coorganizador do Manual de direito eletrônico e internet (Lex). NURIA LÓPEZ Doutora em Teoria e Filosofia do Direito pela PUC-SP. Mestre em Teoria e Filosofia do Direito pela PUC-SP. Advogada especializada em Direito Digital e Proteção de Dados. Curadora de conteúdo da Opice Blum Academy. Professora convidada em cursos de pós-graduação e extensão. Palestrante. Autora de publicações nacionais e internacionais (Alemanha, Espanha) sobre Neurofilosofia, Inteligência Artificial, Sociedade da Informação e Proteção de Dados. RONY VAINZOF Mestre em Soluções Alternativas de Controvérsias Empresariais pela Escola Paulista de Direito. Pós-Graduado em Direito e Processo Penal pela Universidade Presbiteriana Mackenzie. Coordenador e Professor do MBA em Direito Eletrônico da Escola Paulista de Direito (EPD). Diretor do Departamento de Defesa e Segurança e Coordenador do Grupo de Trabalho de Segurança Cibernética da FIESP. Fundador e Vice-Presidente da Associação Brasileira de Proteção de Dados (ABPDados). Integrante da Câmara de Segurança e Direitos na Internet do Comitê Gestor da Internet no Brasil. Alumni do International Visitor Leadership Program em 2018 – Legislation and Regulation for the Digital Age. Certificado pela Exin em Privacy and Data Protection Foundation e Privacy and Data Protection Practitioner. Coautor dos livros Marco Civil da Internet, Educação digital, A Implementação dos meios extrajudiciais de solução de controvérsias e Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. VIVIANE NÓBREGA MALDONADO Juíza de Direito do Tribunal de Justiça do Estado de São Paulo (1993/2018). Data Protection Expert (CIPP/E – IAPP – e Data Protection Officer Professional – Universidade de Maastricht). Membro do Núcleo de Direito Digital da Escola Paulista da Magistratura. Docente em Proteção de Dados em nível de Educa-ção Executiva, bem como ministrados in company.
Membro do Training Advisory Board da International Association of Privacy Professionals e da ITechLaw. Pós-graduação em Direito Civil à luz da Constituição Federal (EPM), MBA em Relações Internacionais (FGV-SP) e Mestre em Direito Comparado pela Universidade de Samford (USA). Coordenadora e instrutora do primeiro curso sobre o GDPR no Brasil. Idealizadora e coordenadora do primeiro evento sobre o GRPR no País e do 1° Privacy Summit Brazil. Autora de Direito ao Esquecimento (Ed. Novo Século, 2017), bem como dos livros Comentários ao GDPR, LGPD Comentada, Advocacia 4.0 e LGPD – Manual de Implementação (Ed. Thomson Reuters, 2019), bem como de diversos artigos acadêmicos publicados no Brasil e no exterior. Partner do Instituto de Inovação Legal (Portugal) e fundadora da Nextlaw Academy.
INTRODUÇÃO
Em 2018, lançamos nossa obra coletiva Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia, pela Editora Revista dos Tribunais/Thomson Reuters, livro que, desde o início, foi muito bem recebido e chegou a figurar como o mais vendido da categoria na plataforma Amazon. O livro, de fato, é bastante completo e consistente, o que por certo contribuiu para atrair o interesse de tantos leitores. Entretanto, creditamos tal fenômeno a um fator externo à própria qualidade da obra: o tema da proteção de dados está, efetivamente, no centro da agenda mundial. Quando decidimos realizar o primeiro evento sobre o GDPR no Brasil, que aconteceu na sede da Câmara Portuguesa, em São Paulo, pouquíssimas pessoas já haviam ouvido falar sobre a então iminente nova lei europeia, tampouco sobre os novos paradigmas que viriam a se estabelecer em termos universais. Hoje, menos de dois anos depois, o tema de proteção de dados tornou-se recorrente e primordial, proliferando-se eventos, congressos, cursos, workshops e artigos acadêmicos no Brasil e em boa parte do mundo ocidental. Essa circunstância nos deixa felizes, pois hoje constatamos que estávamos certos. Por outro lado, sempre soubemos da nossa responsabilidade de tratar tal tema de forma continuada e contextual, trazendo aos leitores a totalidade das informações disponíveis para que todos possam, em verdadeiro movimento de revolução de mindset, contribuir para a disseminação da cultura da proteção de dados, seja dentro das corporações, seja fora delas, sob a perspectiva da necessidade da educação digital a todas as pessoas.
Esse livro é a continuação da nossa missão. Em bases permanentes, nós e todos os autores estudamos, aprendemos, debatemos e ensinamos tudo aquilo que sabemos em matéria de proteção de dados. E nossa satisfação maior nesse momento é saber que, com a aprovação da Lei 13.709/2018, o Brasil alinha-se ao standard mundial da proteção de dados e eleva-se em termos reputacionais. Ademais, é evidente que essas novas exigências significam grandes oportunidades para uma enorme gama de profissionais de variadas áreas de atuação, a quem se abrem novas possibilidades. O mundo está cada vez mais conectado e isso não é novidade. Mas o que vemos agora, porém, é um pouco diferente. Profissionais que antes mantinham suas atuações adstritas a uma determinada área precisarão interagir com outros experts para que, juntos, consigam dar sentido e empreender conformidade no que se refere ao conjunto de regras de proteção de dados. O advogado, por exemplo, não poderá seguir por esse caminho sem trilhar de forma muito próxima do profissional da segurança da informação. E um profissional de marketing não mais poderá prosseguir em suas atividades cotidianas se não estiver perfeitamente ciente do regramento legal que se impõe em matéria de proteção de dados. A partir de agora, portanto, todos, indistintamente, deverão ampliar sua expertise e desenvolver competências complementares ao originário segmento de atuação. Mais do que uma lei, vemos a proteção de dados como um shift no modo de pensar e de agir no mundo atual. Os próprios gigantes tecnológicos já entenderam essa proposição. Nossa lei brasileira, ainda antes de entrar em vigor, já sofreu alterações, pelo que reputamos relevante a atualização da obra. E seguiremos fazendo isso cada vez que houver modificações legislativas. Somos testemunhas presenciais da alteração dos paradigmas da privacidade e não perderemos a oportunidade de fazer a nossa parte da melhor forma que pudermos. E será sempre muito bom que possamos continuar todos juntos. Convidamos você, leitor, a caminhar conosco nessa jornada. Ainda é só o
começo. Há um mundo inteiro de conhecimentos e de oportunidades logo mais à frente. Aproveite! VIVIANE NÓBREGA MALDONADO RENATO OPICE BLUM
SUMÁRIO
SOBRE OS COORDENADORES SOBRE OS AUTORES INTRODUÇÃO LEI 13.709, DE 14 DE AGOSTO DE 2018
CAPÍTULO I – Disposições Preliminares RONY VAINZOF Art. 1° Art. 2° Art. 3° Art. 4° Art. 5° Art. 6°
CAPÍTULO II – Do Tratamento de Dados Pessoais CAIO CÉSAR CARVALHO LIMA SEÇÃO I – DOS REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS Art. 7° Art. 8° Art. 9° Art. 10
SEÇÃO II – DO TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS Art. 11
Art. 12 Art. 13 SEÇÃO III – DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E DE ADOLESCENTES Art. 14 SEÇÃO IV – DO TÉRMINO DO TRATAMENTO DE DADOS Art. 15 Art. 16
CAPÍTULO III – Dos Direitos do Titular VIVIANE NÓBREGA MALDONADO Art. 17 Art. 18 Art. 19 Art. 20 Art. 21 Art. 22
CAPÍTULO IV – Do Tratamento de Dados Pessoais pelo Poder Público FERNANDO ANTONIO TASSO SEÇÃO I – DAS REGRAS Art. 23 Art. 24 Art. 25 Art. 26 Art. 27 Art. 28 Art. 29 Art. 30
SEÇÃO II – DA RESPONSABILIDADE Art. 31 Art. 32
CAPÍTULO V – Da Transferência Internacional de Dados LUIS FERNANDO PRADO CHAVES Art. 33 Art. 34
Art. 35 Art. 36
CAPÍTULO VI – Dos Agentes de Tratamento de Dados Pessoais MARCOS GOMES DA SILVA BRUNO SEÇÃO I – DO CONTROLADOR E DO OPERADOR Art. 37 Art. 38 Art. 39 Art. 40 SEÇÃO II – DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS Art. 41 SEÇÃO III – DA RESPONSABILIDADE E DO RESSARCIMENTO DE DANOS Art. 42 Art. 43 Art. 44 Art. 45
CAPÍTULO VII – Da Segurança e das Boas Práticas CAMILLA DO VALE JIMENE SEÇÃO I – DA SEGURANÇA E DO SIGILO DE DADOS Art. 46 Art. 47 Art. 48 Art. 49 SEÇÃO II – DAS BOAS PRÁTICAS E DA GOVERNANÇA Art. 50 Art. 51
CAPÍTULO VIII – Da Fiscalização FABRICIO DA MOTA ALVES SEÇÃO I – DAS SANÇÕES ADMINISTRATIVAS Art. 52 Art. 53 Art. 54
CAPÍTULO IX – Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade ANDRIEI GUTIERREZ SEÇÃO I – DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) Art. 55 Art. 55-A Art. 55-B Art. 55-C Art. 55-D Art. 55-E Art. 55-F Art. 55-G Art. 55-H Art. 55-I Art. 55-J Art. 55-K Art. 55-L
SEÇÃO II – DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE Art. 58 Art. 58-A Art. 58-B Art. 59
CAPÍTULO X – Disposições Finais e Transitórias ALESSANDRA BORELLI E NURIA LÓPEZ Art. 60 Art. 61 Art. 62 Art. 63 Art. 64 Art. 65
LEI 13.709, DE 14 DE AGOSTO DE 2018 Dispõe sobre a proteção de dados pessoais e altera a Lei 12.965, de 23 de abril de 2014 (Marco Civil da Internet). O Presidente da República: Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei: Capítulo I Disposições Preliminares
RONY VAINZOF Art. 1° Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A Lei Geral de Proteção de Dados Pessoais brasileira (LGPD1) se preocupa e versa apenas e tão somente sobre o tratamento2de dados pessoais.3 Ou seja, não atinge diretamente dados de pessoa jurídica, documentos sigilosos ou confidenciais, segredos de negócio, planos estratégicos, algoritmos, fórmulas, softwares, patentes, entre outros documentos ou informações que não sejam relacionadas a pessoa natural identificada ou identificável. Toda essa miríade de outros tipos de informações ou documentos encontram tutela em distintos diplomas legais, como a Lei de Propriedade Industrial (Lei 9.279/1996), a Lei de Direitos Autorais (Lei 9.610/1998) e a Lei de Software (Lei 9.609/1998), apenas para
citar alguns exemplos. Não obstante, sempre quando tais documentos e informações não tocados diretamente pela Lei em estudo contiverem dados pessoais, estes, e tão somente estes, estarão protegidos por ela, motivo pelo qual a análise da aplicabilidade da LGPD, sob esse enfoque, deverá se aprofundar no mapeamento e inventário de dados pessoais estruturados4 e não estruturados.5 Outra questão que merece destaque no art. 1°, por mais que vivenciemos a era digital, em que dados pessoais usualmente já nascem, são coletados, utilizados e descartados diretamente por meios digitais, de forma dinâmica, é a aplicabilidade da Lei também ao tratamento de dados em estado físico ou off-line, migrando ou não, posteriormente, para o meio digital ou on-line. Ademais, a LGPD se aplica a pessoas física6 e jurídicas que tratem dados pessoais, de direito público7 ou privado. Outrossim, independentemente dos fundamentos da LGPD, que veremos na sequência, buscarem um equilíbrio na manutenção do desenvolvimento econômico e tecnológico de modelos de negócio inovadores, públicos ou privados, com a inviolabilidade de direitos constitucionais dos cidadãos, a parte final do art. 1° não deixa qualquer dúvida que o seu objetivo está intrinsicamente vinculado à proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. E a utilização do verbo “proteger”, no art. 1°, também demonstra essa necessidade coerente que o legislador enxergou no titular dos dados como vulnerável em comparação com os agentes de tratamento.8 De fato, essa preocupação de tutelar de forma mais específica referidos direitos fundamentais tornou-se ainda mais necessária com a evolução da informática e das telecomunicações, pois desde o início dos anos 1970, com o advento dos computadores, quando houve um incremento no uso de processamento de dados, inclusive pessoais. Esse período coincidiu com a formação de blocos econômicos regionais, o que estimulou o compartilhamento de dados pessoais em grandes quantidades e em escala internacional. Esse cenário revelou um aumento de produtividade e eficiência de empresas e governos e, por outro lado, também fez crescer a preocupação com a proteção da privacidade de indivíduos, sobretudo diante do fluxo transfronteiriço de dados. Por isso, surgiram leis de proteção da privacidade
do indivíduo, relativamente ao tratamento de seus dados pessoais, alinhadas com o sentimento de equilíbrio entre a proteção das liberdades individuais e a preservação de um fluxo aberto de dados pessoais capaz de sustentar o livre comércio internacional. A evolução regulatória histórica em torno da questão revela muito do próprio desenvolvimento humano em torno do conceito de privacidade,9 estimulando e permitindo um juízo de ponderação, baseado em parâmetros como necessidade e proporcionalidade, para modelar e contrabalançar o interesse privado e o interesse público, estabelecendo a possibilidade de ingerência do Estado sobre direitos fundamentais e liberdades civis, limitando-os. A premissa é única: não existem direitos absolutos, mas qualquer limitação a direitos fundamentais deve ocorrer de forma moderada, necessária e proporcional. Por isso, também, é que se compreende a necessidade de regular o direito à privacidade sob uma perspectiva econômica, focada no já mencionado fluxo internacional de dados – um elemento fundamental para a economia globalizada dos séculos XX e XXI. Portanto, referidos direitos fundamentais, como o da privacidade, ganharam maior necessidade de proteção legal, como por meio da LGPD, assim como da General Data Protection Regulation (GDPR),10 norma da União Europeia que inspirou a legislação brasileira, diante da quantidade avassaladora de dados coletados na era digital e do elevado grau de organização e inteligência empregado sobre eles (progresso quantitativo e qualitativo), viabilizando análises valorativas, não apenas pelo Estado sobre os cidadãos, mas também por empresas privadas. Tudo em razão da atual capacidade computacional de processamento, que não só viabiliza, mas também acelera a possibilidade de coleta, armazenamento, tratamento e compartilhamento de dados, em um período contemporâneo marcado pelo trinômio Big Data, Internet das Coisas e Inteligência Artificial, no qual máquinas trocam informações e comandos entre si, permitindo a execução de ações automáticas e atingindo diversos setores da economia11. Manuel Castells, chancela essa nova economia de dados, como aquela que passa a ser “interconectada por um sistema nervoso eletrônico”.12 Pierre
Lévy, acerca da capacidade de processamento automático de todos esses dados, do alto grau de precisão, da celeridade e da escala quantitativa possível, é taxativo ao dispor que “nenhum outro processo a não ser o processamento digital reúne, ao mesmo tempo, essas quatro qualidades. A digitalização permite o controle das informações e das mensagens ‘bit a bit’, número binário a número binário, e isso na velocidade de cálculo de computadores”.13 A leitura das Considerandas 6 e 7, do GDPR, são bastante úteis ao tema, pois creditam a exigência de um quadro de proteção de dados mais sólido e coerente, diante da rápida evolução tecnológica e da globalização, que permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades, transformando a economia e a vida social.14 Assim, a LGPD busca a proteção de direitos e garantias fundamentais da pessoa natural, equilibradamente, mediante a harmonização e atualização de conceitos de modo a mitigar riscos e estabelecer regras bem definidas sobre o tratamento de dados pessoais. Entidades públicas e privadas que enxergarem tais proteções como direitos dos cidadãos e não somente como obrigações a serem cumpridas estarão um passo à frente dessa nova fase do Compliance, que agora, além do combate a corrupção, visa o uso seguro e ético dos dados pessoais. E a LGPD, logo em seu art. 1°, enfatiza essa questão, trazendo como objetivo da Lei a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei n° 13.853, de 2019)
O parágrafo único em questão visa constranger a proliferação de regulamentações estaduais que certamente podem gerar potenciais controvérsias com a LGPD, mas não impede a capacidade legislativa dos entes federativos, o que seria resolvido apenas por meio de emenda constitucional, que inclusive já tramita no Congresso conforme PEC 17/2019, que além incluir a proteção de dados pessoais entre os direitos e garantias fundamentais, visa fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Art. 2° A disciplina da proteção de dados pessoais tem como fundamentos:
Inicialmente, acerca da diferença entre objetivos e fundamentos, Celso Ribeiro Bastos explica que “a ideia de objetivos não pode ser confundida com a de fundamentos, muito embora, algumas vezes, isto possa ocorrer. Os fundamentos são inerentes ao Estado, fazem parte de sua estrutura. Quanto aos objetivos, estes consistem em algo exterior que deve ser perseguido”.15 Newton de Lucca, exercitando o que pode ser extraído dos próprios léxicos, já contemplando também o conceito de princípio, entende como pertinente a última acepção do Dicionário Eletrônico Houaiss: “princípio é uma proposição filosófica que serve de fundamento a uma dedução”, assim como fundamento “um conjunto de princípios a partir dos quais se pode fundar ou deduzir um sistema, um agrupamento de conhecimentos”.16 Para Fábio Konder Comparato, o termo fundamento “designa o que serve de base ao ser, ao conhecer, ou ao decidir. Fundamento é, pois, a causa ou razão de algo (ratio essenci, ratio cognoscendi, ratio decidendi)”.17 Assim, passaremos ao estudo dos fundamentos da Lei Geral de Proteção de Dados Pessoais. I – o respeito à privacidade;
Há uma discussão constantemente em curso sobre a natureza do conceito de privacidade, se seria um valor natural ao homem, como o direito à vida, ou se seria uma construção social e civilizatória, dependente do manejo de outros valores complexos, como a segurança, o bem-estar e a própria dignidade da pessoa. Embora de difícil manejo solidificar o conceito de privacidade, torna-se relativamente aprazível chancelar que ela sempre esteve diretamente dependente do estado da tecnologia de determinada sociedade. As primeiras organizações tribais tinham como prioridade a sobrevivência em ambientes hostis ao ser humano. Daí a escolha, consciente ou inconsciente, por relegar a privacidade a um segundo plano. Com o passar do tempo, porém, as civilizações humanas passaram a, consciente ou inconscientemente, desejar um certo grau de isolamento de assuntos pessoais diante da exposição ou intromissão social ou pública. Desde as primeiras discussões jurídicas mais profundas sobre o tema, especialmente a partir do ensaio de Samuel Warren e Louis Brandeis – The
right to privacy (1890)18 –, passou-se a compreender a privacidade sob a ótica de um direito do indivíduo. No mencionado artigo, os autores apontavam como novas tecnologias, como máquinas fotográficas, poderiam extrapolar limites e adentrar domínios invioláveis da vida privada e doméstica. Desde então, o conceito expandiu-se, a ponto de ser tutelado como um direito que importa à coletividade também, na medida em que a evolução tecnológica passou a reinventar modelos de negócios cada vez mais baseados em dados dos indivíduos. Assim, a preocupação com a proteção de dados pessoais está associada à própria noção de proteção da privacidade, um bem jurídico cuja inviolabilidade foi elevada ao status de direito fundamental pelas principais constituições democráticas do mundo. Sociedades civilizadas perceberam que a proteção da privacidade é elemento indissociável da dignidade da pessoa, razão pela qual qualquer ato capaz de afetar a intimidade do cidadão seria também um ato atentatório à experiência humana de uma vida digna. Tanto é assim que, em nosso ordenamento jurídico, a privacidade se apresenta como Direito e Garantia Fundamental, conforme disposto na Constituição Federal, ao cravar que é inviolável a intimidade e a vida privada, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação.19 Por sua vez, o Código Civil dispõe que a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a essa norma.20 A inviolabilidade de dados, independentemente do sigilo da correspondência, comunicações telegráficas e telefônicas, também está presente em nossa Constituição Federal, em seu art. 5°, inc. XII, e foi consolidada por força de julgamento no Supremo Tribunal Federal (STF),21 em que pese a mesma Suprema Corte, em julgado posterior,22 ter chancelado que a proteção existente na Constituição é na comunicação de dados, e não da informação pessoal propriamente dita. Conforme entendimento de Tércio Sampaio Ferraz Júnior, a vida privada compõe, porém, um conjunto de situações que, usualmente, são informadas sem constrangimento. São dados que, embora privativos – como nome, endereço, profissão, idade, estado civil, filiação, número de registro público oficial, etc., condicionam o intercâmbio humano em sociedade, pois constituem elementos de identificação que tornam a
comunicação possível, corrente e segura. Por isso, a proteção desses dados em si, pelo sigilo, não faz sentido.23
Porém, independentemente da discussão supra, a necessidade da proteção de dados pessoais como forma de proteção da privacidade se mostra cada vez mais presente, pois praticamente tudo o que um indivíduo faz pode ser registrado em um dado, ativa ou passivamente. E esses dados podem se tornar compreensíveis, organizados, ordenados e associados a valores, de maneira a se tornarem informação útil, capaz de ser igualmente armazenada e processada. Ou seja, anotações sobre pessoas, organizadas por critérios e parâmetros. O cruzamento de dados pessoais cadastrais, análises de comportamento em redes sociais, compras com cartão de credito, tempo de permanência em páginas de internet, meros registros de acesso a aplicações, informações de geolocalização ou de consumo de energia podem estabelecer parâmetros fidedignos para identificar e traçar perfis consistentes de indivíduos, seus gostos e interesses, seja para direcionar um produto ou serviço, para validar uma contratação profissional, seja para identificar um potencial criminoso. Para Danilo Doneda, a tutela da privacidade envolvendo dados pessoais “não nos permite determinar parâmetros para julgar o que ela representa em um mundo no qual o fluxo de informações aumenta incessantemente, assim como aumenta o número de oportunidades de realizarmos escolhas que podem influir na definição da nossa esfera privada”.24 Marcel Leonardi, citando a definição de Alan Westin, entende que “o atributo básico do direito à privacidade seria, portanto, a capacidade de o indivíduo controlar a circulação de informações a seu respeito”.25 Carlos Bruno Ferreira da Silva esclarece sobre as duas diferentes concepções existentes quanto à abrangência de proteção de dados pessoais: a primeira como liberdade negativa, em que bastaria garantir o direito de recusa ou proibição do titular como exclusão do conhecimento de terceiros. Seria uma forma de adaptação da intimidade clássica para fazer frente aos desafios das novas tecnologias; já a segunda, sem prejuízo da primeira, a proteção de dados se estenderia e se multiplicaria para assegurar o controle de dados dos próprios titulares, mesmo quando já em domínio de terceiros.26 Por isso, o que alguém faz ou pode fazer com dados pessoais de terceiros, no sentido de o próprio titular ter o direito de determinar quais predicados
dele mesmo poderão ser utilizados por outros, passou a ser objeto de proteção em novos regimes jurídicos, deflagrando, certeiramente, a privacidade como fundamento da LGPD. II – a autodeterminação informativa;
Conforme ponderado até o momento, a quantidade de dados disponíveis e a qualidade de seu tratamento por meio de sistemas informatizados altamente capazes transformaram dados pessoais em verdadeiras commodities. Modelos de negócios são invariavelmente pautados e rentabilizados, cada vez mais, no tratamento de dados pessoais. De tal sorte, pensar que o cidadão possa ter o controle sobre seus próprios dados parece, atualmente, utopia. Porém, a autodeterminação informativa se apresenta como fundamento da LGPD, justamente nesse momento em que ainda predomina uma coleta e tratamento massivo e desenfreado de dados, como forma de devolver para o titular o poder sobre o fluxo e o uso dos seus próprios dados, mediante o estabelecimento de determinações objetivas aos agentes de tratamento27. A autodeterminação informativa, que é o controle pessoal sobre o trânsito de dados relativo ao próprio titular – e, portanto, uma extensão de liberdades do indivíduo – conjuga as duas já mencionadas concepções de privacidade de dados: a primeira de caráter negativo e estático; e a moderna, em que a intervenção (proteção) é dinâmica, durante todo o ciclo de vida dos dados nos mais variados meios em que possa circular. Nas palavras de Stefano Rodotà é um “poder permanente de controle sobre seus próprios dados”.28 Ou seja, o fundamento ora em tela vai muito além do nível de esfera íntima do cidadão, pois atinge também emanações notoriamente de natureza pública dos titulares, como opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,29 incluindo o tratamento de dados pessoais cujo acesso é público, que deverá considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.30 Na Alemanha, um dos países que apresenta alto grau de respeito jurídico à proteção de dados,31 alcançou notória evidência e confirmação de tutela para referido direito quando o seu Tribunal Constitucional Federal julgou como parcialmente constitucional uma lei federal para a realização de censo
demográfico no país, diante da coleta excessiva de dados que seria realizada,32 em um contexto de perigo de um “Estado espião”, oriundo das previsões do livro 1984, de George Orwell. Referida decisão foi paradigmática, inclusive internacionalmente, pois estabeleceu um marco mundial da proteção de dados pessoais, consagrando o conceito, ora fundamento da LGPD, da autodeterminação informativa, conforme trecho extraído do julgado germânico: “aquele que, com segurança suficiente, não pode vislumbrar quais informações pessoais a si relacionadas existem em áreas determinadas de seu meio social, e aquele que não pode estimar em certa medida qual o conhecimento que um possível interlocutor tenha da sua pessoa, pode ter sua liberdade consideravelmente tolhida”.33 E, para buscar dar efetividade ao fundamento da autodeterminação informativa, a LGPD, em seu Capítulo III, dispõe sobre os direitos dos titulares, entre eles: de obter do controlador a confirmação da existência de tratamento; de ter acesso aos seus dados; da correção de dados incompletos, inexatos ou desatualizados; da anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; da portabilidade dos dados a outro fornecedor de serviço ou produto; da revogação do consentimento; da eliminação dos dados pessoais tratados com o consentimento do titular; da informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; da informação sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa, entre outros. O distanciamento do controle e da autoridade sobre os seus próprios dados, a partir do momento em que o indivíduo não consegue mais identificar quais informações suas são utilizadas, para quais propósitos, e como isso interfere e influencia em sua vida, é um sinal preocupante de tolhimento da autodeterminação informativa, que muitas vezes ocorrerá de forma imperceptível ao titular. Daí o motivo pelo qual referido conceito também se apresenta de forma certeira, como fundamento, da LGPD. III – a liberdade de expressão, de informação, de comunicação e de opinião;
A nossa Constituição Federal prevê que é livre a manifestação do pensamento, sendo vedado o anonimato,34 assim como que é livre a expressão da atividade intelectual, artística, científica e de comunicação,
independentemente de censura ou licença.35 Ronald Dworkin leciona que a liberdade de expressão do pensamento é vital e integra o próprio desenvolvimento humano,36de tal forma que a manutenção desse fundamental direito garante a autodeterminação dos indivíduos. Por isso, o Estado deve se manter neutro quanto a liberdade de pensamento dos indivíduos para que ela possa ocorrer de forma livre, o que é definido por Celso Ribeiro Bastos como “valor da indiferença”.37 Sem comunicação livre, não se pode falar em sociedade livre, muito menos em soberania popular. É um aspecto social, que torna possível um espaço público de ideias, com ampla liberdade de posições, contribuindo para a formação de uma opinião pública independente, consciente e pluralista.38 Liberdade de expressão, de informação, de comunicação e de opinião usualmente estão consignados, juntamente com privacidade, nos ordenamentos jurídicos internacionais, entrelaçados com direitos humanos, como forma de garantir que o tratamento de dados pessoais seja considerado ilícito caso possa violar referidos direitos, como coleta de dados por órgãos públicos ou entidades privadas que depois os utilizem de base para a criação de dossiês para pressionar jornalistas, defensores de direitos humanos, entre outros. A Declaração de Princípios sobre a Liberdade de Expressão da Comissão Interamericana de Direitos Humanos dispõe que a censura prévia, interferência ou pressão direta ou indireta sobre qualquer expressão, opinião ou informação divulgada por qualquer meio de comunicação oral, escrito, artístico, visual ou eletrônico deve ser proibida por lei. As restrições na circulação livre de ideias e opiniões, bem como a imposição arbitrária de informações e a criação de obstáculos ao livre fluxo informativo, violam o direito à liberdade de expressão.
Bem como que leis de privacidade não devem inibir nem restringir a pesquisa e divulgação de informações de interesse público. A proteção à reputação deve estar garantida por meio de apenas punições civis nos casos em que a pessoa ofendida seja um funcionário público ou pessoa pública ou particular que tenha se envolvido voluntariamente em assuntos de interesse público. Nesses casos, deve provar-se que o comunicador, na divulgação das notícias, teve a intenção de infligir dano ou o pleno conhecimento de que estava divulgando notícias falsas, ou se conduziu com manifesta negligência na busca de sua verdade ou falsidade.39
Assim, proteção de dados pessoais, liberdade de expressão, de
informação, de comunicação e de opinião devem ser objeto de equilíbrio legal, conforme decisão da Corte Interamericana de Direitos Humanos: A justiça deve encontrar um balanço entre a vida privada e a liberdade de expressão que, não sendo absolutos, são dois direitos fundamentais garantidos pela Convenção Americana e são de grande importância em uma sociedade democrática. A Corte recorda que todo direito fundamental deve ser exercido em relação a outros direitos fundamentais. Esse é um processo de harmonização no qual o Estado tem papel chave na tentativa de determinar as responsabilidades e a imposição de sanções que possam ser necessárias para atingir tal propósito.40
A nossa própria Constituição Federal cria restrições à liberdade de expressão, como a já mencionada vedação ao anonimato, para aqueles que a extrapolem possam ser identificados e responsabilizados, bem como para a proteção à imagem, à honra, à intimidade e à privacidade, garantido o direito de resposta e indenização no caso de abuso. Por sua vez, como já comentado anteriormente, a sociedade da informação alterou completamente comportamentos ao fundir espaços públicos e privados, gerando uma “sociedade confessional” e criando “danos colaterais da modernidade líquida”, conforme Zygmunt Bauman,41 o que torna mais complexo legislar sobre o assunto, pois não só as manifestações puras de pensamento precisam estar protegidas como também a externalização de gostos, interesses e características do ser humano realizadas por algoritmos, mediante potentes processadores de dados. Historicamente, a mídia tradicional (televisão, rádio e impressa) disponibiliza espaços para debates públicos, ocasionalmente. Hoje, as empresas de tecnologia são as curadoras dominantes da informação e do pensamento dos seus usuários. Pressões culturais, econômicas, políticas e morais, interesses públicos e privados, e até mesmo erros sistêmicos, podem gerar manipulações, por meio de censura e de desinformação. Yuval Harari comenta de forma sarcástica que o algoritmo de busca do Google tem um gosto muito sofisticado no que concerne a classificar as páginas de vendedores de sorvete na internet, e os vendedores de sorvete mais bem-sucedidos do mundo são aqueles que o algoritmo do Google coloca no topo da lista – não os que produzem o sorvete mais gostoso42. O instituto de pesquisa Data & Society, focado em questões sociais e culturais decorrentes de tecnologias centradas em dados e automatizadas, em estudo de 2016, concluiu que todos os sistemas de poder podem ser
manipuláveis, assim como as esferas públicas estabelecidas através de tecnologias de rede e algoritmos, tanto pelos desenvolvedores dos sistemas quanto por aqueles que encontrem técnicas para moldar fluxos de informação. Assim, questões relevantes sobre quem controla – e deve controlar – o público em uma era de algoritmos e buscar soluções para as preocupações existentes requer desembrulhar quais valores, povos e vozes devem ter poder.43 Não é por acaso que a LGPD dispõe, em seu art. 20, que o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade, bem como que o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.44 Um dos debates mais relevantes sobre o tema, entre tantos outros, versa sobre a sujeição de buscadores da internet aos ditames de leis proteção de dados, em razão da responsabilidade pelo tratamento de dados pessoais e atuação como intermediário.45 Sobre o assunto, no leading case europeu,46 de 2014, o Tribunal de Justiça da União Europeia decidiu pela possibilidade de desindexação quando o tratamento de dados leva a um resultado que atente contra a dignidade da pessoa lato sensu, sopesando liberdade de expressão e direito à informação versus honra e imagem de uma pessoa (Sr. González, no caso), cujo débito saudado há tempo ainda constava nos resultados de busca. O Tribunal também considerou que a desindexação das buscas figura como ação muito menos restritiva do que a remoção de determinada informação da página da internet de origem. A organização não governamental de direitos humanos, artigo 19, esclarece, sob seu ponto de vista, aspectos relacionados à liberdade de expressão e à garantia de outros direitos fundamentais que devem estar presentes em normativos legais sobre proteção de dados pessoais, como: menção expressa à proteção de liberdade de expressão; exceção à atividade jornalística e outros formas de expressão; menção expressa à Lei de Acesso à Informação; cautela com interpretações que possibilitem reinvindicações do direito ao esquecimento; criação de um órgão regulador; mecanismo de
controle social; proteção aos dados sensíveis, com regime diferenciado, diante da possibilidade de discriminação e possibilidade de censura, por exemplo, em razão de sua religião ou orientação sexual; graus de consentimento, incluindo para compartilhamento a terceiros; proteção de dados em acesso público, entre outros.47 Assim, a LGPD, ao citar expressamente como fundamento a liberdade de expressão, já demonstra, prima facie, sua intenção de garantir a conciliação do almejado equilíbrio de preceitos legais. A Lei, também: (i) exclui a sua aplicação ao tratamento realizado para fins exclusivamente jornalístico e artístico ou acadêmico;48 (ii) conta com capítulo dedicado ao Poder Público, com referência à Lei de Acesso à Informação;49 (iii) veda o tratamento de dados para fins discriminatórios; (iv) exige qualidade, finalidade, adequação, necessidade e transparência no tratamento entre os seus princípios;50 (v) determina que o tratamento de dados pessoais, cujo acesso é público, considere a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização;51 e (vi) não dispõe expressamente sobre “direito ao esquecimento”, somente disciplinando hipóteses de revogação do consentimento e eliminação dos dados,52 sendo coerente citar, acerca desta última questão, que a Consideranda 65, do GDPR, explica que “o prolongamento da conservação dos dados pessoais deverá ser efetuado de forma lícita quando tal se revele necessário para o exercício do direito de liberdade de expressão e informação”.53 IV – a inviolabilidade da intimidade, da honra e da imagem;
Da mesma forma que a LGPD enfatiza como fundamento a privacidade, também o faz com a inviolabilidade da intimidade, da honra e da imagem, direitos igualmente fundamentais previstos no mesmo art. 5°, inc. X, da Constituição Federal. Conforme entendimento de Danilo Doneda, há uma proliferação de termos distintos doutrinariamente para se referir à privacidade, como “vida privada, intimidade, segredo, sigilo, recato, reserva, intimidade da vida privada […]”,54 o que pode gerar insegurança jurídica, em que pese o próprio Tribunal Europeu de Direitos Humanos “não considerar possível, nem necessário, procurar uma definição exaustiva para a noção de vida privada”.55 Marcel Leonardi traz um compilado de doutrinas acerca do tema,56 sendo
válido citar algumas delas: “direito de o indivíduo ser deixado em paz para viver sua própria vida com um grau mínimo de interferência”;57 “o direito de subtrair-se à publicidade para recolher-se na própria reserva”;58 o direito à intimidade é o direito de o indivíduo não ser arrastado para a ribalta contra a sua vontade, de subtrair-se à publicidade e de permanecer recolhido na sua intimidade, o direito de manter olhos e ouvidos indiscretos afastados dessa esfera de reserva, bem como o direito de impedir a divulgação de palavras, escritos e atos realizados nessa esfera de intimidade;59e “espaço íntimo intransponível por intromissões ilícitas externas”.60 Porém, merecem destaque, para o tema proteção de dados, os seguintes entendimentos sobre intimidade, ainda da compilação anteriormente referida: Milton Fernandes, ao afirmar que seria o o direito de excluir razoavelmente da informação alheia, fatos e dados pertinentes ao sujeito. Este poder jurídico atribuído à pessoa consiste, em síntese, em opor-se à divulgação de sua vida privada e a uma investigação nesta. A este poder corresponde o dever de todas as outras pessoas de não divulgar a intimidade alheia e de não se imiscuir nela. E é neste poder que está o conteúdo do que seja intimidade.61
Para Ricardo Luis Lorenzetti, “aquela parte da existência do sujeito não comunicável” para proteger um estilo de vida confortável, resguardado da intromissão de estranhos.62 Por fim, Edson Ferreira da Silva entende como “poder jurídico de subtrair ao conhecimento alheio e de impedir qualquer forma de divulgação de aspectos da nossa vida privada, que segundo um sentimento comum, detectável em cada época e lugar, interessa manter sob reserva”.63 Robert Alexy, ao comentar a teoria das esferas desenvolvida pelo Tribunal Constitucional alemão, esclarece que é possível distinguir três esferas, com intensidades de proteção decrescente: a) a esfera mais interior (“último e inviolável âmbito de liberdade humana”, “âmbito mais interno (íntimo)”, “esfera íntima inviolável”, “esfera nuclear da configuração da vida privada, protegida de forma absoluta”); b) a esfera privada ampliada, que inclui o âmbito privado que não pertence à esfera mais interior, e c) a esfera social, que inclui tudo aquilo que não for atribuído nem ao menos à esfera privada ampliada.64
E daí justamente começam a deflagrar novamente a necessidade da defesa desses direitos fundamentais em termos de proteção de dados pessoais, pois cada um dos dados, considerados em si, pode ser pouco ou nada significativo: ou melhor,
pouco ou nada diz além da questão específica a que diretamente se refere. No momento em que se torna possível conhecer e relacionar toda a massa de informações relativas a uma determinada pessoa, do cruzamento dessas relações surge o perfil completo do sujeito considerado, que permite sua avaliação e seu controle por parte de quem dispõe do meio idôneo para efetuar tais operações.65
Para Yuval Harari, quando a revolução na biotecnologia se fundir com a revolução na tecnologia da informação, ela produzirá algoritmos de Big Data capazes de monitorar e compreender meus sentimentos muito melhor do que eu, e então a autoridade provavelmente passará dos humanos para os computadores. Minha ilusão de livre-arbítrio provavelmente vai se desintegrar à medida que eu me deparar, diariamente, com instituições, corporações e agências do governo que compreendem e manipulam o que era, até então, meu inacessível reino interior.66
Notoriamente, condutas dolosas ou negligentes, imprudentes ou imperitas no tratamento de dados pessoais podem expor a intimidade dos titulares, assim como afetar diretamente a sua honra e imagem, como no caso da exposição de dados financeiros, doenças ou opção sexual, acesso indevido ao conteúdo de mensagens, entre outras situações correlatas. Dados biométricos, logins e senhas, sob a tutela dos agentes de tratamento, quando vazados, podem franquear o acesso de terceiros não autorizados às mais diversas informações íntimas e privadas dos titulares, como fotos, vídeos, textos, áudios, prontuários médicos, para citar apenas alguns exemplos. Para mitigar tais riscos e dar efetividade aos fundamentos ora em estudo, a LGPD dispõe que o tratamento de dados pessoais será irregular quando deixar de observar qualquer hipótese nela prevista, ou quando não fornecer a segurança que o titular dele pode esperar67. Ainda, além da Constituição Federal e da LGPD, importante lembrar que o Código Civil prevê, em seu art. 20, que, salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a divulgação de escritos, a transmissão da palavra, ou a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade ou se se destinarem a fins comerciais.
Porém, quando tecnologias existentes podem ler mentes68 ou detectar células cancerosas, como proteger a intimidade e esses demais direitos fundamentais? Uma coisa é continuar fumando apesar das estatísticas que ligam o fumo ao câncer de pulmão. Outra é continuar fumando apesar da advertência concreta de um sensor biométrico que acabou de detectar 17
células cancerosas na parte superior de seu pulmão esquerdo. E, se você quiser desafiar o sensor, o que vai fazer quando o sensor repassar a advertência a sua seguradora, seu chefe e sua esposa?69 Uma das respostas certamente é prever a inviolabilidade da intimidade, da honra e da imagem como fundamento e dissecar as mais variadas obrigações de proteção de dados pessoais em lei, como a LGPD o faz, buscando, também, uma modificação cultural no tratamento dos dados pessoais. V – o desenvolvimento econômico e tecnológico e a inovação;
Uma sociedade percorre os caminhos de acordo com as possibilidades técnicas de sua época, e é inegável, por exemplo, o fato de que o desenvolvimento do capitalismo moderno é tributário de uma tecnologia em constante evolução que lhe fornece um ambiente propício.70 Se a Revolução Industrial foi um marco em que a tecnologia passou a ocupar destaque na dinâmica social, a sua rápida evolução nas mais diversas áreas, como informática, eletrônica e telecomunicações, passou a condicionar diretamente a sociedade como instrumento de produção, distribuição do tempo e de espaço. A tecnologia deixou de ser vista apenas como situação de fato, isolada de uma conjuntura, para ser um vetor condicionante da sociedade e, em consequência, do próprio direito.71 A capacidade de processamento de dados se transformou em preceito nuclear para a evolução econômica,72 não apenas quando lidamos com novos serviços puramente digitais, mas também em razão da possibilidade de as informações existentes, quando extraídas dos dados, poderem ser absorvidas e tratadas, gerando conhecimento para qualquer pessoa ou entidade aplicarem no que considerarem pertinente, de forma eficaz. A nova forma da economia é pautada em dados pessoais, que, outrora intangíveis, tornaram-se visíveis e cristalinos diante da possibilidade do mapeamento do passivo já existente e do desenvolvimento de ferramentas que encontravam guarida em sonhos, mas agora ganham espaço no comércio acessível ao público em geral. A sociedade que consegue ter a abertura necessária para manipular dados, inovando e gerando novos modelos de negócios, produtos e serviços, automaticamente provoca o desenvolvimento e, consequentemente, alavanca
a economia. O Sistema Nacional para a Transformação Digital (SNTD),73 nesse sentido, prevê que o desenvolvimento da economia digital requer confiança no ambiente digital. Assim, a ação governamental deve estar focada em proteção de direitos e privacidade e defesa e segurança no ambiente digital, mediante o aprimoramento de mecanismos de proteção de direitos no meio digital, inclusive nos aspectos relativos à privacidade e à proteção de dados pessoais, assim como fortalecer a segurança cibernética no País, estabelecendo mecanismos de cooperação entre entes governamentais, entes federados e setor privado, com vistas à adoção de melhores práticas, coordenação de resposta a incidentes e proteção da infraestrutura crítica. Ainda, ao dissertar sobre a moderna economia baseada em dados, o SNTD deixa claro ser elemento estratégico para o crescimento do País aproveitar as oportunidades advindas da crescente disponibilidade e do grande volume de dados, provendo: a criação de forte ecossistema para desenvolvimento da economia de dados, com incentivos ao desenvolvimento de infraestrutura de telecomunicações e à atração de data centers ao País; capacidades técnicas e humanas relativas ao uso e tratamento de grandes volumes de dados; e um ambiente jurídico-regulatório que estimule investimentos e inovação, a fim de conferir segurança aos dados tratados e adequada proteção aos dados pessoais. Por sua vez, para promover o desenvolvimento sustentável e competitivo da economia brasileira, o Banco Nacional de Desenvolvimento Econômico e Social (BNDES), em parceria com o Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), apoiou a realização de um estudo para o diagnóstico e a proposição de plano de ação estratégico de Internet das Coisas (Internet-of-Things – IoT),74 o qual, em seu relatório final, de janeiro de 2018,75 concluiu: sob o ponto de vista do relatório, em termos de privacidade e proteção de dados, da necessidade de implantação de segurança jurídica para a proteção de dados pessoais e pela definição de autoridade central independente, potencialmente em modelo de corregulação;76 diante da proliferação de novos dispositivos conectados à internet capazes de armazenar, coletar e tratar uma significativa quantidade de dados, tem sido recorrente a discussão sobre os usos legítimos dos dados e sobre as vulnerabilidades das bases de dados; a formulação de políticas públicas, a gestão eficiente e transparente dos órgãos governamentais e a criação de
novos modelos de negócios são influenciadas pelo crescimento exponencial de análises baseadas em grandes volumes de dados; o desenvolvimento de soluções de IoT perpassa pela edição de norma sobre proteção de dados pessoais que lide com a complexidade e as nuances do contexto tecnológico, e que seja capaz de trazer segurança jurídica a essa nova sociedade; mais do que a edição de norma específica sobre proteção de dados pessoais, também se faz necessária uma instância regulatória para lidar com os desafios da atual sociedade da informação, com uma autoridade capaz de apresentar opiniões técnicas para esse novo ambiente e realizar controle unificado e homogêneo da proteção de dados pessoais.77 A LGPD, portanto, também é uma resposta aos anseios ora elencados ao trazer mais segurança jurídica para o ambiente digital brasileiro, bem como ao criar, por meio da Medida Provisória 869/18, a Autoridade Nacional de Proteção de Dados (ANPD).78 E uma legislação que segue em grande parte a norma mais robusta e atual em termos de proteção de dados, que é o GDPR, ao assegurar um nível de proteção geral e horizontal, coerente, elevado e homogêneo, tende a eliminar obstáculos à circulação de dados pessoais com outros países, por conseguinte, gerando maior probabilidade de investimentos e atividades econômicas no Brasil. Conforme Andriei Gutierrez, a imposição de restrições legais ou regulatórias para o fluxo de dados são elementos limitadores para uma estratégia desenvolvimentista na era digital. Essa é uma questão crucial para países que estejam pensando em estratégias de desenvolvimento econômico e social. Significa impossibilitar o acesso às mais atuais tecnologias, prejudicando a competitividade de empresas nacionais e dos investimentos internacionais.79 Portanto, o desenvolvimento econômico e tecnológico, com o seu perfil dinâmico inerente ao próprio termo, dialoga umbilicalmente com o progresso de uma sociedade, motivo pelo qual é bastante salutar consigná-los, também, como fundamentos na LGPD, assim como a inovação. VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
Conforme comentando anteriormente, dados pessoais deixaram de ser insumo básico para a criação e o desenvolvimento de qualquer negócio, para
servirem como commodities ao possuírem grande valor comercial e estratégico de acordo com a quantidade, qualidade e capacidade de tratamento.80 Referido poder viabiliza facilidades enormes como em pesquisas na internet, recebimento de produtos em horas, melhores trajetos para chegar à determinado destino, informações precisas sobre a saúde de um paciente, entre outras inúmeras hipóteses. Quanto mais usuários, mais dados e maior a possibilidade de melhoria de produtos e serviços das próprias plataformas, assim como melhor o valor agregado aos usuários. Conforme Bruno Bioni, com a “inteligência gerada pela ciência mercadológica, especialmente quanto à segmentação dos bens de consumo (marketing) e a sua promoção (publicidade), os dados pessoais dos cidadãos converterem-se em um fator vital para a engrenagem da economia da informação”.81 O mercado de tratamento de dados pessoais, assim, deve estar aberto a todos que busquem empreender, nos termos do art. 170 da Constituição Federal, que prevê que a ordem econômica, fundada na valorização do trabalho humano e na livre-iniciativa, tem por fim assegurar a todos existência digna, conforme os ditames da justiça social, observados princípios, entre os quais o da livre concorrência e o da defesa do consumidor. André Ramos Tavares, lembra que a livre-iniciativa exige, inicialmente, a igualdade de condições (perante o Estado) para que os agentes privados do mercado iniciem suas atividades. Se o Estado conceder situações de vantagens ou privilégios, como oferecer maquinários ou verbas para apenas uma empresa, que vai se refletir em uma situação de superioridade indevida na competição de mercado quando do funcionamento da empresa, haverá, aí, livre-iniciativa viciada.82 Para José Inácio Gonzaga Franceschini e Vicente Bagnoli, abarca-se no referido princípio “o fundamento da economia de mercado, onde os agentes econômicos devem travar suas disputas, da qual o melhor, o mais apto, conseguirá a vitória, sobrepondo-se aos seus rivais”. O “ambiente de livre concorrência” propiciará “resultados mais eficientes, com inovações tecnológicas, aumento da qualidade de produtos e serviços, reduções de custos – e consequentemente de preços”, de forma a cooperar “efetivamente para o desenvolvimento e trazendo ganhos ao bem-estar econômico do consumidor”83.
Sem a garantia da livre-iniciativa no tratamento de dados pessoais, poderia haver compressão do uso de tecnologias e, consequentemente, prejuízos aos usuários, motivo pelo qual o tratamento jurídico equilibrado para as atividades desenvolvidas no mercado é condição para se evitar a retração da economia pautada em dados. Marcel Leonardi lista alguns dos fatores econômicos, sociais e jurídicos que evidenciam referida importância, como a importância da função social das ferramentas digitais; a promoção da liberdade de expressão, o acesso à informação, à educação e à cultura; variedade de papéis econômicos, gerando empregos e tributos por meio de novos modelos de negócio e constante inovação; e a segurança jurídica no ambiente on-line fomentar a inovação nacional.84 Por sua vez, o fundamento da livre concorrência decorre do regime de livre mercado, sendo vedadas agressões traduzidas pelo abuso de poder econômico, no qual há um interesse público envolvido e o que se tutela são as estruturas competitivas de mercado, e na deslealdade concorrencial, quando há um interesse privado tutelado de forma ilícita.85 Nesse sentido, o European Data Protection Board (EDPB)86 emitiu uma declaração sobre os impactos da proteção de dados em casos de concentração econômica,87 registrando a intenção de analisar os efeitos da aquisição e da concentração de dados comercialmente críticos sobre os clientes de eventuais concorrentes, no contexto da investigação aberta sobre a proposta de aquisição da Shazam pela Apple.88 A EDPB considera essencial avaliar as implicações a longo prazo para a proteção econômica e garantia de direitos do consumidor sempre que uma fusão significativa for proposta, pois o aumento da concentração de mercado no ambiente digital tem o potencial de ameaçar o nível de proteção de dados e a liberdade que beneficiam os consumidores de serviços digitais. Assim, a proteção de dados e os interesses de privacidade e dos direitos da personalidade dos indivíduos são relevantes para qualquer avaliação de potencial abuso de poder, bem como em eventuais fusões de empresas, que podem acumular poder informativo. Na mesma linha, José Antonio Remedio e Marcelo Rodrigues da Silva comentam que, sem a adoção de políticas públicas de longo prazo, a racionalidade empresarial continuará utilizando-se de estratégias anticoncorrenciais sensíveis envolvendo big data, criando monopólios em
determinados setores em que o interesse não é o consumidor e questões relacionadas à mobilidade urbana, por exemplo, mas sim a obtenção de dados e a possibilidade de impedir que concorrentes ganhem força no setor. Concluem que a economia criativa, que tem por centralidade os ativos intangíveis, torna-se a principal estratégia de desenvolvimento dos municípios, territórios, estados e países, pois são os únicos recursos que não se esgotam, mas se multiplicam com o uso, gerando não apenas resultados financeiros, mas também resultados sociais, ambientais e culturais, sendo necessária revisão de políticas públicas concorrenciais no setor tecnológico, de forma a criar novos concorrentes.89 Em procedimento no Conselho Administrativo de Defesa Econômica (CADE), o Google foi acusado de privilegiar seu comparador de preços e discriminar os concorrentes, infringindo a neutralidade do algoritmo de busca para favorecer o seu serviço em detrimento de outros. O CADE concluiu que os dados relativos à queda de tráfego para os comparadores de preços não foram conclusivos. Já os dados referentes aos gastos dos comparadores de preços com anúncios patrocinados não indicam que houve aumento em decorrência das práticas acusadas. Desse modo, a Superintendência-Geral do Órgão entendeu não ser possível concluir que a conduta analisada impactou negativamente o ambiente concorrencial, bem como que, em mercados com inovação intensa, como o do caso investigado, a intervenção da autoridade antitruste deve se dar com bastante cautela, sob pena de inibição do esforço inovador, que é característico desses mercados. Por essas razões, foi recomendado o arquivamento do processo.90 Porém, a Comissão Europeia multou a referida empresa em 2,42 bilhões de euros por abusar de sua posição dominante no mercado, com o seu mecanismo de busca, por conferir vantagem ilegal a outro produto seu, de comparação de compras. A Comissária Margrethe Vestager, considerou que o buscador criou muitos produtos e serviços inovadores que fizeram a diferença em nossas vidas. Isso é uma coisa boa. Mas a estratégia para o serviço de comparação não foi apenas para atrair clientes tornando seu produto melhor do que o de seus concorrentes. Em vez disso, abusou de seu domínio de mercado como mecanismo de busca ao promover seu próprio serviço de comparação em seus resultados de pesquisa e rebaixar os concorrentes. Negava a outras empresas a chance de competir no mérito e inovar. E, mais importante, negou aos consumidores europeus a escolha verdadeira de serviços e todos os benefícios da inovação.91
Em outro caso relevante no Brasil, o Departamento de Proteção e Defesa
do Consumidor (DPDC) condenou uma empresa de comércio eletrônico ao pagamento de R$ 7.500.000,00, por diferenciação de preço de acomodações e negativa de oferta de vagas em hotéis, quando existentes, de acordo com a localização geográfica do consumidor (geopricing e geoblocking). No relatório que acompanha a condenação, a área jurídica do DPDC entendeu que ao precificar – ou permitir que se precifique – o serviço de acomodação de acordo com a localização geográfica do usuário, a empresa se conduz de forma a extrapolar o direito de precificar (ou permitir que serviço por ele anunciado seja precificado) de acordo com as práticas do mercado, não se se justificando o estabelecimento de preços diferentes de serviços que são prestados no mesmo local e nas mesmas condições a qualquer consumidor que esteja disposto a pagar por esses serviços. Quanto à não exibição da disponibilidade total de acomodações, entendeu que a infração à ordem jurídica é ainda mais evidente por extrapolar de seu direito de praticar o comércio e de ofertar o produto, prejudicando o consumidor brasileiro, ao não mostrar serviço que não queira vender a determinado consumidor (no caso, o consumidor brasileiro). Isso porque, segundo o DPDC, o favorecimento (ou desfavorecimento), bem como a discriminação por conta de etnia, localização geográfica ou qualquer outra característica extrínseca ao ato comercial causa desequilíbrio no mercado e nas relações de consumo.92 Já em razão da aquisição do WhatsApp pelo Facebook, a Comissão Europeia multou o Facebook em 10 milhões de euros por fornecer informações incorretas ou enganosas durante a investigação de 2014 realizada pela Comissão, pois, quando o Facebook notificou a aquisição do WhatsApp, em 2014, informou que não seria capaz de estabelecer uma correspondência automatizada confiável entre as contas dos usuários do Facebook e as contas dos usuários do WhatsApp. No entanto, em agosto de 2016, o WhatsApp anunciou atualizações de seus termos de serviço e política de privacidade, incluindo a possibilidade de vincular os números de telefone dos usuários do WhatsApp com as identidades dos usuários do Facebook, concluindo que a possibilidade técnica de correspondência automática das identidades dos usuários do Facebook e do WhatsApp já existia em 2014 e que a equipe do Facebook estava ciente de tal possibilidade.93 Sobre o mesmo episódio, o Instituto de Defesa do Consumidor (IDEC) elaborou relatório encaminhado à Secretaria Nacional de Defesa do Consumidor (SENACON), alegando não estar lançando um ataque a modelos
de negócio e atividades empresariais, que são legítimos e devem ser estimulados em um ambiente de livre-iniciativa e fomento à inovação, tal como garantido pelo Marco Civil da Internet (MCI – Lei 12.965/14), mas ressaltando a problemática de facilitação do processo de coleta de dados de 100 milhões de usuários do WhatsApp em desrespeito aos princípios do direito consumerista (boa-fé, transparência e direito à informação), o que seria um precedente perigosíssimo para outras empresas de tecnologia de atuação nacional. Recomendou, na época com base no MCI, ao WhatsApp/Facebook Inc. e às empresas de tecnologia que operam no Brasil: (i) a programação de códigos, softwares e apps para que o não compartilhamento de informações relacionadas à pessoa identificável esteja previamente selecionado (privacy by default); (ii) a programação de códigos, softwares e apps para que exista escolha informada sobre os diferentes tipos de dados que podem ser coletados e processados (com a opção de informar consentimento para os diferentes tipos de dados, em vez do consentimento forçado do tipo “tudo ou nada”); (iii) a explicação, nos termos de uso, da finalidade legítima de cada tipo de coleta e quais os grupos econômicos que estarão envolvidos em relações comerciais que envolvem a troca desses dados; (iv) a garantia da continuidade do uso da aplicação de Internet sem compartilhamento de dados nos casos de consumidores que já formaram expectativa legítima de privacidade com base em termos de uso anteriores, mesmo que o serviço tenha funcionalidades reduzidas94. Em razão de outra investigação,95 o Escritório Federal de Concorrência alemão (Bundeskartellamt), por sua vez, proibiu o Facebook de combinar dados de usuários de diferentes fontes, pois: serviços de propriedade do Facebook, como WhatsApp e Instagram, podem continuar a coletar dados. No entanto, atribuir os dados às contas de usuário do Facebook só será possível quando houver consentimento livre dos usuários nesse sentido. Quando o consentimento não for realizado, os dados devem permanecer dentro do respectivo serviço e não podem ser processados em combinação com os dados do Facebook; coletar dados de sites de terceiros e atribuí-los a uma conta de usuário do Facebook também só será possível se os usuários derem seu consentimento livre para tal finalidade. Vejamos mais alguns pontos da decisão e comentários de Andreas Mundt, Presidente do Bundeskartellamt:96 é um procedimento que pode ser visto como um desinvestimento interno dos dados do Facebook; a
combinação de fontes de dados contribuiu substancialmente para o fato de o Facebook ser capaz de criar um banco de dados exclusivo para cada usuário individual e, assim, ganhar poder de mercado; como empresa dominante, o Facebook está sujeito a obrigações especiais da lei de concorrência; na operação de seu modelo de negócios, a empresa deve levar em conta que os usuários do Facebook não podem mudar para outras redes sociais; tendo em vista o poder de mercado do Facebook, um único clique obrigatório no box para concordar com os termos de uso da empresa não é uma base adequada para esse processamento intensivo de dados; a única escolha que o usuário tem é aceitar a combinação abrangente de dados ou não usar a rede social; a extensão em que o Facebook coleta, mescla e usa dados em contas de usuários constitui um abuso de posição dominante, pois é capaz de coletar uma quantidade quase ilimitada de qualquer tipo de dados de usuários, de fontes de terceiros, e vinculá-los aos usuários; ao combinar dados de seu próprio site, serviços de propriedade da empresa e a análise de sites de terceiros, o Facebook obtém perfis muito detalhados de seus usuários e sabe o que eles estão fazendo on-line; isso se aplica, acima de tudo, se a prática de exploração também impedir concorrentes que não são capazes de acumular tal tesouro de dados. Assim, livre concorrência e livre-iniciativa são previsões legais que precisam ser analisadas de forma harmônica com as demais normas que possam traçar limites e estabelecer parâmetros para as decisões empresariais, mormente quando tais decisões possam trazer impactos demasiadamente prejudiciais à sociedade, como nos casos de vazamento ou tratamento ilícito de dados, motivo pelo qual a proteção ao consumidor se apresenta como forma de impor referido equilíbrio. Conforme Felipe Augusto dos Santos e Ana Paula Bagaiolo Moraes, “uma empresa que se utilize de práticas abusivas no relacionamento com o consumidor, aproveitando-se de sua situação de vulnerabilidade, possivelmente corresponderá, também, em desiquilíbrio no âmbito concorrencial”.97 Nesse sentido, uma das legislações setoriais que já versava sobre Proteção de Dados é justamente o Código de Defesa do Consumidor (CDC), ao dispor sobre a abertura de cadastro, ficha, registro e dados pessoais de consumo,98 além do Decreto 7.962/13, que regulamentou o CDC para o comércio eletrônico, ao dispor sobre a necessidade de mecanismos de segurança eficazes para tratamento de dados do consumidor.99
Outra Lei setorial é a do Cadastro Positivo (Lei 12.414/2011), sobre a qual o STJ já decidiu que a prática de credit scoring é lícito, desde que na avaliação do risco de crédito sejam respeitados os limites estabelecidos pelo sistema de proteção do consumidor no sentido da tutela da privacidade e da máxima transparência nas relações negociais, devendo ser a ele fornecidos esclarecimentos, caso solicitados, acerca das fontes dos dados considerados (histórico de crédito), bem como as informações pessoais valoradas.100 Além de trazer como fundamento, a LGPD também prevê que as hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente,101 bem como que a ANPD articulará sua atuação com o SENACON e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais.102 Tal ênfase na defesa do consumidor quanto ao tema proteção de dados deriva da era em que produtos e serviços são definidos e customizados de acordo com as opiniões e interesses de cada pessoa, mediante a publicidade direcionada, seja ela contextual, seja103 segmentada.104 Algoritmos, com a abundância de dados disponibilizada e a tecnologia existente, conseguem entender quando um cliente está pronto para adquirir um produto ou serviço, um motor de um carro precisa de manutenção, ou um paciente cardíaco está enfartando, por exemplo. Diante de tal contexto, há, por um lado, ganho para as empresas em termos de custos e diminuição da concorrência, mas, por outro, o incremento da ameaça à personalidade do consumidor, bem como ao equilíbrio do mercado de consumo, caso grandes bases de dados pessoais sejam tratadas e utilizadas para limitar ilicitamente o acesso a bens e serviços ou para selecioná-los e classificá-los de forma discriminatória.105 A necessidade da defesa dos interesses do consumidor diante da sua vulnerabilidade, fragilidade e exposição na era digital ganhou a expressão “consumidor de vidro”,106 pois praticamente toda atividade humana atual deixa rastro. Assim, na ausência do cumprimento de todas as novas disposições legais que buscam equilibrar a relação de consumo, os consumidores estarão suscetíveis a decisões imperceptíveis pautadas em seus próprios comportamentos, mas não necessariamente de acordo com os seus interesses.
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A proteção da pessoa humana deve ser entendida como valor máximo do ordenamento jurídico, conforme fundamento estampado no art. 1°, inc. III, da nossa Constituição Federal. Não levar em consideração novos problemas oriundos da evolução tecnológica, que influencia na experiência cientifica, política e cultural de uma sociedade, significaria abater o direito ao seu próprio tempo, tornando-o automaticamente obsoleto, insuficiente e incapaz de garantir os preceitos da pessoa com a velocidade característica da revolução tecnológica, o que é fundamental. A Declaração Universal de Direitos Humanos, da Organização das Nações Unidas (ONU), em seu art. 12, prevê que ninguém sofrerá intromissões arbitrárias na sua vida privada, bem como que, contra tais intromissões ou ataques, toda a pessoa tem direito à proteção da lei. Inclusive, o seu Conselho de Direitos Humanos, em julho de 2016, considerou relevante e publicou disposições para a promoção, proteção e fruição dos direitos humanos na internet, dispondo, entre outras questões, que a privacidade on-line é importante para a realização do direito de liberdade de expressão e de ter opiniões sem interferência.107 Por sua vez, a Convenção 108 do Conselho da Europa, de 1981, foi emendada, em 2018, justamente para incluir a proteção de direitos fundamentais dos indivíduos no processamento automático de dados pessoais, considerando, entre outras questões, a necessidade de garantir a dignidade humana e a proteção do ser humano, dada a diversificação, intensificação e globalização do processamento e fluxo de dados pessoais.108 A referida Convenção é o principal marco de proteção de dados pessoais como matéria pela chave dos direitos fundamentais, deixando claro, em seu preâmbulo, que a proteção de dados pessoais está diretamente vinculada à proteção dos direitos humanos e das liberdades fundamentais, entendendo-a como pressuposto do estado democrático, evidenciando sua deferência ao artigo 8° da Convenção Europeia para os Direitos do Homem109. Já a Coalizão Dinâmica para Direitos e Princípios da Internet,110 situada no Fórum de Governança da Internet das Nações Unidas, lançou os Dez Princípios Poderosos da Internet,111 bem como a Carta de Direitos Humanos e Princípios para a Internet,112 consignando, entre outros, a privacidade e a
proteção de dados pessoais: “todos os indivíduos têm o direito à privacidade online, incluindo o direito de não ser vigiado, o direito de usar criptografia e o direito ao anonimato online. Todos os indivíduos têm também o direito à proteção de dados, incluindo o controle sobre coleta, retenção, tratamento, eliminação e divulgação de dados pessoais”.113 Importante lembrar que direitos fundamentais são, em última instância, instrumentais à dignidade da pessoa humana, assim como há outros direitos autônomos que também são indiscutivelmente instrumentais.114 Não é por acaso que os direitos da personalidade, regulados de maneira não exaustiva pelo Código Civil brasileiro,115 são expressões da cláusula geral de tutela da pessoa humana,116 de forma dinâmica, para minimizar o risco de deixar de atingir situações até então inexistentes, oriundas da evolução tecnológica, sempre com o foco no livre desenvolvimento da pessoa. Lembrando que personalidade é “características ou conjunto de características que distingue uma pessoa”117 da outra. Assim, os direitos da personalidade, como nome, imagem e honra, conforme Carlos Alberto Bittar, são aqueles reconhecidos à pessoa humana tomada em si mesma e em suas projeções na sociedade.118 Fato é que as mais variadas rotinas, gostos e interesses que temos, se isoladamente vistos, dificilmente nos afetaria, mas quando colocados em conjunto e processados por mecanismos altamente capacitados, formam um compilado da nossa personalidade, facilmente manipulável por terceiros. Por isso, Stefano Rodotà leciona que a proteção é dinâmica, devendo seguir os dados em todos os seus movimentos,119 defendendo a doutrina, inclusive, a proteção de dados pessoais como uma nova espécie de direitos da personalidade, assegurando a pessoa a dignidade, a paridade, a não discriminação e a liberdade,120 pois quando os cidadãos passam a ser cada vez mais avaliados e classificados apenas a partir de informações a seu respeito, a proteção e o cuidado com estas informações deixa de ser um aspecto que somente diga respeito às esferas da do sigilo ou da privacidade, passando a figurar um componente essencial para determinar o grau de liberdade de autodeterminação individual de cada pessoa.121
Para Carlos Bruno Ferreira Silva, a “combinação de mínimas especificidades sobre os indivíduos tem o potencial de servir para que ele seja manipulado como poder pelo dono do banco de dados”,122 consistindo esse
novo tipo de dominação do ser humano pela tecnologia ainda mais grave, pois não nega direitos, mas simplesmente emascula a capacidade de reação do cidadão.123 Na mesma linha, Laura Schertel entende que a própria personalidade a que os dados pessoais se referem, exige que a proteção de dados pessoais seja compreendida não como um direito à propriedade, mas como uma espécie dos direitos de personalidade, que tem como objetivo equilibrar os direitos de proteção, de defesa e de participação do indivíduo nos processos comunicativos.124 Portanto, dados, quando pessoais, estão contidos dentro das mais variadas possibilidades de representação da personalidade da pessoa. Ainda, quando tratados, podem passar a representar, perante terceiros, a identidade de determinado indivíduo, de modo que, em última análise, a proteção de dados pessoais tem um papel de fundamental importância para que o indivíduo se realize e se relacione na sociedade, o que é um traço marcante dos direitos da personalidade125. Ou seja, a LGPD, ao fundamentar a sua existência também no livre desenvolvimento da personalidade e na dignidade, demonstra uma robusta preocupação na fidelidade da projeção da personalidade do ser humano, que decorre dos dados tratados do respectivo titular, por exemplo ao prever como direito a correção de dados incompletos, inexatos ou desatualizados.126 Esses direitos demonstram que a proteção de dados supera o gênero proteção à privacidade, como nos casos de proteção de informações íntimas do titular. Vai além, atinge também o direito da personalidade. Estamos, afinal, tratando de informações de cunho íntimo e pessoal, cuja associação à personalidade de um indivíduo específico pode não apenas o identificar, como revelar muito a seu respeito, a ponto de impactar o seu próprio exercício de cidadania. Lembrando Philip Agre, controlar informação pessoal é controlar a identidade do seu próprio projeto de mundo. É a liberdade de que a construção da própria identidade não sofrerá coação de forma injusta.127 Art. 3° Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
O caput do art. 3° da LGPD dispõe sobre a sua aplicação material,
deixando claro que não se importa com o tipo de tecnologia empregada para a realização do tratamento, se por meio digital ou analógico, com o uso de inteligência artificial, de forma automatizada ou manualmente. Assim, aplicase a LGPD para dados existentes em papel, no histórico de uma clínica hospitalar; na memória do computador de uma instituição financeira que armazena os dados bancários de seu cliente; em uma fita guardada pelo departamento de atendimento ao cliente de um agente de viagens; ou em imagens gravadas em circuito fechado de TV, por exemplo.128 Aplica-se também a pessoal natural,129 desde que o tratamento guarde relação com alguma atividade profissional ou comercial.130 Ou seja, para fins econômicos. Ainda, todas as aplicações e serviços providos por controladores ou operadores de dados, que são utilizados por pessoas naturais para fins de tratamento exclusivamente particular e não econômico, estarão sujeitos à LGPD. Quanto às pessoas jurídicas de direito privado, estão estabelecidas no Código Civil, conforme seu art. 44. São elas as I – as associações; II – as sociedades; III – as fundações; IV – as organizações religiosas; V – os partidos políticos; VI – as empresas individuais de responsabilidade limitada. Não importa para a LGPD o objetivo pelo qual tais entidades foram constituídas, se com foco principal e finalidade o tratamento de dados ou se o tratamento é só uma forma de apoio para a atividade principal, com fins lucrativos ou filantrópicos. A partir do momento que a pessoa jurídica adquire personalidade jurídica, estará apta a responder por seus atos, incluindo o cumprimento da LGPD, quando tratar dados pessoais e não se enquadrar em alguma exceção. Antes disso, todas as pessoas naturais que estiverem comprovadamente empregando esforços para o devido estabelecimento do negócio pretendido, de acordo com a avaliação da responsabilidade de cada um no tratamento eventualmente ilícito de dados pessoais, poderá ser fiscalizado, sancionado e responsabilizado, o que torna cogente que sejam estabelecidas cláusulas específicas sobre proteção de dados pessoais, com definição de responsabilidades de cada parte, especialmente por meio de Memorandum of Understanding (MoU).131 Lembrando que diversos empreendedores, em suas startups, baseiam suas iniciativas com imensa dependência do tratamento de dados pessoais.
A LGPD também se aplica a pessoa de direito público, prevendo, entre outras questões, que o tratamento deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, com informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso.132 Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas de direito público.133 Já as empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado.134 Porém, as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público.135 Por fim, a aplicação da LGPD também independe do país da sede ou do país da localização dos dados tratados, ampliando, assim, de forma considerável, a sua jurisdição,136 instituto formulado tradicionalmente com base em sociedades com fronteiras territoriais geográficas e físicas bem delimitadas. De fato, a pulverização das fronteiras territoriais em razão, principalmente, da internet, que viabiliza o fluxo internacional de dados de forma tão natural que é praticamente imperceptível ao ser humano comum, apesar de não subverter a possibilidade da aplicação da lei baseada em marcos geográficos, desafia, por sua escala mundial, as leis locais, fragmentadas, diversas, e por isso parcialmente impotentes dos múltiplos Estados-nação surgidos da civilização da imprensa. Esse desafio cria o caminho para a cidade universal da civilização do ciberespaço que, longe de se opor, chama por uma lei planetária, uma ciberdemocracia altamente participativa ligada ao novo espaço público da web.137
Cada Estado é livre para regular os atos praticados em seu território, sem a interferência de terceiros, bem como sem afetar outras nações, não obstante se apresentar como frutífera a criação de legislações semelhantes, com níveis
proporcionais e equivalentes de proteção de dados pessoais, visando desburocratizar o fluxo internacional de dados.138 Nesse contexto, é demasiadamente positivo a LGPD basear-se no GDPR, pois agora o Brasil pode ser reconhecido mundialmente por ter uma legislação robusta, equivalente à norma da UE, facilitando explicações de segurança jurídica para empresas internacionais que buscam investir no País, bem como pela possibilidade da análise, pela Comissão Europeia, do livre fluxo de dados com o Brasil, com base em uma decisão de adequação,139 assim como Argentina e Uruguai, na América Latina, já estão chancelados. Por fim, acerca das hipóteses de aplicabilidade territorial e extraterritorial, que serão analisadas adiante, registra-se que são independentes entre si, de modo que bastará a presença de somente uma delas para que a LGPD tenha efeito sobre o responsável pelo tratamento, seja ele o controlador, pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais,140 seja o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.141 Porém, há imprecisão técnica na redação dos incisos referentes a aplicação territorial e extraterritorial142. Vejamos: No inciso I, que deveria prestar apenas para estabelecimentos que tratem dados pessoais no território nacional, ou seja, dispor sobre a aplicação territorial da LGPD, ao prever a aplicação quando há “operação de tratamento”, em razão da amplitude do conceito em tela (“operação de tratamento”), acaba gerando também o dever de cumprimento da Lei aos agentes estrangeiros, mesmo sem sede no Brasil e que de qualquer forma “operem” dados pessoais no Brasil, o que inclui, por exemplo, a mera coleta, produção ou recepção de dados pessoais. O inciso II, que estaria correto ao trazer o targeting criterion,143 prevendo a aplicação extraterritorial da LGPD se a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, independentemente da localização geográfica do agente, acaba tornando-se sem efetividade, tanto em razão do inciso I, como em razão do III, a seguir explicado. No inciso III é prevista a aplicação da LGPD também quando “os dados pessoais objeto do tratamento tenham sido coletados no território nacional”.
Ou seja, não importa se o controlador ou o operador tenha como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil, bastando a mera coleta de quaisquer dados em território nacional para se aplicar a Lei. Sobre essa perspectiva, o GDPR conta com maior precisão jurídica, pois, basicamente, em seu art. 3°, prevê a sua aplicação: (i) no contexto de atividades de um estabelecimento do agente do tratamento situado no território da UE, independentemente do tratamento ser realizado dentro ou fora da UE;144 (ii) quando o agente de tratamento não está situado dentro da UE, mas as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a esses titulares,145 ou ao controle do comportamento desses titulares, desde que esse comportamento tenha lugar na EU.146 Portanto, em razão da apontada falha no texto legal, a ANPD, com a sua alçada de também deliberar sobre a interpretação da Lei e da sua competência147, terá um papel crucial de mitigar referida imprecisão, estabelecendo o targeting criterion para aplicação extraterritorial, visando não afastar/bloquear produtos ou serviços que não tenham foco no Brasil, mas, por um mero acesso de um brasileiro, em razão de esse mero ato já coletar dados pessoais, impor um risco de aplicabilidade da LGPD. Ademais, uma vez aplicável a LGPD, absolutamente todas as suas obrigações deverão ser cumpridas, não havendo quaisquer diferenciações de acordo com o porte das entidades ou criticidade dos dados tratados, o que difere do GDPR, o qual isenta entidades com menos de 250 trabalhadores da obrigatoriedade de registros de atividades de tratamento,148 a menos que o tratamento possa implicar risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados (dados sensíveis), ou envolva o tratamento de dados pessoais relativos a condenações penais e infrações. I – a operação de tratamento seja realizada no território nacional;
Para aplicação da jurisdição, o espaço físico em que a operação de tratamento ocorre é o primeiro ponto fulcral,149 pois as fronteiras físicas correspondem aos limites de soberania150 das nações. Porém, note-se que o inciso ora em estudo, como já comentando anteriormente, não está vinculado somente a uma entidade devidamente
estabelecida no Brasil, mas sim para qualquer operação de tratamento que seja realizado no território nacional, incluindo-se, nesse contexto, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ocorrida dentro da fronteira física do nosso país, o que pode se sobrepor aos incisos II e III, desse mesmo artigo da LGPD, os quais também contemplam a aplicabilidade da Lei para dados pessoais “coletados no território nacional”. Apesar da referida possibilidade de sobreposição, deveria trata-se do estudo de aplicação territorial da LGPD, pelo qual se entende que a Lei não se importa se os dados foram coletados fora do Brasil, se são dados de brasileiros ou estrangeiros, residentes ou não no Brasil, mas sim se a operação de tratamento de todos esses dados é realizada no território nacional. Portanto, se uma empresa com sede no Brasil desenvolveu um aplicativo de compartilhamento de bicicletas somente para usuários nos EUA e Europa, disponibilizando o serviço somente para essas duas localidades, coletando dados pessoais apenas internacionalmente, sem quaisquer dados de brasileiros, como as atividades de processamento de dados pessoais são realizadas pelo controlador, no Brasil, portanto, em território nacional, aplicar-se-á a LGPD. Este inciso da LGPD difere do GDPR, pelo fato de a norma da UE contemplar o critério de aplicação ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um controlador ou operador situado no território da União Europeia, independentemente de o tratamento ocorrer dentro ou fora da União,151 o que apresenta maior coerência, justamente mitigando o risco de sobreposições, como a citada anteriormente. Por exemplo, um fabricante de automóveis com sede nos EUA possui uma filial em Bruxelas, supervisionando todas as suas operações na Europa, incluindo propaganda e marketing. A filial belga pode ser considerada um estabelecimento estável, que exerce um desempenho real e efetivo de atividades, por conseguinte, ser considerado como um estabelecimento na UE, nos termos do GDPR.152
Claramente, uma empresa devidamente estabelecida no Brasil, desde que opere o tratamento de dados pessoais também em território nacional, seja a matriz, seja filial, controladora ou operadora de dados, deverá cumprir a Lei brasileira. Enquanto no GDPR o tratamento precisa ser “efetuado no contexto das atividades”, ou seja, a existência de qualquer estabelecimento na UE, com vínculos remotos às atividades de processamento de dados de uma entidade não pertencente à UE, não atrairá necessariamente a aplicabilidade do GDPR.153 Para avaliar aplicabilidade do GDPR nos termos do “critério de um estabelecimento na UE”, o EDPB recomenda que as organizações não pertencentes à UE procedam a uma avaliação do seu processamento, primeiramente para identificar se há tratamento de dados pessoais, bem como, posteriormente, identificando potenciais elos entre a atividade para a qual os dados estão sendo processados e as atividades existentes em qualquer estabelecimento da organização na UE. Se tal ligação for identificada, a sua natureza será a chave para determinar se o GDPR se aplica ao processamento em questão.154 Nesse sentido, a LGPD é mais abrangente, pois não limita qualquer situação para a sua aplicabilidade, bastando a existência da operação de tratamento em território nacional, o que carece de regulação e direcionamento por parte da ANPD visando delimitar os casos, além dos já previstos na Lei,155 em que a operação do tratamento seja tão reduzida, do ponto de vista quantitativo e qualitativo (criticidade dos dados operados), que não se faz necessário a aplicação da Lei. Por fim, é importante que se avalie, na relação controlador-operador, mormente pela possibilidade de empresas estrangeiras contratarem operações de tratamento de dados no Brasil, as responsabilidades de cada parte no cumprimento da LGPD, como manutenção no registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse, segurança e sigilo dos dados, boas práticas e governança corporativa. II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
Trata-se de inciso que versa sobre a aplicação extraterritorial da LGPD, pois normas que regem a legislação aplicável a determinadas condutas também primam pelo local dos efeitos da potencial lesão ao ordenamento
jurídico existente, não se importando com a Nação da empresa que busca explorar determinado mercado internacional. Nesse sentido, Marcelo Leonardi expõe que o fator preponderante para estabelecer a competência jurisdicional do caso concreto são os efeitos locais das informações disponibilizadas on-line, e não o local do armazenamento de seus dados.156 Quando agentes de tratamento estrangeiros visam prover serviços e explorar outro mercado, a partir do momento em que determinado mercado ganha corpo econômico, é cogente que se avalie as regras locais a que estarão sujeitos. É o conceito de direcionamento (targeting criterion) de bens ou serviços ou do foco no tratamento de dados para indivíduos, no caso, localizados no território nacional, mesmo sem a existência de um integrante do grupo econômico no Brasil, conforme inclusive já era previsto no MCI, ao dispor sobre a aplicação da legislação brasileira para dados coletados em território nacional, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.157 Portanto, independentemente da sede física do responsável pela atividade de tratamento de dados, considerando que eventuais lesões aos titulares terão reflexo no Brasil, diante do foco do produto ou serviço ser o mercado brasileiro ou o tratamento de dados de indivíduos no Brasil, a LGPD deverá ser cumprida. Decisão pertinente envolveu o bloqueio da aplicação “Tudo sobre Todos”, empresa que tratava, disponibilizava e comercializava na internet dados pessoais de brasileiros, como data de nascimento, CPF, endereço, perfil de possíveis parentes e vizinhos, entre outros. Como a empresa Top Documentos LLC, que se apresentava como proprietária da aplicação, informava que se localização na França; o site era sediado nas Ilhas Seychelles; o nome de domínio registrado era na Suécia (.se); e a identidade do responsável pelo registro de domínio foi ocultada pelo serviço utilizado, houve determinação para que os servidores backbones impusessem obstáculos tecnológicos que inviabilizem o acesso ao sitio eletrônico no Brasil.158 Inclusive, o Tribunal de Justiça do Distrito Federal e dos Territórios (TJ-DF) bloqueou R$ 2 milhões da conta do proprietário da empresa, em sede de liminar, para indenização por danos morais coletivos.159
Marcos Dantas, comentando os casos envolvendo o bloqueio da aplicação WhatsApp, no Brasil, entende que nenhuma empresa pode desrespeitar ou não fazer caso da soberania de qualquer Estado, muito menos a do nosso Estado brasileiro. Qualquer empresa, esteja onde estiver, se atuar em território brasileiro, tem que cumprir as nossas leis e obedecer aos nossos poderes instituídos. Isto, inclusive, está claro no Marco Civil da Internet: as leis que valem são as nossas. Só por isso, atitudes como as do Facebook e do WhatsApp já deveriam causar revolta a qualquer brasileiro, não lhes merecendo nenhuma solidariedade.160
Em outro importante julgado, dessa vez do TJ/SP, a conclusão foi na mesma linha: Uma ordem emanada de um Juiz de Direito integra a soberania nacional, não possuindo superiores na ordem externa e nem iguais na ordem interna. Se o Facebook opera no Brasil, está sujeito às leis brasileiras. Nesse cenário, é irrecusável que o fato das informações solicitadas estarem armazenados em outro país obstaculize o cumprimento de determinação emanada da d. autoridade impetrada.161
Ademais, ressalta-se que sobre esse ponto da aplicação extraterritorial, o GDPR é bastante semelhante à LGPD, ao dispor, em uma das hipóteses, que o Regulamento se aplica ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um controlador ou um operador não estabelecido na União, quando as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a esses titulares;162 ou com o controle do seu comportamento, desde que esse comportamento tenha lugar na União.163 Assim, a oferta ou o fornecimento de bens e serviços precisam ser realizadas para titulares que e encontrem fisicamente dentro do território brasileiro, mesmo que não haja cobrança pecuniária para tanto, sendo irrelevante, também aqui, a cidadania do titular ou o país de sua residência. O teste necessário é o da identificação da medida que há intenção de efetivamente se oferecer bens ou serviços a pessoas que se encontrem fisicamente no território brasileiro ou do foco em tratar dados de titulares em território nacional.164 O mero fato de estar disponível um website do controlador, operador ou intermediário, na internet, e, portanto, acessível aos brasileiros, mesmo em língua portuguesa, não é, por si só, suficiente para determinar a intenção prevista na Lei para o critério em estudo. Só imaginar, em caso contrário, como tal entendimento impactaria absolutamente todas as empresas, com site
na internet, de Portugal, Moçambique, Guiné-Bissau, ou outros países onde o português é a língua oficial. Sobre a questão, oportuno trazer a Consideranda 23, do GDPR, a qual dispõe sobre alguns fatores mais objetivos que podem ensejar a sua aplicabilidade de acordo com a discussão do inciso em questão: (i) uso de uma moeda de uso corrente do país-alvo; (ii) possibilidade de encomendar bens ou serviços naquela localidade; (iii) referência a clientes ou usuários que se encontrem naquela região, que possam ser reveladores da intenção de oferecer bens ou serviços a titulares de dados na região. Uma demanda julgada na União Europeia165 proveu as seguintes indicações que podem ser levadas em conta em análises de casos concretos para avaliação do targeting criterion, mas não de forma individualizada (já alterado, para fins de analogia, para o Brasil): o Brasil é designado como referência ao bem ou serviço oferecido; o controlador ou operador paga um mecanismo de pesquisa para facilitar o acesso ao seu site na internet pelos consumidores no Brasil; campanhas de marketing e publicidade são dirigidas a um público-alvo do Brasil; há menção de endereços dedicados ou números de telefone no Brasil; há menção de uma clientela internacional composta de clientes domiciliados também no Brasil; há utilização de português e possibilidade de pagamento em Reais; há entrega de bens no Brasil. Outros exemplos práticos, extraídos da EDPB, também são bastante elucidativos:166 (i) um website, baseado e gerenciado na Turquia, oferece serviços para criação, edição, impressão e envio de álbuns de fotos de família personalizados. O site está disponível em inglês, francês, holandês e alemão e os pagamentos podem ser feitos em Euros ou Sterling. O site indica que os álbuns de fotos só podem ser entregues por correio, no Reino Unido, França, países do Benelux e Alemanha. Nesse caso, é claro que a criação, edição e impressão de álbuns de fotos de família personalizados constituem um serviço dentro do escopo do GDPR. O fato de o site estar disponível em quatro línguas da UE e que os álbuns de fotografias podem ser entregues por correio em seis Estados-Membros da UE demonstra que existe uma intenção por parte da empresa turca em oferecer os seus serviços a indivíduos na UE. Como consequência, é claro que o processamento realizado pelo site turco, como controlador de dados, refere à oferta de um serviço aos titulares de dados na União e está, por conseguinte, sujeita às obrigações e disposições do GDPR; (ii) uma empresa privada com sede em Mônaco processa dados
pessoais de seus funcionários para pagamento de salário. Inúmeros funcionários são franceses e outros residentes na Itália. Nesse caso, em que pese o processamento pela empresa se relacionar a titulares de dados na França e na Itália, não ocorre no contexto de uma oferta de bens ou serviços. Dados tratados para a gestão de recursos humanos, incluindo o pagamento de salários por uma empresa de um país terceiro não pode ser considerado serviço na acepção do n. 2, alínea a), do artigo 3° do GDPR. Essa avaliação não prejudica a legislação aplicável do país terceiro em causa; (iii) uma universidade suíça em Zurique está lançando seu processo de seleção de mestrado, disponibilizando uma plataforma on-line em que os candidatos podem fazer upload de seu currículo e ficha de cadastro para contato. O processo de seleção é aberto a qualquer aluno com nível suficiente de alemão e inglês. A Universidade não anuncia especificamente “para estudantes na UE” e só recebe pagamento em moeda suíça. Como não há distinção ou especificação para os alunos da União na aplicação e seleção, não pode ser estabelecido que a Universidade Suíça tenha como alvo alunos de um determinado Estado-Membro da UE. O nível suficiente de alemão e inglês é um requisito geral que se aplica a qualquer requerente, seja um residente suíço, uma pessoa na União ou um estudante de um terceiro país. Sem outros fatores para indicar a segmentação específica de alunos em Estados-Membros da UE, não se pode, por conseguinte, estabelecer-se que o tratamento em causa esteja relacionado à oferta de um serviço educativo aos titulares de dados na União, e esse tratamento não será, portanto, sujeito às disposições do GDPR. Caso, no entanto, a Universidade Suíça também ofereça cursos de verão em relações internacionais e, especificamente, anunciar essa oferta em universidades alemãs e austríacas, a fim de maximizar a participação dos cursos, aplicar-se-ia. Assim, referidos testes clarificam o estudo do caso concreto para a avalição da aplicabilidade da LGPD com base no inciso em questão, em que pese a irrelevância do targeting criterion, ao menos até o posicionamento formal da ANPD sobre o assunto, em razão da amplitude dos demais incisos do mesmo art. 3°. III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional. § 1°. Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Conforme analisado anteriormente, primeiramente houve atecnia do inciso primeiro ao não delimitar a aplicação da Lei ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento do agente do tratamento situado no Brasil, mas sim prever o cumprimento da Lei em qualquer “operação de tratamento realizada em território nacional”, culminando na abrangência, também, quando dados pessoais são somente coletados no Brasil. Portanto, seria coerente corrigir o inciso I, nos moldes anteriormente exposto, deixando clara a aplicação territorial com base no “critério do estabelecimento” e suprimir, por completo, o inciso III, pois, assim, a aplicação extraterritorial se daria não meramente quando da coleta de qualquer dado pessoal em território nacional, mas, sim, quando, comprovadamente, de acordo com os testes elencados antes, o agente de tratamento estrangeiro tenha como objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Referida questão é de suma importância, pois, se não mitigada, pode trazer impacto relevante na possibilidade de novos produtos e serviços serem acessíveis no Brasil. Melhor explicando: um dos melhores benefícios que a internet viabiliza é a possibilidade de inovações, mesmo que não concebidas para determinadas regiões, serem acessíveis no mundo interno, tornando a economia digital pujante. Invariavelmente, tanto as aplicações mais básicas quanto às mais modernas e avançadas, tratam (ou seja, coletam) algum tipo de dado pessoal. Sites institucionais, revistas digitais, pesquisas de hotéis, passagens áreas, locação de carros, aplicativos fitness e de acompanhamento da saúde, jogos e brincadeiras on-line, todos eles tratam dados pessoais. Redes sociais e globais de cooperação e produção de valor são construídas a partir de serviços movidos por dados, assim como a grande parte das startups. Caso todas essas novas empresas tomem conhecimento que um mero acesso oriundo do Brasil pode implicar o dever de cumprimento e respectivas sanções da LGPD, certamente bloqueariam o acesso visando mitigar esse risco. Por exemplo, uma startup de compartilhamento de patinetes na Tailândia, que só presta serviços naquela região, não permitiria que brasileiros pudessem realizar um pré-cadastro do Brasil, antes de uma viagem, para facilitar e agilizar a utilização do veículo de locomoção. Claro
que, quando titulares no Brasil passassem a utilizar o serviço com frequência, entraríamos no teste do inciso II, como ocorre, traçando um paralelo, com compras de ingressos antecipadas, no Brasil, para atrações no exterior, como shows e eventos esportivos em NYC. A eficácia plena do GDPR, por exemplo, mesmo com a sua aplicabilidade extraterritorial mais restrita que a LGPD, motivou diversas empresas de tecnologia a optarem por impedir que residentes da UE utilizassem seus serviços.167 A rede de mídia americana A + E, por exemplo, bloqueou visitantes da UE de todos os seus sites, incluindo o History. com, e alguns jogos on-line multiplayer.168 Portanto, para evitarmos um grave impacto negativo, tanto econômico como na prestação de serviços, ainda maior no Brasil, torna-se necessário que a regulamentação traga mais clareza sobre os limites de aplicabilidade da LGPD, diminuindo a amplitude ora existente. Superada a importante discussão supra, uma vez considerada aplicável a Lei, em se tratando de empresas estrangeiras, a complexidade maior é a de enforcement para o exercício da fiscalização, execução de sanções ou decisões nacionais, diante da inexistência de acordos internacionais eficazes. O GDPR, por exemplo, tenta resolver essa questão impondo, em seu art. 27, quando da aplicabilidade do seu art. 3° (2), que o controlador ou o operador designará, por escrito, um representante seu dentro da UE, com procuração para, em complemento ou em substituição, ser o contato das autoridades de proteção de dados e dos titulares, relativamente a todas as questões de tratamento de dados, sem prejuízo das ações judiciais que possam vir a ser intentadas contra o próprio controlador ou operador. Referido representante deve estar estabelecido em um dos EstadosMembros onde se encontram os titulares cujos dados pessoais são objeto do tratamento no contexto da oferta que lhes é feita de bens ou serviços. As exceções ocorrem em operações de tratamento que sejam ocasionais, não contemplem o tratamento, em grande escala, de categorias especiais de dados (dados sensíveis), ou o tratamento de dados pessoais relativos a condenações penais, e não seja suscetível de implicar riscos para os direitos e liberdades dos titulares; ou b) às autoridades ou órgão públicos. A LGPD não contempla aludida obrigação, o que certamente dificultará o enforcement da Lei para empresas que não contem com qualquer
estabelecimento no Brasil, em que pese, o seu art. 61, prever que a empresa estrangeira será notificada e intimada de todos os atos processuais nela previstos, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil. Ainda, mesmo quando a empresa de origem do ilícito não esteja subordinada à jurisdição local, o Estado pode regular desestimulando ilícitos praticados internacionalmente com efeitos no Brasil, por meio de sanções aos intermediários e aos destinatários, o que diminuirá o interesse do infrator estrangeiro no país por receio das sanções aplicadas.169 Lembrando que, além de sanção pecuniária, há previsão de advertência, com indicação de prazo para adoção de medidas corretivas; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e eliminação dos dados pessoais a que se refere a infração.170 § 2°. Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4° desta Lei.
O parágrafo em questão será avaliado em conjunto com o art. 4°, inciso IV. Art. 4° Esta Lei não se aplica ao tratamento de dados pessoais: I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
A tecnologia da informação e da comunicação, felizmente, atinge, cada vez mais, grande parte da população brasileira,171 viabilizando uma série de atividades que envolvem o tratamento de dados pessoais sem fins econômicos, por pessoal natural, muitas vezes imperceptíveis ao agente. Hoje um indivíduo pode, por exemplo, gerenciar seu próprio site hospedando vídeos instrutivos de seus hobbies, como esportes radicais; usar uma conta de rede social para fazer contato com pessoas em todo o mundo que também tem uma paixão por esportes radicais; manter um blog descrevendo seus mais recentes desafios envolvendo esportes radicais, contendo comentários da experiência do dia a dia de trabalhar com o assunto; participar de uma petição on-line contra a proibição de um esporte radical; usar um telefone celular para compartilhar dados de localização geográfica com amigos durante a
prática do esporte; usar sites de comércio eletrônico e sistemas de pagamento para comprar roupas para a prática de esportes radicais, apenas para exemplificar.172 Como a adequação à LGPD é complexa e custosa, tanto do ponto de vista jurídico como de implementação tecnológica e procedimental, a exceção prevista no inciso I é fundamental para que a mira da fiscalização esteja direcionada para questões relevantes que realmente possam pôr em risco a privacidade e os direitos da personalidade dos titulares. Nesse contexto, atividades pessoais, especialmente as domésticas, como a troca de correspondências, o armazenamento de listas de endereços e de atividades em redes sociais, encontram respaldo na exceção em estudo, que deve ser avaliada, no entanto, de forma absolutamente restritiva. Vejamos alguns outros exemplos que poderiam se enquadrar na exceção: lista de endereços de amigos e conhecidos em agendas físicas ou eletrônicas; lista de nome de pessoas, com CPF, para permitir a entrada em condomínio residencial para uma festa; lista de nome de pessoas, com endereço, para envio de convite de casamento; manutenção de registros de dados sensíveis da saúde de familiares para ajudar em caso de urgência; contatos de terceiros na agenda de dispositivos pessoais móveis; diário pessoal contendo referências de gostos e interesses de amigos e colegas de trabalho; rede de wi-fi doméstica configurada para também permitir o acesso de visitantes, coletando dados pessoais para que a internet seja liberada. Nesse caso, o dono da residência não estará obrigado a cumprir a LGPD, mas a aplicação utilizada e que serve para esse fim, sim. Já nas gravações decorrentes de câmeras de monitoramento internas (dentro da residência da pessoa física) e externas (espaço público), por também contemplarem as imagens (como rostos) de terceiros, que são armazenadas em nuvem e em dispositivos pessoais dos donos da residência, por exemplo, aplicar-se-ia a LGPD, tanto para a empresa de armazenamento em nuvem como ao dono da residência, principalmente em razão da possibilidade de captação de uma quantidade massiva de imagens de terceiros.173 Assim, como visto, a exceção em referência deve ser analisada de forma limitativa, sopesando o risco aos direitos dos titulares dos dados. Ademais, a LGPD se aplicará aos agentes de tratamento (controlador e
operador) que forneçam os meios para o tratamento dos dados pessoais dessas atividades pessoais. Por fim, uma das questões mais relevantes que uma legislação gera é o seu efeito cultural, o que revela a necessidade dos indivíduos, em geral, independentemente da aplicabilidade da LGPD e da finalidade do tratamento, também se atentarem para determinadas medidas no processamento de dados pessoais, como: avaliar possíveis requisitos básicos de segurança da informação; respeitar os direitos dos titulares, como quando um amigo solicita que as informações sobre ele sejam retiradas de uma página de rede social; certificar-se de que os dados tratados sejam os mínimos necessários para atingir aquela finalidade; ter uma base legal para processar os dados pessoais; lembrar de deletar os dados ao término do tratamento. II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou
A Constituição Federal prevê que a manifestação do pensamento, a criação, a expressão e a informação, sob qualquer forma, processo ou veículo não sofrerão qualquer restrição174, bem como que nenhuma lei conterá dispositivo que possa constituir embaraço à plena liberdade de informação jornalística em qualquer veículo de comunicação social,175 sendo vedada toda e qualquer censura de natureza política, ideológica e artística.176 Inclusive, em 2009, o Plenário do STF decidiu que é inconstitucional a exigência do diploma de jornalismo e registro profissional no Ministério do Trabalho como condição para o exercício da profissão de jornalista, considerando que: (i) o jornalismo é uma profissão diferenciada por sua estreita vinculação ao pleno exercício das liberdades de expressão e de informação; (ii) o jornalismo é a própria manifestação e difusão do pensamento e da informação de forma contínua, profissional e remunerada; (iii) os jornalistas se dedicam profissionalmente ao exercício pleno da liberdade de expressão; (iv) o jornalismo e a liberdade de expressão, portanto, são atividades que estão imbricadas por sua própria natureza e não podem ser pensadas e tratadas de forma separada; (v) as liberdades de expressão e de informação e, especificamente, a liberdade de imprensa, somente podem ser restringidas pela lei em hipóteses excepcionais; (vi) qualquer tipo de controle desse tipo, que interfira na liberdade profissional no momento do próprio acesso à atividade jornalística, configura, ao fim e ao cabo, controle prévio
que, em verdade, caracteriza censura prévia das liberdades de expressão e de informação; (vii) o exercício do poder de polícia do Estado é vedado nesse campo em que imperam as liberdades de expressão e de informação.177 Já a “arte” é a “produção consciente de obras, formas ou objetos voltada para a concretização de um ideal de beleza e harmonia ou para a expressão da subjetividade humana”,178da qual podemos extrair também, para a finalidade em tela, algumas das disposições da Lei de Direitos Autorais, que protege as criações do espírito, expressas por qualquer meio ou fixadas em qualquer suporte, tangível ou intangível, conhecido ou que se invente no futuro, tais como os textos de obras literárias, artísticas ou científicas; as obras coreográficas e pantomímicas; as composições musicais; as obras audiovisuais; as obras fotográficas; desenho, pintura, gravura, escultura, litografia e arte cinética.179 É justamente no contexto do perigo de que uma legislação de tamanha envergadura possa interferir e impactar em atividades de importância louvável é que a LGPD criou a exceção também quando o tratamento de dados seja realizado exclusivamente para fins jornalísticos e artísticos. A isenção visa a proteção do jornalismo, mas não concede uma isenção automática e geral da LGPD para mídias e entidades que processem dados pessoais. Qualquer informação relacionada a pessoa natural identificada ou identificável é considerada dado pessoal, mesmo que o acesso seja público, devendo o tratamento desses dados levar em consideração a finalidade, a boafé e o interesse público que justificaram sua disponibilização,180 sendo dispensado a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios na Lei.181 Diversas legislações no mundo também abarcam exceção semelhante. Uma delas é o Data Protection Act, do Reino Unido,182 sobre a qual o Information Commissioner´s Office (ICO) redigiu interessantes ponderações acerca da atividade de jornalismo, que também podem ser avaliadas para a interpretação da legislação brasileira.183 Vejamos: (i) analisar e fundamentar o motivo pelo qual houve o entendimento de que os dados estão sendo tratados para fins de jornalismo; ser transparente e honesto, sempre. Os titulares devem saber acerca da coleta, quando possível. Porém, o ICO aceita
o fato de que normalmente não é possível dar ciência prévia sobre o
tratamento aos titulares dos dados; não é necessário cientificar os titulares caso isso possa prejudicar a atividade jornalística. Esse será um gatilho para a exceção, desde que se encontre um motivo válido. A justificava deve refletir a possível invasão de privacidade; no caso de ausência de ciência prévia ao titular sobre o tratamento, deve-se sempre considerar se a notificação é possível e em diferentes fases da reportagem ou da investigação; somente utilizar métodos de disfarce caso tenha certeza da justificativa do interesse público; somente coletar informações sobre a saúde, vida sexual ou criminal de alguém no caso de convicção de que é relevante e de que o interesse público em fazê-lo justifica suficientemente a invasão de sua privacidade; avaliar a relevância da reportagem, até que ponto a informação pode ser verificada, o nível de intrusão e o impacto potencial sobre o titular dos dados e terceiros. Todos esses são fatores relevantes; revisar as informações armazenadas periodicamente para garantir que ainda estão atualizadas e relevantes, excluindo-as quando não precise mais, em que pese determinados dados serem passíveis de armazenamento, justificadamente, por prazo indefinido; elaborar política que justifique o tratamento e armazenamento dos dados pessoais para fins de jornalismo; adotar medidas razoáveis para manter as informações pessoais de forma segura, mitigando desvios ou utilização indevida; mesmo quando dados pessoais forem obtidos e armazenados de forma justa, avaliar quais informações são passíveis de publicação, de forma a equilibrar com o nível de intrusão na vida dos titulares e potenciais danos que tal publicação pode causar. Finalmente, entidades que busquem tratar os dados de acordo com a exceção em estudo, devem ter extrema cautela ao separar as mais diversas bases de dados, de acordo com as respectivas finalidades, pois precisarão demonstrar que determinados dados são utilizados exclusivamente para fins jornalísticos, hipótese que se aplicará a exceção sobre eles, fundamentando os motivos pelos quais chegaram a essa conclusão. b) acadêmicos, aplicando-se a esta hipótese os arts. 7° e 11 desta Lei;
Como já analisado anteriormente, é fundamento da LGPD o desenvolvimento econômico e tecnológico e a inovação, assim como a liberdade de expressão, de informação, de comunicação e de opinião, de forma que a restrição da utilização de dados pessoais para fins acadêmicos poderia esvaziar, inclusive, a possibilidade de manutenção dos referidos
fundamentos. A pesquisa, para fins acadêmicos, deve observar as mesmas recomendações da exceção da aplicação da Lei no tratamento dos dados pessoais para fins exclusivamente jornalísticos, principalmente a cautela na publicização do trabalho científico, sopesando o interesse público e os direitos do titular. Também deve ser interpretada de forma restritiva. Ainda, sempre que possível, buscar meios técnicos razoáveis e disponíveis no momento do tratamento, pelos quais o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (anonimização),184 ou realizar o tratamento por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (pseudonimização).185 Ademais, a grande questão que se coloca é a complexidade e dificuldade de se interpretar quando referida exceção será levada a efeito, abrindo uma janela enorme na (des)proteção dos dados pessoais objeto de eventual investigação científica, já que o tratamento para essa finalidade encontra guarida em diversas disposições legais da LGPD, mesmo sem o consentimento dos titulares, como: (i) diante do legítimo interesse do controlador, pois contempla uma finalidade legítima, considerada a partir de situação concreta, sem a possibilidade de tratamento posterior de forma incompatível com essa finalidade e utilizando-se somente os dados pessoais estritamente necessários para a finalidade pretendida.186 Lembrando que também é dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos da Lei,187 bem como que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização;188 (ii) realização de estudos por órgão de pesquisa,189 inclusive com dados sensíveis, garantida, sempre que possível, a anonimização dos dados pessoais;190 (iii) realização de estudos em saúde pública,191 por órgãos de pesquisa. Exatamente pelo motivo exposto anteriormente, apenas para essa exceção, há a necessidade expressa de o agente do tratamento avaliar o enquadramento ao menos de uma das bases legais previstas nos arts. 7° e 11 da Lei.
Assim, se por um lado a isenção da aplicação da Lei ao tratamento de dados pessoais para fins exclusivamente acadêmicos pode gerar situações críticas diante da insegurança no tratamento dos dados, por outro, na inexistência desta exceção, além de encontrar uma base legal para o tratamento, conforme elencado anteriormente, pesquisadores seriam obrigados a cumprir todos os requisitos da LGPD, o que poderia gerar adicional desestímulo a produção acadêmica. Com a exceção em tela, seja em investigações cientificas pessoais, seja em nome de universidades ou outras entidades, pesquisadores poderão coletar, classificar, processar, armazenar, avaliar ou controlar dados pessoais da forma que lhe convier, desde que consigam demonstrar a finalidade exclusivamente acadêmica, sendo recomendável, também, observarem os princípios da LGPD, principalmente os da finalidade, adequação, necessidade e segurança. III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou
Em vez de criar um grande marco legal que também pudesse versar sobre as hipóteses legais em que se autorizariam o tratamento de dados pessoais para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, o legislador preferiu excepcionar a aplicação da LGPD para as finalidades listadas, de forma correta, na perspectiva deste autor, diante da necessidade de um amadurecimento ainda mais profundo e gradual na eventual necessidade de alteração das legislações já em vigência que autorizam e limitam o tratamento de dados pessoais, sopesando segurança e privacidade, que devem sempre caminhar de mãos dadas. O GDPR também contempla exceção de sua aplicabilidade para tratamento de dados pessoais efetuado pelas autoridades competentes para efeitos de prevenção, investigação, detecção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.192 Porém, com a diferença da edição na UE, de forma concomitante ao GDPR, da Diretiva 2016/680.193
No Brasil, a Constituição Federal dedica capítulo exclusivo sobre segurança pública,194 como dever do Estado, direito e responsabilidade de todos, exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio, através da polícia federal; polícia rodoviária federal; polícia ferroviária federal; polícias civis; polícias militares e corpos de bombeiros militares, visando, entre outros, apurar de infrações penais. A discussão que se coloca é sobre a necessidade e proporcionalidade de se abandonar ou limitar determinados direitos constitucionais dura e legitimamente conquistados, como intimidade e privacidade, para termos uma melhor proteção do Estado e segurança enquanto indivíduo. No Brasil, há inúmeras normas constitucionais e infraconstitucionais que dispõe sobre os deveres do Estado na segurança pública, o que inclui a proteção de dados pessoais dos indivíduos.195 Inclusive, o fato social relevante que motivou a inserção do tema Proteção de Dados no MCI foi o efeito “Edward Snowden”, que justamente demonstrou o perigo quando dados coletados para uma finalidade legítima, como combater potenciais atividades terroristas, são utilizados para outros desígnios,196 originando a necessidade de estipular regras específicas para manutenção de direitos individuais em âmbito mundial, inclusive para a manutenção da soberania entre países. Assim, vejamos algumas discussões pertinentes ao tema: Dados estáticos x dados em trânsito A nossa legislação trata e protege de forma distinta não só a sensibilidade de cada espécie de dado ou informação, mas também o momento em que são, de alguma forma, coletados, ou seja, se já trafegaram e agora permanecem estáticos (passado) ou se ainda transitarão por algum meio de comunicação (futuro). A CF dispõe, em seu art. 5°, inc. XII, sobre a inviolabilidade de comunicações de dados, e a Lei 9.296/96, que o regulamenta, prevê que a interceptação do fluxo de comunicações em sistemas de informática e telemática, ou seja, comunicações que ainda não ocorreram, entre outros requisitos, somente poderá ser determinada por ordem judicial, na investigação criminal ou na instrução processual penal, constituindo crime realizar a interceptação caso não sejam seguidos os parâmetros definidos na
Lei. Em acórdão paradigmático, relatado pelo Min. Sepúlveda Pertence, diante da alegada ilicitude da prova oriunda de busca e apreensão de computadores e disquetes em determinada empresa para análise dos dados ali existentes e apuração de ilícitos tributários, nossa Suprema Corte entendeu que não houve quebra de sigilo das comunicações de dados (interceptação das comunicações), mas sim apreensão física na qual se encontravam os dados, mediante prévia e fundamentada decisão judicial”, asseverando que “a proteção a que se refere o art. 5°, inc. XII, da Constituição, é da comunicação de dados e não os dados, o que tornaria impossível qualquer investigação administrativa, fossa qual fosse”.197 Assim, sempre que houver necessidade de se obter informações telemáticas ou informáticas futuras, de terceiros, por exemplo, conteúdos ainda não trafegados em uma conta de e-mail, em serviços de mensagens instantâneas, ou, até mesmo, todo o tráfego de conteúdo por meio de determinado protocolo de internet, deverão ser observados todos os requisitos previstos na Lei 9.276/96.
Para os procedimentos de interceptação previstos na referida Lei, a autoridade policial poderá requisitar serviços e técnicos especializados às concessionárias de serviço público,198 pois quando elaborada a legislação em questão, somente elas proviam serviços de comunicação, diferentemente do que ocorre atualmente, pois inúmeros provedores de aplicação também viabilizam a comunicação entre os usuários e também são destinatários das determinações judiciais de interceptação, gerando a enorme e importante discussão acerca da recusa de cumprimento quando é alegada a impossibilidade técnica por emprego de criptografia.199 Independentemente da discussão técnica acerca da viabilidade ou não de quebra de criptografia, que é mundial,200 e de outros meios que podem ser empregados para as investigações,201 algumas soluções se apresentariam de forma equilibrada, como: retirar a tecnologia criptográfica somente para aquele usuário investigado202 ou adicionar um perfil imperceptível (man in the middle) em todas as comunicações do usuário investigado,203 em que pese as vulnerabilidades que por ventura podem acarretar.204 O que não pode haver é um ambiente inatingível pelo Estado. Porém, quando o conteúdo outrora em trânsito, repousar estaticamente
em seu destino, o art. 5°, inc. XII, da CF, e a Lei 9.276/96, saem de cena, para a entrada do inc. X, do mesmo art. 5°,205 e o MCI, mais precisamente o disposto no art. 7°, inc. III, e no art. 10, § 2°, os quais preveem a possibilidade de fornecimento do conteúdo de comunicações privadas mediante ordem judicial, portanto, tanto na esfera cível, quanto na criminal. Nesse sentido, em decisão do STJ, acerca da Operação Lava Jato, decidiu-se que a obtenção do conteúdo de conversas e mensagens armazenadas em aparelho de telefone celular ou smartphones não se subordina aos ditames da Lei 9296/96, pois o sigilo a que se refere o aludido preceito constitucional é em relação à interceptação telefônica ou telemática propriamente dita, ou seja, é da comunicação de dados, e não dos dados em si mesmos: “na pressuposição da ordem de apreensão de aparelho celular ou smartphone está o acesso aos dados que neles estejam armazenados, sob pena de a busca e apreensão resultar em medida írrita, dado que o aparelho desprovido de conteúdo simplesmente não ostenta virtualidade de ser utilizado como prova criminal”.206 O mesmo STJ, em caso envolvendo a apreensão de aparelho celular juntamente com a prisão em flagrante do investigado por tráfico e associação ao tráfico de entorpecentes, em que a investigação policial acessou, sem ordem judicial para tal finalidade, conversas na aplicação WhatsApp existentes no dispositivo, entendeu ser ilícita a prova justamente pelo fato de não haver ordem judicial, em que pese a validade da apreensão do aparelho, ponderando que o celular deixou de ser apenas um instrumento de conversação pela voz à longa distância, permitindo, diante do avanço tecnológico, o acesso de múltiplas funções, incluindo, no caso, a verificação da correspondência eletrônica, de mensagens e de outros aplicativos que possibilitam a comunicação por meio de troca de dados de forma similar à telefonia
convencional.207
Guarda e fornecimento de dados para fins de investigações de ilícitos civis ou criminais Dados cadastrais mantidos pela Justiça Eleitoral, empresas telefônicas, instituições financeiras, provedores de internet e administradoras de cartão de crédito, conforme disposto no art. 15 da Lei 12.850/13, podem ser acessados pelo Delegado de Polícia e o Ministério Público, independentemente de autorização judicial, inclusive constituindo crime recusar ou omitir tais dados, registros, documentos e informações requisitadas (art. 21).
O MCI também não impede o acesso aos dados cadastrais pelas autoridades administrativas que detenham competência legal para a sua requisição (art. 10, § 3°), desde que indiquem o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados (art. 11, caput, do Decreto 8.771/16). Por sua vez, registros de acesso a aplicações de internet somente podem ser fornecidos mediante ordem judicial, conforme art. 15, § 3°, do MCI, na esfera cível ou criminal. Em HC julgado pela Primeira Turma do STF, em 26.06.2012, em que houve acesso aos dados de computador em Lan House, com autorização do proprietário do estabelecimento para identificação do autor de ilícitos, decidiu-se, que: só há intromissão na esfera privada de comunicações, a depender de prévia autorização judicial, na hipótese de interferência alheia à vontade de todos os participantes do ato comunicativo. Desnecessidade de prévia ordem judicial e do assentimento do usuário temporário do computador quando, cumulativamente, o acesso pela investigação não envolve o próprio conteúdo da comunicação e é autorizado pelo proprietário do estabelecimento e do aparelho, uma vez que é este quem possui a disponibilidade dos dados neles contidos.208
Outrossim, em HC preventivo, impetrado por funcionário de empresa de telecomunicações contra decisão que determinou a quebra do sigilo telefônico e de dados, por meio de senhas à Polícia Federal para que agentes obtivessem acesso a dados cadastrais de terminais telefônicos móveis celulares, a 2a Turma do TRF da 3a Região, decidiu que não obstante a à operadora de telefonia zelar pelo sigilo dos dados cadastrais de seus usuários (artigos 3° e 72 da Lei 9.472/97), a tutela de tais dados também não é absoluta, cedendo, por decisão judicial fundamentada ao interesse público (artigo 93, IX, da CF), desde que para fins de apurar fato que, em tese, configure ilícito penal, o que ocorre no presente caso. Assim, não há que se falar em violação ao artigo 5°, inciso X, da Constituição Federal.
Por se tratar de procedimentos restritos às pessoas dos investigados, proibindo também e expressamente o fornecimento de senhas que implicassem no acesso indiscriminado dos policiais federais aos dados telefônicos; por limitar esse acesso apenas às informações relativas ao interesse da investigação determinada; e não há que se falar em senha genérica, uma vez que restou claro se tratar de senha pessoal e intransferível, sendo de inteira responsabilidade do seu usuário a utilização indevida da mesma.209
Ademais, caso sejam descumpridos os prazos de guarda, seja na provisão de conexão à internet, que é um ano,210 seja na aplicação para os registros de acesso, que é de seis meses,211 com a possibilidade de extensão, a pedido da autoridade policial ou administrativa,212 há possibilidade de sanção em razão de tornar inviável a investigação do ilícito, considerando a natureza e a gravidade da infração, os danos dela resultantes, eventual vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência.213 Importante registrar que, antes do MCI, a 3a Turma do STJ entendia que o provedor de aplicação deveria guardar dados para identificação de usuário que utilizou o serviço de discussão virtual para a prática de ilícitos, pelo prazo de três anos, a partir do cancelamento do serviço.214 A 4a Turma do STJ, em julgamento de 30.04.2015, avaliando um serviço de aplicação de internet, decidiu que o provedor deve ter o cuidado de propiciar meios para que se possa identificar cada um dos usuários, coibindo o anonimato e atribuindo a cada manifestação uma autoria certa e determinada. Sob a ótica da diligência média que se espera do provedor, deve este adotar as providências que, conforme as circunstâncias específicas de cada caso, estiverem ao seu alcance para a individualização dos usuários do site, sob pena de responsabilização subjetiva por culpa in omittendo. 2. Ainda que não exija os dados pessoais dos seus usuários, o provedor de conteúdo que registra o número de protocolo (IP) na Internet dos computadores utilizados para o cadastramento de cada conta mantém um meio razoavelmente eficiente de rastreamento dos seus usuários, medida de segurança que corresponde à diligência média esperada dessa modalidade de provedor de serviço de internet.215
A 3a Câmara de Direito Privado do TJ/SP, em caso envolvendo provedor de aplicação de internet que não guardou os registros de acesso, argumentando que na época o MCI ainda não estava regulamentado, especialmente quanto às regras de segurança de guarda de dados, decidiu que a obrigação já decorria da própria Lei: Obrigação de custódia dos dados de registro de acessos a aplicações, por seis meses (art. 15, Lei 12.965/2014). Norma que não é de eficácia contida. […] Alegação da ré de impossibilidade de cumprimento. Conversão em perdas e danos (art. 248, CC, e art. 499, CPC/2015). Fixação em R$ 5.000,00 (cinco mil reais), corrigidos monetariamente desde essa fixação (Súmula 362, STJ), e com juros de mora de 1% (um por cento) ao mês da data da citação (art. 240, CPC/2015). Sentença reformada em parte, convertendo a obrigação de fazer em perdas e danos. Manutenção da sucumbência da ré. Recurso provido em parte.216
Ademais, além das operadoras de telecomunicações, estabelecimentos
que provejam de alguma forma conexão à internet devem se atentar ao prazo de guarda de um ano para mitigar riscos, especialmente se interpretado o MCI em conjunto com o disposto nos artigos 186217 e 927218 do Código Civil. Vejamos alguns posicionamentos dos tribunais sobre o assunto: A 3a Turma do TRF da 4a região, condenou a Universidade Federal de Santa Catarina por possibilitar o envio de mensagem eletrônica oriunda de seu provimento de conexão à internet sem viabilizar a respectiva identificação do responsável: 1. A causalidade entre o dano e os serviços prestados pela UFSC não se discute, uma vez que a mensagem indevida partiu comprovadamente de um dos computadores de sua propriedade. Ao possibilitar a seus alunos a utilização de computadores conectados à Internet em suas instalações, obrigou-se a Universidade a velar pelo bom uso dos equipamentos, respondendo objetivamente por eventual falha na vigilância e pela consequente perpetração de ato ilícito.219
Em sentido semelhante, inobstante diversas leis estaduais acerca do cadastramento de usuários em Lan Houses,220 a 8a Câmara de Direito Privado do TJ/SP ampliou a incidência da obrigação de identificação dos usuários também aos estabelecimentos que oferecem o serviço de acesso à internet compartilhada via Wi-Fi: o intuito da norma foi de que qualquer estabelecimento comercial que permitisse o acesso à Internet, seja por meio de máquinas ou computadores, ou mais recentemente, com o avanço tecnológico, com o uso de sistema sem fio, devesse manter obrigatoriamente um cadastro atualizado de seus usuários, a fim de que a autoria de eventuais ilícitos praticados, aqui tão comum a pedofilia, pudessem ser identificados. Não se pode exigir que a legislação preveja toda a forma de acesso à Internet para que possa ser aplicada. O que deve-se ter em mente é o objetivo da norma e conduta que esta visa coibir. Com o avanço tecnológico quase que constante no ramo da computação e afins, a cada espaço de tempo teria que ser criada nova legislação, somente para se adequar aos novos termos e sistemas que a modernidade faz
surgir.221
Novas tecnologias e segurança pública Conforme o já mencionado no relatório final do Plano Nacional de Internet das Coisas, uma das principais aplicações da IoT é a segurança pública, seja na gestão de desastres, com a redução de mortes em acidentes, por meio do uso de sensores distribuídos para detectar ameaças precocemente e coordenar respostas; no atendimento de emergência com o uso de tecnologias de supervisão, coordenação e transporte para gerenciá-las e mitigá-las com mais eficiência, o que resultaria em economia de gastos com
atendimento emergencial; seja no monitoramento de crime por vídeo e sensores, com o uso de circuito fechado de TV e sistema de monitoramento de áudio para viabilizar resposta e coordenação em tempo real, assim como analytics preditiva por meio de dados históricos, o que poderia resultar na redução de crimes em 20%.222 Qualquer iniciativa que se tenha nesse sentido – diga-se de passagem, irreversível –, por usualmente envolver coleta massiva de dados e, por vezes, com a possibilidade do tratamento de dados sensíveis, como o reconhecimento facial biométrico,223 deve ser beneficiada pelo estudo da própria LGPD, notadamente seus princípios, para mitigar riscos e avaliar a proporcionalidade do projeto, principalmente: (i) adequação, que é compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; (ii) necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; (iii) qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; (iv) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; (v) prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e (vi) não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. Do ponto de vista da segurança da informação, o relatório final do Plano Nacional de IoT sugere a estimulação, cooperação e a interação entre o poder público, sociedade civil, iniciativa privada e academia, para promover medidas de conscientização e fomento da segurança da informação; incentivar a criação de sistema de certificação de segurança da informação em dispositivos de IoT, baseado em modelo de autorregulação pela iniciativa privada;224 estruturar modelo de corregulação ou regulação híbrida para a certificação de dispositivos de IoT, mediante a consolidação do modelo de certificação voluntária, com a participação de conselho multissetorial ou agência pública focada em segurança da informação; fortalecer a estrutura institucional dedicada à segurança de infraestruturas críticas no âmbito da
Administração Pública Federal e incentivar os setores regulados a respeitar aspectos mínimos de segurança da informação, em particular nos setores de infraestrutura crítica.225 Quanto ao mérito dos limites do uso de dados pessoais pelos novos sistemas para garantir a segurança pública, além da avaliação dos princípios da LGPD, sem dúvida, como já mencionado, a criação de fóruns com participação de governo, academia, setor privado, terceiro setor e sociedade torna-se crucial para a manutenção de um ecossistema que viabilize o desenvolvimento de soluções técnicas sustentáveis juridicamente. Ainda, outra boa prática pelo Estado seria a realização do relatório de impacto à proteção de dados pessoais, pelo qual, mediante a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, adotar-se-ia medidas, salvaguardas e mecanismos de mitigação de risco, além, é claro, da avaliação da necessidade e da proporcionalidade da coleta e processamento dos dados pessoais para atingir a finalidade pretendida. Por fim, importante lembrar que a LGPD permite a transferência internacional de dados pessoais quando necessária para a cooperação jurídica entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional.226 IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Conforme o já analisado art. 3°, I, aplica-se a LGPD quando a operação de tratamento for realizada no território nacional, porém, o § 2° do referido artigo excetua a previsão ora em estudo, que visa estimular a economia brasileira, tornando o Brasil um território receptivo e sem entraves burocráticos, do ponto de vista da proteção de dados pessoais, para empresas estrangeiras que queiram armazenar dados no País, seja mediante o estabelecimento de uma filial em território nacional, seja mediante a contratação de uma empresa brasileira para tal finalidade. Para atingir essa exceção, a Lei dispõe dos seguintes requisitos, os quais devem ser cumulados:
(i)
Dados oriundos de país estrangeiro. Portanto, não podem ser coletados em território nacional;227
(ii) Não pode haver comunicação ou uso compartilhado de dados228 com agentes brasileiros. Portanto, a operação pode incluir a recepção, classificação, processamento, arquivamento, armazenamento e eliminação de dados pessoais, do que se extraí que esse tratamento específico somente poderia ser realizado por operador,229 pois, como controlador,230o agente tomaria decisões sobre o tratamento que poderiam fulminar a exceção. No entanto, uma empresa pode ser controladora para determinados tipos de processamento e operadora para ofertar esse tipo de serviço, desde que consiga, do ponto de vista tecnológico, demonstrar a segregação das bases que confirmem o atendimento dos requisitos ora analisados. De igual forma, o contrato precisa clarificar o serviço prestado como operador e delimitar as hipóteses de tratamento; (iii) Também não pode haver transferência internacional de dados com outro país que não o de proveniência. Portanto, caso uma empresa multinacional queira se beneficiar do Brasil por meio dessa exceção, os dados somente poderão transitar entre o país de origem e o Brasil, cessando a exceção caso outra filial, sediada em outra nação, receba os dados localizados em território nacional; (iv) Por fim, o país de proveniência deve ter grau de proteção de dados pessoais adequado ao previsto na LGPD, motivo pelo qual a exceção em questão é de eficácia contida, vez que o nível de proteção de dados do país estrangeiro será avaliado e chancelado pela ANPD.231 Tais requisitos pretendem, de forma equilibrada, aumentar a competitividade internacional brasileira, estimulando a contratação de empresas nacionais para serviços de Tecnologia da Informação, como hosting tradicional232 ou em nuvem,233 IT Outsourcing,234 analytics,235 entre outros, sem que o Brasil se transforme em um “paraíso de dados”. § 1°. O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
Já comentado no próprio inciso III, do art. 4°.
§ 2° É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4° deste artigo.
Para iniciar o estudo do delicado assunto, importante relembrar que o inciso III do art. 4° dispõe sobre o tratamento de dados pessoais para segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais.
Assim, para não gerar mais dúvidas do que trazer insegurança jurídica, nesse ponto, seria mais razoável a LGPD prever que a exceção de sua aplicabilidade, prevista no inc. III do art. 4°, não se apõe ao tratamento de dados pessoais por pessoa jurídica de direito privado. Diante de tantas imposições e obrigações existentes na LGPD e demais normas aplicáveis, que visam garantir, de forma contundente, que dados pessoais sejam tratados de forma ética e segura, pode ser temerário o entendimento pela vedação do tratamento de dados pessoais por pessoa jurídica de direito privado, sem a tutela de pessoa jurídica de direito público, sob o entendimento do tratamento para fins de segurança pública ou de investigação e repressão de infrações penais, o que certamente seria passível de inconstitucionalidade sob a perspectiva de ferir os princípios gerais da atividade econômica, notadamente a livre-iniciativa. Há inúmeras entidades privadas, sérias e responsáveis, que fornecem serviços investigativos, que podem estar relacionados ou não à posterior repressão de infrações penais ou à segurança pública, que coletam dados e informações pessoais, dentro de seus clientes ou disponíveis publicamente, tratando-os de forma a mitigar potenciais ilícitos, resolver conflitos ou instruir as autoridades competentes para os devidos fins de direito. Da mesma forma, inúmeras empresas executam investigações próprias, mediante a coleta de dados internos, por vezes cruzando-os e processando-os com informações externas e públicas, para adotar medidas administrativas, cíveis ou criminais. Inclusive, referidas investigações, por vezes, são decorrentes e mandatórias de outras previsões legais, como a Lei Anticorrupção (Lei 12.846/13), que prevê, entre outras questões, a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades,236 assim como a Lei contra Lavagem de Dinheiro (Lei
9.613/98), que dispõe sobre obrigações para identificação de clientes, a qual, somada a Circular do Banco Central do Brasil – BACEN 3.858/17, prevê multas na falha de identificação de clientes, atualização de cadastro e manutenção de registro de transações. Portanto, a alteração no texto da LGPD, ora sugerida237, traria mais segurança jurídica para tais situações, ao mesmo tempo que os indivíduos permaneceriam com adequadas proteções oriundas da LGPD e demais ordenamentos jurídicos já expostos, pois os agentes de tratamento precisariam comprovar importantes preceitos legais no tratamento, como: Avaliar ao menos uma das bases legais para tratar os dados, como o legítimo interesse;238 para o cumprimento de obrigação legal ou regulatória pelo controlador; ou para o exercício regular de direitos em processo judicial, administrativo; No tratamento de dados pessoais cujo acesso é público, considerar e avaliar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização; No tratamento de dados tornados manifestamente públicos pelo titular, observar os princípios e direitos da LGPD; Limitar o tratamento ao mínimo necessário para a realização de determinada investigação, com abrangência dos dados pertinentes, proporcionais e não excessivos; Não realizar o tratamento para fins discriminatórios ilícitos ou abusivos; Garantir a qualidade dos dados, com exatidão e atualização, para que pessoas não sejam objeto de investigação por engano; Ser transparente previamente, principalmente no tratamento de dados de colaboradores, garantindo aos titulares informações claras, precisas e facilmente acessíveis sobre dados e dispositivo corporativos que possam ser objeto de investigação; Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; Não vender ou transmitir a terceiros os dados pessoais objeto da investigação, exceto se houver expressão previsão legal;
Avaliar a legalidade da coleta das evidências, o que poderá tornar a prova ilícita. Inclusive, por não haver, coerentemente, esse tipo de vedação no GDPR, o art. 29 WP, em sua Opinion 2/2017, acerca de data processing at work,239 tece importantes comentários acerca de investigações privadas no ambiente de trabalho. Vejamos algumas delas: O interesse legítimo dos empregadores pode ser invocado como fundamento legal, mas apenas se o processamento for estritamente necessário para um propósito legítimo e em conformidade com os princípios da proporcionalidade e da subsidiariedade, mediante o teste de proporcionalidade antes da implantação de qualquer ferramenta de monitoramento; Uma comunicação eficaz deve ser fornecida aos funcionários em relação a qualquer monitoramento, contendo os propósitos desse monitoramento e as circunstâncias; Políticas e regras relativas ao monitoramento legítimo devem ser claras e facilmente acessíveis; Recomenda-se a participação de representantes dos colaboradores na criação e avaliação de tais regras e políticas, já que a maioria dos monitoramentos tem o potencial de infringir a vida privada dos funcionários; O processamento de dados no trabalho deve ser proporcional aos riscos enfrentados por um empregador. Por exemplo, o uso indevido da Internet pode ser detectado sem a necessidade de analisar o conteúdo do site; Deve ser colocado muito mais peso na prevenção do que na detecção. Os interesses do empregador são mais bem atendidos inibindo o uso da internet por meios técnicos, do que gasto em recursos de monitoramento; As informações registradas e armazenadas a partir do monitoramento contínuo devem ser minimizadas tanto quanto possível. § 3° A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
Como o tratamento de dados pessoais também é necessário para as mais diversas atividades de segurança pública, defesa nacional, segurança do Estado ou investigações e repressão de infrações penais pela administração pública, há uma coerente preocupação da LGPD com a exceção criada. De fato, é enorme o volume e a criticidade da natureza dos dados utilizados para tais finalidades pela administração pública, seja para a emissão de um passaporte, seja para a identificação de uma organização criminosa, por exemplo. São impressões digitais, cor de pele, fotografia, câmeras de vigilância, com possibilidade de reconhecimento facial, gravações telefônicas e telemáticas, quebra de sigilo bancário, dados e informações existentes em notebooks e celulares apreendidos, entre tantas outras hipóteses. Portanto, diante dos riscos decorrentes do tratamento massivo de tais dados pela administração pública, torna-se coerente que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente o assunto por meio de opiniões técnicas ou recomendações às exceções previstas, bem como solicite aos responsáveis relatório de impacto à proteção de dados pessoais. Assim, os agentes, também diante dos princípios da prevenção e da segurança, poderão descrever previamente os processos de tratamento dos dados que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, sopesando as medidas, salvaguardas e mecanismos para mitigação dos riscos. § 4° Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.
A interpretação que se faz para esse ponto da Lei é de que “em sua totalidade” significa que nenhum dado pessoal constante de bancos de dados para as finalidades descritas no inciso III do art. 4° possa ser tratado por pessoa jurídica de direito privado, pois, caso a intepretação do termo dependesse de uma avaliação valorativa quantitativa/qualitativa, pelo Poder Público, dos dados que poderiam ser tratados ou não por pessoa jurídica de direito privado, de acordo com o caso, traria grave insegurança jurídica.
No entanto, não há vedação do licenciamento de ferramentas (softwares, por exemplo), pelo Poder Público, junto à iniciativa privada, para tratamento de dados pessoais, desde que o contrato seja claro no sentido de que o banco de dados objeto da análise da ferramenta permanecerá em posse do respectivo
órgão público. Ademais, a LGPD também prevê, em seu art. 26, que o uso compartilhado de dados pessoais pelo próprio Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da Lei, vedando a transferência a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, com algumas exceções.240 Ainda, conforme seu art. 24, empresas públicas e as sociedades de economia mista que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Porém, o parágrafo único do mesmo artigo dispõe que as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público. Porém, é exceção para o disposto no artigo em questão quando o tratamento é realizado por empresas que possuam capital integralmente constituído pelo poder público, conforme redação dada pela Lei 13.853/19, em razão da realidade de bancos de dados e sistemas de segurança poderem ser operados por empresas públicas. Art. 5° Para os fins desta Lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
O Brasil adotou o conceito expansionista241 de dado pessoal, pelo qual não somente a informação relativa a pessoa diretamente identificada estará protegida pela Lei, mas também aquela informação que possa – tem o potencial de – tornar a pessoa identificável. Assim, nome, prenome, RG, CPF, título de eleitor, número de passaporte, endereço, estado civil, gênero, profissão, origem social e étnica; informações relativas à saúde, à genética, à orientação sexual, às convicções políticas, religiosas e filosóficas; números de telefone, registros de ligações, protocolos de internet, registros de conexão, registros de acesso a aplicações de internet, contas de e-mail, cookies, hábitos, gostos e interesses, são apenas alguns exemplos de dados pessoais que pautam a atual vida em sociedade. Portanto, a LGPD, assim como o GDPR, não trata de qualquer tipo de
dado, mas tão somente de “dados pessoais”, o que implica que o dado esteja intrinsecamente vinculado a uma pessoa natural identificada ou identificável. Conforme Danilo Doneda, é importante distinguir dados gerais de dados pessoais, pois estes últimos possuem um vínculo objetivo com a pessoa, justamente por relevar aspectos que lhe dizem respeito.242 É imprescindível, assim, seja diretamente, seja indiretamente, mesmo que em um segundo momento, ter o componente da identidade de uma pessoa natural como característica fundamental do dado pessoal. Lembrando, na lição de Lawrence Lessig, que a identidade vai além do que a pessoa realmente é, envolvendo também atributos, fatos, comportamentos e padrões, os quais são usados como formas de comunicação automática.243 Proteger dados, quando estão conectados à esfera de uma pessoa,244 adquirindo a característica de serem pessoais, significa resguardar a própria personalidade do ser humano, pois esta constitui “as características ou conjunto de características que distinguem uma pessoa”245 e o Direito visa proteger violações de todos os atributos, corpóreos e incorpóreos, que formam a projeção da pessoa humana.246 Tanto é assim que o GDPR considera todos os meios suscetíveis de serem razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento, quer por outra pessoa, para identificar direta ou indiretamente a pessoa para determinar se ela é identificável. Também, que é necessária a avaliação de todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento e a evolução tecnológica, para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa.247 Portanto, assim como ocorre no GPDR, a LGPD não se preocupa com quaisquer dados ou informações corporativas em sua essência, sigilosas ou confidenciais, públicas ou privadas, como planejamentos estratégicos, balanços financeiros, sistemas em desenvolvimento, protótipos, fórmulas, outras inovações ou qualquer outro tipo de documento corporativo, os quais, se contiverem dados pessoais, somente estes estarão protegidos pela Lei em estudo. A LGPD também não considera dano anonimizado, que será analisado na sequência, como dado pessoal. É uma contradição utilizar o termo “dado anomizado pessoal”, pois, se anomizado, ele perde a característica de ser
pessoal. Porém, dados pseudonimizados, que ocorre quando o tratamento é realizado por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro,248 continuam sendo dados pessoais, pois sobre uma pessoa natural identificável. Há algumas técnicas para a pseudonimização dispostas pelo Art. 29 WP, na Opinion 05/2014, quais sejam: (i) criptografia com chave secreta, em que o detentor da chave pode reidentificar cada titular de dados através da descriptografia do conjunto de dados, pois os dados pessoais ainda estão contidos no conjunto de dados, embora de forma criptografada. Assumindo que o estado da arte de criptografia foi aplicado, a descriptografia só é possível com o conhecimento da chave; (ii) função hash, que corresponde a uma função que retorna uma saída de tamanho fixo de uma entrada de qualquer tamanho e não pode ser revertida. Ou seja, o risco de reversão existente com a criptografia não existe mais. Porém, se o espectro de valores de entrada da função hash for conhecido, eles podem ser repetidos, a fim de derivar o valor correto para um determinado registro, como para a geração de cadastro nacional de pessoas. Também são sujeitos a ataques de força bruta; (iii) função hash codificada com chave armazenada, que é a função hash específica com o uso de uma chave secreta como uma entrada adicional; (iv) criptografia determinista ou função hash com a exclusão da chave: essa técnica pode ser equiparada a seleção de um número aleatório de dados com a pseudonimização para cada atributo em um banco de dados e, na sequência, exclui-se a tabela correspondente, o que diminui o risco de vinculação entre os dados pessoais na base de dados e aqueles relacionados ao mesmo titular em outra base em que um pseudônimo diferente é utilizado; (v) tokenização, técnica tipicamente aplicada no setor financeiro para substituir números de identificação de cartões por valores.249 Portando, podemos classificar os dados, de acordo com a LGPD, da seguinte forma: Dados pessoais diretos: identifica diretamente uma pessoa natural, sem a necessidade de outras informações, como CPF, CPF, titula eleitoral, nome (se não houver homônimos); Dados pessoais indiretos: torna a pessoa natural identificável, pois
necessitam de informações adicionais para identificá-la, como gostos, interesses, hábitos de consumo, profissão, sexo, idade e geolocalização; Dados pessoais, diretos ou indiretos, sensíveis: conforme será analisado na sequência; Dados pessoais pseudonimizados: dado que perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro; Dado anonimizado, que não são dados pessoais: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Por fim, importante lembrar que há requisitos legais próprios, em razão da diferença de periculosidade, para o tratamento de dados pessoais em geral, previstos no art. 7° da Lei, e para dados pessoais sensíveis, previstos em seu art. 11. II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Os dados pessoais sensíveis, em linhas gerais, são dados pessoais que possam trazer algum tipo de discriminação quando do seu tratamento (origem racial, convicção religiosa, opinião política, dado referente à saúde, para citar alguns exemplos) bem como, diante da sua criticidade, dados genéticos e biométricos. Ou seja, são dados pessoais que poderão implicar riscos e vulnerabilidades potencialmente mais gravosas aos direitos e liberdades fundamentais dos titulares. A motivação da conceituação dessa categoria especial de dados pessoais é fruto de uma observação pragmática da diferença que apresenta o efeito do tratamento desses dados em relação aos demais.250 Assim, a Lei consegue dedicar obrigações diferenciadas ao tratamento de dados sensíveis, conforme elencado a seguir: As bases legais para o tratamento de dados pessoais sensíveis são diferenciadas e limitadas, dispostas no art. 11, da LGPD;
Quando a base legal para o tratamento for o consentimento, além de ser livre, inequívoco e informado, também deverá ser específico e destacado;251 Não há base legal para o tratamento de dados sensíveis por interesse legítimo; Não há base legal para o tratamento de dados sensíveis para a proteção do crédito. Inclusive, a Lei do Cadastro Positivo veda, expressamente, anotações de “informações sensíveis, assim consideradas aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”;252 Da mesma forma, não há base legal para tratamento de dado sensível para a execução de contrato ou procedimentos preliminares relacionados a contrato, mas sim para o exercício regular de direitos, inclusive em contrato;253 Há base legal específica quando o tratamento de dado sensível servir para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos;254 A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores, com o objetivo de obter vantagem econômica, poderá ser objeto de vedação ou de regulamentação por parte da ANPD, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências;255 É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto nas hipóteses de portabilidade de dados quando consentido pelo titular ou necessidade de comunicação para a adequada prestação de serviços de saúde suplementar.256 Tais situações devem ser avaliadas pelos controladores com muita precisão, pois, muitas vezes, dados pessoais tratados em larga escala, principalmente de forma automatizada,257 podem resultar no processamento de dados sensíveis.
Por exemplo, em 2012, por meio do hábito de consumo de uma cliente,258
cruzando padrões de comportamento de compra, como cremes e loções sem perfume, suplementos de cálcio, magnésio e zinco, uma loja de departamentos norte-americana chegou à conclusão de que ela estaria grávida, até mesmo antes que seu pai.259 Observa-se que a coleta dos referidos hábitos de consumo, de forma isolada, não necessariamente implicam o tratamento de dados pessoais sensíveis, mas sim quando houver inferência acerca da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, mesmo que tal inferência esteja equivocada, motivo pelo qual a relevância do princípio da qualidade dos dados.260 Também será considerado dado sensível, citando outro exemplo, quando a análise de geolocalização em uma aplicação no smartphone ou por meio de um chip instalado no automóvel (dados pessoais indiretos), consiga traçar o comportamento do titular a tal ponto que possa inferir se ele é judeu em razão da quantidade de vezes e do tempo que ele permanece em uma sinagoga, das sextas-feiras que deixa o trabalho antes do pôr do sol em razão do shabat e da quantidade de vezes que compra produtos kosher em lojas especializadas. Nesse sentido, a ONG Artigo 19. no trabalho Privacy and freedom of expression in the age of artificial intelligence, conclui que os métodos de Inteligência Artificial estão sendo utilizados para identificar pessoas que desejam permanecer anônimas; inferir e gerar informações sensíveis sobre pessoas a partir de seus dados não sensíveis; criar perfis de pessoas com base em dados em escala populacional; e tomar decisões subjacentes utilizando esses dados, alguns dos quais podem afetar profundamente a vida das pessoas.261 O conceito de dado pessoal sensível no GDPR é ainda mais claro que a LGPD no sentido da conclusão anterior, pois utiliza o verbo revelar, ao dispor que é proibido o tratamento de dados pessoais que “revelem a origem racial ou étnica […]”,262 enquanto que a LGPD prevê, diretamente, “dado pessoal sobre origem racial ou étnica, convicção religiosa […]”. Inclusive, uma pesquisa da Universidade de Cambridge demonstrou que “curtidas” em redes sociais podem gerar um retrato fidedigno dos gostos e preferências dos seus usuários por meio do qual poderiam ser extraídas inferências, com exatidão, da porcentagem dos homossexuais e
heterossexuais, brancos e negros e eventuais ligações partidárias, republicana ou democrata.263 A própria LGPD foi impulsionada, também, pelo incidente de proporção mundial envolvendo a empresa Cambridge Analytica, de análise de dados políticos, que obteve acesso a informações de cerca de 50 milhões de usuários do Facebook como forma de identificar a personalidade de eleitores e influenciar seu comportamento.264 Quando a empresa inferia a convicção religiosa ou a opinião política de determinado usuário, por exemplo, para realizar uma determinada abordagem eleitoral, estava tratando dado sensível. Por fim, para melhor compreensão da abrangência de alguns dos dados sensíveis previstos na LGPD, o GDPR serve, mais uma vez, como ótimo parâmetro: Dados referente à saúde: relacionados com a saúde física ou mental de uma pessoa, incluindo aqueles relativos à prestação de serviços médicos, que revelem informações sobre o seu estado de saúde.265 Por exemplo, a quantidade de passos diários coletados de um indivíduo, por si só, não necessariamente será um dado sensível, mas, dependendo da tecnologia empregada, pode ser um indicativo de sedentarismo, transformando-se em dado sensível; Dados genéticos: relativos às características genéticas, hereditárias ou adquiridas de uma pessoa que tragam informações únicas sobre a sua fisiologia ou saúde e que resulte de uma análise de uma amostra biológica proveniente da respectiva pessoa;266 Dados biométricos: resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa que permitam ou confirmem a identificação única dessa pessoa, notadamente imagens faciais ou dados dactiloscópicos.267 Porém, fotografias não deverão ser consideradas automaticamente dados sensíveis, pois necessitam da avaliação se o processamento se deu por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação da pessoa.268 III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Será tratado aqui tanto o conceito de “dado anonimizado”, como de “anonimização”,269 para maior precisão e compreensão dos institutos. Referidos conceitos são de extrema relevância na proteção de dados pessoais, para a defesa da livre-iniciativa e a manutenção de inovadores modelos de negócio, pois, conforme já apontado anteriormente, a LGPD não considera dano anonimizado, ou seja, dado relativo a titular que não possa ser identificado, dado pessoal, o que resulta na inaplicabilidade da legislação em estudo para tal tipo de dado. Da mesma forma, os dados outrora pessoais, que passaram por procedimento de “anonimização”, que é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, também perdem o “poder” da aplicação da LGPD. E tais premissas são plenamente pertinentes, pois, se o objetivo da lei é tutelar os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, quando o dado não tem condições de identificar ou tornar identificável determinada pessoa, não há por que ser protegido sob o enfoque de uma Lei Geral de Proteção de Dados Pessoais. Mencionados conceitos não se confundem com pseudonimização de dados, que ocorre, como já visto, quando um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.270Nesse caso, o dado permanecesse pessoal. Assim, a Lei elenca alguns critérios para a avaliação de que o dado esteja271 anonimizado, seja no momento do seu tratamento, ou após o processo de anonimização. Vejamos: Impossibilidade de o titular ser identificado ou perda da possibilidade da associação, direta ou indireta, do indivíduo; Mediante a utilização de meio técnico razoável e disponível na ocasião do seu tratamento; O processo de anonimização não pode ser revertido, com a utilização exclusiva de meios próprios ou por esforços razoáveis;272 O esforço razoável será determinado com base em fatores objetivos,
tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.273 Assim, o controlador, seja avaliando diretamente o caso concreto, seja mediante a contratação de um operador especializado em anonimização de dados, como competente para a tomada de decisões referentes ao tratamento de dados pessoais, será o responsável por analisar os fatores elencados anteriormente e comprovar o motivo pelo qual entendeu, naquela situação e naquele momento da análise, que determinados dados são anonimizados ou passaram por um processo de anonimização. Dois testes exemplificativos são interessantes para avaliação do dado anonimizado: Caso o Chief Executive Officer (CEO) do controlador desrespeite as regras de governança em proteção de dados pessoais da própria empresa que comanda e determine a identificação de determinada pessoa mediante o cruzamento dos dados que foram coletados de forma anonimizada diretamente ou que passaram pelo processo de anonimização. Mesmo que os funcionários dessa empresa, responsáveis pela coleta ou pelo processo de anonimização, adotem todos os seus esforços para trazer o resultado esperado pelo CEO, eles não conseguirão identificá-la; Ou, então, um criminoso, mediante ataque cibernético, obtém todo o banco de dados de uma determinada empresa e, de forma especializada, emprega as tecnologias existentes para identificar as pessoas dentro do banco de dados obtido. Mesmo assim, suas tentativas são infrutíferas e ele não consegue tornar identificáveis quaisquer das pessoas. Portanto, nas duas hipóteses apresentadas, os dados serão considerados anonimizados. No trabalho acadêmico Facial recognition systems and their data protection risks under the General Data Protection Regulation são expostas algumas situações de dados anonimizados: padrões da imagem ou as características extraídas dos indivíduos, em particular, utilizadas somente para categorização (ex. referente a gênero, idade, etnia, vestuário) não serão considerados dados pessoais. Para exemplificar, quando uma única imagem de vídeo é capturada e a única informação armazenada se refere a estas estatísticas, é improvável de que
os dados sejam capazes de identificar qualquer pessoa ou possibilitar resultados precisos ou confiáveis.274
No mesmo sentido, porém dispondo sobre o processo de anonimização, o trabalho “Data protection and privacy issues concerning facial image processing in public spaces”, da Revista de Tecnologia e Engenharia de Atenas, corrobora que quando um quadro do vídeo é capturado ele contém dados pessoais, mas assim que é processado o quadro é descartado, e a única informação armazenada é o número de pessoas que estavam observando o anúncio naquele momento, bem como estatísticas resumidas em relação à idade e gênero daquelas pessoas. Com estas informações, seria impossível identificar qualquer pessoa.275
Nos EUA, de acordo com o Health Insurance Portability and Accountability Act (HIPAA), há uma orientação clara sobre anonimização: no caso de eliminação de 18 elementos de dados pessoais, como dados cadastrais, placas de veículos, contas de e-mail, registros de números médicos, dados biométricos, fotografia de rosto inteiro, entre outros, os dados são tratados como anônimos,276 o que não se pode afirmar no contexto da LGPD ou do GDPR, seja para anonimização, seja para pseudonimização, tornando o assunto, para o Brasil e a União Europeia, de incerteza regulatória, ao menos por enquanto, em que não há posicionamento da ANPD sobre o tema.277 Fato é, inclusive de acordo com a opinião do Art. 29 WP,278 que (i) a verdadeira anonimização dos dados é uma barreira extremamente difícil de se alcançar; (ii) os controladores frequentemente ficam aquém dos dados efetivamente anônimos; (iii) técnicas de anonimização podem fornecer garantias de privacidade, mas apenas se a sua aplicação for de engenharia adequada, com pré-requisitos (contexto) e o objetivos do processo de anonimização claramente definidos, a fim de atingir as metas de anonimização, enquanto produz dados úteis; (iv) a solução ideal deve ser decidida caso a caso, possivelmente usando uma combinação de diferentes técnicas, sempre levando em consideração que um conjunto de dados anonimizados ainda pode apresentar riscos para os seus titulares. Por exemplo, dados anônimos, como estatísticas, podem ser utilizados para enriquecer perfis existentes de titulares, tornando-os, potencialmente, identificáveis; (v) assim, a anonimização e os seus riscos devem ser reavaliados regularmente pelos controladores.
A avaliação dos conceitos deve seguir o caminho trilhado pela LGPD: quais são os meios técnicos disponíveis na ocasião do tratamento que possa tornar identificável o titular? Utilizando-se exclusivamente de meios próprios, é possível tonar identificável o titular? Utilizando-se de esforços razoáveis (custo, tempo, tecnologias disponíveis e utilização exclusiva de meios próprios são alguns dos fatores objetivos) é possível tornar identificável o titular? Na mesma Opinion citada anteriormente, o Art. 29 WP ressalta o risco de reidentificação de perfis de dados genéticos coletados de forma anônima, pois a combinação de recursos genéticos publicamente disponíveis (por exemplo, registros genealógicos, obituário, resultados de buscas em mecanismos de busca) e os metadados sobre doadores de DNA (tempo de doação, idade, local residência) pode revelar a identidade de certos titulares, mesmo no caso de doação “anônima” de DNA.279 O Art. 29 WP também cita exemplo de risco ao se considerar dados pseudonimizados como dados anonimizados, pois, reitera-se, no primeiro caso é possível que um titular seja destacado e vinculável diante de diferentes conjuntos de dados. É susceptível de permitir a identificabilidade, o que é especialmente relevante no contexto da investigação científica, estatística ou histórica. Vejamos o exemplo: em 2006, um banco de dados contendo vinte milhões de palavras-chave de busca para mais de 650.000 usuários de um serviço, em um período de 3 meses, foi publicado por uma empresa de busca na internet, contando como única medida de preservação da privacidade a substituição do ID do usuário junto à empresa por um atributo numérico. Isso levou à identificação pública e à localização de alguns titulares.280
Ou seja, palavras-chave em mecanismos de busca dos titulares, com os IDs dos usuários pseudonimizados, especialmente se associados a outros atributos, como protocolos de internet ou outros parâmetros de configuração de clientes, possuem um alto poder de identificação. A Opinion em tela também dispõe sobre diferentes práticas e técnicas de anonimização, com graus variáveis de robustez, mas que basicamente se dividem em duas abordagens: (i) randomization, como aplicação de ruído, permutação e privacidade diferenciada, as quais visam alterar a veracidade dos dados para remover a forte ligação entre eles e o titular; (ii) generalization, que visa generalizar ou diluir os atributos dos titulares dos dados modificando a respectiva escala ou a ordem de magnitude (ou seja,
uma região em vez de uma cidade, um mês em vez de uma semana). A generalization não permite anonimização em todos os casos. Requer condições quantitativas específicas e abordagens sofisticadas para evitar a vinculação ou a inferência.281 Como conclusão sobre as técnicas de anonimização e pseudonimização, o Art. 29 WP esclarece que, na maioria dos casos, não há recomendações mínimas para estabelecer os parâmetros a serem utilizados. As técnicas precisam ser avaliadas cuidadosamente para cada caso concreto. Em muitos deles, um conjunto de dados anonimizados pode apresentar risco residual para os titulares, pois, mesmo quando não é mais possível recuperar com precisão o registro de um indivíduo, outras fontes disponíveis, públicas ou não, podem ser utilizadas. Por isso, o Art. 29 WP ressalta que a técnica de anonimização pode proporcionar garantias, mas somente se a sua aplicação é planejada apropriadamente, com elementos contextuais282 e técnicos283 do processo claramente expostos e trabalhados a fim de alcançar o nível de anonimato almejado.284 Mas não é por acaso que tal incerteza quantos aos institutos em tela é defensável, ainda mais em um contexto atual e futuro em que a disposição de dados e possibilidades de cruzamentos, na era do big data, é cada vez maior. Bruno Bioni afirma que não “faltam atores e um manancial de dados para desbancar qualquer processo de anonimização. Tem-se um contexto que é completamente antagônico à promessa semântica de dados anônimos, como aquele que não seria capaz, em hipótese alguma, de identificar um sujeito”.285 Se qualquer dado anonimizado carrega grande risco de se transformar em dado pessoal, diante da possibilidade de agregação de outros dados e da teoria expansionista que adotamos no Brasil,286 ao menos a LGPD traz critérios específicos para que os controladores possam utilizar em suas respectivas avalições. Porém, é cogente que a ANPD estabeleça padrões e técnicas a serem utilizados em processos de anonimização para garantir maior segurança jurídica.287 IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Primeiramente, importante esclarecer a diferença de base de dados, banco de dados e dados: enquanto as bases de dados são devidamente protegidas por direitos autorais,288 desde que observados critérios de seleção e organização, em que a compilação dos dados constituírem criação intelectual,289 dados em si não guardam proteção autoral,290 mas são tutelados por diferentes formas, pois, de acordo com a sua sensibilidade e tratamento, podem ferir outros importantes direitos, como o da intimidade, da vida privada, da honra e da imagem das pessoas. Quando tais dados que identifiquem ou possam identificar uma pessoa estão estruturados conjuntamente, formam o conceito de banco de dados pessoais. Já analisamos anteriormente que a LGPD se aplica aos dados pessoais em qualquer formato, físico ou digital, motivo pelo qual o banco de dados segue igual proteção, também não importando se foi ou está constituído em gavetas, notebooks, smartphones, servidores do controlador ou do operador. A proteção segue o conjunto estruturado de dados pessoais em qualquer lugar. O conceito de banco de dados é previsto para facilitar as medidas práticas de bloqueio291 ou de eliminação,292 previstas na Lei. Na ocorrência dessas hipóteses, as medidas devem ser restritas aos dados pessoais contidos no banco de dados, pois o objeto de proteção da LGPD são os direitos de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural derivada da possibilidade de o dado pessoal identificar ou tornar identificável um indivíduo, e não os critérios de seleção, organização, a fórmula ou o algoritmo, por exemplo, que são utilizados para processá-los. Tais critérios são, inclusive, protegidos por outras legislações, como a Lei de Direitos Autorais e a Lei de Propriedade Industrial. Portanto, se alguma empresa adquire a licença de um software que combine serviços de cloud, inteligência artificial, e machine learning, por exemplo, para tratar os seus dados, e faz a customização desse software internamente, com autorização do licenciante, para trazer maior eficiência para o seu negócio, no caso de os dados lá existentes serem objeto de bloqueio ou eliminação, essas medidas não terão qualquer efeito contra o software e a sua customização, mas somente em relação aos dados nele contidos. V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
O titular dos dados pessoais é o núcleo da existência de uma Lei Geral de Proteção de Dados Pessoais, afinal, a preocupação sobre eventuais violações aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade está umbilicalmente vinculada à pessoa natural. A personalidade civil da pessoa natural, conforme art. 2° do Código Civil, começa do nascimento com vida da pessoa. Portanto, assim que qualquer pessoa nasce e respira (nasce com vida), automaticamente já conta com os direitos tutelados pela LGPD. Mas a lei põe a salvo também, desde a concepção, os direitos do nascituro.293 Sobre o tema, o STJ decidiu que o ordenamento jurídico pátrio aponta sinais de que não há indissolúvel vinculação entre o nascimento com vida e o conceito de pessoa, de personalidade jurídica e de titularização de direitos, como pode aparentar a leitura mais simplificada da lei, concluindo que há de se reconhecer a titularidade de direitos da personalidade ao nascituro, dos quais o direito à vida é o mais importante,294 o que também se subentende da decisão do STF, ao tratar do aborto.295 Portanto, quando da identificação, no ultrassom do nascituro, da sua imagem, peso, tamanho, batimento cardíaco, tipo sanguíneo, potenciais doenças, sexo, nome da mãe, entre inúmeros outros dados pessoais do próprio feto (não são dados pessoais somente da mãe, direitos ou indiretos), acenamos que esse nascituro teria, no mínimo, expectativa de direito sobre seus dados pessoais, em razão da sua personalidade jurídica formal, desde a sua concepção, e da sua personalidade jurídica material, relacionada aos direitos patrimoniais, que se adquire com o nascimento com vida.296 Nesse sentido, na UE, o Art. 29 WP, em seu parecer 4/2007,297 ao afirmar que apenas pessoas vivas se inserem no âmbito da definição de “pessoa natural” da então Diretiva 95/46, também discutiu dados de crianças não nascidas como uma das áreas cinzentas, afirmando que as regras de proteção de dados se aplicarem ou não antes do nascimento depende das disposições legais dos Estados-Membros quanto a capacidade de estar sujeito a relações jurídicas (capacidade legal passiva). A recomendação do Conselho da Europa é de que os dados médicos relativos ao feto devem ser considerados e gozar de uma proteção equiparável à proteção de uma criança.298
Porém, o GDPR não prevê explicitamente a proteção de dados pessoais do nascituro, nem a exclui, especificamente, como acontece com dados de pessoas falecidas.299 Assim, a questão está aberta para futuras interpretações, tanto pelos Estados-Membros como pelo Tribunal de Justiça das Comunidades Europeias. Portanto, no Brasil, a tutela dos direitos existentes na LGPD se inicia com o feto, no mínimo diante da expectativa de direito sobre seus dados pessoais, em razão da sua personalidade jurídica formal, desde a sua concepção, e da sua personalidade jurídica material, relacionada aos direitos patrimoniais, adquirida com o nascimento com vida, e terminaria com o falecimento.300 VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Serão tratados os dois conceitos conjuntamente visando facilitar o entendimento das obrigações e responsabilidades. É sobre o controlador que a LGPD impõe o seu maior peso jurídico, pois é ele o responsável pela tomada de decisões sobre o tratamento de dados pessoais. De igual forma, definir quem é o controlador em cada caso concreto é fundamental para que a LGPD seja devidamente cumprida na prática, afinal de contas, será ele que: Deve avaliar o enquadramento de ao menos uma das bases legais para a realização de cada tratamento de dados pessoais;301 Deve acompanhar o ciclo de vida completo dos dados, descartando-os ou determinado o descarte quando do término do tratamento; Deve indicar o encarregado;302 É competente pela elaboração do relatório de impacto à proteção de dados pessoais;303 Cabe o ônus da prova sobre o consentimento do titular304; Deve cumprir os direitos dos titulares305; Deve manter registro das operações de tratamento de dados pessoais;306
Deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas;307 Deve transmitir as instruções para o tratamento de dados quando resolver envolver um operador;308 Será responsabilizado civilmente, no caso de violação à LGPD;309 Será sancionado administrativamente em razão de infrações cometidas às normas previstas na LGPD;310 Deve comunicar a ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;311 Deve formular e empregar regras de boas práticas e governança em proteção de dados pessoais, levando em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;312 Deve adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;313 Deve prestar informações quando solicitadas pela ANPD.314 O operador, por sua vez, é quem realiza o tratamento de dados pessoais em nome do controlador. Portanto, este não poderá tratar dados pessoais senão em virtude das determinações do controlador315 ou de previsão legal. Há as seguintes previsões da LGPD quanto ao operador: O operador também deve manter registro das operações de tratamento de dados pessoais que realize;316 Também deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas;317 Será responsabilizado civilmente, em razão do exercício da sua atividade de tratamento de dados pessoais, no caso de violação à LGPD;318
Responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador;319 Responde pelos danos decorrentes da violação da segurança dos dados se deixar de adotar medidas de segurança previstas na LGPD;320 Será sancionado administrativamente em razão de infrações cometidas às normas previstas na LGPD;321 Também deve formular e empregar regras de boas práticas e governança em proteção de dados pessoais, levando em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular;322 Deve prestar informações quando solicitadas pela ANPD.323
Assim, definir quem é o controlador e o operador em cada caso é imprescindível, mas pode ser tarefa complexa, pois, devido à evolução da tecnologia da informação e da comunicação e à tendência de entidades serem e proverem serviços multidisciplinares, por vezes, haverá situações em que uma mesma pessoa jurídica será controladora e operadora. Porém, para o titular e para a ANPD não pode haver dúvidas. Por isso, o controlador deverá se identificar324, com informações de contato325, perante o titular dos dados, de forma facilitada, clara, adequada e ostensiva326, além de prestar informações sobre o tratamento dos dados, como a finalidade específica do tratamento327, forma e duração328; e informações acerca do uso compartilhado de dados e a finalidade329. O conceito de controlador contempla absolutamente todas as decisões sobre as atividades que refletem o ciclo de vida dos dados pessoais. Desde o projeto, passando pela coleta ou recepção, todas as formas de processamento, até o descarte. As seguintes perguntas podem contribuir para a identificação do controlador: qual o motivo de determinado tratamento de dado estar ocorrendo? Quem teve essa ideia? Quem efetivamente deu início a qualquer uma das hipóteses previstas de tratamento?330 Mesmo em casos nos quais o controlador não se identifica como tal e executa o tratamento de dados sem cumprir quaisquer dos fundamentos e
princípios estabelecidos pela LGPD, identificá-lo é crucial para a execução do devido processo legal e eventuais sanções, como ocorreu no já mencionado caso Tudo sobre Todos.331 O Art. 29 WP, em sua Opinion 1/2010332, traz algumas considerações e divisões relevantes para identificação do controlador: Controlador decorrente de competência legal explicita, seja no caso de qualquer legislação nomear expressamente um controlador, seja no caso de prever determinadas tarefas que envolvam tratamento de dados sem o definir. Por exemplo, o dever de guarda de determinados dados pessoais decorrente de obrigação legal impõe que determinadas entidades sejam controladoras desses dados, mesmo que não nomeadas em lei; Controlador decorrente de competência legal implícita: decorre normalmente de disposições legais comuns a diversas áreas, como Direito Civil e Direito do Trabalho, em que as funções usuais das entidades determinam quem é o controlador, como uma editora que trata os dados dos seus clientes ou uma empresa que trata os dados dos seus funcionários. São atividades do controlador naturalmente vinculadas ao seu papel funcional; Controlador oriundo de uma influência concreta: quando há a necessidade de ser analisada as circunstâncias do caso em concreto, como na avaliação das cláusulas contratuais entre as diferentes partes envolvidas, visando identificar qual a real atividade de cada uma delas no tratamento de dados, grau de controle e quem exerce o papel dominante na tomada de decisões. Os termos do contrato podem ajudar a identificar o controlador, mas não necessariamente será o fator determinante, pois podem não corresponder com a realidade. Por exemplo, se uma XPTO contrata outras diferentes entidades para enviar e-mail marketing de suas campanhas, dá instruções claras (conteúdo do material de marketing, destinatários, datas do envio etc.). Mesmo que as contratadas para executar tais tarefas tenham alguma autonomia para cumprir com o determinado (software que utilizarão, por exemplo), embora também possam oferecer consultoria (como o horário de maior abertura de e-mail marketing), estarão claramente vinculadas para agir de acordo com as determinações da empresa XPTO. Além disso, apenas a empresa XPTO tem
o direito de utilizar os dados. As outras entidades não podem tratá-los para qualquer outro propósito que não o determinado pela empresa XPTO. Nesse caso, somente a empresa XPTO será a controladora, e as contratadas serão operadoras. No entanto, caso as empresas contratadas tomem a decisão – ilícita, diga-se de passagem – de utilizar os dados para outras finalidades, automaticamente elas também passam a ser controladoras, a partir desse momento. Portanto, as decisões sobre quais espécies de dados serão tratados, para quais propósitos, com quem serão compartilhados, por quanto tempo eles serão mantidos, quais são os requisitos de segurança necessários, por exemplo, são de competência do controlador. Ou seja, são disposições que envolvem tanto questões organizacionais, como técnicas.
No entanto, é possível que o controlador considere pertinente eleger determinador operador para que os dados pessoais estejam sob maior segurança ou processados de forma mais eficaz e organizada, por exemplo. Nesses casos, provavelmente o operador, de acordo com as orientações do controlador sobre os motivos pelos quais ele está terceirizando o tratamento, adotará meios técnicos e organizacionais próprios, sempre os informando ao controlador. Esse tipo de decisão não implica a modificação da qualificação dessa empresa de operadora para controladora, exceto se utilizar o processamento dos dados para o seu próprio benefício, com a intenção de gerar serviços de valor agregado, por exemplo333. Portanto, a determinação do propósito do processamento é reservada e de competência do controlador. A opção dos meios de processamento pode ser delegada pelo controlador ao operador, no que se refere a questões técnicas ou organizacionais. Questões substanciais, que são essenciais para o núcleo de legalidade do processamento, são reservadas ao controlador. Outrossim, por mais que a LGPD preveja a possibilidade de o controlador ou o operador serem pessoas naturais, essa possibilidade não deve ser confundida com o CEO da empresa, com o Encarregado, ou com o profissional responsável pela adequação de um projeto de processamento dos dados, pois estarão agindo em nome da pessoa jurídica, que continuará respondendo como controladora ou a operadora.334 No entanto, caso a pessoa física, contrariando a governança corporativa estabelecida, resolva se aproveitar dos dados tratados por sua empresa em benefício próprio ou toma alguma medida ilícita dolosa, pode passar a ser considerado controlador,
ainda subsistindo a responsabilidade da empresa (controladora ou operadora original) perante terceiros. Será controlador também, citando outra hipótese, o corretor de imóveis (pessoa física), que é responsável pelo controle e tratamento de dados de seus clientes, como dados cadastrais e de perfil (gostos, interesses e renda), de modo a atender às respectivas necessidades dos titulares. Vejamos mais alguns outros exemplos providos pelo Art. 29 WP: Headhunters: a empresa Headhunterz Ltd ajuda a Enterprize Inc a recrutar novos funcionários. O contrato afirma claramente que “a Headhunterz Ltd agirá em nome da Enterprize e será operadora quanto ao processamento dos dados. A Enterprize é a única controladora dos dados”. No entanto, a Headhunterz Ltd está em um enquadramento duplo: por um lado, desempenha o papel de controladora para os candidatos a emprego, por outro lado assume-se operadora atuando em nome da controladora, tais como a Enterprize Inc e outras empresas que a contratam, para prestar esse serviço. Além disso, a Headhunterz – com o seu famoso serviço de valor agregado “global matchz” – procura candidatos adequados tanto entre os currículos recebidos diretamente da Enterprize quanto aqueles que já possui em seu extenso banco de dados. Isso garante que a Headhunterz, que é paga apenas no caso de êxito na contratação, melhore a possibilidade de efetiva contratação, aumentando, assim, suas receitas. Dos elementos citados, pode-se dizer que, apesar da sua qualificação contratual, a Headhunterz Ltd será considerada também como controladora; Agência de viagens: uma agência de viagens compartilha dados pessoais de seus clientes para companhias aéreas e cadeia de hotéis, com o objetivo de realizar reservas para um pacote de viagem. A companhia aérea e o hotel confirmam a disponibilidade dos assentos e quartos solicitados. A agência de viagens emite os documentos de viagem e vouchers para seus clientes. Nesse caso, a agência, a companhia aérea e o hotel serão três diferentes controladores de dados, cada um sujeito às obrigações relativas ao seu próprio processamento; Agência de viagens II: a agência de viagens, a cadeia hoteleira e a
companhia aérea decidem criar uma plataforma comum na internet para melhorar a cooperação quanto à gestão de reservas de viagens. Eles concordam com elementos importantes dos meios a serem utilizados, como quais dados serão armazenados, como as reservas serão alocadas e confirmadas, e quem pode ter acesso às informações armazenadas. Além disso, decidem compartilhar os dados de seus clientes para ações integradas de marketing. Nesse caso, a agência de viagens, a companhia aérea e a cadeia hoteleira terão controle conjunto sobre como os dados pessoais de seus respectivos clientes são processados. Portanto, serão controladores conjuntos das operações de tratamento relacionadas com a plataforma comum de reservas. No entanto, cada um deles ainda manterá o controle exclusivo das outras atividades de processamento próprias de acordo com suas respectivas obrigações; Redes sociais e uso doméstico: os provedores de serviços de redes sociais fornecem plataformas de comunicação on-line que permitem que os indivíduos publiquem e troquem informações com outros usuários. Esses provedores de serviços são controladores de dados, pois determinam os propósitos e os meios de processamento de tais informações. Os usuários dessas redes, realizando o upload de dados pessoais também de terceiros, podem se qualificar como controladores, desde que suas atividades não estejam sujeitas à “exceção doméstica”;335 Publicidade comportamental: uso de informações coletadas sobre comportamentos de navegação, como páginas visitadas ou as pesquisas realizadas, para selecionar quais anúncios exibir para cada pessoa. Editores muitas vezes alugam espaços de publicidade em seus sites para preenchimento com publicidade direcionada. De uma perspectiva de proteção de dados, os editores devem ser considerados controladores autônomos na medida em que coletam dados pessoais do usuário (perfil do usuário, endereço IP, localização, idioma do sistema operacional etc.) para seus próprios fins. O provedor de serviço de anúncios também será controlador na medida em que determina as finalidades (monitoramento de usuários através de sites) ou os meios essenciais para o processamento de dados; Provedores de hospedagem: provedores de serviços de hospedagem
são, em princípio, operadores de dados pessoais (hospedagem e manutenção). Se, no entanto, processarem os dados para além do determinado pelo controlador, então passarão a ser controladores com relação a esse processamento específico. Assim, com a diversificação de serviços atualmente existentes, em que mais de um agente pode ser considerado controlador no tratamento dos mesmos bancos de dados, deve haver uma avaliação precisa, com uma abordagem substantiva e funcional, definindo a participação e responsabilidades no tratamento de cada uma das partes. Diferentes graus de tratamento de dados podem ensejar diferentes graus de responsabilidades. Na prática, o ponto fundamental para caracterizar o controlador é a sua capacidade de determinar as finalidades para as quais os dados pessoais estão sendo coletados, armazenados, utilizados, alterados e compartilhados. Acerca do operador, é preciso analisar se é uma entidade ou pessoa física terceira ao controlador e que realize a operação de tratamento em nome dele. Essa operação pode ser restrita a uma tarefa simples, específica e limitada, ou pode atender a uma demanda mais complexa, em que importa, até mesmo, certa discricionariedade do operador em razão de sua especialização, mas sempre cumprindo estritamente as determinações do controlador. Alguns outros critérios adicionais são úteis para essa análise: nível de determinação e deliberação prévia pelo controlador; monitoramento, acompanhamento e auditoria pelo controlador sobre o nível de serviço do operador; visibilidade do tratamento perante os titulares; especialização das partes envolvidas; poder de decisão e autonomia das partes.336 VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei n° 13.853, de 2019)
Na LGPD, a figura do Data Protection Officer (DPO) se apresenta como Encarregado. Seu papel vai muito além de atuar como canal de comunicação entre controlador ou o operador, os titulares dos dados e a ANPD, como previsto no conceito em estudo, pois ele será o responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais
atribuições determinadas pelo controlador ou estabelecidas em normas complementares.337 Por enquanto, todos os controladores têm obrigação legal, taxativa, de nomear um EPD, ao menos até a ANPD estabelecer normas complementares sobre a definição e as atribuições, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.338 Quanto aos operadores, não há essa expressa exigência, sendo recomendável, no entanto, de acordo com a análise da criticidade das espécies de serviços providos, quanto ao tratamento de dados pessoais, nomeá-lo para conseguir atender a todas as suas obrigações, conforme analisado em tópico anterior. Caso o operador opte por não nomear um Encarregado, sugere-se fundamentar a decisão. No GDPR há previsão de nomeação do DPO, tanto para o controlador quanto para o operador, mas somente nos casos em que: (i) o tratamento for efetuado por um órgão público, excetuando os tribunais no exercício da sua função jurisdicional; (ii) as atividades principais do agente consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controle regular e sistemático dos titulares dos dados em grande escala; (iii) as atividades principais do agente consistam em operações de tratamento em grande escala de categorias especiais de dados (sensíveis) e de dados pessoais relacionados com condenações penais.339 Ainda, também segundo o GDPR, um grupo empresarial pode designar um único DPO para todas as empresas, desde que seja facilmente acessível e consiga suprir todas as suas funções340. A noção de acessibilidade refere-se às tarefas do DPO como ponto de contato em relação aos titulares dos dados e a ANPD, assim como ponto de contato dentro do controlador e do operador, considerando que uma das suas tarefas, inclusive na LGPD, é a de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais341. Ademais, retornando ao Brasil, depois da alteração oriunda da Medida Provisória 869/2018, não só pessoa física poderá ser Encarregado, mas qualquer “pessoa” indicada pelo controlador. Ou seja, não há vedação para pessoa jurídica assumir o cargo. Ainda, o ideal é que o Encarregado não acumule funções e tenha
independência opinativa, pois, para desempenhar o seu papel de orientar o controlador acerca das práticas de tratamento de dados pessoais e intermediar as relações entre ele e os titulares dos dados e a Autoridade Nacional, “há de ser livre no desempenho de suas funções, sem que receba instruções ou seja destituído em razão do (adequado) exercício de suas incumbências, ainda que suas recomendações, embora legais, sejam desfavoráveis aos negócios da empresa por ele assistida”342. Também não há qualquer vedação na LGPD de nomear um Encarregado entre os colaboradores da empresa controladora ou operadora. Inclusive, muitas vezes um colaborador desponta como um bom candidato ao cargo por conhecer a fundo as práticas da empresa, bem como sua cultura, tendo uma vantagem em termos de adaptação a nova posição em relação a um indivíduo que venha de fora dos quadros da companhia. Nesse caso, importante que o agente do tratamento garanta todas as condições corporativas para uma atuação independente. Eventuais outras funções na empresa não podem causar qualquer incompatibilidade ou conflito com sua função como Encarregado. É por essa razão, também, que a remuneração do encarregado pelo tratamento de dados pessoais não deve estar atrelada aos ganhos da empresa. Outro ponto relevante a se considerar na indicação do Encarregado é o nível necessário de conhecimento especializado em todo o ordenamento jurídico que se aplique à proteção de dados pessoais. Inclusive, a Consideranda 97, do GDPR, dispõe que “o nível necessário de conhecimentos especializados deverá ser determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo seu tratamento ou pelo operador”. Isto é, sólido conhecimento na LGPD; na regulamentação setorial de proteção de dados pessoais aplicável; na realidade das atividades desempenhadas pela companhia; a natureza, o âmbito, o contexto e as finalidades das operações de tratamento de dados realizadas pela companhia; e das necessidades específicas e desafios da companhia no que tange à proteção de dados. Também é importante que o Encarregado tenha atenção à sua formação contínua, para estar sempre atualizado, aprimorando seus conhecimentos de forma a contribuir para uma melhor proteção no tratamento de dados pessoais da sua empresa, diante da rápida evolução tecnológica e dos riscos inerentes a cada projeto que envolva dados pessoais.
O Art. 29 WP também aponta as qualidades pessoais que um EPD deve ter, como a integridade e ética profissional, já que ele “desempenha um papel determinante na promoção de uma cultura de proteção de dados no seio da organização e contribui para dar cumprimento aos elementos essenciais”343. Após eleito o Encarregado, recomenda-se uma comunicação oficial a toda a empresa, incluindo a importância do cargo e o papel que ele desempenhará, a fim de transmitir a relevância da temática proteção de dados, bem como esclarecer os mecanismos de governança corporativa interna existentes. Nesse sentido de publicidade, a LGPD, conforme o artigo 41, § 1°, já mencionado, estabelece que a identidade e os contatos do encarregado devem ser divulgados, preferencialmente no site do controlador. O Art. 29 WP recomenda seja publicado também o endereço postal, número de telefone, email, e criada uma linha direta específica ou formulário específico de contato no site, exatamente para facilitar o acesso aos titulares de dados344. Ademais, o Encarregado deve se envolver com todas as questões de proteção de dados, participando das reuniões de gestão da empresa, recebendo informações sobre as atividades de tratamento e interagindo com o mais alto patamar diretivo. Dessa forma, o Encarregado deve estar presente e opinar nas tomadas de decisão que impactem na proteção de dados pessoais. Sem dúvida, trata-se de uma função relevante, que demanda tempo e estrutura. O agente de tratamento deve refletir, no caso de cumulação de uma outra função com a função de Encarregado, além da ausência de conflito, se é factível o cumprimento de todas as atribuições legais em tempo parcial. Ademais, devem ser fornecidos recursos financeiros, jurídicos, humanos, de espaço, e de equipe, se necessário. Além disso, em casos de empresas de grande dimensão, é possível conceder ao Encarregado uma equipe de trabalho, com funções e responsabilidades bem delimitadas345. Como conclusão, poderemos extrair o seguinte: É de suma importância que a ANPD se posicione, antes da eficácia plena da LGPD, acerca das hipóteses de dispensa da necessidade da indicação do Encarregado para o controlador, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, bem como sobre eventuais obrigações do operador;
O Encarregado pode ser terceirizado, pessoa física ou jurídica. Porém, é de extrema relevância que o agente de tratamento, no caso dessa decisão, avalie se o Encarregado terceirizado conseguirá exercer todas as suas funções, principalmente a de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e dar andamento nas solicitações dos titulares e nas comunicações da ANPD. Para pequenas corporações, o Encarregado terceirizado pode conseguir dar vazão às demandas e exercer todas as suas funções de forma satisfatória, porém, em médias e grandes, em razão da necessidade de o Encarregado conhecer profundamente a natureza e os procedimentos de governança corporativa da organização, pode ser arriscado não ser um profissional interno, funcionário da própria entidade; Apesar, como dito, da LGPD não vedar a nomeação do Encarregado pessoa jurídica, em razão de todas as considerações expostas anteriormente sobre o assunto, a atuação de empresas especializadas em exercer as atividades do Encarregado, previstas na Lei, prestam-se, muito mais, como consultoria ao próprio Encarregado; De outro lado, se a função do Encarregado for exercida por um prestador de serviço externo, um conjunto de pessoas que trabalham para essa entidade poderá exercer de modo eficaz as funções enquanto equipe, sempre sob a responsabilidade de um contato principal designado para o cliente, titulares e ANPD; Também não há vedação de que o Encarregado seja um comitê ou grupo de pessoas nomeadas pela empresa, desde que seja designado, também nesse caso, um contato principal para questões internas, para atender aos titulares dos dados e à ANPD; É possível a nomeação de um único Encarregado para corporações com diversas filiais, também não havendo vedação de ele trabalhar fisicamente no exterior, desde que consiga exercer, plena e satisfatoriamente, todas as suas funções e obrigações previstas na Lei. IX – agentes de tratamento: o controlador e o operador;
“Agentes de tratamento” é apenas um conceito para apontar na legislação as obrigações e responsabilidades que envolvam tanto o controlador como o operador. Tais questões foram abordadas quando do estudo do “controlador”
e do “operador”. X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
A definição de tratamento de dados pessoais, na LGPD, é extremamente abrangente, pois parte da coleta e finda em sua eliminação, englobando todas as possibilidades de manuseio dos dados, independentemente do meio utilizado. Assim, o mero ato de receber, acessar, arquivar ou armazenar dados pessoais está contido dentro do conceito de tratamento. Referida constatação de abrangência do conceito é de fundamental importância, pois o agente de tratamento, em absolutamente todas essas hipóteses, deverá manter registros das suas operações,346 bem como, no caso do controlador, avaliar o cumprimento de uma das bases legais previstas na Lei,347 o que implica dizer que um simples dado pessoal arquivado, mesmo que não seja processado, precisará ter um fundamento previsto na Lei para estar sob a responsabilidade do agente. Se o controlador não encontrar um embasamento jurídico para manter o dado pessoal consigo (ou com o operador), deverá eliminá-lo. Ademais, a regra no ordenamento jurídico brasileiro é a do princípio da irretroatividade da lei.348 Ou seja, qualquer obrigação existente em nova legislação não se aplicará às situações constituídas anteriormente à sua eficácia plena, visando a manutenção da segurança, certeza e estabilidade das normas. Assim, a LGPD não terá efeitos sobre o tratamento de dados ocorridos antes de 16 de agosto de 2020. Porém, como o conceito de tratamento abarca absolutamente todas as hipóteses de manuseio de dados, a partir do dia da eficácia plena da Lei, os dados pessoais anteriormente existentes, se não descartados, de alguma forma estarão sob a tutela da LGPD, mesmo que permaneçam armazenados estaticamente. Portanto, é fundamental que os controladores realizem um mapeamento dos dados pessoais, previamente à vigência da Lei, para avaliar o enquadramento do tratamento em uma das bases legais existentes durante todo o ciclo de vida dos dados sob a sua responsabilidade. Caso não encontre uma das bases legais, deverá suprir essa lacuna ou eliminá-los.
XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Conceito já abordado no art. 5°, inciso III. XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
O consentimento é apenas uma das dez bases legais349 previstas para o tratamento de dados pessoais. Porém, em razão do alto grau de transparência perante o titular, é a hipótese que pode trazer mais segurança jurídica para o controlador, a quem incumbe o ônus da prova de que foi obtido em conformidade com a Lei.350 É definido na LGPD como manifestação de vontade livre, informada e inequívoca, pela qual o titular dos dados concorda com o tratamento de seus dados para uma finalidade determinada. No entanto, quando o consentimento for utilizado para tratamento de dados pessoais sensíveis,351 de crianças352 ou para transferência internacional,353 além de livre, informado e inequívoco, para uma finalidade determinada, ele deverá também ser realizado de forma específica e em destaque. “Livre” é conferir ao titular a oportunidade de dispor ou não de dados que não sejam fundamentais à prestação de um eventual serviço, em que pese o tratamento de dados pessoais poder ser condição para o fornecimento de produto ou de serviço.354 Sobre o assunto, como o conceito de consentimento do GDPR355 é semelhante ao da LGPD, interessante trazer algumas de suas disposições acerca do tema: “há que se verificar, com a máxima atenção, se a execução de um contrato está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato”356. Não deverá se considerar que o consentimento foi manifestado de forma livre se o titular dos dados não dispuser de uma escolha verdadeira ou não puder recusar ou retirar o seu consentimento sem ser prejudicado.357 O Art. 29 WP cita o caso de um banco que solicita aos clientes o consentimento para usar seus dados de controle de pagamentos para fins de marketing. Esse tratamento não é necessário para a execução do contrato com o cliente. Se a recusa do cliente em consentir com esse propósito levar à negação dos serviços bancários, o encerramento da conta bancária ou o
aumento da taxa, haverá violação à liberdade de consentir.358 Nesse sentido, o STJ declarou abusiva e ilegal cláusula prevista em contrato de prestação de serviços de cartão de crédito, que autoriza o banco contratante a compartilhar dados dos consumidores com outras entidades financeiras, sem que seja dada opção de discordar daquele compartilhamento, pois a obrigação que ela anuncia se mostra prescindível à execução do serviço contratado, qual seja a obtenção de crédito por meio de cartão. E conclui que “a impossibilidade de contratação do serviço de cartão de crédito, sem a opção de negar o compartilhamento dos dados do consumidor, revela exposição que o torna indiscutivelmente vulnerável, de maneira impossível de ser mensurada e projetada”.359 Já o requisito “informado” do consentimento guarda relação direta com o princípio da “transparência”, o qual pressupõe que o titular adquira conhecimento e capacidade para que possa tomar uma decisão de forma consciente e serena antes de dispor de seus dados pessoais, tomando conhecimento real das consequências da sua escolha. Nesse aspecto, se fornecido por escrito, o consentimento deverá constar de cláusula destacada das demais cláusulas contratuais360. Já em caso de alteração da finalidade, forma e duração do tratamento, do controlador ou do uso compartilhado dos dados, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração361. Também caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, o consentimento será considerado nulo362. Portanto, o consentimento deve ser apresentado ao titular de uma forma que o distinga visivelmente de outros assuntos, de modo inteligível, de fácil acesso e em uma linguagem clara e simples.363 Inclusive, o GDPR ressalta que, se o consentimento for concedido por meio eletrônico, o pedido deve ser claro e conciso, não podendo perturbar desnecessariamente a utilização do serviço para o qual é fornecido,364 conforme os seguintes exemplos do Art. 29 WP: (i) deslizar o dedo em uma tela, passar na frente de uma câmera inteligente ou girar um smartphone no sentido horário podem ser opções para indicar concordância, contanto que haja informações claras informando previamente o titular o modo de manifestar a aquiescência (“se você deslizar
esta barra para a esquerda, você concorda com o uso da informação X para o propósito Y. Repita o movimento para confirmar”); (ii) barra de rolagem que inclua declarações de consentimento (“o titular dos dados que continuar rolando o texto constituirá consentindo”) não satisfará a exigência de uma ação clara e afirmativa, pois informações relevantes podem ser perdidas quando uma questão que envolva dados pessoais está rapidamente percorrendo grandes quantidades de texto.365 No momento do consentimento, não é necessário dispor de todos os requisitos constantes no art. 9°, da LGPD366, que deverão ser consignados em política de privacidade, mas sim garantir que o titular tome conhecimento previamente do motivo pelo qual seus dados estão sendo coletados, de forma objetiva, cristalina e de fácil compreensão para qualquer ser humano. Por sua vez, inequivocamente significa que o titular, mesmo que implicitamente (uma vez que não precisa ser expresso), precisa concordar com aquilo que está disposto de modo claro para ele. Deve ser um ato positivo do titular e armazenado pelo controlador, para fins de prova, que indique essa manifestação. Por exemplo, mediante uma declaração escrita, inclusive em formato eletrônico ou oral. Assim, o silêncio, a omissão e as opções pré-validadas provavelmente não serão como formas de consentimento.367 Um usuário que resolve dispor do seu endereço de e-mail em página da internet com a seguinte mensagem “deixe o seu e-mail aqui para receber nossa newsletter sobre proteção de dados pessoais” está conferindo um consentimento inequívoco para esta finalidade. Assim como alguém que deixa ser fotografado como forma de permissão para a entrada em um condomínio, por motivos de segurança. O consentimento também deverá ser previsto para finalidade determinada. Autorizações genéricas para o tratamento de dados pessoais serão nulas368. Portanto, deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade e nos casos em que o tratamento sirva para fins múltiplos, de acordo com a avaliação da especificidade, deverá ser conferido consentimento para cada um desses fins. Sobre o assunto, o Art. 29 WP alerta que: (i) a obtenção do consentimento válido é sempre precedida da avaliação de um propósito específico, explícito e legítimo para a atividade de processamento pretendida, como salvaguarda
contra o alargamento gradual ou a confusão dos fins para os quais os dados foram processados inicialmente, mediante concordância do titular; (ii) os mecanismos de consentimento não devem ser apenas granulares para atender à exigência do “livre”, mas também para satisfazer o elemento “específico”. Ou seja, caso o controlador busque o consentimento para vários diferentes propósitos, ele deve fornecer um opt-in separado para cada finalidade, permitindo que os usuários forneçam o consentimento para fins específicos; (iii) as informações específicas de cada pedido de consentimento separado servem para conscientizar os titulares dos diferentes impactos de acordo com suas escolhas.369 No Brasil, houve determinação judicial para adequação de todas as licenças de um sistema operacional, para que, como regra, não mais coletasse informações e dados pessoais de seus usuários, por meio dos seguintes procedimentos mínimos: instalações e atualizações sem que o sistema estivesse programado para coletar qualquer dado pessoal do usuário/consumidor; qualquer coleta de qualquer dado pessoal dos usuários/consumidores somente se desse com expressa e prévia autorização destes, inclusive com alertas específicos, no momento da opção, acerca das consequências de tal autorização, que deveriam se dar para cada tipo de dado ou informação pessoal coletada.370 A necessidade de granularidade no momento do consentimento e de acordo com os dados tratados e respectivas finalidades é estampada na Consideranda 43, do GDPR, ao dispor que presume-se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento apesar de o consentimento não ser necessário para a mesma execução.
Por fim, na emblemática sanção da Autoridade Nacional de Proteção de Dados francesa (Commission Nationale de l’Informatique et des Libertés – CNIL)371, de ¤50 milhões contra o GOOGLE, com base no GDPR, o consentimento foi considerado nulo pelos seguintes motivos372: Não ser suficientemente informado; Operações de processamento para a personalização de anúncios são diluídas em diversos documentos e não permitem que o usuário esteja ciente de sua extensão;
Não é possível ter ciência da pluralidade de serviços, sites e aplicativos envolvidos nessas operações de processamento (pesquisa do Google, YouTube, Google home, mapas do Google, Playstore, imagens do Google…) e, portanto, da quantidade de dados processados e combinados. Assim, o consentimento não é nem “específico” nem “inequívoco”; A exibição da personalização dos anúncios também é pré-marcada. Conforme o GDPR, o consentimento é “inequívoco” apenas com uma ação afirmativa clara do usuário (marcando uma caixa não prémarcada, por exemplo); Antes de criar uma conta, o usuário é solicitado a marcar as caixas “Eu concordo com os Termos de Serviço do Google” e “Eu concordo com o processamento de minhas informações conforme descrito acima e explicado na Política de Privacidade” para criar a conta. Portanto, o usuário dá seu consentimento integralmente, para todos os fins de operações de processamento realizados pelo Google com base nesse consentimento (personalização de anúncios, reconhecimento de fala, etc.). Porém, o GDPR prevê que o consentimento é “específico” somente se for dado distintamente para cada finalidade. XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
Primeiramente, há hipótese de bloqueio dos dados pessoais ou do conjunto estruturado de dados pessoais (banco de dados), como direito do titular,373 caso desnecessários, excessivos ou tratados em desconformidade com a Lei. Nesse caso, quando o controlador avaliar, de ofício ou mediante requisição do titular,374 eventuais dados pessoais ou banco de dados que possam ser excessivos ou tenha dúvida sobre a conformidade do tratamento perante qualquer ordenamento jurídico de proteção de dados, é recomendável que, temporariamente, segregue completamente tais dados de toda a operação até que chegue a uma conclusão efetiva e fundamentada sobre a sua necessidade e licitude. Ou seja, a única permissão que se tem durante esse lapso temporal é a de guarda dos dados pessoais, sendo vedado, entre outras possibilidades, a classificação, utilização, reprodução, transmissão, distribuição, processamento, modificação, comunicação, transferência,
difusão ou extração. Ademais, o bloqueio dos dados pessoais também é previsto como uma das possibilidades de sanção administrativa na LGPD, mas somente àqueles que se referem a infração, até a sua devida regularização375. Trata-se de previsão contundente, mas intermediária, que, assim como as demais sanções previstas, somente ocorrerá após procedimento administrativo, com ampla defesa, de acordo com as peculiaridades do evento concreto, especialmente, nesse caso, a real possibilidade de reversão da ilicitude do tratamento, pois é medida que precede a eliminação e oportuniza ao controlador buscar correção. O controlador, na hipótese de compartilhamento de dados pessoais com terceiros, deverá informar imediatamente os demais agentes para que também bloqueiem os dados pessoais ou banco de dados que sejam objeto da eventual sanção administrativa ou do dever de atendimento desse direito do titular376. XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Eliminar dado pessoal ou banco de dados pessoais é excluí-los, definitivamente, do poder de controle do controlador, não importando o procedimento empregado para atingir tal finalidade, tampouco a localização dos dados. Ou seja, é tornar inviável que o controlador possa tratar os dados objeto da eliminação. Assim como no bloqueio, há hipótese de eliminação dos dados pessoais ou do conjunto estruturado de dados pessoais (banco de dados) desnecessários, excessivos ou tratados em desconformidade com a Lei, como direito do titular.377 Também é direito do titular requerer a eliminação dos seus dados pessoais tratados somente com a base legal do consentimento378. Mais do que isso, é dever do controlador analisar e possuir ao menos uma das bases legais para o tratamento de dados pessoais,379 mantendo registro de suas operações380, pois, caso o controlador não encontre uma delas, deverá eliminar, de imediato, os respectivos dados pessoais. Da mesma forma, continuamente, o controlador deverá analisar quando a finalidade do tratamento foi alcançada; quando os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
quando houve o fim do período de tratamento, pois, nessas situações, em razão da caracterização do término do tratamento,381 também deverá excluílos. Concomitantemente, a eliminação de dados de ofício pelo controlador é um procedimento de segurança da informação e mitigação de riscos, uma vez que, ao descartar dados desnecessários, estes não poderão ser mais objeto da vazamentos ou tratamentos ilícitos. Também é medida que atende ao princípio da necessidade, pois a abrangência do tratamento deve envolver apenas dados pertinentes, proporcionais e não excessivos em relação às finalidades pelos quais foram coletados382. Ademais, a eliminação dos dados pessoais também é prevista como uma das possibilidades de sanção administrativa na LGPD, mas somente àqueles que se referem a infração383. Dependendo do tipo de operação econômica baseada nos dados objeto da sanção de eliminação, essa penalização pode ser a mais extrema e severa entre o rol existente,384 motivo pelo qual deverá ser analisada, com cautela, pela ANPD, a natureza do ilícito e a proporcionalidade entre a gravidade da falta e a intensidade da sanção, principalmente se o tratamento dos dados pessoais é passível ou não de correção (legalização do tratamento dos dados objeto da sanção). Por fim, o controlador, na hipótese de compartilhamento de dados pessoais com terceiros, deverá informar imediatamente os demais agentes para que também eliminem os dados pessoais ou banco de dados que sejam objeto da eventual sanção administrativa ou do dever de atendimento desse direito do titular385. XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Conforme apontado em diversas considerações sobre os fundamentos da LGPD, a evolução da tecnologia da informação e da comunicação possibilitou uma vibrante economia baseada em dados, sem fronteiras físicas, que necessitam de trânsito desburocráticos para que não se criem entraves desnecessários em situações comuns existentes na vida de qualquer indivíduo. De fato, a transferência internacional de dados ocorre na grande maioria dos serviços de aplicação de internet que são utilizados diariamente, como em
redes sociais e provedores de conta de e-mail que hospedam o conteúdo do titular fora do território nacional; qualquer serviço de entrega de comida ou de streaming de música que utiliza um operador estrangeiro para realizar a operação de faturamento; dados de funcionários de uma filial brasileira que são armazenados na matriz estrangeira; contratação de serviços de hospedagem em geral, que, por questões de segurança da informação, inclusive compartilham os dados em diversos servidores localizados no mundo, entre outras incontáveis hipóteses. A LGPD, também nessa questão, segue o modelo do GDPR, procurando garantir direitos fundamentais a partir de restrições impostas em lei para o fluxo internacional de dados.386 O seu art. 33, caput, confirma essa conclusão ao elencar o rol taxativo de situações em que a transferência internacional de dados pessoais é permita. Não obstante, algumas das situações elencadas no referido art. 33 conferem certa flexibilização na transferência internacional, buscando níveis de proteção de direitos, como no caso de o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei; na forma de cláusulas contratuais específicas para determinada transferência; cláusulas-padrão contratuais; normas corporativas globais; e selos, certificados e códigos de conduta regularmente emitidos387. Há permissão, também, quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades388. XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
A relevância da definição do uso compartilhado de dados pessoais está umbilicalmente relacionada com os fundamentos, princípios e bases legais para o tratamento de dados previstos na LGPD, diante da necessidade de se avaliar previamente a licitude do compartilhamento. Seja na transferência internacional, na interconexão de dados pessoais por órgãos públicos, seja compartilhamento entre entidades privadas, o
pressuposto é de “cumprimento de suas competências legais” ou “com autorização específica” para que a confiança do titular não se quebre, seja em razão de uma possibilidade de desvirtuamento da finalidade do tratamento seja em razão da ausência de segurança do titular em relação ao novo destinatário dos seus dados. Inclusive, o titular tem direito ao acesso facilitado às informações acerca do uso compartilhado de dados pelo controlador e a sua finalidade,389 assim como tem o direito de obter junto ao controlador a informação das entidades públicas e privadas com as quais realizou uso compartilhado de dados390. Ainda, o controlador que utiliza a base legal do consentimento para tratar o dado pessoal e necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento391. A definição e obrigações englobam o compartilhamento de dados entre controladores e operadores e também entre empresas do mesmo grupo econômico, lembrando que, quando o Facebook adquiriu o WhatsApp, o Instituto de Defesa do Consumidor (IDEC) elaborou relatório encaminhado à SENACON, ressaltando a problemática de facilitação do processo de coleta de dados de 100 milhões de usuários do WhatsApp e recomendando, entre outras questões, a explicação, nos termos de uso, da finalidade legítima de cada tipo de coleta e quais os grupos econômicos que estarão envolvidos em relações comerciais que envolvem a troca desses dados392. XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
O relatório de impacto à proteção de dados (RIPD) é um instrumento, de responsabilidade do controlador, pelo qual, em qualquer operação que envolva o tratamento de dados pessoais, que possa gerar riscos às liberdades civis e aos direitos fundamentais, será realizada a descrição dos processos para mitigação de riscos e, concomitantemente, de responsabilidades. O RIPD deve ser incorporado dentro dos procedimentos de governança em privacidade corporativa do controlador,393 servindo como base para o cumprimento de diversos princípios da LGPD, especialmente: finalidade, mediante a avaliação dos propósitos legítimos do tratamento;394adequação,
mediante a avaliação da compatibilidade das finalidades pretendidas de acordo com o contexto do tratamento;395 necessidade, limitando o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos;396 segurança, com a avaliação das medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;397 e prevenção, com a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.398 Como o RIPD tem o propósito de mitigar riscos, ele deverá ser realizado antes do início do tratamento399, mas com uma visão completa de todo o ciclo de vida dos dados400. Assim, o controlador conseguirá enxergar, claramente, quais serão os principais fatores que poderão impactar as liberdades civis e os direitos fundamentais para a tomada de decisão, desde a implementação de medidas e mecanismos que demonstrem o cumprimento da Lei até a descontinuidade do projeto. Essas medidas e mecanismos podem ser administrativos ou técnicos, como a abstenção da coleta de uma determinada espécie de dado pessoal, restrição de acessos aos dados tratados, reforçar a tecnologia de criptografia ou realizar o procedimento de pseudonimização dos dados, apenas para citar alguns exemplos. Assim, no mínimo, o RIPD deverá conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados401. No GDPR, os elementos mínimos obrigatórios, conforme art. 35 (7), são: descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento; avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos; avaliação dos riscos para os direitos e liberdades dos titulares dos direitos; avaliação das medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o Regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa. Vejamos a seguir figura ilustrativa do Art. 29 WP402:
A responsabilidade da decisão de quais operações de tratamento de dados deverão ser precedidas do RIPD, mediante a avaliação se poderão gerar riscos às liberdades civis e aos direitos fundamentais, é do controlador. Uma situação clara ocorrerá quando a base legal para o tratamento for o interesse legítimo, pois a ANPD poderá solicitar ao controlador o RIPD403. As demais situações mandatórias serão dispostas por meio de regulamentação, inclusive quando envolver dados sensíveis.404 No GDPR, a realização de RIPD é obrigatória quando o tratamento, em particular que utilize novas tecnologias, tendo em vista a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar elevado risco para os direitos e liberdades dos titulares405, notadamente quando houver (i) avaliação sistemática e extensiva de aspectos pessoais relacionados às pessoas naturais, baseada no tratamento automatizado, incluindo a definição de perfis, quando as decisões produzirem efeitos jurídicos ou afetarem
significativamente o titular dos dados; (ii) operações de tratamento em grande escala de categorias especiais de dados (sensíveis) ou de dados pessoais relacionados à condenações penais; ou (iii) monitoramento sistemático de ambientes de acesso público em grande escala406. Por meio da Consideranda 75 do GDPR é possível extrair o entendimento da natureza dos riscos aos direitos e às liberdades individuais dos titulares, na UE: […] poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza econômica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controle sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.
Também é previsto no GDPR, o que não ocorre na LGPD, a obrigação de o controlador consultar previamente a ANPD antes de iniciar a operação de tratamento de dados pessoais caso o RIPD indique a permanência de elevado risco que o controlador não consiga o atenuar através de medidas adequadas, atendendo à tecnologia disponível e aos custos da aplicação407. O responsável pela elaboração do RIPD é o controlador, mas pode ser realizado por terceiros, dentro ou fora da organização, sendo recomendável, apesar da omissão da LGPD acerca do assunto, solicitar o acompanhamento e o parecer do Encarregado,408 que terá o conhecimento técnico para opinar de forma independente e qualificada, bem como buscar, se o caso, também opiniões de outros especialistas de acordo com cada ocorrência.
Portanto, o RIPD é medida efetiva de análise de viabilidade de novos negócios e projetos, ou continuidade de antigos, sob o ponto de vista da proteção de dados pessoais, mediante a avaliação da necessidade e da proporcionalidade das operações de tratamento em relação aos seus objetivos,
além de indicar quais medidas deverão ser adotadas para mitigar potenciais riscos, como forma de possibilitar que o corpo diretivo do controlador tome decisões sopesando custos, riscos e benefícios. É importante que o RIPD seja entendido não só como uma obrigação, nas circunstâncias apontadas, mas também como um instrumento útil para avaliação de impactos em qualquer operação de tratamento de dados, de forma a contribuir com a mudança cultural corporativa em termos de proteção de dados pessoais e não somente jurídica409. XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
A relevância do entendimento do conceito em questão reside no fato de que: (i) há autorização expressa na LGPD para o tratamento de dados pessoais e dados pessoais sensíveis, independentemente do consentimento, para a realização de estudos por órgão de pesquisa;410 (ii) na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico;411 é permitida a conservação dos dados pessoais, mesmo após a caracterização do término do seu tratamento, com a finalidade de estudo por órgão de pesquisa412. Para abarcar esse conceito da LGPD, além do órgão ou entidade da administração pública direta ou indireta, a pessoa jurídica de direito privado dever ser legalmente constituída sem fins lucrativos. Ou seja, de acordo com o Código Civil, as associações formadas pela união de pessoas que se organizam para fins não econômicos,413 ou as fundações,414 incluindo as Organizações da Sociedade Civil de Interesse Público (OSCIP)415.
Ainda, é fundamental a avaliação se, na missão institucional ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico está prevista. Inclusive, no caso das fundações, uma das previsões expressas no Código Civil que permite a sua existência é finalidade de pesquisa científica, desenvolvimento
de tecnologias alternativas, modernização de sistemas de gestão, produção e divulgação de informações e conhecimentos técnicos e científicos416. Ademais, quando for utilizada a base legal de tratamento para a realização de estudos por órgão de pesquisa, deverá ser garantida, sempre que possível, a anonimização de dados pessoais.417 Se o controlador não se enquadrar no conceito em análise ou entender arriscado contratar um operador que seja órgão de pesquisa, com receio da base legal estar viciada por um interesse econômico indireto, uma vez que a contratação de um órgão de pesquisa não legitimará o procedimento, poderá procurar outras possibilidades legais, como: a anonimização dos dados, pois não seriam considerados dados pessoais, conforme já explicado anteriormente; o consentimento dos titulares como base legal; o estudo do legítimo interesse como base legal, quando não envolver dados sensíveis; uma das as excludentes de aplicabilidade da legislação, como para fins exclusivamente jornalístico ou acadêmico. No GDPR, não há definição expressa de órgão de pesquisa, porém abarca diversas considerações relevantes sobre a possibilidade do tratamento de dados para investigação científica, histórica ou para fins estatísticos, como: o tratamento posterior para essas finalidades não será considerado incompatível com a finalidade inicial418; quando a base legal for consentimento, há uma flexibilização da identificação da totalidade da finalidade perante o titular;419 o tratamento para essas finalidades estará sujeito a garantias adequadas para a manutenção dos direitos e liberdades do titular dos dados, especialmente o respeito ao princípio da minimização dos dados420. XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (Redação dada pela Lei n° 13.853, de 2019)
Uma Lei Geral de Proteção de Dados Pessoais sem uma Autoridade Nacional de Proteção de Dados (ANPD), seria manca, provavelmente sem eficácia. São mais de 40 previsões na LGPD que se referem a ANPD para as mais diversas finalidades, como: possibilidade de solicitar ao controlador relatório de impacto à proteção de dados; avaliar países que proporcionem grau de proteção adequado; estipular padrões de interoperabilidade para fins de portabilidade e livre acesso aos dados; relacionar as hipóteses de dispensa da necessidade de nomeação do Encarregado; dispor sobre padrões técnicos
mínimos de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados; receber as comunicações de incidentes envolvendo dados pessoais; fiscalizar o cumprimento da LGPD; sancionar administrativamente os agentes do tratamento em caso de descumprimento da LGPD. Estabelecer sanções administrativas sem identificar quem pode aplicá-las, seria um convite para a imposição de multas injustas, por desconhecimento técnico ou parcialidade de determinado órgão diante da ausência de uma visão multisetorial, trazendo prejuízos para os agentes do tratamento e para a sociedade. A Carta de Direitos Fundamentais da União Europeia, ao dispor sobre a proteção de dados pessoais, além de prever o direito à proteção dos dados pessoais, que devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei, dispõe que o cumprimento das regras fica sujeito a fiscalização por parte de uma autoridade independente421. O GDPR conta com artigo específico sobre a independência das autoridades, no sentido de que não estarão sujeitas a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes, e não solicitam nem recebem instruções de outrem; abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível; os Estados-Membros asseguram que cada autoridade disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes; os Estados-Membros asseguram que cada autoridade selecione e disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessada; os Estados-Membros asseguram que cada autoridade fique sujeita a um controle financeiro que não afete a sua independência e que disponha de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional422. No Brasil, após ter sua criação vetada pela Presidência da República quando da promulgação da LGPD, por receio de vício de iniciativa423, foi sancionada a Lei 13.853/19, que, entre outras questões, criou a ANPD, “sem aumento de despesa”, como órgão da administração pública federal integrante
da Presidência da República424. Sua organização, competências, governança e hierarquia são dispostas por novas adições ao artigo 55 da LGPD. O rol de competências, além das previsões nos demais artigos da LGPD, está em seu art. 55-J, como zelar pela proteção de dados pessoais, fiscalizar e aplicar sanções no caso de descumprimento da Lei. A ANPD tem autonomia técnica e decisória425 e é composta de seu Conselho Diretor, órgão máximo de direção; do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP); da Corregedoria; da Ouvidoria, pelo órgão de assessoramento jurídico próprio; e de unidades administrativas e unidades especializadas necessárias à aplicação da Lei426. O Conselho Diretor da ANPD será composto de cinco diretores, incluído o Diretor-Presidente427. Já o CNPDPP, de 23 representantes dos mais diversos setores428.
O Presidente da República é o responsável pela nomeação dos membros do Conselho Diretor429, bem como pela designação dos representantes do CNPDPP.430 O problema que se coloca é fundamentalmente na independência da ANPD, uma vez que, pela mencionada, MP, está atrelada à Presidência da Réplica, o que pode ocasionar parcialidade em eventuais fiscalizações e sanções, assim como no eventual não reconhecimento, pela UE, de país com nível regulatório de proteção de dados adequado, justamente por ausência de uma autoridade independente. Porém, ao menos, há a previsão expressa, conforme art. 55-A, § 1°, que a natureza jurídica da ANPD é “transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República”. A avaliação da natureza jurídica da ANPD deverá ocorrer em até 2 (dois) anos da data da entrada em vigor de sua estrutura regimental, conforme o § 2° do mesmo artigo 55-A. De fato, o modelo ideal para a ANPD é que seja única, central, com independência financeira e decisória, e multisetorial, dotada de corpo técnico com conhecimento tecnológico, jurídico, econômico e de negócios. A especialização e atualização contínua da ANPD é condição para o desenvolvimento tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo proteção dos dados pessoais dos indivíduos.
Mas, possivelmente, o ponto-chave, em um país que está intensificando agora sua cultura de proteção de dados, sob pena de ausência de confiança do mercado na ANPD, seja priorizar um engajamento construtivo, no seguinte sentido: Em vez de inquisição e sanção, dar prioridade ao diálogo, apoio, mutua cooperação, orientação, conscientização e informação; Estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé dos agentes do tratamento e nos seus esforços em cumprir a lei; Criar ambientes para inovações responsáveis, como Regulatory Sandboxes, nos quais novos projetos são testados em atmosferas controladas visando avaliar eventuais e futuras necessidades regulatórias, conforme o caso, mas a posteriori; Agentes que se esforcem em agir de forma responsável, sejam encorajados a demonstrar seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability; Avaliar com muita cautela sanções pecuniárias, principalmente sopesando a comprovação de alguma violação dolosa, ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves. Art. 6° As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
Newton de Lucca, comentando sobre o grande autor Ronald Dworkin, esclarece que há distinção entre princípios, regras e políticas. Dos princípios em sentido estrito, emanam orientações gerais, decorrentes das exigências de equidade, de justiça ou de moralidade. Das regras, decorrem consequências jurídicas que se deduzem automaticamente das condições previstas na hipótese. As políticas (princípios em sentido lato) são padrões a serem observados como exigência econômica, política ou social desejável.431Ao comentar o ensinamento de Norberto Bobbio e Vezio Crisafulli, de Lucca adere irrestritamente à tese de que princípios gerais são normas fundamentais ou generalíssimas do sistema, as normas mais gerais. Prossegue entendendo
que não há dúvida de que princípios gerais são normas como todas as demais. Os princípios gerais estão para as normas particulares como o mais está para o menos, como o que é anterior e antecedente está para o posterior e consequente. Princípio, assim, é toda norma jurídica considerada determinante de outra ou outras que lhe são subordinadas, que a pressupõem, desenvolvendo e especificando ulteriormente o preceito em direções mais particulares.432
Sobre o histórico dos princípios de proteção de dados pessoais, buscarei, na sequência, resumir os ensinamentos de Danilo Doneda:433 A partir de 1970, surgiram, em diversos países, normas específicas a respeito da utilização de informações pessoais e da privacidade, as quais comungavam dos mesmos princípios e técnicas desde a sua gênese e que possuem até hoje uma certa uniformidade. A primeira das quatro gerações de leis, que vai até aproximadamente 1977, com a Bundesdatenschutzgesetz (Lei Federal da República Federativa da Alemanha sobre proteção de dados pessoais), girava em torno da concessão de autorizações para a criação de bancos de dados pessoais e do seu controle a posteriori por órgãos públicos. Os princípios nelas existentes eram focados na atividade de processamento de dados, em razão da “ameaça” representada pela tecnologia e, especificamente, pelos computadores. Não demoraram muito a se tornarem ultrapassadas em razão do enorme aumento dos centros de processamentos de dados, que inviabilizou o controle baseado em um regime de autorizações, rígido e detalhado. A segunda geração surgiu no final da década de 1970, justamente em razão da “diáspora” dos bancos de dados informatizados, contando como grande exemplo a Loi Informatique et Libertées, de 1978, na França. A modificação central passou a ser preocupação em torno da privacidade e da proteção dos dados pessoais como uma liberdade negativa, a ser exercida pelo próprio cidadão, e não mais em torno do fenômeno computacional em si. Foi elaborado um sistema que fornecia instrumentos para o cidadão identificar o uso indevido de suas informações pessoais e propor a sua tutela. Percebeu-se, então, uma mudança de paradigma, pois o fornecimento de dados pessoais pelos indivíduos estava se tornando um requisito indispensável para a sua efetiva participação na vida social. Ou seja, o que era exceção veio a se tornar regra. Foi, então, que surgiu a terceira geração de
leis, na década de 1980, aprimorando a tutela dos dados pessoais, ainda centrada no indivíduo, porém abrangendo mais do que a liberdade de fornecer ou não os próprios dados pessoais, de forma a também garantir a efetiva manutenção dessa liberdade. Nesse momento, é entendida a complexidade do tema proteção de dados pessoais, que envolve a própria participação do indivíduo na sociedade e leva em consideração o contexto no qual lhe é solicitada a revelação de seus dados, estabelecendo meios de proteção para as ocasiões em que sua liberdade de decidir livremente é cerceada por eventuais condicionantes. Buscava-se incluir o titular dos dados em todas as fases do processo de tratamento e na utilização de sua informação por terceiros (autodeterminação informativa). Porém, a autodeterminação informativa, que inclusive é fundamento da LGPD, ainda era privilégio de uma minoria que tinha condição econômica e social para exercer esse direito. Assim, uma quarta geração de leis, como as que existem hoje em diversos países, focaram no problema integral da informação, com instrumentos elevando o padrão coletivo, fortalecendo a posição da pessoa em relação às entidades que coletam e processam seus dados e estabelecendo autoridades independentes para fiscalização, como a Diretiva da UE 95/46. É possível enxergar alguns princípios comuns, presentes em diversos ordenamentos, como tendência de consolidação da vinculação mais estreita com a proteção da pessoa e com direitos fundamentais. Alguns desses princípios já se encontravam presentes desde a primeira e segunda geração de leis, como na temática da saúde, em razão da sensibilidade dos dados, em 1973, nos EUA, com o Secretary for health, education and welfare, que concluiu pela relação direta entre a privacidade e o tratamento de dados pessoais. O conjunto de medidas para a proteção de dados pessoais passou a ser identificado em diversas normativas correlatas, utilizando-se a terminologia Fair Information Practice Principles (FIPPs), núcleo comum que encontrou expressão como um conjunto de princípios a serem aplicados, principalmente com a Convença 108,434 do Conselho de Europa, e nas Guidelines da OCDE435, no início da década de 1980. Os princípios nelas estabelecidos, como transparência, finalidade, necessidade, proporcionalidade, qualidade, livre acesso e segurança formam a espinha dorsal de inúmeras normas existentes atualmente, como o GDPR,
que sucedeu a Diretiva 95/46, e a LGPD, sendo importante ressaltar que os princípios deverão ser cumpridos, independentemente das bases legais para o tratamento de dados pessoais436. Portanto, além de o controlador avaliar o atendimento de ao menos uma das bases legais para o tratamento de dados pessoais, como obrigação legal, consentimento, exercício regular de direito ou para execução de contratos, por exemplo, também deverá se atentar ao cumprimento de todos os princípios, os quais passam a ser analisados na sequência. I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Os três primeiros princípios dispostos na LGPD (finalidade, adequação e necessidade) são umbilicalmente conexos, formando, juntamente com a transparência, o cerne dessa norma jurídica, determinantes para o respeito da proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, por meio da tutela dos dados pessoais. Assim, o esforço passa a ser o de tratar de forma segregada referidos princípios, motivo pelo qual, em determinados momentos, pode haver o retorno de conceitos já tratados para nova reflexão. O princípio da finalidade conta com grande relevância prática, pois, por meio dele, é garantido ao titular, mediante informação prévia, as fronteiras de legalidade do tratamento de seus dados, delimitando os propósitos do tratamento, desde que lícitos, e de terceiros que poderão ou não ter acesso aos dados. Visa mitigar o risco de uso secundário à revelia do titular. Danilo Doneda considera o princípio da finalidade, provavelmente, como o que carrega de forma mais incisiva os traços característicos da matéria de proteção de dados pessoais, pois o motivo da coleta deve ser compatível com o objetivo final do tratamento dos dados. A sua utilização sempre estará vinculada ao motivo que fundamentou essa coleta, nascendo uma ligação entre a informação e a sua origem, vinculando-a ao fim de sua coleta, de modo que esta deva ser levada em consideração em qualquer tratamento posterior. Como o dado pessoal é expressão direta da personalidade do indivíduo, nunca perde seu elo com este, pois sua utilização pode refletir diretamente para o seu titular.437
A “finalidade”, de tão importante, também se apresenta expressamente em três outros princípios da LGPD: adequação, necessidade (por duas vezes) e qualidade dos dados. No GDPR, de forma semelhante, referido princípio é previsto como “Limitação da Finalidade” (Purpose Limitation), pelo qual dados pessoais devem ser coletados para finalidades específicas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades. Na Opinion 03/2013, sobre Purpose Limitation, o Art. 29 WP define assim os conceitos dos propósitos, que abarcam também o princípio da finalidade na LGPD:438 Legítimo: requisito amplo, que vai além de uma simples referência cruzada a uma das bases jurídicas do tratamento. Também se estende a outras áreas do direito e deve ser interpretado no contexto do processamento. Específico: antes ou no momento em que ocorre a coleta de dados pessoais, os objetivos devem ser precisos e totalmente identificados para determinar se o processamento está dentro do propósito apresentado, assim como permitir que a conformidade legal possa ser avaliada; Explícito: o motivo do tratamento deve ser claramente revelado, explicado ou expresso a fim de garantir que todos os envolvidos tenham o mesmo entendimento inequívoco da sua finalidade, independentemente de qualquer diversidade cultural ou linguística.
Ademais, o propósito também deverá ser informado ao titular, como forma de cumprir, adicionalmente, o disposto no art. 9°, incisos I e V, e seu § 2°, da LGPD, pois o titular tem direito às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características, a finalidade específica do tratamento e o uso compartilhado de dados pelo controlador e a finalidade. Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
Como não há possibilidade de tratamento posterior de forma incompatível com as finalidades previamente previstas, é de crucial relevância que os controladores avaliem, desde a concepção do projeto que envolva a coleta de dados, os propósitos específicos que almejam, pois tais propósitos servirão, ao longo do ciclo de transparência perante o usuário e também dos deveres de lealdade ao tratamento, como fronteira de legalidade para o seu uso. O art. 25 (2) do GDPR prevê, inclusive, que o controlador deverá aplicar medidas técnicas e organizacionais para assegurar que, por padrão (privacy by default), só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento, de acordo com a quantidade de dados pessoais coletados, à extensão do seu tratamento, o prazo de armazenamento e à sua acessibilidade. Em especial que, por padrão, dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas. O controlador deverá acompanhar o ciclo de vida do tratamento dos dados sob sua responsabilidade, pois, quando verificar que a finalidade foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada, seja qual for a base legal utilizada, não haverá mais justificativa jurídica para a sua manutenção, culminando no dever de descarte439 em razão do término do tratamento440. Assim, se determinadas leis obrigam a manutenção de dados pessoais da área de saúde ou de registros eletrônicos de conexão à provedores de aplicação de internet, a finalidade da guarda pelo respectivo período estará justificada por obrigação legal. Se um controlador utiliza um operador para armazenar os registros de pontos eletrônicos, via biometria digital, de seus funcionários, por questões trabalhistas, a finalidade estará coberta pelo tempo de prescrição dos procedimentos trabalhistas, com base no exercício regular de direitos. Quando há a coleta dados cadastrais e e-mails de clientes para a execução de um contrato de compra e venda por meio da internet, justifica-se a manutenção de tais dados para que se possa dar prosseguimento à prestação de serviços, bem como, também, para exercício regular de direitos, no caso de inversão do ônus da prova, por exemplo. Porém, em qualquer um desses casos, se alguma outra área do controlador ou do operador utilizar referidos dados para outra finalidade, como para marketing, automaticamente estaremos diante da violação do princípio da finalidade.
Eventual uso secundário somente poderá ser realizado quando for compatível com a finalidade original. Para essa verificação, o controlador deverá ter atenção, entre outros aspectos, acerca da existência de um elo entre a finalidade original e aquela a que se pretende posteriormente, especialmente: expectativas razoáveis do titular quanto à sua posterior utilização, baseadas em sua relação prévia com o responsável pelo tratamento;441 a natureza dos dados pessoais; as consequências que o posterior tratamento dos dados pode ter para o seu titular; e a existência de garantias adequadas, tanto no tratamento inicial, como nas outras operações pretendidas.442 Quando todas as condições anteriormente previstas forem devidamente contempladas, não haverá necessidade de outro fundamento legal além do que possibilitou a coleta e uso original dos dados pessoais. Porém, no caso de incompatibilidade, o controlador deverá comprovar outro fundamento, como um consentimento adicional antes de iniciar a coleta de dados para um propósito novo. Seguem alguns exemplos para elucidar o explicado: Controladores podem coletar e processar dados pessoais para oferecer serviços vinculados a um aplicativo de condicionamento físico. O propósito específico será analisar dados pessoais para recomendar ao usuário uma rotina de exercícios personalizada. O processamento adicional dos dados pessoais para identificar erros técnicos de tal aplicativo será considerado compatível, porque a melhoria da eficiência da aplicação está vinculada à finalidade original. Além disso, o fato de que a empresa pode querer melhorar as capacidades técnicas do aplicativo de fitness pode ser razoavelmente esperada pelos usuários;443 Para ajudar pacientes com diabetes, um aplicativo monitora os níveis de concentração de açúcar no sangue. O aplicativo tem a capacidade de compartilhar informações pessoais com uma empresa que vende medicamentos para diabetes. A promoção e comercialização de medicamentos para diabetes não será compatível com o objetivo original, que é monitorar as concentrações de açúcar no sangue para avaliar quando a medicação deve ser tomada pelos pacientes;444 Um profissional de área de saúde coleta dados pessoais para poder avaliar e tratar a condição médica de seus pacientes. Compartilhar a
lista de pacientes com uma empresa de seguros para que ofereça seus serviços (por exemplo, seguro de vida ou de saúde) será considerado incompatível com a finalidade original para a qual os dados pessoais foram coletados;445 Lojas on-line coletam informações de visitantes. Embora nem todos os tipos de dados coletados sejam estritamente necessários para fornecer acesso e realizar compras, são muito úteis para o controlador analisar o comportamento de seus clientes e potenciais clientes em seu comércio eletrônico. Tais dados permitem o aprimoramento de serviços aos clientes, seja quanto à performance do site, seja de avaliação de produtos mais acessados, por exemplo. Assim, poderia ser defensável a legitimidade da finalidade, apesar de tais dados não serem essenciais para a venda do produto ou serviço, desde que haja consentimento prévio; Uma emissora de televisão a cabo coleta dados pessoais dos clientes, com base no consentimento, para apresentar sugestões direcionadas de novos filmes de interesse dos titulares, de acordo com seus hábitos de visualização. Posteriormente, a emissora decide permitir que terceiros enviem ou exibam publicidade direcionada com base nesses hábitos de visualização dos assinantes. Dado a esse novo propósito, será necessário um novo consentimento.446 Portanto, o controlador deverá identificar e avaliar previamente as finalidades específicas para as quais os dados pessoais pretendem ser tratados. No caso de intenção de processamento posterior, para outro propósito, deverá verificar se é compatível com a finalidade para a qual os dados pessoais foram coletados originalmente. Se identificar referida compatibilidade, não será necessária a adoção de qualquer medida para atender outra fundamentação legal para o tratamento. No entanto, no caso de incompatibilidade, também de acordo com o princípio da transparência, deverá cientificar adequadamente os titulares, obtendo consentimento adicional em relação ao novo propósito; ou satisfazendo uma das outras hipóteses taxativas que justifique o tratamento. II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
O princípio da adequação está vinculado ao da finalidade, pois prevê que
o tratamento de dados pessoais somente pode ser realizado quando houver compatibilidade com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Assim, se os batimentos cardíacos diários de alguém são coletados, por um relógio inteligente, e tratados, por uma empresa especializada em dar feedbacks ao usuário acerca da manutenção de uma vida saudável, desde que o titular seja informado previamente, com o consentimento específico e destacado (por serem dados sensíveis, nesse caso), o tratamento será considerado adequado. Porém, caso tais dados sejam tratados para formação de perfis para que outras empresas possam ofertar produtos para insuficiência cardíaca ou propostas de serviços para uma vida menos sedentária, haverá uma descontextualização da finalidade informada ao titular. Nota-se que a inequação do tratamento não estará na formação de perfis, que podem ser traçados para a finalidade informada de feedback, mas sim no uso secundário e fora de contexto do tratamento.
Analisar o contexto do tratamento, se de acordo com as finalidades informadas ao titular, com o uso do big data, IoT e Inteligência Artificial, torna-se ainda mais relevante. Por exemplo, dispositivos que coletam dados de saúde de cidadãos podem antever epidemias, servindo os dados de grande valor para agências governamentais agirem preventivamente na proteção da sociedade. Assim, Lokke Moerel e Corien Prins provocam uma discussão interessante: a avaliação do interesse legítimo, na atual era, seria mais adequada do que uma análise única e segregada da limitação da finalidade, que continua sendo relevante, mas deve estar vinculada ao interesse legítimo e não mais ao objetivo original da coleta de dados.447 Referida provocação faz sentido, pois, anteriormente, a coleta de dados pessoais servia como requisito para a utilização de um serviço, como na abertura de uma conta em um banco, mediante o fornecimento de dados cadastrais. Os dados eram principalmente um subproduto da finalidade para a qual eles foram coletados. Porém, agora, dados fazem praticamente parte dos próprios serviços, como nos casos de cidades inteligentes, automação domiciliar ou automóveis autônomos. A limitação da finalidade deverá ser analisada de forma mais abrangente, dentro da compatibilidade e do contexto do tratamento, mas não como um cheque em branco, é claro. Nesse sentido, em sua Opinion 8/2014, sobre IoT, o Art. 29 WP passou a revelar a importância da aplicação inicial do teste do interesse legítimo como
base legal, para então verificar o cumprimento do princípio da limitação da finalidade.448 Já a Opinion sobre Limitação de Propósito, do mesmo Art. 29 WP, explica que, para a avaliação da existência do interesse legítimo, também será analisado o “o contexto do processamento”, incluindo “a natureza da relação subjacente entre o responsável pelo tratamento e os titulares dos dados, quer sejam para fins comerciais ou não”. Assim, os elementos do princípio finalidade, incluindo a compatibilidade do tratamento posterior com o propósito inicial, estariam também contemplados quando realizado o teste do cumprimento do princípio da adequação, avaliando a compatibilidade do tratamento com as finalidades informadas, de acordo com o seu contexto. III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Conforme adiantado, o princípio da necessidade guarda relação direta com os princípios anteriores, da finalidade e da adequação, visto que enfatiza a delimitação da licitude do tratamento de dados pessoais de acordo com a sua finalidade. Porém, a sua característica principal é a de ressaltar a limitação do tratamento ao mínimo necessário para se atingir a finalidade pretendida (Data Minimisation), mediante avaliação de quais espécies de dados são realmente imprescindíveis (dados pertinentes e não excessivos). Outra questão relevante quanto ao princípio em tela é a necessidade de também ser analisada, sempre antes do seu início, a proporcionalidade do tratamento (incluindo as espécies de dados, toda a operação do tratamento e resultados almejados) com os riscos aos direitos dos titulares. O controlador, portanto, deve buscar a seguintes respostas previamente ao tratamento: a finalidade pretendida pode ser atingida de outro modo, sem a utilização de dados pessoais? Se a resposta for negativa, quais as espécies de dados449 realmente são essenciais ao tratamento? Qual o volume mínimo de dados para o tratamento? Finalmente, superadas todas essas questões, mesmo utilizando as espécies de dados essenciais, no menor volume possível, é proporcional a realização desse tratamento diante dos potenciais riscos aos direitos dos titulares? O já analisado Relatório de Impacto à Proteção de Dados Pessoais se apresenta justamente para responder todas essas perguntas.
No GDPR, o princípio da necessidade é denominado como minimização dos dados450 e limitação da conservação,451 de forma que os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os propósitos do tratamento. Para isso, é necessário assegurar que o prazo de conservação seja limitado ao mínimo necessário, devendo o controlador fixalos para descartar os dados ou rever periodicamente a sua necessidade e conformidade. A permissão para o tratamento ocorre quando a finalidade pretendida não puder ser atingida de forma razoável por outros meios.452 Assim, quaisquer políticas empresariais baseadas em “reter tudo” possivelmente serão consideradas ilícitas. Para atingir um certo grau de segurança jurídica, o controlador deverá realizar um teste de razoabilidade e adequação. Se a natureza e a quantidade de dados pessoais forem proporcionais em relação aos objetivos do tratamento, o procedimento possivelmente será lícito. Um exemplo de avaliação de adequação é a coleta de dados biométricos, como impressões digitais, para controle de entrada e de saída de pessoas em determinados ambientes ou corporações, diante da necessidade de autenticação das mesmas, em vez do uso de meios alternativos e menos invasivos, que alcançariam a finalidade de forma praticamente equivalente, como mediante a entrega e o uso de cartões de identidade privados com chip. O já citado caso julgado pelo STJ453 menciona expressamente o princípio da minimização dos dados do GDPR454 para declarar abusiva e ilegal cláusula prevista em contrato de prestação de serviços de cartão de crédito, que autoriza o banco contratante a compartilhar dados dos consumidores com outras entidades financeiras, sem que seja dada opção de discordar daquele compartilhamento. A Promotoria de Justiça de Defesa do Consumidor de Belo Horizonte/MG455, no procedimento administrativo que resultou na multa de R$ 7.930.801,72, por condicionar descontos a fornecimento de CPF, ressaltou a ilicitude da conduta nos seguintes termos: sob a falsa informação de fidelização ou concessão de vantagens, o fornecedor literalmente captura o CPF do consumidor ao condicionar a concessão de descontos, os quais obviamente o consumidor deseja, ao praticamente compeli-lo a digitar o CPF para obter o desconto. Nesse sentido, a informação de que a inserção do CPF é facultativa ao consumidor, mas que se não o fizer caracteriza prática abusiva, pois a concessão de descontos não pode estar condicionada ao fornecimento de dados pessoais.
E prossegue, justamente no sentido da importância da avaliação da necessidade e da proporcionalidade da coleta de dado pessoal para atingir a finalidade pretendida: “Não haveria abusividade se o fornecedor condicionasse o fornecimento de descontos à participação de um programa de fidelidade, com cadastramento prévio pelo consumidor após conhecer e aceitar todos os termos de condições do programa […]”. Leonardo Roscoe Bessa, citado pelo STJ na paradigmática decisão sobre scoring de crédito, já citada anteriormente, expõe que se pode ser verdadeiro que, sob a ótica econômica, quanto mais informações, melhor a avaliação de crédito (more is better), para o direito, para proteção jurídica da privacidade, é fundamental restringir, tanto no tempo, como na qualidade e quantidade, as informações que circulam pelos bancos de dados de proteção ao crédito. A primeira forma de limitar a qualidade da informação que circula em arquivos de consumo é exigir que ela esteja vinculada ao propósito específico do banco de dados. Os dados coletados devem ser visivelmente úteis para os objetivos específicos do arquivo. Se não atenderem a esse pressuposto, a coleta e o tratamento da informação devem ser considerados ilegais, ilegítimos e ofensivos à privacidade (art. 5°, X, da CF). […] De fato, para conferir significado mínimo à inviolabilidade da privacidade, prevista tanto na Constituição Federal (art. 5°, X) como no Código Civil (art. 21), há que ser estabelecidas restrições positivas. Não se cuida de desconsiderar a possibilidade de restrição ou conformação de direito fundamental, mas do cuidado em preservar o núcleo essencial do direito. É imprescindível, no âmbito da moderna concepção de proteção de dados, limitar tanto o conteúdo como a quantidade de informação que é tratada pelas entidades de proteção ao crédito.456
A mudança cultural é enorme, especialmente em países, como o Brasil, que não guardam laços históricos com a tradição de proteção de dados. É comum procedimentos, por ausência de percepção dos riscos, comodidade e custos envolvidos, de coleta massiva de dados pessoais para depois se pensar nos possíveis usos, o que é diametralmente oposto ao que o princípio em estudo comanda. Sobre o impacto do desenvolvimento do Big Data na proteção de dados pessoais, o Art. 29 WP, apesar de reconhecer a necessidade de um pensamento inovador, acredita não haver motivos para deixar de serem válidos e apropriados princípios como data minimisation e storage limitation, sujeitos a melhorias para torná-los mais eficazes na prática. Muito pelo contrário, acredita que o cumprimento de princípios é um elemento essencial na criação e manutenção da confiança que qualquer parte interessada necessita para um modelo de negócio estável baseado no processamento de dados, garantindo uma concorrência justa e eficaz entre os agentes econômicos.457
Assim, da mesma forma em que há uma evolução tecnológica formidável, que propicia o tratamento de dados em larga escala, há de se construir em paralelo, de forma criativa e especializada, modelos para a proteção de dados pessoais, garantindo o princípio da necessidade (incluindo limitação de armazenamento de dados) e não prejudicando o avanço da economia digital. A academia, por meio de seus cientistas, deve trabalhar junto com as empresas, por meio de seus Encarregados, com a orientação permanente da ANPD. IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Para que o titular possa controlar o uso de seus dados (fundamento da autodeterminação informativa), além de ser informado acerca do propósito do tratamento, é necessário ser garantido a ele o livre acesso aos seus próprios dados, bem como sobre a sua integridade458. Referido princípio é reforçado pelo art. 9° da LGPD, o qual prevê que, adicionalmente à consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade dos dados do titular, é direito deste ter acesso às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras: finalidade específica do tratamento; identificação do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador e a finalidade; responsabilidades dos agentes que realizarão o tratamento; e dos direitos do titular, com menção explícita aos contidos no art. 18 da Lei. Essas garantias devem ser respeitas de ofício, independentemente de requerimento do titular. Por meio de requisição, conforme art. 18, da LGPD, o titular tem direito de obter do controlador, quanto aos dados dele tratados, sem custo459, a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; a portabilidade dos dados a outro fornecedor de serviço ou produto; a eliminação dos dados pessoais tratados com o seu consentimento do titular; a informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências
da negativa; a revogação do consentimento. E mais, conforme art. 19 da Lei, a confirmação de existência ou o acesso a dados pessoais serão providenciados, sob a forma impressa ou por meio eletrônico, seguro e idôneo para esse fim460, em: formato simplificado, imediatamente; ou, por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, no prazo de até quinze dias, contado da data do requerimento do titular. Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais461. Ainda, o formato do armazenamento deverá favorecer o exercício do direito de acesso462. Por oportuno, cabe lembrar novamente a decisão do STJ sobre scoring de crédito, a qual, sob a perspectiva do tema ora analisado, entendeu que na avaliação do risco de crédito deve ser respeitada a máxima transparência nas relações negociais e fornecido ao consumidor esclarecimentos, caso solicitados, acerca das fontes dos dados considerados (histórico de crédito), bem como das informações pessoais valoradas.463 Portanto, o princípio do livre acesso viabiliza que o titular possa constantemente acompanhar a utilização de seus dados pessoais junto ao controlador, de forma a controlar o fluxo informacional que lhe diga respeito, avaliar eventuais inexatidões para que possam ser corrigidas (dados incorretos ou desatualizados) e requerer o descarte quando excessivo, fora do contexto ou ilícito, por exemplo. V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Conforme já apontado anteriormente, tanto na análise dos objetivos da LGPD como em seus fundamentos, os mais variados dados pessoais coletados, se isoladamente vistos, dificilmente afetariam o titular, mas quando colocados em conjunto e processados por mecanismos altamente capacitados, formam um compilado da personalidade de cada pessoa, passando a representar, perante terceiros, inúmeras características, como se o indivíduo é rico ou pobre, bom pagador ou caloteiro, sem antecedentes criminais ou criminoso, apartidário ou filiado a determinado partido, ateu ou religioso, HIV positivo ou negativo, homossexual ou bissexual, alcoólatra ou
abstêmio, entre outras incontáveis hipóteses que podem interferir de forma contundente na vida da pessoa. Qualquer imprecisão, seja um dado pessoal equivocado, seja desatualizado, pode ser catastrófico ao titular, como ocasionar um erro de tratamento médico, recusa de crédito, vedação de participação em concursos públicos, eliminação em processo seletivo, ou, até mesmo, uma prisão injusta. Pior, uma vez coletado e tratado o dado pessoal impreciso, sem que seja sanada a respectiva imprecisão na fonte, o risco de que esse dado viciado seja tratado de forma permanentemente incorreta é bastante elevado. Assim, os controladores precisam adotar medidas, desde o momento da coleta, que, por padrão, garantam a precisão e, quando necessário, a atualização dos dados. Inclusive, na Guideline sobre Inteligência Artificial do Conselho da Europa, uma das previsões para os desenvolvedores de IA é a avaliação crítica da qualidade, natureza, origem e quantidade de dados utilizados, reduzindo os desnecessários, redundantes ou marginais durante o desenvolvimento e fases de treinamento do algoritmo. Em seguida, monitorar a precisão do modelo, à medida que ele é alimentado com novos dados464. VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Se o objetivo da legislação é tutelar direitos fundamentais, como privacidade e o livre desenvolvimento da personalidade, por meio do tratamento ético, responsável e seguro dos dados pessoais, não há como garantir referida tutela sem transparência, ou seja, sem que o titular dos dados tenha conhecimento de quem é o agente do tratamento e sobre as características do tratamento, com informações claras, precisas e facilmente acessíveis. O titular dos dados carece da ampla informação sobre o tratamento dos seus dados para que consiga enxergar, cristalinamente, a legalidade, a legitimidade e a segurança do tratamento de acordo com o seu propósito, adequação e necessidade. Assim, terá condições para refletir sobre o tratamento e tomar decisões de acordo com os seus direitos. A transparência deve ser diretamente proporcional ao poder do tratamento dos dados pessoais (qualitativo e quantitativo) e à capacidade de
assimilação dos titulares dos novos e dinâmicos produtos e serviços apresentados para o seu uso. Para fins de mitigação de riscos, é importante que os controladores considerarem os titulares sempre vulneráveis quanto ao entendimento das infinitas possibilidades de tratamento, notadamente quando ocorrer por meios digitais, em uma “conduta silenciosa”,465 pois o déficit informacional ganha relevância no ambiente cibernético, diante da velocidade das mutações do tratamento de acordo com o avanço tecnológico, aumentando, portanto, a necessidade de informações claras, completas e ostensivas aos titulares, que aceitam determinadas transações ao confiar voluntariamente nas informações concedidas pelos responsáveis.466 Os controladores também devem observar atentamente o disposto nos já mencionados arts. 9°, 18 e 19 da LGPD, que especificam quais informações devem ser prestadas de ofício ou mediante requerimento dos titulares. Sempre que solicitar, o titular também deverá ser informado, pelo controlador, das informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para decisões automatizadas, observados os segredos comercial e industrial467. Inclusive, a Guideline sobre Inteligência Artificial do Conselho da Europa sugere, para os legisladores, sem prejuízo da confidencialidade garantida por lei, que nos procedimentos de contratação pela administração pública seja imposto aos desenvolvedores de IA, fabricantes e prestadores de serviços, deveres específicos de transparência e avaliação prévia do impacto do tratamento de dados nos direitos humanos e liberdades fundamentais, além dos potenciais efeitos adversos e consequências das aplicações de IA.468 Os controladores devem buscar avaliar o alcance e as consequências do tratamento. Como melhor prática, mormente para tratamento de dados complexos, técnicos ou inesperados, o Art. 29 WP ressalta que os controladores devem especificar separadamente, em linguagem inequívoca, quais são as consequências mais relevantes do tratamento. Essa descrição das consequências deve subsidiar uma visão geral dos tipos de processamento que poderiam ter o maior impacto sobre os direitos e liberdades fundamentais dos titulares.469 Assim, os controladores deverão apresentar informações aos titulares sobre o tratamento de dados de maneira eficaz e sucinta, a fim de evitar ou
mitigar a fadiga informacional, diferenciando-as de outras informações não relacionadas à proteção de dados, como cláusulas contratuais. No ambiente digital, o uso de uma política de privacidade segmentada permitirá que um usuário navegue até a seção específica, em vez de ser obrigado a percorrer grandes quantidades de texto pesquisando essas informações relevantes acerca da sua privacidade. As informações obrigatórias prestadas ao titular expressamente previstas na LGPD, perante o princípio da transparência, são requisitos legais mínimos. O controlador deve avaliar o caso em concreto regularmente para eventuais adaptações considerando o conceito de “homem médio” do seu público-alvo e o nível de compreensão dos seus titulares para utilização de uma comunicação inteligível. No já mencionado caso da Autoridade francesa (CNIL) contra o Google470, uma das motivações da sanção de ¤50 milhões, foi justamente a ausência de transparência suficiente, conforme destaques a seguir: Informações do Google não são facilmente acessíveis para os usuários; Informações relevantes são acessíveis apenas após vários passos, implicando por vezes até cinco ou seis ações do usuário. Por exemplo, quando um usuário deseja ter uma informação completa sobre seus dados coletados para fins de personalização ou para o serviço de rastreamento geográfico; Os propósitos dos processamentos são descritos de maneira muito genérica e vaga, assim como as categorias de dados processados para esses diversos fins; As informações comunicadas ao usuário não são suficientemente claras para que possam entender que a base legal das operações de processamento para a personalização de anúncios é o consentimento e não o interesse legítimo da empresa; As informações sobre o período de retenção não são fornecidas para alguns dados.
No Brasil, no caso também já mencionado da multa contra uma drogaria,471 por condicionar descontos a fornecimento de CPF, a ausência de transparência também foi ressaltada na decisão administrativa, com
fundamento no Código de Defesa do Consumidor. Vejamos: O CDC, em seu art. 43, assegura que ao consumidor será garantido o acesso às informações existentes em cadastros, fichas, registros, e dados pessoais e de consumo sobre ele, bem como sobre as suas respectivas fontes; O § 2° do referido artigo dispõe que a abertura de cadastros, fichas, registros, e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele. Diversos cadastros foram abertos sem qualquer conhecimento do consumidor; Foram ofertados produtos ou serviços sem assegurar informações corretas, claras, precisas e ostensivas sobre suas características, qualidades, entre outros dados relevantes, assim como sem informações sobre os riscos à segurança dos consumidores (art. 31 do CDC); Caracterização de vulnerabilidade do consumidor (art. 4°, I, do CDC), violação de informação clara e adequada ao consumidor (art. 6°, III, art. 31 e art. 43, § 2°, do CDC). Portanto, a transparência é necessária para garantir a confiança nos procedimentos, permitindo a compreensão dos titulares que, se necessário, poderão desafiá-los e exercer seus direitos. VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Indubitavelmente, a violação de dados pessoais (personal data breach) é uma das situações de elevada criticidade no tratamento de dados pessoais, pois colocam em risco ou elevado risco os direitos dos titulares, de forma permanente. São eventos caracterizados por acessos não autorizados e ocorrências acidentais ou propositais de destruição, perda, alteração, comunicação ou difusão de dados pessoais. Mais do que a própria exposição indevida dos dados pessoais, eventos como os citados culminam também na provável degradação da reputação do controlador e do operador, perante os quais os dados foram confiados e, de alguma forma, falharam em seu dever de proteção. Nessas ocasiões, os agentes também ficam expostos, com maior evidência, às possíveis sanções
administrativas472 e responsabilizações civis473. Ou seja, os efeitos são contundentes e prejudiciais a todos, titulares e agentes do tratamento. Diante de todas essas circunstâncias, a segurança dos dados pessoais apresenta-se na LGPD, de forma certeira, como princípio, dispondo que os agentes de tratamento devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de eventuais violações, que, como visto, não envolvem somente eventos dolosos, mas também acidentais. Referidas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução474 e os sistemas devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e nas demais normas regulamentares475. Inclusive, qualquer pessoa que intervenha em uma das fases do tratamento obriga-se a garantir, mesmo após o seu término, a segurança da informação476. A ausência de segurança que o titular dele pode esperar é prevista, na LGPD, como tratamento irregular, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado477. Respondem pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que deixar de adotar as medidas de segurança previstas e adequadas478.
No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiro não autorizado a acessá-los479. Utilizando-se o GPDR novamente como fonte do direito comparado, os agentes de tratamento devem considerar como fatores de segurança a pseudonimização e a encriptação dos dados pessoais; a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico; os procedimentos para testar e avaliar regularmente a eficácia das medidas técnicas e organizativas para
garantir a segurança do tratamento.480 Acerca da avaliação do nível de segurança adequado, devem ser levados em consideração, especialmente, os riscos apresentados pelo tratamento, em particular quanto à potenciais destruições, perdas e alterações acidentais ou dolosas, e as divulgações ou acessos não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.481 Por exemplo, na decisão administrativa já mencionada anteriormente, que sancionou uma drogaria pela coleta de CPF como contrapartida para descontos,482 a Promotoria, além das questões previamente discutidas, considerou que todos os sistemas são potencialmente vulneráveis: “por mais dispositivos de segurança que o fornecedor possa contratar, é público e notório que o universo “hacker” é capaz de invadir dispositivos de segurança dos mais avançados do mundo”, bem como que “o sistema da reclamada é potencialmente vulnerável, assim como todos os outros”. E, especialmente no caso em questão, havendo qualquer vazamento de dados, os registros de aquisição de medicamentos, para terceira pessoa, revelariam dados sensíveis, representando severo risco à intimidade e a vida privada do consumidor, além de sujeitá-lo a riscos das mais variadas espécies. Por exemplo, poderiam ser utilizados por uma operadora de plano de saúde para negar uma cobertura por “doença pré-existente não informada” ou mesmo negar a realização de uma apólice de seguro de vida ou negar pagamento de indenização pelo mesmo motivo. Daí também a importância da realização do Relatório de Impacto à Proteção de Dados Pessoais, pois, previamente a determinado tratamento, poderão ser avaliados os critérios de segurança necessários e compatíveis com a natureza e volume dos dados tratados483. A segurança deve ser proporcional ao risco do tratamento. Eventual alegação de insegurança, como apontado na decisão administrativa apresentada, não poderá ser presumida, mas sim comprovada, no mais alto grau de avaliação técnica. Os agentes também devem adotar medidas para assegurar que qualquer pessoa que tenha acesso aos dados pessoais, agindo sob sua autoridade, somente os tratem mediante as devidas instruções do controlador.484 Inclusive, quando o controlador conferir atividades de tratamento a um operador, deverá avaliá-lo previamente, somente contratando aquele que
ofereça nível de garantia suficiente ao tratamento, especialmente em termos de conhecimentos especializados, confiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos do GDPR.485 Em incidente de segurança que envolveu aproximadamente 57 milhões de usuários de uma plataforma de transporte privado, os dados foram obtidos, conforme apurado pela autoridade de proteção de dados do Reino Unido (ICO), em razão de “uma série de falhas de segurança evitáveis” no sistema de armazenamento baseado em nuvem, operado pela controladora norteamericana da empresa, mediante um procedimento denominado credential stuffing.486. Na Alemanha, a Autoridade de Proteção de Dados (LfDI), com base no GDPR, sancionou uma plataforma de mídias sociais em 20.000 euros por descumprir a obrigação de anonimizar e encriptar dados pessoais,487 em razão de endereços de e-mail e senhas de mais de 30.000 usuários terem vazado. A autoridade apurou que as senhas eram armazenadas em texto simples, não encriptado, o que indica clara desconformidade com a norma europeia488. É aconselhável que os agentes mantenham registros contendo uma descrição geral das medidas técnicas e organizativas de segurança.489 A ANPD poderá dispor sobre padrões técnicos mínimos, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis490. No Brasil, há algumas normas setoriais relevantes que podem esclarecer um pouco mais essas medidas: O MCI,491 por meio de seu decreto regulamentador (Decreto 8.771/2016),492 prevê que os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança: O estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
A previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros; A criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado; e O uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes. Já para instituições financeiras, o Banco Centro do Brasil (BACEN) editou a Resolução 4.658/2018, versando sobre política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.493 VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
A LGPD é uma norma que visa modificar a cultura no tratamento de dados pessoais para que riscos sejam mitigados desde antes do tratamento, evitando-se ao máximo qualquer hipótese, sempre presente, de violação de dados pessoais. No decorrer da Lei há uma motivação nítida nesse sentido, impondo que os agentes de tratamento, desde a concepção da iniciativa que visa tratar dados pessoais e durante todo o seu ciclo de vida, que termina com o seu descarte, reflitam, analisem e adotem medidas efetivas para garantir a legalidade dos procedimentos e a proteção desse insumo tão valioso, mas, ao mesmo tempo, tão perigoso, se tratado de forma irregular. A prevenção esperada no princípio ora analisado deve ser pautada no conceito Privacy by Design (PbD), de Ann Cavoukian494, pelo qual a proteção à privacidade advém da trilogia (i) sistemas de tecnologia informação (IT systems); (ii) práticas negociais responsáveis (accountable business practices); e (iii) design físico e infraestrutura de rede (physical and networked infrastructure). Para atingir seus objetivos, o PbD é pautado em sete princípios fundamentais: Proactive not Reactive; Preventative not Remedial: adoção de postura preventiva e medidas proativas e não reativas, de modo a evitar
incidentes de violação à privacidade; Privacy as the Default Setteing: a configuração padrão de qualquer sistema deve preservar a privacidade do usuário. Ou seja, dados pessoais devem ser protegidos automaticamente, mesmo quando não há qualquer ação do titular, pois a tutela estará embutida no sistema; Privacy Embedded into Design: a privacidade deve estar incorporada à arquitetura de sistemas e aos modelos de negócio, de forma que a proteção de dados pessoais se torna um componente essencial da própria funcionalidade do tratamento; Full Functionality – Positive-Sum, not Zero-Sum: devem ser acomodados todos os interesses e objetivos envolvidos, evitando falsas dicotomias que levem à mitigação de direitos (como privacidade v. segurança); End-to-End Security – Full Lifecycle Protection: como a segurança de dados é incorporada ao sistema antes da coleta, a prevenção e as medidas de segurança se estendem para todo o ciclo de vida dos dados envolvidos, de ponta a ponta; Visibility and Transparency – Keep it Open: deve ser assegurado que todos os envolvidos sejam informados de forma suficientemente transparente acerca dos componentes e do modelo de operação do tratamento de dados de acordo com as premissas e objetivos combinados; e Respect for User Privacy – Keep it User-Centric: exige que os agentes do tratamento respeitem os interesses dos usuários, mantendo altos padrões de privacidade. Nesse sentido, a LGPD prevê que os agentes poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais495, considerando a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento.496
Também dispõe que o controlador, observando a estrutura, a escala, o volume de suas operações, a sensibilidade dos dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, poderá implementar programa de governança em privacidade497 e demonstrar a efetividade de seu programa de governança, em especial, a pedido da ANPD ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta.498 Essas regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela ANPD,499 a qual estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais500. Dentro do aspecto de governança corporativa, o Encarregado, principalmente diante de sua função de orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, bem como o Relatório de Impacto à Proteção de Dados Pessoais, ambos já comentados anteriormente, são peças fundamentais ao princípio da prevenção. Além de mitigar riscos de violação de dados pessoais, na hipótese de ocorrência de incidente e eventual aplicação de sanção administrativa, a ANPD deverá considerar como parâmetro e critério, entre outros, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano e a adoção de política de boas práticas e governança501. Inclusive, a adoção de medidas preventivas pode diminuir o impacto na reputação e até mesmo no valor das ações de mercado das empresas nas hipóteses de incidentes de dados pessoais: um recente estudo no Reino Unido concluiu que é menos provável que empresas tenham declínio nos preços das ações se tiverem uma forte postura de segurança por meio de investimentos em pessoas, processos e tecnologias, pois teriam maior capacidade de responder rapidamente ao evento502. Em procedimento ocorrido em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) sancionou em 400 mil euros um hospital por “acesso indiscriminado a um conjunto de dados por parte de profissionais que somente deveriam acessá-los em casos pontuais”, deixando de aplicar medidas para impedir esse tipo de acesso indevido (300 mil euros), bem como por não demonstrar capacidade para “assegurar a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços
de tratamento” (100 mil euros). A CNPD explicou que, na investigação realizada, foi criada uma conta de usuário teste, constatando que um perfil de usuário “técnico” permitia o acesso “sem quaisquer restrições” ao processo clínico dos pacientes, bem como que “existem 985 perfis ativos associados ao grupo funcional de “Médico”, apesar do plano de atividades de 2018 apontar apenas “a existência de 296 médicos prestando serviços”503. IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
O avanço das tecnologias de tratamento,504 somado ao volume e as diversas naturezas de dados pessoais disponíveis, formam o conjunto necessário para o futuro do desenvolvimento econômico e social de qualquer nação, seja na realização de modernas políticas públicas ou incremento da concorrência e da livre iniciativa na esfera privada. No entanto, como analisado anteriormente,505 proteger dados pessoais supera a tutela da privacidade, abarcando também os direitos de personalidade, diante da possibilidade de estigmatização do ser humano em razão da sua classificação e segmentação baseada no tratamento de suas informações. E mais, conforme leciona Lawrence Lessig, “code is law”,506 pois as linhas de comando dos programas de computador moldam a arquitetura da rede, por meio da utilização de filtros, automaticamente também limitando a atuação dos usuários e forçando determinadas condutas.507 Diante de tal cenário, seja para evitar a estigmatização, seja para criação de estereótipos (classificação), seja para coibir a limitação de direitos (segregação), que o princípio da não discriminação se mostra fundamental, prevendo a impossibilidade do tratamento de dados para fins discriminatórios, seja de forma automatizada ou não, justamente visando impor limites e permissões no processamento de dados, de modo a mitigar o risco do determinismo tecnológico.508 Assim, o controlador, de acordo com a especificidade das circunstâncias e do contexto em que os dados pessoais são tratados, deverá utilizar procedimentos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam que os fatores que introduzem eventuais riscos discriminatórios509, sejam inviabilizados, tendo em vista principalmente os
dados conceituados como sensíveis.510 Importante lembrar que o STF, em julgado de 2004, ressaltou que não há subdivisões biológicas na espécie humana. A divisão dos seres humanos em raças resulta de um processo de conteúdo meramente político-social. Desse processo, origina-se o racismo que, por sua vez, gera a discriminação e o preconceito segregacionista. Para a construção da definição jurídicoconstitucional do termo “racismo”, o STF concluiu que é necessário, por meio da interpretação teleológica e sistêmica da Constituição, conjugar fatores e circunstâncias históricas, políticas e sociais que regeram a sua formação e aplicação. Apenas desta maneira é possível obter o real sentido e alcance da norma, que deve compatibilizar os conceitos etimológicos, etnológicos, sociológicos, antropológicos e biológicos.511 Na UE, a Consideranda 75 do GDPR é clara ao dispor que o tratamento de dados pessoais que possa dar origem à discriminação poderá causar danos físicos, materiais ou imateriais. As práticas de discriminação podem ser as mais comuns, como a negação de um emprego em razão da religião ou doença do titular, até as mais complexas, como o tratamento preditivo de dados genéticos para fins securitários, que conta, diante da sua criticidade, com preocupações regulatórios próprias512. Nos EUA, por exemplo, há uma discussão importante sobre um programa de computador chamado COMPAS, que analisa a probabilidade de uma pessoa cometer um novo crime. Uma análise de mais de 10 mil casos na Flórida ao longo de dois anos, publicado em 2016 pela ONG ProPublic, demonstrou que a previsão de “alto risco de reincidência” era mais comum para negros do que para brancos, em que pese não haver nenhuma decisão de violação do devido processo legal contra o programa.513 Em 2017, o Ministério Federal dos Transportes e Infraestrutura Digital da Alemanha emitiu um relatório sobre a ética dos carros automatizados e conectados,514 prevendo, entre outras questões, que “no caso de acidentes inevitáveis, é proibida a classificação de pessoas com base em suas características pessoais (como idade, sexo, condição física ou mental)”. No Brasil, naquele mencionado caso em que o DPDC sancionou um comércio eletrônico em R$ 7.500.000,00, por geopricing e geoblocking, o Órgão ressaltou que houve discriminação da empresa com consumidores por
conta da etnia e localização geográfica, o que configura prática abusiva, além de verdadeiro desequilíbrio no mercado e nas relações de consumo.515 Portanto, na avaliação do princípio da não discriminação, outros dados pessoais, além dos sensíveis516, poderão ser objeto de caracterização de ilicitude ou abusividade da conduta. Laura Schertel entende, por exemplo, que o consumidor está sujeito ao risco de ser discriminado no mercado de consumo, caso tenha negado acesso a bens e serviços ou tenha as suas oportunidades diminuídas, em razão de informações armazenadas em bancos de dados e utilizadas de forma discriminatória, como na discriminação estatística, em que consumidores podem receber preços ou condições de contratações diferentes em razão de atributos aparentemente inofensivos, como idade, gênero, nacionalidade ou endereço517. Porém, qualquer lucro oriundo de uma exploração regular de atividade econômica, a priori, não constitui infração, por maior que ele seja, desde que sua origem seja justificável. Quanto à discriminação de adquirentes por meio de fixação diferenciada de preços, poderá ser considerada ilícita do ponto de vista concorrencial se houver aumento arbitrário dos lucros, domínio do mercado ou limitação da concorrência. Afora tais requisitos, a oferta do produto ou serviço com a utilização de dados pessoais do consumidor, além das previsões da LGPD, também precisa estar em conformidade com o CDC, o qual assegura, entre outras questões, a liberdade de escolha e a igualdade nas contratações, a proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, bem como contra práticas e cláusulas abusivas ou impostas no fornecimento de produtos e serviços. Mais uma vez estamos diante da importância do princípio da transparência, bem como da comprovação da justificativa de eventual diferenciação de preços para os mesmos produtos ou serviços, de acordo com a localidade do interessado ou qualquer outra característica sua. Assim, desde que haja transparência e a oferta diferenciada seja plenamente justificável e não discriminatória, tendo como principal parâmetro a boa-fé objetiva (isto é, a conduta seja correta e proba), as empresas de comércio eletrônico poderiam, de acordo com a livre-iniciativa, a livre concorrência e o seu livre exercício na realização de qualquer atividade econômica, precificar e ofertar seus produtos e serviços de forma
diferenciada, bem como realizar promoções para consumidores de determinadas localidades. Ou, por exemplo, que fazem aniversário em determinado mês. As situações descritas anteriormente são relevantes ao demonstrarem que o princípio da não discriminação baliza “os cânones tradicionais ligados à privacidade, ao revelar a presença de um outro valor digno de tutela neste caso, o princípio da igualdade material, como fundamento da tutela”.518 Ou seja, a proteção dos dados pessoais decorre da própria tutela do princípio da isonomia519. Ademais, há uma preocupação evidente quanto ao tratamento de dados pessoais para a adoção de decisões automatizadas, principalmente quanto à possibilidade, por meio de tecnologias como Inteligência Artificial, consumarem medidas discriminatórias. Nas Guidelines sobre Inteligência Artificial e Proteção de Dados, do Conselho da Europa,520 é recomendado que em todas as fases do processamento de dados, os desenvolvedores de IA, fabricantes e provedores de serviços adotem uma abordagem de direitos humanos, por design, de modo a evitar práticas discriminatórias. Alertando sobre esses riscos, Safiya Noble, explica que a prática de redlining é uma forma de discriminação de dados, que usa nossas identidades digitais e atividades para reforçar a desigualdade e a opressão. Muitas vezes, é realizada sem o nosso conhecimento, por meio de nossos engajamentos digitais, que se tornam parte de mecanismos de classificação algorítmicos, automatizados e artificialmente inteligentes que podem nos atingir ou nos excluir. Isto é uma dimensão fundamental de geração, sustentação ou aprofundamento da discriminação racial, étnica e de gênero, e está centralmente ligada à distribuição de bens e serviços na sociedade, como educação, moradia e outros direitos humanos e civis. O redlining está intimamente ligado às práticas comuns, que têm sido consistentemente definidas como ilegais no Estados Unidos, mas que são cada vez mais difíceis de serem avaliadas devido à sua nova faceta digital.521
O instituto de pesquisa dos EUA, Data & Society, no estudo Algorithmic Accountability: A Primer, ao dispor sobre “responsabilidade do algoritmo”, ressalta que algoritmos não cometem erros, os humanos, sim. Especialmente em casos de redlining tecnológico, a atribuição de responsabilidade é fundamental para mitigar rapidamente a discriminação e assegurar ao público que a supervisão apropriada está ocorrendo. Além de viabilizar a avaliação clara do responsável pela implementação das decisões tomadas pelo
algoritmo, a responsabilidade do algoritmo deve ser fundamentada em políticas exequíveis que comecem com a auditoria em testes pré e póscomercialização, bem como em avaliações padronizadas para quaisquer danos em potencial”522. Buscando uma maior transparência em situações como as expostas, o GDPR prevê como direito do titular, na existência de decisões automatizadas, incluindo a definição de perfis, a obrigação de informações úteis relativas à lógica subjacente, bem como sobre a importância e as consequências previstas de tal tratamento para o titular dos dados.523 Por sua vez, a LGPD prevê que o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade524, bem com que o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial525. Por fim, importante ressaltar que o princípio prevê que o tratamento para fins discriminatórios dos dados é vedado quando praticado ilicitamente ou abusivamente, pois, naturalmente, poderá haver discriminação no tratamento de dados, inclusive sensíveis, no sentido de estabelecer diferenças, se de acordo com as bases legais existentes, como na coleta de informação de um passageiro sobre restrição alimentar, por questões religiosas ou de saúde, para que lhe seja servida a refeição adequada, apenas para citar um exemplo. X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Prever a responsabilização e a prestação de contas como princípio demonstra a intenção da Lei em alertar os controladores e os operadores de que são eles os responsáveis pelo fiel cumprimento de todas as exigências legais para garantir todos os objetivos, fundamentos e demais princípios nela estabelecidos. E não basta somente pretender cumprir a Lei, é necessário que as medidas adotadas para tal finalidade sejam comprovadamente eficazes. Ou seja, os agentes deverão, durante todo o ciclo de vida de tratamento de dados sob sua responsabilidade, analisar a conformidade legal e implementar os
procedimentos de proteção dos dados pessoais de acordo com a sua própria ponderação de riscos. Indica-se, de forma bastante concisa, como ponto de partida para a avaliação de conformidade de uma operação de tratamento de dados pessoais, pelo controlador, a verificação dos princípios da LGPD, especialmente o da finalidade, adequação e necessidade, para sopesamento do equilíbrio dos direitos em cheque. Na sequência, de acordo com a natureza do dado pessoal (se há tratamento de dado sensível ou não) e a finalidade desejada, validar se há ao menos uma das bases legais previstas na Lei526 para o tratamento. Nesse ponto, importante lembrar que, a partir do momento que o controlador tenha posse de qualquer dado pessoal, ele precisará contar com uma justificativa legal para isso. Caso contrário, deverá descartá-lo. O controlador também deverá avalizar que todos os direitos do titular527 estão garantidos. Paralelamente, desde a pretensão da operação de tratamento, o controlador deverá verificar e adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Finalmente, acompanhar o ciclo de vida dos dados pessoais para que sejam descartados quando não houver mais base legal para a sua manutenção. Assim, citando apenas algumas obrigações, é o controlador que analisará, nas operações de tratamento sob sua responsabilidade: Se efetivamente aplica-se a LGPD (aplicação territorial, extraterritorial, hipóteses de exceção e se são dados pessoais ou não); Se ele é realmente o controlador ou operador dos dados e em quais circunstâncias do tratamento; Caso não encontre alguma outra base legal, se pode justificar o tratamento por legítimo interesse528; Quando a base legal for o consentimento529, se a manifestação da titular é livre, inequívoca e informada; Se há o atendimento dos requisitos para a transferência internacional dos dados; O operador adequado para tratar os dados sob seu comando; A hipótese de realização do relatório de impacto à proteção de dados
pessoais, de acordo com as operações de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares; Quais as regras de boas práticas, de governança e de segurança para cada tratamento de dados pessoais sob sua responsabilidade. Acerca da prestação de contas, a Lei prevê que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem,530 não só porque a ANPD poderá requisitar informações, a qualquer momento, das operações de tratamento de dados pessoais,531 mas também em razão da possibilidade de inversão do ônus da prova a favor do titular dos dados quando verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa532. Ambos, controlador ou o operador, que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.533 Como o operador realizará o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria,534 aquele responderá solidariamente quando descumprir as obrigações da Lei ou quando não tiver seguido as instruções lícitas do controlador.535 Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados, respondem solidariamente,536 e aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso537. Em incidente envolvendo dados pessoais, inclusive financeiros, que ficaram disponíveis na internet, por cerca de três meses, mediante consulta em qualquer buscador, uma instituição financeira (controladora) e o seu provedor de banco de dados (operador) foram condenados por danos morais coletivos no valor de R$ 500.000,00 e por danos materiais e morais causados aos consumidores individualmente considerados no valor de R$ 1.000,00, sob os seguintes fundamentos: (i) a alegação de conduta de hacker não afasta a responsabilidade dos agentes, diante do risco à atividade desenvolvida; a instituição financeira possui responsabilidade na escolha de quem faz
negócios e na escolha de seus prepostos; o operador também é legítimo para figurar no polo passivo pois é uma das empresas responsáveis pelo banco de dados que teve suas informações divulgadas538. Ademais, além de todas as medidas profiláticas analisadas no princípio da prevenção, no caso de incidente de segurança envolvendo dados pessoais, é o controlador quem deve analisar se o evento pode acarretar em risco ou dano relevante aos titulares para comunicar ou não à ANPD e ao titular539, em prazo razoável.540 Apesar de não estar previsto na LGPD, caso o incidente ocorra no operador, este deverá comunicar imediatamente ao controlador, que é o responsável por avaliar o cenário e adotar as medidas que entender pertinentes. Realizada a análise em questão e constado, no entendimento do controlador tais riscos, será ele o responsável por demonstrar os motivos da demora, no caso de a comunicação não ter sido imediata; descrever a natureza dos dados pessoais afetados; identificar as informações sobre os titulares envolvidos; indicar as medidas técnicas e de segurança utilizadas para a proteção dos dados; avaliar e prover os riscos relacionados ao incidente; analisar, adotar e indicar as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo541. Referidos fatores serão cruciais no juízo de gravidade do incidente,542 em conjunto com a avaliação da gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do agente; a reincidência; o grau do dano; a cooperação do agente; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção543. No já mencionado incidente ocorrido na Alemanha,544 envolvendo o vazamento de endereços de e-mail e senhas de mais de 300.000 usuários, por ausência de medidas efetivas de segurança, a Autoridade alemã (LfDI), atenuou consideravelmente a sanção (20 mil euros), embora o GDPR preveja multas que podem chegar aos 10 milhões de euros, em razão da boa vontade da empresa em cooperar, bem como sua “exemplar prontidão e transparência” na comunicação do evento e na correção e aprimoramento da segurança de seus dados. A LfDI ressaltou que as multas do GDPR devem
ser, além de eficazes e dissuasivas, proporcionais, e que não entrará em uma “competição pela aplicação da multa mais alta”. De outro lado, no também citado incidente de segurança de uma plataforma de transporte privado, em razão da sua omissão na comunicação do evento aos seus usuários e às autoridades,545 houve acordo nos EUA no valor de US$ 148 milhões, além de autoridades de outros países também estarem sancionando a empresa pelas mesmas razões546. Referências Livros, artigos, teses e dissertações AGRE, Philip E. and Rotenberg, Marc. Technology and privacy: the new landscape. Cambridge/London: MIT. ALEXY, Robert. Teoria dos direitos fundamentais. Trad. Virgílio Afonso da Silva. São Paulo: Malheiros Editores, 2008. ARTIGO 19. Proteção de dados pessoais no Brasil – Análise dos projetos de lei em tramitação no Congresso Nacional. Coordenação executiva e editorial: Laura Tresca. São Paulo. nov. 2016. BAGNOLI, Vicente (Coord.). Concorrência e inovação: anais do Congresso Internacional para a promoção de debates acerca do Direito da Concorrência e Inovação Tecnológica diante da realidade e desafios da economia digital. São Paulo: Scortecci, 2018.
BASTOS, Celso Ribeiro. Curso de direito constitucional. Atual. Samantha Ribeiro Meyer-Pflug. São Paulo: Malheiros Editores, 2010. BAUMAN, Zygmunt. Danos colaterais: desigualdades sociais numa era global. Trad. Carlos Alberto Medeiros. Rio de Janeiro: Zahar, 2013. BESSA, Leonardo Roscoe. Cadastro positivo: comentários à Lei 12.414/2011. São Paulo: Editora Revista dos Tribunais, 2011. BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018. BITTAR, Calos Alberto. Os direitos da personalidade. Rio de Janeiro: Forense Universitária, 2004. CARVALHOSA, Modesto (Coord.). Coleção tratado de direito empresarial. 2016. v. 7.
CASTELLS, Manuel. A galáxia da internet: reflexões sobre a internet, os negócios e a sociedade. Trad. Maria Luiza X. de A. Gorges. Rio de Janeiro: Zahar, 20013. CASTELLS, Manuel. A sociedade em rede – A era da informação: economia, sociedade e cultura. 3. ed. São Paulo: Paz e Terra, 2000. v. 1. CARNELUTTI, Francesco. Sistema de direito processual civil. 2. ed. São Paulo: Lemos e Cruz, 2004. v. 1. COMPARATO, Fábio Konder. Rumo à justiça. São Paulo: Saraiva, 2010. COTS, Márcio; OIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo: Ed. RT, 2018. DINIZ, Maria Helena. O estado atual do biodireito, São Paulo: Saraiva, 2001. DEL MASSO, Fabiano; ABRUSIO, Juliana; FLORÊNCIO FILHO, Marco Aurélio. Marco Civil da Internet. Lei 12.965/2014. São Paulo: Revista dos Tribunais, 2014. DINAMARCO, Cândido Rangel; GRINOVER, Ada Pellegrini; CINTRA, Antonio Carlos Araújo. Teoria geral do processo. 10 ed. São Paulo: Malheiros Editores, 1994. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. DWORKIN, Ronald. Uma questão de princípio. São Paulo: Martins Fontes, 2000. FERNANDES, Milton. Proteção civil da intimidade. São Paulo: Saraiva, 1977 FERRAZ JÚNIOR, Tércio Sampaio. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado. In: PIZOLIO, Reinaldo; e GALVADÃO JÚNIOR, Jayr Viégas (Coord.). Sigilo fiscal e bancário. São Paulo: Quartier Latin, 2005. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores, 2014 HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018.
HOUAISS, Antônio; VILLAR, Mauro de Salles. Dicionário Houaiss de língua portuguesa. Rio de Janeiro: Objetiva, 2009. LEITE, Salomão George; LEMOS, Ronaldo. Marco Civil da Internet. São Paulo: Atlas, 2014. LEMOS, André; LÉVY, Pierre. O futuro da internet: em direção a uma ciberdemocracia. São Paulo: Paulus, 2010. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. LESSIG, Lawrence. Code, version 2.0. Nova York: Basic Books, 2006. LESSIG, Lawrence. The law of the horse: what cyberlaw might teach. The Beckman Center for Internet & Society. Research Publication, n. 199905, 12/1999. LUCCA, Newton de. e outros. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. LUHMAN, Niklas. Confianza. México: Antropos, 2005. MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista dos Tribunais, 2018. MARREIRO, Flávia; FLECK, Isabel. Falta de legislação para a web gera dúvida. Folha de S.Paulo, Caderno Mundo, A13, 14.07.2013. MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia. Direito, inovação e tecnologia. São Paulo: Saraiva, 2015. v. 1. MEYER-PFLUG, Samantha Ribeiro; ALMEIDA LEITE, Flavia Piva. A liberdade de expressão e o direito à privacidade no Marco Civil da Internet. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I.
LÉVY, Pierre. Cibercultura. Trad. Carlos Irineu da Costa. São Paulo: Editora 34, 1999. NOBLE, Safiya Umoja. Algorithms of oppression: how search engines reinforce racism. New York: NYU Press, 2018. RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008.
MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. TAVARES, André Ramos. Direito constitucional da empresa. São Paulo: Método, 2013. USTARAN, Eduardo (Coord.). European Data Protection. USA: IAPP, 2018. WARREN, Samuel; Brendeis, Louis. The right to privacy. Harvard Law Review, v. IV, n. 5, p. 195, 1890. WEBER, Max. A ética protestante e o espírito do capitalismo. Trad. Mário Moraes. São Paulo: Martin Claret, 2013. Internet ALENCAR, Valéria Peixoto. Arte – O que é?. Disponível em: [https://educacao.uol.com.br/disciplinas/artes/arte-o-que-e.htm. Acesso em: 26 .01.2019. Antitrust: Commission fines Google ¤2.42 billion for abusing dominance as search engine by giving illegal advantage to own comparison shopping service. 27.06.2017. Disponível em: [http://europa.eu/rapid/pressrelease_IP17-1784_en.htm]. Acesso em: 15.01.2019. (Case AT.39740 – Google Search (Shopping). (Only the English text is authentic). Decisão completa Disponível em: [https://eur-lex.europa.eu/legalcontent/EN/TXT/? qid=1516198535804&uri=CELEX:52018XC0112(01))]. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017. Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-12-17.pdf]. Acesso em: 10.08.2018, Article 29 Working Party. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. Revisado em 04.10.2017. Disponível em: [https://ec.europa.eu/newsroom/article29/item-detail.cfm? item_id=611236 Acesso em: 04.02.2019.
Article 29 Working Party. Guidelines on transparency under Regulation 2016/679. 13.04.2018. Disponível em:
[http://ec.europa.eu/newsroom/article29/item-detail.cfm? item_id=622227]. Acesso em: 07.02.2019 Article 29 Working Party. Opinion 1/2010 on the concepts of “controller” and “processor” Disponível em: [https://ec.europa.eu/justice/article29/documentation/opinion-recommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019. Article 29 Working Party. Opinion 2/2017 on data processing at work. 8.06.2017. Disponível em: [http://ec.europa.eu/newsroom/document.cfm? doc_id=45631]. Acesso em: 26.01.2019. Article 29 Working Party. Opinion 03/2013 on purpose limitation. Adotada em 2.04.2013. Disponível em: [http://ec.europa.eu/justice/article29/documentation/opinion-recommendation/files/2013/wp203_en.pdf]. Acesso em: 05.02.2019. ANGWIN, Julia; LARSON, Jeff; MATTU, Surya; KIRCHNER, Lauren. Machine bias. There’s software used across the country to predict future criminals. And it’s biased against blacks. 23.05.2016. Disponível em: [https://www.propublica.org/article/machine-bias-risk-assessments-incriminal-sentencing]. Acesso em: 09.02.2019. BBC. GDPR: Tech firms struggle with EU’s new privacy rules. 24.05.2018. Acessível em [https://www.bbc.com/news/technology-44239126]. Acesso em: 25.01.2019. Bundesministerium für Verkehr und digitale Infrastruktu. Ethik-kommission automatisiertes und vernetztes fahren. 20.06.2017. Disponível em: [https://www.huntonprivacyblog.com/wpcontent/uploads/sites/28/2017/06/084-dobrindt-bericht-der-ethikkommission.pdf]. Acesso em: 09.02.2019. CAPLAN, Robyn; BOYD, Danah. Who controls the public sphere in an era of algorithms? Data& Society. 13.05.2016. Disponível em: [https://datasociety.net/pubs/ap/MediationAutomationPower_2016.pdf]. Acesso em: 24.12.2018. CAVOUKIAN, ANN. Privacy by design. The 7 foundational principles. Disponível em: [https://iab.org/wp-content/IABuploads/2011/03/fred_carter.pdf]. Acesso em: 08.02.2019. CGI.br/NIC.br, Centro Regional de Estudos para o Desenvolvimento da
Sociedade da Informação (Cetic.br), Pesquisa sobre o Uso das Tecnologias de Informação e Comunicação nos Domicílios Brasileiros – TIC Domicílios 2017. Disponível em: [https://cetic.br/media/analises/tic_domicilios_2017_coletiva_de_imprensa.pdf Acesso em: 25.01.2019.
CHANDLER, Daniel Technological or Media Determinism. 25.04.2000. Disponível em: [[http://www.wolearn.org/pluginfile.php/2185/mod_page/content/6/chandler2002_PDF Acesso em: 09.02.2019. CNIL. The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC. 21.01.2019. Disponível em: [https://www.cnil.fr/en/cnils-restricted-committee-imposes-financialpenalty-50-million-euros-against-google-llc]. Acesso em: 02.01.2019. Conselho Administrativo de Defesa Econômica (CADE). SuperintendênciaGeral recomenda arquivamento de investigação contra o Google. 20.11.2018. Disponível em: [http://www.cade.gov.br/noticias/superintendencia-geral-recomendaarquivamento-de-investigacao-contra-o-google]. Acesso em: 08.01.2019. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. Strasbourg, 28/01/1981 – Treaty open for signature by the member States and for accession by non-member States. Disponível em: [https://www.coe.int/en/web/conventions/full-list//conventions/treaty/108]. Acesso em: 05.02.2019. COSERASU, R. Facial recognition systems and their data protection risks under the General Data Protection Regulation, University of Tilburg, Master’s Thesis. September, 2017. Disponível em: [https://arno.uvt.nl/show.cgi?fid=143731]. Acesso em: 30.01.2019.
DANTAS, Marcos. WhatsApp não está acima da lei, O Globo. 03.01.2016, [http://oglobo.globo.com/opiniao/whatsapp-nao-esta-acima-da-lei18385944]. Acesso em: 19.01.2019. Data & Society. Algorithmic Accountability: A Primer. 18.04.2018. Disponível em: [https://datasociety.net/wpcontent/uploads/2018/04/Data_Society_Algorithmic_Accountability_Primer_FINAL.p Acesso em: 09.02.2019.
Data Protection Authority of Baden-Württemberg Issues. LfDI BadenWürttemberg verhängt sein erstes Bußgeld in Deutschland nach der DSGVO. 22.11.2018. Disponível em: [https://www.badenwuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-seinerstes-bussgeld-in-deutschland-nach-der-ds-gvo/]. Acesso em: 08.02.2019. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. jan. 2018. Disponível em: [https://www.bndes.gov.br/wps/wcm/connect/site/d22e7598-55f5-4ed5b9e5-543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf? MOD=AJPERES&CVID=m5WVIld]. Acesso em: 07.01.2019. European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation. Adopted on 16 November 2018. Disponível em: [http://www.portaldaprivacidade.com.br/wpcontent/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf Acesso em: 19.01.2019. Guidelines on Artificial Intelligence and Data Protection. Conselho de Europa. Strasbourg, 25 January 2019. Disponível em: [https://rm.coe.int/guidelines-on-artificial-intelligence-and-dataprotection/168091f9d8]. Acesso em: 06.02.2019. Grupo do Art. 29 para a Proteção de Dados. Orientações sobre os encarregados de proteção de dados. 13.12.2016. Disponível em: [https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf]. Acesso em: 02.02.2019. ICO. Data protection and journalism:a guide for the media. Disponível em: [https://ico.org.uk/media/for-organisations/documents/1552/dataprotection-and-journalism-media-guidance.pdf]. Acesso em: 25.01.2019. ICO fines Uber £385,000 over data protection failings. 27.11.2018. Disponível em: [ https://ico.org.uk/about-the-ico/news-and-events/newsand-blogs/2018/11/ico-fines-uber-385-000-over-data-protectionfailings/]. Acesso em: 09.02.2019. International Association of Privacy Professionals. European Data Protection. Law and Practice. Executive Editor Eduardo Ustaran, CIPP/E. Partner, Hogan Lovells. 2018, Chapter 5.3.2.
Ministério da Justiça. Decolar.com é multada por prática de geo pricing e geo blocking. 28.06.2018. Disponível em: [http://www.justica.gov.br/news/collective-nitf-content-51]. Acesso em: 08.01.2019. MOEREL, Lokke; PRINS, Corien. On the death of purpose limitation. Publicado em 02.06.2015. Disponível em: [https://iapp.org/news/a/onthe-death-of-purpose-limitation/]. Acesso em: 05.02.2019.
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. In 2013 the OECD revised the Privacy Guidelines for the first time since their launch in 1980. The revised text modernised the OECD approach in many important respects and reinforced its integration with more recent work on privacy law enforcement co-operation. In 2019 the OECD is working with countries and experts to scope developments and provide practical recommendations on the implementation of the Guidelines in today’s digital environment. Disponível em: [http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtr Acesso em: 05.02.2019. Organização das Nações Unidas (ONU). Human Rights Council. Thirtysecond session. Disponível em: [http://www.un.org/ga/search/view_doc.asp?symbol=A/HRC/32/L.20]. Acesso em: 17.01.2019.
Ponemon Institute LLC. The impact of data breaches on reputation & share value. Publicado em maio de 2017. Disponível em: [https://www.centrify.com/media/4772757/ponemon_data_breach_impact_study_uk.p Acesso em: 08.02.2019. PÚBLICO Comunicação Social AS. Hospital do Barreiro contesta judicialmente coima de 400 mil euros de Comissão de Dados. Disponível em: [https://www.publico.pt/2018/10/22/sociedade/noticia/hospitalbarreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados1848479#gs.xjcGB6LN Acesso em: 08.02.2019. Questions and Answers – Data protection reform, de 21.12.2015. Disponível em: [http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm]. Acesso em: 17.12.2018. Revista Brasileira de Políticas Públicas. Direito e Mundo Digital. UniCeub, v. 7, n.3, p 690, dez. 2017. Disponível em:
[https://www.publicacoesacademicas.uniceub.br/RBPP/article/viewFile/4966/3651 Acesso em: 08.01.2019. RODRIGUES, Marcos, KORMANN, Mariza e AL-DULAIMI, Mustafa. Data protection na privacy issues concerning facial image processing in public spaces. Athens Journal of Technology & Engineering, p. 40, 2016. Disponível em: [http://shura.shu.ac.uk/11080/]. Acesso em: 30.01.2019. SCHWARTZ, Paul M.; SOLOVE, Daniel J. The PII Problem: privacy and a new concept of personally identifiable information. Berkeley Law, 01.01.2011. Disponível em: [https://scholarship.law.berkeley.edu/cgi/viewcontent.cgi? article=2638&context=facpubs]. Acesso em: 30.01.2019. The Guardian. Sites block users, shut down activities and flood inboxes as GDPR rules loom. Disponível em: [https://www.theguardian.com/technology/2018/may/24/sites-block-euusers-before-gdpr-takes-effect]. Acesso em: 25.01.2019. The New York Times. Uber settles data breach investigation for $148 million. 26.09.2018. Disponível em: [https://www.nytimes.com/2018/09/26/technology/uber-databreach.html]. Acesso em: 09.02.2019. The New York Times. Facebook and Cambridge analytica: what you need to know as fallout widens. 19.03.2019. Disponível em: [https://www.nytimes.com/2018/03/19/technology/facebook-cambridgeanalytica-explained.html]. Acesso em: 29.01.2019. VAINZOF, Rony. Proteção de dados: o que a sanção de ¤50 mi contra o Google nos ensina?. 26.01.2019. Disponível em: [https://cio.com.br/protecao-de-dados-o-que-a-sancao-de-e50-mi-contrao-google-nos-ensina/]. Acesso em: 02.02.2019. ZANATTA, Rafael A.F. Consentimento forçado?. Uma avaliação sobre os novos termos de uso do WhatsApp e as colisões com o Marco Civil da Internet. IDEC. 22.09.2016. Disponível em: [https://www.idec.org.br/pdf/relatorio-whatsapp-termos-de-uso.pdf]. Acesso em: 15.01.2019.
1. 2. 3. 4. 5. 6. 7. 8. 9.
A redação dada pela Lei 13.853/2019 alterou a parte dispositiva da Lei para denominá-la, definitivamente, Lei Geral de Proteção de Dados Pessoais, com a sigla “LGPD”. Conceito definido no art. 5°, inc. X, da LGPD. Conceito definido no art. 5°, inc. I, da LGPD. Usualmente existentes em banco de dados relacionais, que podem ser recuperados e processados de forma eficiente, pois organizados, como os contidos em planilhas. São os dados pessoais de difícil indexação, acesso, recuperação e processamento, pois não organizados. Eles podem estar dentro de vídeos, e-mails, imagens e áudios, por exemplo. Posteriormente avaliaremos as hipóteses de exceção, especialmente sobre o tratamento de dados por pessoa física. Acerca do tratamento de dados pessoais pelo poder público, há na Lei capítulo inteiro dedicado ao tema (Capítulo IV), que também será abordado neste Livro. COTS, Márcio; OIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo: Ed. RT, 2018. p. 59. Esquemática e resumidamente, podemos destacar os seguintes fatos: – 1948: Declaração Universal de Direitos Humanos: adotada pela Assembleia Geral da ONU, estabelece as fundações de liberdade, justiça e paz mundiais, elencando os direitos inalienáveis de todos os membros da raça humana. Reconhece valores de proteção da privacidade individual e familiar (Artigo 12) e a liberdade de informação, opinião e de expressão (Artigo 19). É a matriz de inspiração de todas as leis protetivas de dados pessoais. Suas previsões sempre deixaram claro que nenhum direito é absoluto e mesmo a privacidade ou a liberdade de expressão podem ser limitadas, diante do que for estabelecido em lei, objetivando a preservação de direitos e liberdades de terceiros, bem como a moralidade, ordem pública e o bem-estar de uma sociedade democrática (Artigo 29). – 1950: Convenção Europeia de Direitos Humanos: fundada nos valores da Declaração Universal dos Direitos Humanos, da ONU, suas disposições ecoaram as proteções à vida privada e familiar e à informação, bem como permitiu à autoridade pública ingerência nesses direitos, estabelecendo como limites a “segurança nacional”, “segurança pública”, “bem-estar econômico do país”, “defesa da ordem”, “prevenção das infrações penais”, “proteção da saúde ou da moral” e preservação do direito e das liberdades de terceiros. – 1973 e 1974: o Conselho de Europa editou as Resoluções 22 (1973) e 29 (1974), para estabelecer princípios para a proteção de informações pessoais em bancos de dados automatizados, tanto no setor público, como privado. – 1979: Sete membros da Comunidade Europeia passaram a implementar leis nacionais de privacidade, entre eles Dinamarca, França, Alemanha, Luxemburgo e Noruega. Áustria, Espanha e Suécia incorporaram a proteção de dados ao texto constitucional ou editaram leis com status constitucional. – 1980: Diretrizes da OCDE sobre a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais: tais diretrizes, apesar de serem recomendações, constituem um passo importante na direção da harmonização das legislações nacionais (dos membros e dos países interessados em ingressar na Organização) sobre privacidade e fluxo internacional de dados. – 1981: Convenção 108: na tentativa de consolidar as Resoluções 73/22 e 74/29, foi proposta pelo Conselho da Europa a Convenção para a Proteção de Indivíduos com Relação ao Processamento Automático de Dados Pessoais, o primeiro instrumento internacional disciplinando especificamente essa temática com força legal, aberto a membros e não membros da Comunidade Europeia. – 1995: Diretiva 95/46/CE: observou-se que a Convenção 108 não compreendia todos os aspectos necessários para uma ampla e densa disciplina de proteção da privacidade, o que levou a Comissão Europeia, provocada por seu Parlamento Europeu, a editar um novo documento. Essa Diretiva foi, por mais de 20 anos, o principal documento internacional sobre o assunto. – 2016: General Data Protection Regulation (GDPR): a Regulação 2016/679 (UE) entrou em vigor no dia 25/5/2018,
10.
11. 12. 13.
14.
15. 16.
17. 18. 19. 20. 21. 22. 23.
substituindo a Diretiva 95/46/CE, bem como leis e regulações nacionais nela baseadas. Diferentemente da Diretiva, a Regulação é autoaplicável e não requer a aprovação de leis nacionais compatíveis com suas determinações. Seu objetivo é eliminar inconsistências em leis nacionais, ampliar o escopo de proteção à privacidade e modernizar a legislação para desafios tecnológicos, econômicos e políticos atuais, como aqueles decorrentes do advento da internet. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). Entre eles, comércio e comércio eletrônico, produtos (Product-as-a-Service), automóveis, cidades (inteligentes), saúde, segurança e agropecuária. CASTELLS, Manuel. A galáxia da internet: reflexões sobre a internet, os negócios e a sociedade. Trad. Maria Luiza X. de A. Gorges. Rio de Janeiro: Zahar, 2013. p. 11. LÉVY, Pierre. Cibercultura. Trad. Carlos Irineu da Costa. São Paulo: Editora 34, 1999. p. 54. No mesmo sentido, a Comissão Europeia afirma, categoricamente, que “Data is the currency of today’s digital economy”. Cf. Questions and Answers – Data protection reform, de 21.12.2015. Disponível em: [http://europa.eu/rapid/press-release_MEMO-156385_en.htm]. Acesso em: 17.12.2018. Considerandas, do GDPR: (6) A rápida evolução tecnológica e a globalização criaram desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais. (7) Essa evolução exige um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas. BASTOS, Celso Ribeiro. Curso de direito constitucional. 20. ed. atual. São Paulo: Saraiva, 1999. p. 159-160. LUCCA, Newton de. Marco civil da internet. Uma visão panorâmica dos principais aspectos relativos às suas disposições preliminares. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 62. COMPARATO, Fábio Konder. Rumo à justiça. São Paulo: Saraiva, 2010. p. 41. WARREN, Samuel; BRENDEIS, Louis. Harvard Law Review, v. 4, n. 5. 15 de dezembro de 1890. p. 193-220. Art. 5°, X, da CF. Art. 21, do CC. STF, AP 307-3 DF, Rel. Min. Ilmar Galvão, j. 13.12.1994. STF, RE 418.416/SC, Pleno do STF, Rel. Min. Sepúlveda Pertence, por maioria, j. 10.05.2006. FERRAZ JÚNIOR, Tércio Sampaio. Sigilo de dados: o direito à privacidade e os limites à
24. 25. 26. 27. 28. 29. 30. 31.
32. 33.
34. 35. 36. 37. 38.
39. 40. 41. 42. 43.
função fiscalizadora do Estado. In: PIZOLIO, Reinaldo; GALVADÃO JÚNIOR, Jayr Viégas (Coord.). Sigilo fiscal e bancário. São Paulo: Quartier Latin, 2005. p. 28. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 1. LEONARDI, Marcel. Tutela e privacidade na Internet. São Paulo: Saraiva, 2012. p. 67. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores, 2014. p. 64. Entre essas obrigações, vide Capítulo III da LGPD (Dos Direitos do Titular). RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008. passim. Conforme art. 5°, inc. II, da LGPD. Conforme art. 7°, § 3°, da LGPD. Inclusive merecendo classificação autônoma para tal instituto, conforme Fabiano Menke (A proteção de dados e novo direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão). (MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia. Direito, inovação e tecnologia. São Paulo: Saraiva, 2015. v. 1. p. 205). Também editou uma das primeiras leis específicas sobre o tema: Bundesdatenschutzgesetz (Lei de Proteção de Dados), de 1977. Volkszählungsurteil (Julgamento do Censo), de 15.12.1983. Trad. Fabiano Menke (A proteção de dados e novo direito fundamental à garantia da confidencialidade e da integridade dos sistemas técnico-informacionais no direito alemão). (MENDES, Gilmar Ferreira; SARLET, Ingo Wolfgang; COELHO, Alexandre Zavaglia. Direito, inovação e tecnologia. São Paulo: Saraiva, 2015. v. 1. p. 211). A decisão pode ser acessada em: [http://www.servat.unibe.ch/dfr/bv065001.html]. Art. 5°, IV, da CF. Art. 5°, IX, da CF. DWORKIN, Ronald. Uma questão de princípio. São Paulo: Martins Fontes, 2000. p. 504. BASTOS, Celso Ribeiro. Curso de direito constitucional. Atual. Samantha Ribeiro MeyerPflug. São Paulo: Malheiros Editores, 2010. p. 331. MEYER-PFLUG, Samantha Ribeiro; LEITE, Flavia Piva Almeida. A liberdade de expressão e o direito à privacidade no Marco Civil da Internet. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 434-435. Declaração de Princípios sobre a Liberdade de Expressão da Comissão Interamericana de Direitos Humanos, princípios 5 e 10. Corte Interamericana de Direitos Humanos. Caso de Fontevecchia and d’Amico v. Argentina, j. 29.11.2011. BAUMAN, Zygmunt. Danos colaterais: desigualdades sociais numa era global. Trad. Carlos Alberto Medeiros. Rio de Janeiro: Zahar, 2013. p. 108. HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018. p. 50. Alguns exemplos são citados no estudo em questão: pode-se argumentar que os ciclos de feedback que ajudam a moldar a organização das informações apresentadas por buscadores são uma forma de democracia direta viabilizada por algoritmos. No entanto, essa construção é profundamente desconcertante para muitos que sentem como se não houvesse maneira de empurrar para o interesse público mais desejos individuais que controlam a arquitetura sobre a qual os algoritmos se encaixam; se a diversidade de perspectivas e ampla inclusão são vistas como ideais, como reconciliamos contradições em valores e compromissos? Quem consegue
44. 45.
46.
47.
48. 49. 50. 51. 52. 53.
controlar isso e o que acontece quando eles entram em contradição? O que acontece quando valores são assumidos por empresas que possuem monopólios que podem amortecer essas contradições? As decisões de design que as empresas tomam quando criam sistemas e usam algoritmos para o fluxo de informações têm ramificações sérias para a topologia da esfera pública. Muitas pessoas se sentem impotentes para influenciar ou responsabilizar os desenvolvedores desses sistemas. Ao mesmo tempo, muitas pessoas também se sentem impotentes em relação aos seus governos e meios de comunicação. Em que medida a reconfiguração do poder é perturbadora ou consequente daqueles que tradicionalmente tinham poder no controle da esfera pública? (ROBYN CAPLAN AND DANAH BOYD. Who controls the public sphere in an era of algorithms?. Data& Society, 13.05.2016. Disponível em: [https://datasociety.net/pubs/ap/MediationAutomationPower_2016.pdf]. Acesso em: 24.12.2018. Art. 20, caput, e seu § 1°, da LGPD. Vejamos o acórdão sobre esse ponto: “Therefore, it must be found that, in exploring the internet automatically, constantly and systematically in search of the information which is published there, the operator of a search engine ‘collects’ such data which it subsequently ‘retrieves’, ‘records’ and ‘organizes’ within the framework of its indexing programmers, ‘stores’ on its servers and, as the case may be, ‘discloses’ and ‘makes available’ to its users in the form of lists of search results. As those operations are referred to expressly and unconditionally in Article 2 (b) of Directive 95/46/CE, they must be classified as ‘processing’ within the meaning of that provision, regardless of the fact that the operator of the search engine also carries out the same operations in respect of other types of information and does not distinguish between the latter and the personal data”. Disponível em: [https://eurlex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A62012CJ0131]. Acesso em: 22.12.2018. Processo C-1312; Google Spain SL e Google Inc. x Agência Espanhola de Proteção de Dados e Mario Costeja. Tribunal de Justiça da União Europeia. J. 13.05.2014. Disponível em: [https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A62012CJ0131]. Acesso em: 22.12.2018. Artigo 19. Proteção de dados pessoais no Brasil – Análise dos projetos de lei em tramitação no Congresso Nacional. Coordenação executiva e editorial: Laura Tresca. São Paulo, nov. 2016. p. 17-23. Art. 4°, inc. II, a e b, da LGPD. Capítulo IV, da LGPD. Art. 6°, da LGPD. Art. 7°, § 3°, da LGPD. Art. 18, incisos IX e VI, da LGPD. Consideranda 65, do GDPR: “[…] Em especial, os titulares de dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. Esse direito assume particular importância quando o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet. O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do facto de já ser adulto. No entanto, o prolongamento da conservação dos dados pessoais deverá ser efetuado de forma lícita quando tal se revele necessário para o exercício do direito de
54. 55. 56. 57.
58. 59. 60.
61. 62. 63. 64. 65. 66. 67. 68.
69. 70.
71.
liberdade de expressão e informação, para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial”. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 101. Tribunal Europeu de Direitos Humanos da União Europeia, Niemietz v. Alemanha, 72/1991/324/396, seção 29, j. 16.12.1992. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. p. 56-61. Definição proposta pelos participantes da Conferência Nórdica sobre Privacidade, ocorrida em maio de 1967, reproduzida em Justice, Privacy and the law. London: Stevens and Sons, 1970, Appendix B. CUPIS, Adriano de. Os direitos da personalidade. Trad. Adriano Vera Jardim e Antonio Miguel Caeiro. Lisboa: Morais, 1961. p. 15. COSTA Júnior, Paulo José da. O direito de estar só: tutela penal da intimidade. 4. ed. São Paulo: Revista dos Tribunais, 2007. p. 49. MORAES, Alexandre de. Direitos humanos fundamentais: teoria geral, comentários aos arts. 1° a 5° da Constituição da República Federativa do Brasil. 8. ed. São Paulo: Atlas, 2007. p. 128. FERNANDES, Milton. Proteção civil da intimidade. São Paulo: Saraiva, 1977. p. 99. LORENZETTI, Ricardo L. Comércio eletrônico. Trad. Fabiano Menke, com notas de Cláudia Lima Marques. São Paulo: Revista dos Tribunais, 2004. p. 88. FERREIRA DA SILVA, Edson. Direito à intimidade. São Paulo: Oliveira Mendes, 1998. p. 39. ALEXY, Robert. Teoria dos direitos fundamentais. Trad. Virgilio Afonso da Silva. São Paulo: Malheiros Editores, 2008. p. 360-361. RODOTÀ, Stefano. Elaboratori elettronici e controllo sociale. Bologna: Il Mulino, 1973. p. 14-15. HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018, parte I.3. Art. 44, caput, da LGPD. Sobre o assunto, Nita A. Farahany palestrou no TED em novembro de 2018: “Tech that can decode your brain activity and reveal what you’re thinking and feeling is on the horizon, says legal scholar and ethicist Nita Farahany. What will it mean for our already violated sense of privacy? In a cautionary talk, Farahany warns of a society where people are arrested for merely thinking about committing a crime (like in ‘Minority Report’) and private interests sell our brain data – and makes the case for a right to cognitive liberty that protects our freedom of thought and self-determination” (TED Salon: Zebra Technologies | November 2018. Disponível em: [https://www.ted.com/talks/nita_farahany_when_technology_can_read_minds_how_will_we_protect_our_priv 364376]. Acesso em: 22.12.2018. Exemplo extraído do livro 21 lições para o século 21 (HARARI, Noah Yuval. 21 lições para o século 21. Israel: Spiegel & Grau, 2018, parte I.3.) Conforme Danilo Doneda, ao citar WEBER, Max. A ética protestante e o espírito do capitalismo. Trad. Mário Moraes. São Paulo: Martin Claret, 2013. p. 50. In: DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 25. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar,
72. 73. 74.
75.
76. 77. 78. 79.
80.
81. 82. 83.
84.
85.
86.
2006. p. 20 e 24. CASTELLS, Manuel. A sociedade em rede – A era da informação: economia, sociedade e cultura. V.1. 3. ed., São Paulo: Paz e Terra, 2000. p. 35. Decreto 9.319/18. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Disponível em: [https://www.bndes.gov.br/wps/portal/site/home/conhecimento/pesquisaedados/estudos/estudointernet-das-coisas-iot/estudo-internet-das-coisas-um-plano-de-acao-para-o-brasil]. Acesso em: 07.01.2019. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. Janeiro de 2018. Disponível em: [https://www.bndes.gov.br/wps/wcm/connect/site/d22e759855f5-4ed5-b9e5-543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf? MOD=AJPERES&CVID=m5WVIld]. Acesso em: 07.01.2019. Ibidem, p. 82. Ibidem, p. 79. Conforme Capítulo IX da LGPD, em que pese a discussão sobre a sua independência, por ser órgão da administração pública federal, integrante da Presidência da República. GUTIERREZ, Andriei. Transferência internacional de dados & estratégias de desenvolvimento social. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista dos Tribunais, 2018. p. 218. Não é por acaso que “dados”, em maio de 2017, foi taxado como o novo recurso mais valioso do mundo, em detrimento do petróleo, ponderando a matéria em questão que as cinco empresas mais valiosas do mundo, à época, lidam com dados e que o controle sob tamanha quantidade de dados das empresas de Internet lhes dá enorme poder. Conforme The Economist, The world’s most valuable resource is no longer oil, but data, 06.05.2017. Disponível em: [https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuableresource-is-no-longer-oil-but-data]. Acesso em: 07.01.2017. Conforme a mesma matéria citada, Alphabet, Amazon, Apple, Facebook e Microsoft formavam as cinco empresas listadas mais valiosas do mundo. Coletivamente acumularam mais de US $ 25 bilhões em lucro líquido no primeiro trimestre de 2017. Ainda, a Amazon capturava metade de todos os dólares gastos on-line nos Estados Unidos. O Google e o Facebook respondiam por quase todo o crescimento de receita em publicidade digital nos Estados Unidos no ano de 2016. BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018. p. 12. TAVARES, André Ramos. Direito constitucional da empresa. São Paulo: Método, 2013. p. 3132. BAGNOLI, Vicente; FRANCESCHINI, José Inácio Gonzaga. Direito concorrencial. In: CARVALHOSA, Modesto (Coord.). Coleção tratado de direito empresarial. 2016. v. 7. p. 188-189. LEONARDI, Marcel. Marco Civil da Internet e Proteção de Dados Pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 536-537. Conforme DEL MASSO, Fabiano. Livre-iniciativa, livre concorrência e direitos do consumidor como fundamentos do uso da internet no Brasil. In: DEL MASSO, Fabiano; ABRUSIO, Juliana; FLORÊNCIO FILHO, Marco Aurélio. Marco Civil da Internet. Lei 12.965/2014. São Paulo: Revista dos Tribunais, 2014. p. 45. Órgão responsável por assegurar a aplicação coerente do GDPR, responsável, entre outras atividades, também por elaborar diretrizes, recomendações e melhoras práticas para o devido cumprimento da legislação em referência, conforme artigos 69/76, do GDPR.
87.
88.
89.
90.
91.
92.
93.
94.
Statement of the EDPB on the data protection impacts of economic concentration. 27.08.2018. Disponível em: [https://edpb.europa.eu/our-work-tools/our-documents/other/edpb-statementeconomic-concentration-27082018_en]. Acesso em: 08.01.2018. A Comissão Europeia abriu uma investigação para avaliar a proposta de aquisição da Shazam pela Apple sob o fundamento do Regulamento de Concentração Econômica da EU, diante da preocupação de a concentração poder reduzir a escolha dos usuários de serviços de transmissão de música, bem como, após a aquisição do Shazam, a Apple obter acesso a dados comercialmente sensíveis sobre os clientes dos seus concorrentes para o fornecimento de serviços de transmissão de música. Mergers: Commission opens in-depth investigation into Apple’s proposed acquisition of Shazam. Bruxelas, 23.04.2018. Disponível em: [http://europa.eu/rapid/press-release_IP-18-3505_en.htm]. Acesso em: 08.01.2019. A Comissão concluiu que a aquisição não suscita preocupações do direito da concorrência. Mais precisamente, que a entidade resultante da fusão não seria capaz de prejudicar ou retirar do mercado fornecedores concorrentes de serviços de transmissão de música, acessando dados comercialmente sensíveis sobre os seus clientes ou restringindo o acesso à aplicação Shazam. Ao chegar a essa decisão, a Comissão concluiu que o aplicativo Shazam tinha apenas uma relevância limitada como ponto de entrada para os concorrentes de streaming de música da Apple Music, e que a integração dos conjuntos de usuários do Shazam não conferiria uma vantagem única à entidade resultante da fusão, especialmente porque os serviços de streaming concorrentes continuariam a poder acessar e usar bancos de dados semelhantes. Apple / Shazam: Determining the value of data in merger cases. Por Melissa Van Schoorisse e Miranda Cole. 11.09.2018. Disponível em: [https://www.covcompetition.com/2018/09/appleshazam-determining-the-value-of-data-in-merger-cases/]. Acesso em: 08.01.2018. No artigo em referência, os autores comentam a aquisição do Waze pelo Google (REMEDIO, José Antonio; SILVA, Marcelo Rodrigues da. O uso monopolista do Big Data por empresas de aplicativos: políticas públicas para um desenvolvimento sustentável em cidades inteligentes em um cenário de economia criativa e de livre concorrência. Revista Brasileira de Políticas Públicas. Direito e Mundo Digital, UniCeub, v. 7, n. 3, dez. 2017. p 690. Disponível em: [https://www.publicacoesacademicas.uniceub.br/RBPP/article/viewFile/4966/3651]. Acesso em: 08.01.2019). O caso segue agora para o Tribunal Administrativo do CADE, responsável pela decisão final. Conselho Administrativo de Defesa Econômica (CADE). Processo Administrativo 08012.010483/2011-94. Superintendência-Geral recomenda arquivamento de investigação contra o Google. 20.11.2018. Disponível em: [http://www.cade.gov.br/noticias/superintendencia-geral-recomenda-arquivamento-deinvestigacao-contra-o-google]. Acesso em: 08.01.2019. Antitrust: Commission fines Google 2.42 billion for abusing dominance as search engine by giving illegal advantage to own comparison shopping service. 27.06.2017. Disponível em: [http://europa.eu/rapid/press-release_IP-17-1784_en.htm]. Acesso em: 15.01.2019. (Case AT.39740 – Google Search (Shopping). (Only the English text is authentic). Decisão completa Disponível em: [https://eur-lex.europa.eu/legal-content/EN/TXT/? qid=1516198535804&uri=CELEX:52018XC0112(01))]. MINISTÉRIO DA JUSTIÇA. Decolar.com é multada por prática de geopricing e geoblocking. 28.06.2018. Disponível em: [http://www.justica.gov.br/news/collective-nitf-content-51]. Acesso em: 08.01.2019. Mergers: Commission fines Facebook 110 million for providing misleading information about WhatsApp takeover. 18.05.2017. Disponível em: [http://europa.eu/rapid/press-release_IP-171369_en.htm. IP / 17/1369]. Acesso em: 15.01.2019. ZANATTA, Rafael A.F. Consentimento forçado? Uma avaliação sobre os novos termos de uso
95.
96. 97.
98. 99. 100. 101. 102. 103. 104.
105. 106. 107.
108.
109.
110. 111. 112.
113.
114. 115. 116.
do WhatsApp e as colisões com o Marco Civil da Internet. IDEC. 22.09.2016. Disponível em: [https://www.idec.org.br/pdf/relatorio-whatsapp-termos-de-uso.pdf]. Acesso em: 15.01.2019. Bundeskartellamt (Germany’s competition regulator). Decisão de 07.02.2019. Disponível em: [https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook. nn=3591568]. Acesso em: 07.02.2019. Idem. SANTOS, Felipe Augusto dos; MORAES, Ana Paula Bagaiolo. O direito concorrencial e a proteção ao consumidor na era do big data. In: BAGNOLI, Vicente (Coord.). Concorrência e inovação: anais do congresso internacional para a promoção de debates acerca do direito da concorrência e inovação tecnológica diante da realidade e desafios da economia digital. São Paulo: Scortecci, 2018. p. 122. Art. 43 e seguintes do CDC. Art. 4°, VII, do CDC. STJ, Recurso Especial 1419697 RS, 2a Seção, Rel. Min. Paulo de Tarso Sanseverino, j. 12.11.2014, v.u. Art. 45, da LGPD. Art. 55-K, parágrafo único, da LGPD. Quando há a contextualização da abordagem de acordo com o destinatário final, visando o aumento da possibilidade de êxito no pretendido. Quando há a publicização de determinado conteúdo publicitário em um meio já segmentado, de acordo com o perfil que se pretende alcançar, como: mulheres, advogadas, entre 20 e 30 anos, residentes em Belo Horizonte. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. p. 92. LACE, Susane. The glass consumer: life in a surveillance society. Bristol: Policy, 2005. ORGANIZAÇÃO DAS NAÇÕES UNIDAS (ONU). Human Rights Council. Thirty-second session. Disponível em: [http://www.un.org/ga/search/view_doc.asp? symbol=A/HRC/32/L.20]. Acesso em: 17.01.2019. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data as it will be amended by its Protocol CETS No. 223. Disponível em: [https://rm.coe.int/16808ade9d]. Acesso em: 17.12.2018. DONEDA, Danilo. Princípios de Proteção de Dados Pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 378. Internet Rights and Principles Dynamic Coalition – IRPC. “Ten Punchy Principles”. Abarcando todo o âmbito de direitos humanos contidos na Declaração Universal de Direitos Humanos e outros documentos que compõem a Carta Internacional de Direitos Humanos da ONU. Internet Rights and Principles Dynamic Coalition (IRPC), mar. 2011. Disponível em: [http://internetrightsandprinciples.org/site/wp-content/uploads/2011/09/pdf/portuguese.pdf]. Acesso em: 17.01.2019. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores, 2014. p. 76. Art. 11 e seguintes do CC. Conforme Enunciado 274 da IV Jornada de Direito Civil.
117. 118. 119. 120. 121.
122. 123. 124. 125. 126. 127. 128.
129.
130. 131. 132. 133. 134. 135. 136.
HOUAISS, Antônio; VILLAR, Mauro de Salles. Dicionário Houaiss de língua portuguesa. Rio de Janeiro: Objetiva. p. 1480. BITTAR, Calos Alberto. Os direitos da personalidade. Rio de Janeiro: Forense Universitária, 2004. p. 1. RODOTÀ, Stefano. Avida na sociedade da vigilância – A privacidade hoje. Rio de Janeiro: Renovar, 2008. p. 17. ZANON, João Carlos. Direito à proteção dos dados pessoais. São Paulo: Revista dos Tribunais, 2013. p. 156. DONEDA, Danilo. Princípios e proteção de dados pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 370. FERREIRA DA SILVA, Carlos Bruno. Proteção de dados e cooperação transnacional. Teoria e prática na Alemanha, Espanha e Brasil. Belo Horizonte: Arraes Editores, 2014. p. 74. RODOTÁ, Stefano. Avida na sociedade da vigilância – A privacidade hoje. Rio de Janeiro: Renovar, 2008. p. 58. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. p. 124. BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018. p 86. Conforme art. 18, III, da LGPD. In: AGRE, Philip E.; ROTENBERG, Marc. Technology and privacy: the new landscape. Cambridge/London: MIT. p. 7. Exemplo extraído de comentário de artigo de lei do GDPR: MACMILLAN, Mac. Data Protection Concept. In: USTARAN, Eduardo (Coord.). European Data Protection. USA: IAPP, 2018. p. 182. Conforme o Código Civil: a personalidade civil da pessoa começa do nascimento com vida (art. 2°); porém, são absolutamente incapazes de exercer pessoalmente os atos da vida civil os menores de 16 (dezesseis) anos (art. 3°); a menoridade cessa aos dezoito anos completos, quando a pessoa fica habilitada à prática de todos os atos da vida civil (art. 5°); cessará, para os menores, a incapacidade: I – pela concessão dos pais, ou de um deles na falta do outro, mediante instrumento público, independentemente de homologação judicial, ou por sentença do juiz, ouvido o tutor, se o menor tiver dezesseis anos completos; II – pelo casamento; III – pelo exercício de emprego público efetivo; IV – pela colação de grau em curso de ensino superior; V – pelo estabelecimento civil ou comercial, ou pela existência de relação de emprego, desde que, em função deles, o menor com dezesseis anos completos tenha economia própria (art. 5°, parágrafo único). Aprofundaremos o assunto quando do estudo do art. 4°, inc. I. Contrato preliminar que expressa uma convergência de vontade entre as partes, indicando quais são as linhas de ações comuns pretendidas. Art. 23, I, da LGPD. Art. 23, § 4°, da LGPD. Art. 24, caput, da LGPD. Art. 24, parágrafo único, da LGPD. Jurisdição é a função do Estado destinada à solução imperativa de conflitos e exercida mediante a atuação da vontade do direito em casos concretos, que é revestida de inevitabilidade e definitividade e que encontra seus limites na territorialidade de cada nação. Cf. DINAMARCO, Cândido Rangel; GRINOVER, Ada Pellegrini; CINTRA, Antonio Carlos
137. 138.
139.
140. 141. 142. 143.
144. 145. 146. 147. 148.
Araújo. Teoria geral do processo. 10 ed. São Paulo: Malheiros Editores, 1994. p. 125. LEMOS, André; LÉVY, Pierre. O futuro da Internet: em direção a uma ciberdemocracia. São Paulo: Paulus, 2010. p. 165. Entre outras disposições, a LGPD permite a livre transferência internacional de dados, conforme seu art. 33, I, para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei. O art. 45 do GDPR prevê que pode ser realizada uma transferência de dados pessoais para um país terceiro se a Comissão tiver decidido que este país assegura um nível de proteção adequado. Ao avaliar a adequação do nível de proteção, a Comissão levará em conta: a) o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência; b) a existência e o efetivo funcionamento de uma ou mais autoridades de controle independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e c) os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais. Art. 5°, inc. VI, da LGPD. Art. 5°, inc. VII, da LGPD. Art. 3°, incisos I, II e III, da LGPD. GEIST, Michael. The shift toward “targeting” for internet jurisdiction. In: TIERER, Adam D. (Ed.). Who rules the net? Internet governance and jurisdiction. Washington: Cato Institute, 2003. p. 91-118. Art. 3°, 1, do GDPR. Art. 3°, 2, a, do GDPR. Art. 3°, 2, b, do GDPR. Art. 55-J, III, da LGPD. Conforme art. 30, do GDPR, acerca dos registos das atividades de tratamento: 1. Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações: a) O nome e os contatos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados; b) As finalidades do tratamento dos dados; c) A descrição das categorias de titulares de dados e das categorias de dados pessoais; d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais; e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais
149.
150.
151. 152.
153.
154. 155. 156. 157. 158.
e, no caso das transferências referidas no artigo 49, n. 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas; f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados; g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32, n. 1. 2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constará: a) O nome e contatos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados; b) As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento; c) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49, n. 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas; d) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32., n. 1. “No Brasil, o tema envolve não só leis, mas a infraestrutura de comunicações, como centros armazenadores de dados e condições de gerenciar o tráfego de informações. […] A subordinação de sites estrangeiros às leis brasileiras é controversa” (MARREIRO, Flávia; FLECK, Isabel. Falta de legislação para a web gera dúvida. Folha de S.Paulo, Caderno Mundo, A13, 14.07.2013. “Uma vez que se considera o território como elemento ou pressuposto do Estado, de tal maneira que a distinção entre dois Estados se traduza em distinção entre dois territórios, com respeito aos quais cada Estado exerça com exclusividade sua soberania; considerando que, por isso, no território de cada Estado atuam exclusivamente os órgãos judiciais do próprio Estado, o princípio enunciado mais acima [o processo se rege pelas normas do Estado a que pertença o órgão judicial que o conduz] pode revestir-se desta outra fórmula: o processo se rege pelas normas vigentes no lugar em que atua o órgão judicial, ou seja, pelas normas vigentes no lugar em que se desenvolve o processo próprio, ou seja, o juízo ou a sua execução” (CARNELUTTI, Francesco. Sistema de direito processual civil. 2. ed. São Paulo: Lemos e Cruz, 2004. v. 1. p. 173). Conforme art. 3.1 do GDPR. European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation. Adopted on 16 November 2018. Disponível em: [http://www.portaldaprivacidade.com.br/wpcontent/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf]. Acesso em: 19.01.2019. p. 6. European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation. Adopted on 16 November 2018. Disponível em: [http://www.portaldaprivacidade.com.br/wpcontent/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf]. Acesso em: 19.01.2019. p. 6. Ibidem, p. 7. Art. 4°, inc. IV, da LGPD, que será abordado posteriormente. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. p. 247. Art. 11, § 2°, do MCI. BRASIL, 1a Vara Federal de Natal/RN, Cautelar Inominada 0805175-58.2015.4.05.8400, Requerente: Ministério Público Federal, Requerido: Top Documents LLC, Juiz Federal
159. 160.
161. 162. 163. 164.
165. 166.
167. 168.
169.
170. 171.
Magnus Delgado, Natal, 30.07.2015. TJ/DF, 3a Vara Cível de Brasília, Ação Civil Pública 0735645-46.2018.8.07.0001, decisão de 05.12.2018. Continua o autor: “Qualquer Estado, nos termos da sua legislação e dos poderes de suas instituições, pode suspender o funcionamento de alguma indústria ou serviço, caso estejam infringindo as leis. Restaurantes podem ser fechados, bancos podem sofrer intervenção federal, universidades podem ser descredenciadas e fechadas… Por que o WhatsApp não pode?” e conclui “A base de um Estado Democrático de Direito é uma justiça eficaz, isto é, que possa ter suas decisões cumpridas. Facebook e WhatsApp talvez tenham aprendido, graças ao desembargador Souza, que, no Brasil, decisões da Justiça não precisam ser cumpridas. Aliás, sabe-se que o Facebook já deve, ao Estado brasileiro, mais de R$ 12 milhões, em multas. Certamente uma bagatela diante da fortuna de Mark Zuckerberg. Talvez por isso, ele tenha se esquecido de pagar […]” (DANTAS, Marcos. WhatsApp não está acima da lei. O Globo. 03.01.2016. Disponível em: [http://oglobo.globo.com/opiniao/whatsapp-naoesta-acima-da-lei-18385944]. Acesso em: 19.01.2019). BRASIL. Tribunal de Justiça de São Paulo. 4a Câmara de Direito Criminal Mandado de Segurança 2073993-57.2014.8.26.0000, Re. Des. Edison Brandão, j. 16.12.2014. Art. 3° (2) a, do GDPR. Art. 3° (2) b, do GDPR. Conforme LIMA, Caio César. Objeto, aplicação material e aplicação territorial. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista dos Tribunais, 2018. p. 31. Pammer v Reederei Karl Schlüter GmbH & Co and Hotel Alpenhof v Heller (Joined cases C585/08 and C-144/09). European Data Protection Board. Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) – Version for public consultation. Adopted on 16 November 2018. Disponível em: [http://www.portaldaprivacidade.com.br/wpcontent/uploads/2018/11/edpb_guidelines_3_2018_territorial_scope_en.pdf]. Acesso em: 19.01.2019. p. 16 e 17. BBC. GDPR: Tech firms struggle with EU’s new privacy rules. 24.05.2018. Disponível em: [https://www.bbc.com/news/technology-44239126]. Acesso em: 25.01.2019. THE GUARDIAN. Sites block users, shut down activities and flood inboxes as GDPR rules loom. Disponível em: [https://www.theguardian.com/technology/2018/may/24/sites-block-euusers-before-gdpr-takes-effect]. Acesso em: 25.01.2019. Marcel Leonardi exemplifica o assunto com uma empresa localizada no exterior que fabrica produtos contrafeitos e exporta essas mercadorias para o Brasil, onde elas são ilegalmente importadas por empresas nacionais e posteriormente comercializadas por vendedores ambulantes aos consumidores finais. Apenas do ordenamento jurídico não ser aplicável à fonte (fabricante estrangeiro), poderá sancionar os intermediários (importadores e vendedores ambulantes) e os destinatários (consumidores) (LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. p. 261). Conforme art. 52 da LGPD. Em 2017, já eram 42,1 milhões de domicílios com acesso à internet (CGI.br/NIC.br, Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic. br), Pesquisa sobre o Uso das Tecnologias de Informação e Comunicação nos Domicílios Brasileiros – TIC Domicílios 2017. Disponível em: [https://cetic.br/media/analises/tic_domicilios_2017_coletiva_de_imprensa.pdf]. Acesso em:
172.
173.
174. 175. 176. 177. 178. 179. 180. 181. 182.
183.
184. 185. 186. 187. 188. 189.
190. 191. 192. 193.
25.01.2019). Exemplo extraído e adaptado do Art. 29 WP. Proposals for Amendments regarding exemption for personal or household activities. Disponível em: [https://ec.europa.eu/justice/article29/documentation/other-document/files/2013/20130227_statement_dp_annex2_en.pdf]. Acesso em: 25.01.2019. Há um caso julgado pelo TJ/UE, com base na então Diretiva 95/46, que exceção semelhante (art. 3°, n. 2) deveria ser interpretada de forma restritiva. O caso envolveu a utilização de uma câmera de segurança em residência privada que captava imagens de uma via pública. Nesse caso, o tratamento de dados pessoais mesmo que para fins de circuito fechado domésticp (CCTV) não era “uma atividade puramente pessoal ou familiar em contraste com a correspondência e a manutenção de um livro de endereços” (František Ryneš v. Úřad pro ochranu osobních údajů [2014] Case C-212/13, 11 December 2014, Paragraph 33. International Association of Privacy Professionals. European Data Protection. Law and Practice. Executive Editor Eduardo Ustaran, CIPP/E. Partner, Hogan Lovells. 2018, Chapter 5.3.2). Art. 220, caput, da CF. Art. 220, § 1°, da CF. Art. 220, § 2°, da CF. STF. Recurso Extraordinário 511.961/SP. Rel. Min. Gilmar Mendes. J. 17.06.2009. Conforme dicionário Houaiss. In: ALENCAR, Valéria Peixoto. Arte – O que é? Disponível em: [https://educacao.uol.com.br/disciplinas/artes/arte-o-que-e.htm]. Acesso em: 26.01.2019. Conforme art. 7° e alguns dos seus incisos da LDA. Art. 7°, § 3°, da LGPD. Art. 7°, § 4°, da LGPD. Data Protection Act 2018. Disponível em: [http://www.legislation.gov.uk/ukpga/2018/12/pdfs/ukpga_20180012_en.pdf]. Acesso em: 25.01.2018. ICO. Data protection and journalism:a guide for the media. Disponível em: [https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalismmedia-guidance.pdf]. Acesso em: 25.01.2019. Art. 5°, XI, da LGPD. Art. 13, § 4°, da LGPD. Art. 7°, IX, combinado com o art. 10, caput, e o seu § 1°, e art. 6°, I, todos da LGPD. Art. 7°, § 4°, da LGPD. Art. 7°, § 3°, da LGPD. O art. 5°, XVII, da LGPD define órgão de pesquisa como órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; Art. 7°, IV, e art. 11, II, a, respectivamente, todos da LGPD. Art. 13 da LGPD. Art. 2° (2) d, do GDPR. Relativa à proteção das pessoas naturais quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados.
194. 195.
196.
Art. 144 da CF. A nossa Carta Magna, ao versar sobre a inviolabilidade da intimidade, da vida privada, da honra, da imagem das pessoas, do sigilo de dados e das comunicações telefônicas, bem como ao tratar do habeas data; o Código Civil (CC), ao dispor sobre os direitos da personalidade, prevê que o nome da pessoa não pode ser empregado por outrem em publicações ou representações que a exponham ao desprezo público, ainda quando não haja intenção difamatória, bem como que, salvo se autorizadas, ou se necessárias à administração da justiça ou à manutenção da ordem pública, a publicação, a exposição ou a utilização da imagem de uma pessoa poderão ser proibidas, a seu requerimento e sem prejuízo da indenização que couber, se lhe atingirem a honra, a boa fama ou a respeitabilidade, ou se se destinarem a fins comerciais; o Código de Defesa do Consumidor (CDC), ao versar sobre a abertura de cadastro, ficha, registro e dados pessoais de consumo; o decreto que regulamentou o CDC para o comércio eletrônico, ao dispor sobre a necessidade de mecanismos de segurança eficazes para tratamento de dados do consumidor; a Lei do Cadastro Positivo, ao definir diversos conceitos e vedar diversas práticas; a Lei de Acesso à Informação, também definindo diversos conceitos; a Lei de Direitos Autorais, ao considerar bases de dados como obra intelectualmente protegida; a Lei Complementar que versa sobre o sigilo das operações de instituição financeiras; a Lei Geral de Telecomunicações, ao restringir o acesso aos dados dos usuários; a Lei de Cadastro de usuários de telefones pré-pagos, ao dispor sobre os dados que devem ser coletados e quando podem ser fornecidos; a regulamentação do serviço de comunicação multimídia, definindo conceitos e dispondo sobre o prazo para guarda de registros; a Lei que regulamenta a interceptação de comunicações telefônicas e do fluxo de comunicações em sistemas de informática e telemática; a Lei de Organizações Criminosas e a Lei da Repressão ao Tráfico Interno e Internacional, ao definirem regras para a coleta de evidências de ilícitos; na esfera penal, a inserção de dados falsos em sistemas de informações da administração pública, bem como a Lei Carolina Dieckmann, ao proteger dados ou informações em dispositivos informáticos. Em 09 de julho de 2013, Edward Snowden, ex-colaborador da CIA e da Agência Nacional de Segurança Americana, revelou ao mundo questões sensíveis sobre espionagem cibernética, assunto de extrema relevância por envolver a quebra de soberania de países, cada vez mais ameaçada em razão da ausência de fronteiras quando tratamos do ciberespaço. Na seguinte entrevista, Snowden explica o motivo das suas revelações: “Sonia Bridi – Em que altura decidiu reunir os documentos e divulgá-los? Edward Snowden – A gota d’água, para mim, foi quando vi James Clapper, diante do Congresso americano – o diretor da Inteligência Nacional, uma espécie de comandante geral dos espiões dos Estados Unidos, o meu chefe, por assim dizer –, levantar a mão e jurar dizer a verdade ao Congresso, na TV, diante do povo americano, e perguntaram a ele: “Os Estados Unidos reuniram qualquer tipo de registros de centenas de milhões de americanos?” E ele disse que não. Mas eu sabia que era mentira, porque eu tinha acesso aos sistemas que faziam exatamente isso. O mais incrível foi que o congressista que fez a pergunta também sabia que era mentira, e todos os membros da comissão que o estava interrogando também sabiam que era mentira. Mas não corrigiram o registro nem pediram que ele retificasse sua declaração. Só deixaram passar. E esse é o ponto central. Se as autoridades mais graduadas não têm que se justificar, se podem mentir e abusar de seu poder sem enfrentar consequências, isso incentiva esse tipo de comportamento e temos um governo cada vez mais perigoso, não só para os indivíduos e para a privacidade, mas para o conceito de liberdade. Quando pensamos nas revelações do ano passado, não é uma questão de privacidade, é uma questão de liberdade. Até que ponto os indivíduos devem ter liberdade? Até que ponto podemos ligar para amigos, conversar com nossa namorada ou namorado, andar de ônibus, comprar um livro, ir à biblioteca, assistir a um filme, sem que isso seja gravado? Eu acho que – e tradicionalmente era o que fazíamos –, se o governo vai se
197. 198. 199.
200.
201.
202.
203.
204.
intrometer na vida privada de alguém, ele tem de ter algum motivo. Tem de provar no tribunal que tal pessoa pode estar envolvida em atividades criminosas. Se vigiarmos todo mundo o tempo todo, todo homem, mulher e criança do nascimento à morte, e criarmos registros de suas atividades, eles são livres? Isso afeta o comportamento humano, pois quando sabemos que somos vigiados mudamos nosso comportamento” (Fonte: Conjur. “Ainda há revelações a serem feitas sobre o Brasil”, de 13.06.2014. Disponível em: [http://www.conjur.com.br/2014jun-13/edward-snowden-ainda-revelacoes-serem-feitas-brasil]. Acesso em: 13.01.2017). STF – HC: 83168 SC, Relator: Min. Sepúlveda Pertence, j. 10.05.2006, Tribunal Pleno, DJ 02.02.2007. Cf. Art. 7° da Lei 9.296/96. Como a empregada pelo WhatsApp: “As suas mensagens estão seguras com um cadeado e somente você e a pessoa que as recebe possuem a chave especial necessária para destrancá-lo e ler a mensagem. E para uma proteção ainda maior, cada mensagem que você envia tem um cadeado e uma chave. Tudo isso acontece automaticamente: não é necessário ativar configurações ou estabelecer conversas secretas especiais para garantir a segurança de suas mensagens” (Disponível em: [https://www.whatsapp.com/faq/pt_br/general/28030015]. Acesso em: 31.03.17. França e Alemanha: buscam leis para limitar a criptografia, conforme ministros do Interior dos referidos países, visando que o conteúdo das mensagens privadas possa ser revelado em casos como investigações criminais (CAZENEUVE, Bernard. França: “What we are saying, however, is that exchanges more systematic operated via some applications, such as Telegram, must be able, as part of court proceedings – and I stress this – to be identified and used as evidence by the investigation and magistrates services,” e “If such legislation were passed, it would allow us, at European level, to impose obligations on operators that uncooperative disclose such to remove illegal content or decrypt messages, exclusively in the context of criminal investigations”, 24.08.2016. Disponível em: [https://techcrunch.com/2016/08/24/encryption-under-fire-in-europe-as-france-and-germanycall-for-decrypt-law/]. Acesso em: 31.03.2017. Como: agentes infiltrados, conforme previsão da Lei de Organizações Criminosas (Lei 12.850/13, Seção III); Análise de Big Data; Bloqueio somente das aplicações de comunicação dos investigados, para que passem usar serviços interceptáveis; Interceptação de outras aplicações dos investigados; e apreensão e perícia nos aparelhos. Cf. Domingo Montanaro: “O WhatsApp é quem fabrica o aplicativo que roda no dispositivo do usuário, então ele poderia, em tese, construir uma funcionalidade de captura de conteúdo de comunicação entre dois números de telefone de interesse da justiça. As formas técnicas de implementar essas funcionalidades são inúmeras e relativamente simples, porém adicionam custos e riscos óbvios ao WhatsApp, que ele aparentemente não deseja arcar, nem que isso represente a clara demonstração de não colaboração com as autoridades das nações onde seu aplicativo é amplamente utilizado” (Estudo de caso: Whatsapp versus Justiça Brasileira. 01.11.2016. Disponível em: [https://venturaerm.com/whitepaper.html]. Acesso em: 31.03.2017). Escrevi sobre o assunto em “WhatsApp pode conciliar criptografia e interceptação de dados?”. Disponível em: [http://idgnow.com.br/internet/2017/06/01/artigo-whatsapp-pode-conciliarcriptografia-e-interceptacao-de-dados/]. Acesso em: 16.06.2017. Um resumo da discussão acerca da audiência pública sobre o assunto pode ser lido no seguinte artigo: LIGUORI FILHO Carlos Augusto. O zap e a toga. Mapeamento do debate sobre bloqueio de aplicativos e criptografia no STF. 15.06.2017. Disponível em: [https://jota.info/colunas/agenda-da-privacidade-e-da-protecao-de-dados/o-zap-e-a-toga15062017]. Acesso em: 16.06.2017.
205.
206.
CF, art. 5°, inc. X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Superior Tribunal de Justiça, Recurso em habeas corpus, Número do Processo (Original/CNJ): 5027497-90.2016.4.04.0000, Rel. Min. Félix Fischer, 5a Turma, j. 15.09.2016.
207.
Superior Tribunal de Justiça, Recurso em Habeas Corpus, Número do Processo (Original/CNJ): 0007083-93.2014.8.22.0000, Rel. Min. Nefi Cordeiro, 6a Turma, j. 19.04.2016.
208.
STF. 1a Turma. HC 103.425. Rel. Min. Rosa Weber. J. 26.06.2012. DJe 14.08.2012. V.U. TRF 3a Região. 2a Turma. HC 42416 – 0026909-11.2010.4.03.0000, Rel. Des. Cotrim
209. 210.
211.
212. 213. 214. 215. 216. 217.
218. 219. 220. 221. 222.
223.
Guimarães, j. 09.12.2010. Art. 13, caput, do MCI: na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos do regulamento. Art. 15, caput, do MCI: o provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento. Conforme art. 13, § 2°, e art. 15, § 2°, do MCI. Conforme art. 13, § 6°, e art. 15, § 4°, do MCI. STJ. 3a Turma. Recurso Especial 1.398.985. Rel. Min. Nancy Andrighi. J. 19.11.2013. STJ. 4a Turma. Rel. Min. Antonio Carlos Ferreira. 676.527-DF. J. 30.04.2015. Publicação: 07.05.2015. TJ/SP. 3a Câmara de Direito Privado. Apelação cível 035079-58.2016.8.26.0100. J. 06.12.2016. Data da Publicação: 13.12.2016. Código Civil: “Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito”. Código Civil: “Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo”. TRF 4a Região. 3a Turma. Apel. 2003.72.00.012340-3/SC, Rel. Desa. Federal Maria Lúcia Luz Leiria, Unânime, j. 10.02.2009, D.O. 04.03.2009. Por exemplo, a Lei 12.228/2006, do Estado de São Paulo. TJ/SP. 8a Câmara de Direito Privado do TJ/SP. Apelação 604.346.4/7-00, Rel. Des. Salles Rossi. J. 10.12.2008. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. Janeiro de 2018. Disponível em: [https://www.bndes.gov.br/wps/wcm/connect/site/d22e7598-55f54ed5-b9e5-543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf? MOD=AJPERES&CVID=m5WVIld]. Acesso em: 07.01.2019. p. 46. A visita de uma comitiva de deputados do PSL à China, em janeiro de 2019, para conhecer um sistema de reconhecimento facial desenvolvido naquele país foi alvo de críticas do filósofo da direita Olavo de Carvalho, conforme matéria da UOL: “Olavo de Carvalho critica visita de parlamentares do PSL à China”. 17.01.2019. Disponível em: [https://noticias.uol.com.br/ultimas-noticias/agencia-estado/2019/01/17/olavo-de-carvalho-
224.
225.
226. 227. 228.
229. 230. 231.
232.
233. 234.
235.
236. 237. 238.
critica-visita-de-parlamentares-do-psl-a-china.htm?cmpid=copiaecola]. Acesso em: 26.01.2019. Relativa à proteção das pessoas naturais quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados. Estudo “Internet das Coisas: um plano de ação para o Brasil”. Relatório Final do Estudo. jan. 2018. Disponível em: [https://www.bndes.gov.br/wps/wcm/connect/site/d22e7598-55f5-4ed5b9e5-543d1e5c6dec/produto-9A-relatorio-final-estudo-de-iot.pdf? MOD=AJPERES&CVID=m5WVIld]. Acesso em: 07.01.2019. p. 82. Art. 33, inc. III, da LGPD. Cujo o titular nele se encontre no momento da coleta, independentemente da nacionalidade do titular. Há definição expressa de “uso compartilhado de dados” no art. 5°, XVI, da LGPD: XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. Art. 5°, VII, da LGPD: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Art. 5°, VI, da LGPD: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Art. 34, da LGPD: O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração: I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; II – a natureza dos dados; III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei; IV – a adoção de medidas de segurança previstas em regulamento; V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e VI – outras circunstâncias específicas relativas à transferência. Hospedagem tradicional dedica ou compartilhada, provendo recursos em servidores que hospedam dados, aplicações, soluções de TI ou outros ativos, sob a responsabilidade no gerenciamento, manutenção, integridade e continuidade do ambiente do operador. Hospedagem em nuvem baseada no compartilhamento de recursos que não exige servidores locais para tratar os dados. O espaço de armazenamento virtual é sob demanda. Terceirização do TI de uma entidade, como aplicações, infraestrutura tecnológica e serviços, incluindo provisão de plataforma (hardware) ou serviços de data center, consultoria, implementação de aplicações, suporte e manutenção de todos os sistemas. Após receber os dados do exterior, o operador filtrará, classificará e estruturará os dados, permitindo que estejam habilitados conforme a vontade do controlador para realizar previsões úteis ao negócio. Art. 7°, VIII, da Lei Anticorrupção. A exceção de sua aplicabilidade, prevista no inc. III do art. 4°, não se apõe ao tratamento de dados pessoais por pessoa jurídica de direito privado. É se destacar que o GDPR, em sua Consideranda 47, dispõe expressamente que “o tratamento de dados pessoais estritamente necessários aos objetivos de prevenção e controle da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento”.
239. 240.
241.
242. 243. 244. 245. 246.
247. 248. 249.
250. 251. 252. 253. 254. 255. 256. 257.
258.
Article 29 Working Party. Opinion 2/2017 on data processing at work. 8.06.2017. Disponível em: [http://ec.europa.eu/newsroom/document.cfm?doc_id=45631]. Acesso em: 26.01.2019. Art. 26, § 1°, da LGPD: em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; se for indicado um encarregado para as operações de tratamento de dados pessoais; quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei. SCHWARTZ, Paul M.; SOLOVE, Daniel J. The Pii problem: privacy and a new concept of personally identifiable information. Berkeley Law. p. 1814-1894. 01.01.2011. Disponível em: [https://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=2638&context=facpubs]. Acesso em: 30.01.2019. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 157. LESSIG, Lawrence. Code, version 2.0. Nova York: Basic Books, 2006. p. 40. MENDES, Laura Schertel. O direito fundamental à proteção de dados pessoais. Revista de Direito do Consumidor, ano 20, v. 79. jul.-set. 2011. p. 75. HOUAISS, Antônio; VILLAR, Mauro de Salles. Dicionário Houaiss da língua portuguesa. Rio de janeiro: Objetiva, 2009. p. 1.480. BITTAR, Calos Alberto. Os direitos da personalidade. Rio de Janeiro: Forense Universitária, 2004. p. 1: “Consideram-se como da personalidade os direitos reconhecidos à pessoa humana tomada em si mesma e em suas projeções na sociedade, previstos no ordenamento jurídico exatamente para a defesa de valores inatos no homem, como a vida, a higidez física, a intimidade, a honra, a intelectualidade e outros tanto”. Consideranda 26 do GDPR. Art. 13, § 4°, da LGPD. Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques. 10.04.2014. Disponível em: [https://iapp.org/media/pdf/resource_center/wp216_AnonymisationTechniques_04-2014.pdf]. p. 20 e 21. Acesso em: 27.07.2017. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 161. Art. 11, I, da LGPD. Conforme art. 3°, II, da Lei de Cadastro Positivo. Art. 11, II, I, da LGPD. Art. 11, II, I, da LGPD. Art. 11, § 3°, da LGPD. Art. 11, § 4°, da LGPD. Lembrando que o art. 20 da LGPD prevê que o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade, bem como que o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial (§ 1°). Identificação de um consumidor por um número, vinculado aos seus cartões de crédito, nome, email e outros dados pertinentes, pelos quais o controlador armazena um histórico de compras.
259.
260. 261.
262.
263.
264.
265. 266. 267. 268. 269. 270. 271.
272. 273. 274.
275.
276.
277.
How target figured out a teen girl was pregnant before her father did. 16 de fevereiro 2012. Disponível em: [https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-outa-teen-girl-was-pregnant-before-her-father-did/#62177e516668]. Acesso em: 29.01.2019. Art. 6°, inc. V, da LGPD. ARTICLE 19 Global Human Rights Organization. Privacy and freedom of expression in the age of artificial intelligence. abr. 2018. Disponível em: [https://www.article19.org/wpcontent/uploads/2018/04/Privacy-and-Freedom-of-Expression-In-the-Age-of-ArtificialIntelligence-1.pdf]. Acesso em: 30.01.2019. p. 18. Conforme Artigo 9°, 1, do GDPR: é proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. KOSINSKI, Michal; STILLWELL, David; GRAEPEL, Thore. Private traits and attributes are predictable from digital records of human behavior. p. 1. Disponível em: [https://www.pnas.org/content/110/15/5802]. Acesso em: 29.01.2019. In: BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018. p. 86. THE NEW YORK TIMES. Facebook and cambridge analytica: what you need to know as fallout widens. 19.03.2019. Disponível em: [https://www.nytimes.com/2018/03/19/technology/facebook-cambridge-analyticaexplained.html]. Acesso em: 29.01.2019. Art. 4° (15) do GDPR. Art. 4° (13) do GDPR. Art. 4° (14),do GDPR. Consideranda 51 do GDPR. Art. 5°, XI, da LGPD. Art. 13, § 4°, da LGPD. Foi utilizado o termo “esteja”, pois o dado pode estar anonimizado em determinando momento e depois, em razão de fatores, como a aparição de uma nova tecnologia de processamento ou uma nova base de dados que será cruzada com o dado até então anonimizado, ele pode perder essa característica. Art. 12, caput, da LGPD. Art. 12, § 1°, da LGPD. COSERASU, R. Facial recognition systems and their data protection risks under the General Data Protection Regulation. University of Tilburg, Master’s Thesis. sep. 2017. p. 47-48. Disponível em: [https://arno.uvt.nl/show.cgi?fid=143731]. Acesso em: 30.01.2019. RODRIGUES, Marcos, KORMANN, Mariza; AL-DULAIMI, Mustafa. Data protection na privacy issues concerning facial image processing in public spaces. Athens Journal of Technology & Engineering, 2016. p. 40. Disponível em: [http://shura.shu.ac.uk/11080/]. Acesso em: 30.01.2019. Guidance regarding methods for de-identification of protected health information in Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule. 26.11.2012. Disponível em: [https://www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/Deidentification/hhs_deid_guidance.pdf]. p. 7-9. Acesso em: 27.07.2017. Conforme art. 12, § 3°, da LGPD, a autoridade nacional poderá dispor sobre padrões e técnicas
278.
279.
280. 281. 282.
283.
284. 285.
286. 287. 288. 289.
utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques. 10.04.2014. Disponível em: [https://iapp.org/media/pdf/resource_center/wp216_AnonymisationTechniques_04-2014.pdf]. Acesso em: 27.07.2017. Article 29 Working Party. Opinion 05/2014 on Anonymisation Techniques. 10.04.2014. Disponível em: [https://iapp.org/media/pdf/resource_center/wp216_AnonymisationTechniques_04-2014.pdf]. p. 10. Acesso em: 27.07.2017. Ibidem, p. 11. Ibidem, p. 12-19. Contextual elements: – The purposes to be achieved by way of the anonymised dataset should be clearly set out as they play a key role in determining the identification risk. – This goes hand in hand with the consideration of all the relevant contextual elements – e.g., nature of the original data, control mechanisms in place (including security measures to restrict access to the datasets), sample size (quantitative features), availability of public information resources (to be relied upon by the recipients), envisaged release of data to third parties (limited, unlimited e.g. on the Internet, etc.). – Consideration should be given to possible attackers by taking account of the appeal of the data for targeted attacks (again, sensitivity of the information and nature of the data will be key factors in this regard) (Ibidem, p. 25). Technical elements: – Data controllers should disclose the anonymisation technique / the mix of techniques being implemented, especially if they plan to release the anonymised dataset. – Obvious (e.g. rare) attributes / quasi-identifiers should be removed from the dataset. – If noise addition techniques are used (in randomization), the noise level added to the records should be determined as a function of the value of an attribute (that is, no out-ofscale noise should be injected), the impact for data subjects of the attributes to be protected, and/or the sparseness of the dataset. – When relying on differential privacy (in randomization), account should be taken of the need to keep track of queries so as to detect privacy-intrusive queries as the intrusiveness of queries is cumulative. – If generalization techniques are implemented, it is fundamental for the data controller not to limit themselves to one generalization criterion even for the same attribute; that is to say, different location granularities or different time intervals should be selected. The selection of the criterion to be applied must be driven by the distribution of the attribute values in the given population. Not all distributions lend themselves to being generalized – i.e., no one-size-fits-all approach can be followed in generalization. Variability within equivalence classes should be ensured; for instance, a specific threshold should be selected depending on the “contextual elements” mentioned above (sample size, etc.) and if that threshold is not reached, then the specific sample should be discarded (or a different generalization criterion should be set) (Ibidem, p. 25). Ibidem, p. 23. BIONI, Bruno Ricardo. Xeque-mate. O tripé da proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil. 05.07.2015. Disponível em: [http://gomaoficina.com/wpcontent/uploads/2016/07/XEQUE_MATE_INTERATIVO.pdf]. p. 23. Acesso em: 27.07.2018. Lembrando que o conceito de dado pessoal também abarca qualquer informação que tenha o potencial de identificar uma pessoa. Art. 12, § 3°, da LGPD. Conforme Lei 9.610/1998 (LDA), art. 7°, inc. VIII. TJ-MG – AC: 10024030880819005 MG, Relator: Evangelina Castilho Duarte, j. 01.08.2013, Câmaras Cíveis / 14a Câmara Cível, Data de Publicação: 09.08.2013.
290. 291.
292.
293. 294. 295. 296.
297.
298.
299.
300.
301. 302. 303. 304. 305. 306. 307. 308. 309. 310. 311. 312. 313. 314. 315.
Art. 7°, § 2°, da LDA. LGPD: o conceito de bloqueio está disposto no art. 5°, XIII; é previsto como direito do titular, conforme art. 18, inc. IV e art. 18, § 6°; também é uma das hipóteses de sanção administrativa, conforme art. 52, inc. V. LGPD: o conceito de eliminação está disposto no art. 5°, XIV; é previsto como direito do titular, conforme art. 18, incisos IV e VI e art. 18, § 6°; também é uma das hipóteses de sanção administrativa, conforme art. 52, inc. VI. No mesmo art. 2° do CC. STJ – REsp 1415727/SC, Rel. Ministro Luis Felipe Salomão, Quarta Turma, j. 04.09.2014, DJe 29.09.2014. STF – HABEAS CORPUS 124.306 Rio de Janeiro. Relator: Min. Marco Aurélio. Primeira Turma. J. 29.11.2016. Conforme Maria Helena Diniz: “inúmeros são os direitos do nascituro, por ser considerado, pelo direito, na nossa opinião, um ente dotado de personalidade jurídica formal e material” (DINIZ, Maria Helena. O estado atual do biodireito. São Paulo: Saraiva, 2001. p. 127). Opinion 4/2007 on the concept of personal data. Adotada em 20.06.2007. Disponível em: [https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2016/05/19/ekbijlage-2-definitie-anonieme-gegevens-algemene-verordening-gegevensbescherming/ekbijlage-2-definitie-anonieme-gegevens-algemene-verordening-gegevensbescherming.pdf]. Acesso em: 30.01.2019. Council of Europe, Committee of Ministers, Recommendation No. R (97) 5 on the Protection of Medical Data (Feb. 13, 1997). Disponível em: [http://hrlibrary.umn.edu/instree/coerecr975.html]. Acesso em: 30.01.2019. Consideranda 27 do GDPR: “O presente regulamento não se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros poderão estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas”. Como a LGPD é omissa acerca do falecimento, os direitos do falecido sobre seus dados pessoais teriam como base os contratos com os agentes do tratamento e demais normas aplicáveis, que podem regularmente justificar eventual revogação do consentimento ou o desígnio de heranças digitais, por exemplo, que seriam exercidos pelas pessoas previstas pelo art. 12, do Código Civil (cônjuge e qualquer parente até o 4° grau). Art. 7°, para dados pessoais, e art. 11, para dados pessoais sensíveis, da LGPD. Art. 5°, VIII, e art. 41, caput, da LGPD. Art. 5°, XVII, da LGPD. Art. 8°, § 2°, da LGPD. Art. 18, caput, da LGPD. Art. 37 da LGPD. Art. 6°, X, da LGPD. Art. 39 da LGPD. Art. 42, caput, da LGPD. Art. 52, caput, da LGPD. Art. 48, caput, da LGPD. Art. 50, caput, da LGPD. Art. 46, caput, da LGPD. Art. 55-J, IV, da LGPD. Art. 39, caput, da LGPD.
316. 317. 318. 319. 320. 321. 322. 323. 324. 325. 326. 327. 328. 329. 330.
331.
Art. 37 da LGPD. Art. 6°, X, da LGPD. Art. 42, caput, da LGPD. Art. 42, § 1°, I, da LGPD. Art. 44, parágrafo único, da LGPD. Art. 52, caput, da LGPD. Art. 50, caput, da LGPD. Art. 55-J, IV, da LGPD. Art. 9°, III, da LGPD. Art. 9°, IV, da LGPD. Art. 9°, caput, da LGPD. Art. 9°, I, da LGPD. Art. 9°, II, da LGPD. Art. 9°, V, da LGPD. Lembrando que o conceito de tratamento (Art. 5°, X, da LGPD), abarca toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Empresa que tratava, disponibilizava e comercializava na internet dados pessoais de brasileiros, como data de nascimento, CPF, endereço, perfil de possíveis parentes e vizinhos, entre outros. Como a empresa Top Documentos LLC, que se apresentava como proprietária da aplicação, informava que sua localização era na França; o site era sediado nas Ilhas Seychelles; o nome de domínio registrado era na Suécia (.se); e a identidade do responsável pelo registro de domínio foi ocultada pelo serviço utilizado, houve a necessidade de determinação para que os servidores backbones impusessem obstáculos tecnológicos que inviabilizem o acesso ao sitio eletrônico no Brasil (BRASIL, 1a Vara Federal de Natal/RN, Cautelar Inominada 080517558.2015.4.05.8400, Requerente: Ministério Público Federal, Requerido: Top Documents LLC, Juiz Federal Magnus Delgado, Natal, 30.07.2015). Inclusive, o Tribunal de Justiça do Distrito Federal e dos Territórios (TJ-DF) bloqueou R$ 2 milhões da conta de Charles Douglas da Silva Rosa Filho, dono do “Tudo sobre Todos”, em sede de liminar, para indenização por danos morais coletivos (TJ/DF, 3a Vara Cível de Brasília, Ação Civil Pública 0735645-
332.
333.
46.2018.8.07.0001, decisão de 05.12.2018). Article 29 Working Party. Opinion 1/2010 on the concepts of “controller” and “processor” Disponível em: [https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019. O Article 29 WP cita o seguinte exemplo: “A empresa MarketinZ presta serviços de propaganda promocional e marketing direto para várias empresas. A empresa GoodProductZ realizar um contrato com a MarketinZ, segundo o qual esta última empresa fornece publicidade comercial para clientes GoodProductZ e é referida como operador de dados. No entanto, a MarketinZ decide usar o banco de dados de clientes da GoodProducts também com o propósito de promover produtos de outros clientes. Essa decisão de adicionar uma finalidade àquela para a qual os dados pessoais foram transferidos converte a MarketinZ em uma controladora de dados para essa operação de processamento. A questão da legalidade deste processamento também deverá ser avaliada (Opinion 1/2010 on the concepts of “controller” and “processor” Disponível em: [https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019).
334.
335. 336.
337. 338. 339. 340. 341. 342.
343. 344. 345.
346. 347. 348.
349. 350. 351. 352. 353. 354. 355.
356. 357. 358.
359.
Especialmente para estruturas grandes e complexas é fundamental que se crie um programa de governança de proteção de dados, prevendo também responsabilidades da pessoa física diante da sua atividade dentro da estrutura. No caso da LGPD, art. 4°, I. Opinion 1/2010 on the concepts of “controller” and “processor” Disponível em: [https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2010/wp169_en.pdf]. Acesso em: 01.02.2019. Art. 41, § 2°, da LGPD. Art. 41, § 3°, da LGPD. Art. 37 (1), do GDPR. Art. 37 (2), do GDPR. Art. 41, § 2°, III, da LGPD. CHAVES, Luis Fernando Prado. Responsável pelo tratamento, subcontratante e DPO. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR – Regulamento Geral de Proteção de Dados da União Europeia São Paulo: Ed. RT, 2018. p. 134-135. Artigo 29 WP. Orientações sobre os encarregados de proteção de dados. 13.12.2016. Disponível em: [https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf]. Acesso em: 02.02.2019. Art. 29 WP. Orientações sobre os encarregados de proteção de dados. 13.12.2016. Disponível em: [https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf.] Acesso em: 02.02.2019. GRUPO DO ARTIGO 29° PARA A PROTEÇÃO DE DADOS. Orientações sobre os encarregados de proteção de dados. 13.12.2016. Disponível em: [https://www.cnpd.pt/bin/rgpd/docs/wp243rev01_pt.pdf]. Acesso em: 02.02.2019. Art. 37 da LGPD. Art. 7° e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos da LGPD. Art. 5°, inciso XXXVI, da CF: “A lei não prejudicará o direito adquirido, o ato jurídico perfeito e a coisa julgada.”. E art. 6°, da LINDB: “A lei em vigor terá efeito imediato e geral, respeitando o ato jurídico perfeito, o direito adquirido e a coisa julgada”. Art. 7° e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos da LGPD. Art. 8°, § 2°, da LGPD. Art. 11, I, da LGPD. Art. 14, § 1°, da LGPD. Nesse caso, manifestado por pelo menos um dos pais ou pelo responsável legal. Art. 33, VIII, da LGPD; Art. 9°, § 3°, da LGPD. Art. 4° (11), do GDPR: “manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. Art. 7° (4), do GDPR. Consideranda (42) do GDPR. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017. Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-1217.pdf ]. Acesso em: 10.08.2018. p. 10. STJ – REsp: 1348532 SP 2012/0210805-4, Relator: Ministro Luis Felipe Salomão, j.
360. 361. 362. 363. 364. 365.
366.
367. 368. 369.
370. 371.
372.
373. 374. 375. 376. 377. 378. 379. 380. 381. 382. 383. 384.
10.10.2017, T4 – Quarta Turma, DJe 30.11.2017. Art. 8°, § 1°, da LGPD. Art. 8°, § 6°, da LGPD. Art. 9°, § 1°, da LGPD. Conclusão extraída do art. 7° (2), do GDPR. Consideranda 32 do GDPR. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017. Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-1217.pdf ]. Acesso em: 10.08.2018. p. 16. Art. 9°. O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III – identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. Como está claro no GDPR, conforme Consideranda 32. Art. 8°, § 4°, da LGPD. Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017. Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-1217.pdf ]. Acesso em: 10.08.2018. p. 13. 9a Vara Cível Federal de São Paulo – Ação Civil Pública (65) 5009507-78.2018.4.03.6100, Juíza Federal Cristiane Farias Rodrigues Dos Santos. 27.04.2018, TRF da 3a Região. Délibération n°SAN-2019-001 du 21 janvier 2019 Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC. Disponível em: [https://www.cnil.fr/en/cnils-restricted-committeeimposes-financial-penalty-50-million-euros-against-google-llc]. Acesso em: 02.01.2019. VAINZOF, Rony. Proteção de dados: o que a sanção de ¤50 milhões contra o Google nos ensina? 26.01.2019. Disponível em: [https://cio.com.br/protecao-de-dados-o-que-a-sancao-dee50-mi-contra-o-google-nos-ensina/]. Acesso em: 02.02.2019. Art. 18, IV, da LGPD. Art. 18, caput, da LGPD. Art. 52, V, da LGPD. Art. 18, § 6°, da LGPD. Art. 18, IV, da LGPD. Art. 18, VI, e art. 15, III, da LGPD. Art. 7° e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos da LGPD. Art. 37 da LGPD. Art. 15, I e II, da LGPD. Art. 6°, III, da LGPD. Art. 52, VI, da LGPD. Art. 52, da LGPD: Os agentes de tratamento de dados, em razão das infrações cometidas às
385. 386. 387.
388. 389. 390. 391. 392.
393.
394. 395. 396. 397. 398. 399.
400.
normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração. Art. 18, § 6°, da LGPD. Conforme Capítulo V da LGPD. Art. 33, II, a, b, c e d, da LGPD. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional (art. 35 da LGPD). Art. 33, VIII, da LGPD Art. 9°, V, da LGPD. Art. 18, VII, da LGPD. Art. 7, § 5°, da LGPD. ZANATTA, Rafael A.F. Consentimento forçado? Uma avaliação sobre os novos termos de uso do WhatsApp e as colisões com o Marco Civil da Internet. IDEC. 22.09.2016. Disponível em: [https://www.idec.org.br/pdf/relatorio-whatsapp-termos-de-uso.pdf. Acesso em: 15.01.2019. O art. 50, § 2°, I, d, da LGPD prevê que, na aplicação dos princípios segurança e prevenção, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá, implementar programa de governança em privacidade que, no mínimo, estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade. Art. 6°, I, da LGPD. Art. 6°, II, da LGPD. Art. 6°, III, da LGPD. Art. 6°, VII, da LGPD. Art. 6°, VIII, da LGPD. Lembrando que o art. 46, § 2°, da LGPD dispõe, que: as medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. Nesse sentido também a Opinion do Art. 29 WP, tendo em vista a previsão do RIPD no GDPR: “deve ser iniciado o mais cedo possível na concepção da operação de tratamento, mesmo que algumas das operações de tratamento ainda sejam desconhecidas. A atualização da AIPD ao longo do ciclo de vida do projeto garantirá que a proteção dos dados e a privacidade serão consideradas e incentivará a criação de soluções que promovem a conformidade. Pode também ser necessário repetir as etapas individuais da avaliação à medida que o processo de desenvolvimento progride, uma vez que a seleção de determinadas medidas técnicas ou organizacionais pode afetar a gravidade dos riscos colocados pelo tratamento ou a
401. 402.
403. 404. 405. 406. 407. 408.
409.
410. 411.
412. 413. 414. 415. 416.
417. 418. 419.
probabilidade de estes se concretizarem” )ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. Revisado em 04.10.2017. Disponível em: [https://ec.europa.eu/newsroom/article29/itemdetail.cfm?item_id=611236]. Acesso em: 04.02.2019. Art. 38, parágrafo único, da LGPD. Art. 29 WP. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679. Revisado em 04.10.2017. Disponível em: [https://ec.europa.eu/newsroom/article29/itemdetail.cfm?item_id=611236]. Acesso em: 04.02.2019. Art. 10, § 3°, da LGPD. Art. 38, caput, da LGPD. Art. 35 (1) do GDPR. Art. 35 (3), a, b e c, do GDPR. Art. 36 (1), e Consideranda 84 do GDPR. O art. 41, § 2°, III e IV, prevê como atividade do encarregado em proteção de dados, entre outras, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. No GDPR, há expressa determinação nesse sentido, conforme seu art. 35 (2): ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado. Conforme ALVES, Fabrício da Mota. Avaliação de impacto sobre a proteção de dados. p. 186. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR. São Paulo: Revista dos Tribunais, 2018. Art. 7°, IV, e art. 11, II, c, respectivamente, da LGPD. Conforme art. 13, caput, da LGPD, sendo importante transcrever os seus respectivos parágrafos: “§ 1° A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais. § 2° O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro”. Art. 16, II, da LGPD. Art. 53, caput, do Código Civil. Art. 62 e seguintes do Código Civil. Regidas conforme Lei 9.790/99. Art. 62, parágrafo único, VII, da LGPD. As demais são: I – assistência social; II – cultura, defesa e conservação do patrimônio histórico e artístico; III – educação; IV – saúde; V – segurança alimentar e nutricional; VI – defesa, preservação e conservação do meio ambiente e promoção do desenvolvimento sustentável; VIII – promoção da ética, da cidadania, da democracia e dos direitos humanos; e IX – atividades religiosas. Conforme parte final dos art. 7°, IV, e art. 11, II, c, respectivamente, da LGPD. Art. 5°, I, b, do GDPR. Consideranda 33: “Muitas vezes não é possível identificar na totalidade a finalidade do tratamento de dados pessoais para efeitos de investigação científica no momento da recolha dos dados. Por conseguinte, os titulares dos dados deverão poder dar o seu consentimento para determinadas áreas de investigação científica, desde que estejam de acordo com padrões éticos reconhecidos para a investigação científica. Os titulares dos dados deverão ter a
420.
421. 422. 423.
424. 425. 426. 427. 428. 429. 430. 431.
432. 433.
434.
435.
possibilidade de dar o seu consentimento unicamente para determinados domínios de investigação ou partes de projetos de investigação, na medida permitida pela finalidade pretendida”. Conforme art. 89 (1) do GDPR: “1. O tratamento para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, está sujeito a garantias adequadas, nos termos do presente regulamento, para os direitos e liberdades do titular dos dados. Essas garantias asseguram a adoção de medidas técnicas e organizativas a fim de assegurar, nomeadamente, o respeito do princípio da minimização dos dados. Essas medidas podem incluir a pseudonimização, desde que os fins visados possam ser atingidos desse modo. Sempre que esses fins possam ser atingidos por novos tratamentos que não permitam, ou já não permitam, a identificação dos titulares dos dados, os referidos fins são atingidos desse modo”. Conforme art. 8° (3) da mencionada Carta. Conforme art. 52 do GDPR. Há entendimentos divergentes, como o manifestado pelo ministro aposentado do STF Ilmar Nascimento Galvão e o professor da Universidade de Brasília (UnB) Jorge Octávio Lavocat Galvão, de que inexistia qualquer vício de inconstitucionalidade formal no então projeto de lei, pois “uma vez deflagrada a iniciativa legislativa pelo Presidente da República, há alguma margem para o Legislativo customizar a forma de atuação estatal” (Ex-ministro diz que não há vício de inconstitucionalidade na criação da ANPD. ago. 2018. Disponível em: [https://wwwjota-info.cdn.ampproject.org/c/s/www.jota.info/docs/ex-ministro-diz-que-nao-ha-vi-cio-deinconstitucionalidade-na-criacao-da-anpd-31072018/amp]. Acesso em: 04.02.2019. Conforme art. 55-A da LGPD. Art. 55-B da LGPD. Art. 55-C da LGPD. Art. 55-D da LGPD. Art. 58-A, caput, e seus incisos, da LGPD. Art. 55-D, § 1°, da LGPD. Art. 58-A, § 1°, da LGPD. LUCCA, Newton de. Marco Civil da Internet. Uma visão panorâmica dos principais aspectos relativos às suas disposições preliminares. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 39. Ibidem, p. 48. DONEDA, Danilo. Princípios de proteção de dados pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 369-379. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data. Strasbourg, 28.01.1981 – Treaty open for signature by the member States and for accession by non-member States. Disponível em: [https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108]. Acesso em: 05.02.2019. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. In 2013 the OECD revised the Privacy Guidelines for the first time since their launch in 1980. The revised text modernised the OECD approach in many important respects and reinforced its integration with more recent work on privacy law enforcement co-operation. In 2019 the OECD is working with countries and experts to scope developments and provide practical
436. 437.
438.
439. 440. 441.
442. 443.
444.
445.
446.
447.
448.
449. 450.
recommendations on the implementation of the Guidelines in today’s digital environment. Disponível em: [http://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersona Acesso em: 05.02.2019. Art. 7° e seus incisos para dados pessoais e art. 11 e seus incisos para dados pessoais sensíveis, ambos da LGPD. DONEDA, Danilo. Princípios de Proteção de Dados Pessoais. In: LUCCA, Newton de; SIMÃO FILHO; Adalberto; LIMA, Cíntia Rosa Pereira de (Coord.). Direito & Internet III: Marco civil de internet. Quartier Latin, 2015. t. I. p. 378. Article 29 Working Party. Opinion 03/2013 on purpose limitation. Adotada em 02.04.2013. Disponível em: [http://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2013/wp203_en.pdf]. Acesso em: 05.02.2019. Art. 16, caput, da LGPD. Art. 15, I, da LGPD. Sobre a expectativa razoável, importante trazer a Opinion do Art. 29 WP: “The reasonable expectations of the data subject with regard to the use and disclosure of the data are also very relevant in this respect. As also highlighted with regard to the analysis of the purpose limitation principle91, it is ‘important to consider whether the status of the data controller92, the nature of the relationship or the service provided93, or the applicable legal or contractual obligations (or other promises made at the time of collection) could give rise to reasonable expectations of stricter confidentiality and stricter limitations on further use. In general, the more specific and restrictive the context of collection, the more limitations there are likely to be on use. Here again, it is necessary to take account of the factual context rather than simply rely on text in small print” (Article 29 data protection working party. Opinion 06/2014. On the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. Adotada em 09.04.2014. Disponível em: [http://www.dataprotection.ro/servlet/ViewDocument?id=1086]. Acesso em: 04.08.2018. Conforme Consideranda (50) do GDPR. Extraído do International Association of Privacy Professionals. European Data Protection. Law and Practice. Executive Editor Eduardo Ustaran, CIPP/E. Partner, Hogan Lovells. 2018, Chapter 6.3. Obtido no Code of Conduct on privacy for mobile health. Publicado em 07.06.2016. Disponível em: [https://ec.europa.eu/digital-single-market/en/news/code-conduct-privacy-mhealth-appshas-been-finalised]. Acesso em: 04.08.2018. Extraído do International Association of Privacy Professionals. European Data Protection. Law and Practice. Executive Editor Eduardo Ustaran, CIPP/E. Partner, Hogan Lovells. 2018, Chapter 6.3 Article 29 Working Party. Guidelines on Consent under Regulation 2016/679. Adotada em 28.11.2017. Disponível em: [https://iapp.org/media/pdf/resource_center/wp29_consent-12-1217.pdf ]. Acesso em: 10.08.2018. p. 12. MOEREL, Lokke; PRINS, Corien. On the death of purpose limitation. Publicado em 02.06.2015. Disponível em: [https://iapp.org/news/a/on-the-death-of-purpose-limitation/]. Acesso em: 05.02.2019. Article 29 Working Party. Opinion 8/2014 on the on Recent Developments on the Internet of Things. Adotada em 16.09.2014. Disponível em: [http://www.dataprotection.ro/servlet/ViewDocument?id=1088]. Acesso em: 04.08.2018. Cadastrais, comportamentais, financeiros e tipos de dados sensíveis, por exemplo. Conforme art. 5° (1) c, do GDPR: os dados pessoais são adequados, pertinentes e limitados ao
451.
452. 453. 454.
455.
456. 457.
458.
459. 460. 461. 462. 463. 464.
465.
que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”). Conforme art. 5° (1) e, do GDPR: conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89, n. 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados (“limitação da conservação”). Consideranda 39 do GDPR. STJ – REsp: 1348532 SP 2012/0210805-4, Relator: Ministro Luis Felipe Salomão, j. 10.10.2017, T4 – Quarta Turma, DJe 30.11.2017. “Destaque-se que o art. 5° daquele documento (GDPR) consagra, entre os princípios fundamentais relativos aos dados pessoais, que a recolha dos dados somente poderá existir com fins específicos, além de estabelecer a minimização dos dados (apenas aquilo que for estritamente necessário), sempre para um fim concreto, além de estabelecer que referido processo seja transparente, leal e lícito” (STJ – REsp: 1348532 SP 2012/0210805-4, Relator: Ministro Luis Felipe Salomão, j. 10.10.2017, T4 – Quarta Turma, DJe 30.11.2017. Promotoria de Justiça de Defesa do Consumidor de Belo Horizonte/MG. Processo administrativo MPMG-0024.18.002027-3. Promotor Fernando Ferreira Abreu. Decisão de 03.12.2018. BESSA, Leonardo Roscoe. Cadastro positivo: comentários à Lei 12.414/2011. São Paulo: Editora Revista dos Tribunais, 2011. p. 93-94. Article 29 data protection working party. Statement on Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU. Adotada em 16.09.2014. Disponível em: [http://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2014/wp221_en.pdf]. Acesso em: 04.08.2018. Conforme a norma ISO/IEC 27000:2018 (norma internacional de segurança da informação), integridade está relacionada a exatidão e completeza de ativos (ativos da informação). Então, a integridade guarda relação com a preservação da precisão, consistência e confiabilidade de dados pessoais. Art. 18, § 5°, da LGPD. Art. 19, § 2°, I e II, da LGPD. Art. 19, § 3°, da LGPD. Art. 19, § 1°, da LGPD. STJ – REsp: 1419697 RS 2013/0386285-0, Relator: Ministro Paulo de Tarso Sanseverino, j. 12.11.2014, S2 – Segunda Seção, DJe 17.11.2014. GUIDELINES ON ARTIFICIAL INTELLIGENCE AND DATA PROTECTION. Conselho de Europa. Strasbourg, 25.01.2019. Disponível em: [https://rm.coe.int/guidelines-on-artificialintelligence-and-data-protection/168091f9d8]. Acesso em: 06.02.2019. Cláudia Lima Marques e Antonia Espíndola Klee sustentam que o meio virtual acentua a vulnerabilidade do consumidor, uma vez que ele tem acesso limitado às informações disponibilizadas pelo fornecedor, pois o usuário não “enxerga” o fornecedor, não se relaciona pessoalmente com os vendedores. A relação ocorre por meio de cliques, numa conduta silenciosa. O consumidor precisa confiar nas informações prestadas pelo fornecedor e por isso elas precisam ser corretas, claras, precisas, ostensivas e no idioma do consumidor (LEITE,
466. 467. 468.
469.
470.
471.
472.
473.
474. 475. 476. 477. 478. 479. 480. 481. 482.
483.
484. 485. 486.
487.
Salomão George; LEMOS, Ronaldo. Marco Civil da Internet. São Paulo: Atlas, 2014. p. 484485). LUHMAN, Niklas. Confianza. México: Antropos, 2005. p. 53. Art. 20, § 1°, da LGPD. GUIDELINES ON ARTIFICIAL INTELLIGENCE AND DATA PROTECTION. Conselho de Europa. Strasbourg, 25.01.2019. Disponível em: [https://rm.coe.int/guidelines-on-artificialintelligence-and-data-protection/168091f9d8]. Acesso em: 06.02.2019. Conforme “Guidelines on transparency under Regulation 2016/679”, do Art. 29 WP. Article 29 Working Party. Guidelines on transparency under Regulation 2016/679. 13.04.2018. Disponível em: [http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227]. p. 8. Acesso em: 07.02.2019. CNIL. The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC. 21.01.2019. Disponível em: [https://www.cnil.fr/en/cnils-restrictedcommittee-imposes-financial-penalty-50-million-euros-against-google-llc]. Acesso em: 02.01.2019. Promotoria de Justiça de Defesa do Consumidor de Belo Horizonte/MG. Processo administrativo MPMG-0024.18.002027-3. Promotor Fernando Ferreira Abreu. Decisão de 03.12.2018. As sanções administrativas, na LGPD, estão previstas nos arts. 52/54, incluindo: art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional. A Responsabilidade Civil, na LGPD, está prevista em seus arts 42/45, incluindo: art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Art. 46, § 2°, da LGPD. Art. 49 da LGPD. Art. 47 da LGPD. Art. 44, I, II e II, da LGPD. Art. 44, parágrafo único, da LGPD. Art. 48, § 3°, da LGPD. Conforme art.32 (1) do GDPR. Conforme art.32 (2) do GDPR. Promotoria de Justiça de Defesa do Consumidor de Belo Horizonte/MG. Processo administrativo MPMG-0024.18.002027-3. Promotor Fernando Ferreira Abreu. Decisão de 03.12.2018. Lembrando, conforme art. 38, parágrafo único, que o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. Conforme art.32 (4) do GDPR. Conforme Consideranda (81). ICO. ICO fines Uber £385,000 over data protection failings. 27.11.2018. Disponível em: [https://ico.org.uk/media/action-weve-taken/mpns/2553890/uber-monetary-penalty-notice-26november-2018.pdf]. Acesso em: 08.02.2019. Art. 32, I, a, do GDPR: tendo em conta as técnicas mais avançadas, os custos de aplicação e a
488.
489. 490. 491.
492. 493.
natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado: a) A pseudonimização e a cifragem dos dados pessoais. Data Protection Authority of Baden-Württemberg Issues. LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO. 22.11.2018. Disponível em: [https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-seinerstes-bussgeld-in-deutschland-nach-der-ds-gvo/]. Acesso em: 08.02.2019. Conforme arts. 30 (1) (g) e (30) (2) (d), do GDPR, respectivamente, que não trazem uma obrigação direta de tais registros, mas sim “se possível”. Art. 46, § 1°, da LGPD. Em seu art. 3°, V, o MCI traz como princípio, entre outros, a preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas, assim como em seu art. 10, § 4°, que a guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas. As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais. Conforme art. 13 do referido Decreto. Traz, entre outras, as seguintes previsões e obrigações: Mecanismos para disseminação da cultura de segurança cibernética; Implementação de programas de capacitação e de avaliação periódica dos colaboradores; Comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; Iniciativas para compartilhamento de informações sobre os incidentes relevantes; Elaboração de cenários de incidentes considerados nos testes de continuidade de negócios; Definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros; Classificação dos dados e das informações quanto à relevância; A autenticação, a criptografia, a prevenção e a detecção de intrusão; A prevenção de vazamento de informações; A realização periódica de testes e varreduras para detecção de vulnerabilidades; A proteção contra softwares maliciosos; A manutenção de cópias de segurança dos dados e das informações; A instituição contratante dos serviços de computação em nuvem é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor; Instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor contemplem tais serviços; Previamente à contratação, as instituições devem adotar práticas de governança corporativa proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas (considerar a criticidade do serviço e a sensibilidade dos dados e das informações); verificação da capacidade do potencial prestador de serviço de assegurar; Gestão adequados ao monitoramento dos serviços a serem prestados; a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos. O texto integral da Resolução em questão está Disponível em: [https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp? arquivo=/Lists/Normativos/Attachments/50581/Res_4658_v1_O.pdf]. Acesso em: 07.08.2018.
494. 495. 496. 497.
498. 499. 500. 501. 502.
503.
504. 505. 506.
CAVOUKIAN, Ann. Privacy by Design. The 7 Foundational Principles. Disponível em: [https://iab.org/wp-content/IAB-uploads/2011/03/fred_carter.pdf]. Acesso em: 08.02.2019. Art. 50, caput, da LGPD. Art. 50, § 1°, da LGPD. Que, no mínimo, conforme art. 50, § 2°, I, da LGPD: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; Art. 50, § 2°, II, da LGPD. Art. 50, § 3°, da LGPD. Art. 51 da LGPD. Art. 52, § 1°, VIII e IX, da LGPD. O estudo concluiu, entre outras questões, que: empresas que relataram sua postura de segurança como elevada e responderam rapidamente ao incidente recuperaram o valor de suas ações após uma média de 7 dias; a diferença na perda de preço das ações entre empresas com baixo e elevado nível de segurança foi, em média, de 4%; empresas com uma postura imatura de segurança estavam mais propensas a perder clientes. Em contraste, uma forte postura de segurança apoia a lealdade e confiança do cliente (Ponemon Institute LLC. The impact of data breaches on reputation & share value. Publicado em maio de 2017. Disponível em: [https://www.centrify.com/media/4772757/ponemon_data_breach_impact_study_uk.pdf]. Acesso em: 08.02.2019). PÚBLICO Comunicação Social AS. Hospital do Barreiro contesta judicialmente coima de 400 mil euros de Comissão de Dados. Disponível em: [https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contestajudicialmente-coima-400-mil-euros-comis-sao-dados-1848479#gs.xjcGB6LN]. Acesso em: 08.02.2019. Como, Data Mining, Online Analytical Processing, Profiling e Scoring. Nos objetivos e no fundamento dos direitos humanos e do livre desenvolvimento da personalidade. Lessig se posicionou no sentido de que “[…] a arquitetura do ciberespaço, ou o seu código, regula o comportamento no ciberespaço. O código, ou o software e o hardware que fazem o ciberespaço do jeito que é, constitui um conjunto de restrições sobre como se pode comportar. A substância dessas restrições varia – o ciberespaço não é um lugar único”. Tradução livre do original em inglês: “[…] the architecture of cyberspace, or its code, regulates behavior in cyberspace. The code, or the software and hardware that make cyberspace the way it is, constitutes a set of constraints on how one can behave. The substance of these constraints varies – cyberspace is not one place” (LESSIG, Lawrence. The law of the horse: what cyberlaw might teach. The Beckman Center for Internet & Society. Research Publication n. 1999-05, 12/1999. p. 508-509).
507.
508.
509. 510.
511.
512.
513.
514.
“Liberdade no ciberespaço não virá da ausência do Estado. Liberdade lá, como em qualquer lugar, virá de um estado de um determinado tipo. Nós construímos um mundo onde a liberdade não pode florescer por meio da remoção de qualquer autocontrole consciente da sociedade, mas, fixando-o em um lugar onde um determinado tipo de autocontrole consciente sobreviva. Nós construímos a liberdade como nossos fundadores os fizeram, pela configuração da sociedade sobre uma determinada constituição”. Tradução livre do original em inglês: “Liberty in cyberspace will not come from the absence of the state. Liberty there, as anywhere, will come from a state of a certain kind. We build a world where freedom can flourish not by removing from society any self-conscious control, but by setting it in a place where a particular kind of self-conscious control survives. We build liberty as our founders did, by setting society upon a certain constitution” (LESSIG, Lawrence. Code 2.0. New York: Basic Books, 2006. p. 4). É a tecnologia que amolda a sociedade, e não o inverso, segundo tal corrente, “e são vistas como a condição fundamental de sustentação do padrão da organização social. Os deterministas tecnológicos interpretam a tecnologia como a base da sociedade no passado, presente e até mesmo no futuro. Novas tecnologias transformam a sociedade em todos os níveis, inclusive institucional, social e individualmente. Os fatores humanos e sociais são vistos como secundários” CHANDLER, Daniel Technological or Media Determinism. 25.04.2000. Disponível em: [http://www.wolearn.org/pluginfile.php/2185/mod_page/content/6/chandler2002_PDF_full.pdf]. Acesso em: 09.02.2019. Recomendável, conforme Consideranda 71 do GDPR. Art. 5°, II, da LGPD: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. STF, Plenário do Tribunal, HC 82.424, j. 19.03.2004. Matéria disponível em: [http://www2.stf.jus.br/portalStfInternacional/cms/verConteudo.php? sigla=portalStfJurisprudencia_pt_br&idConteudo=185077&modo=cms]. Acesso em: 29.01.2019. Como no Conselho da Europa, em que a Recommendation No. R (92) 3 on Genetic Testing and Screening for Health Care Purposes (Feb. 10, 1992), reprinted in 43 International Digest of Health Legislation 284 (1992), prevê, em seu art. 7°: “Insurers should not have the right to require genetic testing or to enquire about results of previously performed tests, as a precondition for the conclusion or modification of an insurance contract.” Em 2013, um indivíduo foi condenado a sete anos de prisão por fugir da polícia e dirigir um carro sem a permissão do dono. As autoridades apresentaram uma avaliação, feita com base em uma entrevista com o suspeito e informações fornecidas pelo algoritmo sobre sua probabilidade de reincidência. O resultado indicava que ele tinha um “alto risco de cometer novos crimes”. Advogados alegaram que o COMPAS foi criado por uma empresa privada e que informações sobre o algoritmo não foram reveladas. Também afirmaram que os direitos de suspeito foram violados, porque a avaliação levava em conta fatores como gênero e raça. A Suprema Corte de Wisconsin rejeitou o pedido de violação de devido processo legal. Em junho, a Suprema Corte se recusou a ouvir seu caso, vez que a maioria dos juízes tolerou o uso do algoritmo (ANGWIN, Julia; LARSON, Jeff; MATTU, Surya; KIRCHNER, Lauren. Machine bias. There’s software used across the country to predict future criminals. And it’s biased against blacks. 23.05.2016. Disponível em: [https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing]. Acesso em: 09.02.2019. Bundesministerium für Verkehr und digitale Infrastruktu. Ethik-kommission automatisiertes und
538.
vernetztes fahren. 20.06.2017. Disponível em: [https://www.huntonprivacyblog.com/wpcontent/uploads/sites/28/2017/06/084-dobrindt-bericht-der-ethik-kommission.pdf]. Acesso em: 09.02.2019. Ministério da Justiça. Decolar.com é multada por prática de geopricing e geoblocking. 28.06.2018. Disponível em: [http://www.justica.gov.br/news/collective-nitf-content-51]. Acesso em: 08.01.2019. Em que pese os dados sensíveis oferecerem maios vulnerabilidade. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014. p. 92-93. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. p. 161. BIONI, Bruno Ricardo. Proteção de dados pessoais – A função e os limites do consentimento. São Paulo: Renovar, 2018, 86. Guidelines on Artificial Intelligence and Data Protection. Conselho de Europa. Strasbourg, 25 January 2019. Disponível em: [https://rm.coe.int/guidelines-on-artificial-intelligence-anddata-protection/168091f9d8]. Acesso em: 06.02.2019. NOBLE, Safiya Umoja. Algorithms of oppression: how search engines reinforce racism. New York: NYU Press, 2018. Tradução Livre. Data & Society. Algorithmic accountability: a primer. 18.04.2018. Disponível em: [https://datasociety.net/wpcontent/uploads/2018/04/Data_Society_Algorithmic_Accountability_Primer_FINAL.pdf]. Acesso em: 09.02.2019. Art. 14 (2) g, e art. 15 (1) h, ambos do GDPR. Art. 20, caput, da LGPD. Art. 20, § 1°, da LGPD. Art. 7° para dados pessoais e art. 11 para dados pessoais sensíveis, ambos da LGPD. Capítulo III da LGPD, a partir do seu art. 17. Lembrando que basta uma das bases legais para haver licitude do tratamento de dados pessoais. Elas estão contempladas no art. 7°, para dados pessoais, e no art. 11, para dados pessoais sensíveis, ambos da LGPD. Idem. Art. 37 da LGPD. Art. 55-J, IV, da LGPD. Art. 42, § 2°, da LGPD. Art. 42, caput, da LGPD. Art. 39 da LGPD. Art. 42. § 1°, I, da LGPD. Art. 42. § 1°, II, da LGPD. Art. 42, § 4°, da LGPD. Tribunal de Justiça do Rio de Janeiro. Comarca da Capital/RJ. 1a Vara Empresarial. Processo
539. 540. 541.
0419456-71.2013.8.19.001. Juiz de Direito Titular: Alexandre de Carvalho Mesquita. J. 07.06.2017. Art. 48, caput, da LGPD. Art. 48, § 1°, da LGPD. Tudo conforme art. 48, § 1° e seus incisos, da LGPD.
515.
516. 517. 518. 519. 520.
521. 522.
523. 524. 525. 526. 527. 528.
529. 530. 531. 532. 533. 534. 535. 536. 537.
542. 543. 544.
545.
546.
Art. 48, § 3°, da LGPD. Art. 52, § 1° e seus incisos, da LGPD. Data Protection Authority of Baden-Württemberg Issues. LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO. 22.11.2018. Disponível em: [https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-seinerstes-bussgeld-in-deutschland-nach-der-ds-gvo/]. Acesso em: 08.02.2019. “The investigation, led by state attorneys general across the United States, focused on whether Uber had violated data breach notification laws by not informing consumers that their information had been compromised. Rather than disclosing the breach when it occurred, Uber paid the hacker $100,000 through its bug bounty program, which financially rewards hackers for discovering and disclosing software flaws. The ride-hailing company persuaded him to delete the data and stay quiet about it with a nondisclosure agreement. The incident became public a year later when Uber’s chief executive, Dara Khosrowshahi, announced it as a “failure” and fired the two employees who had signed off on the payment” (The New York Times. Uber Settles Data Breach Investigation for $148 Million. 26.09.2018. Disponível em: [https://www.nytimes.com/2018/09/26/technology/uber-data-breach.html]. Acesso em: 09.02.2019. Como a ICO, do Reino Unido, no valor de 385 mil libras (27.11.2018), e na Holanda, no valor de 600 mil euros (27.11.2018). ICO. ICO fines Uber £385,000 over data protection failings. 27.11.2018. Disponível em: [https://ico.org.uk/about-the-ico/news-and-events/news-andblogs/2018/11/ico-fines-uber-385-000-over-data-protection-failings/]. Acesso em: 09.02.2019.
Capítulo II Do Tratamento de Dados Pessoais
CAIO CÉSAR CARVALHO LIMA Seção I Dos requisitos para o tratamento de dados pessoais Art. 7° O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
Antes de passarmos para os comentários específicos acerca deste artigo, importante apenas relembrar o conceito de “tratamento de dados pessoais” disposto no artigo 5°, X desta Lei, o que engloba diversas operações com dados pessoais, aí se incluindo, a coleta, o acesso, distribuição, armazenamento, eliminação, a estes não se limitando. Com isso, podemos observar as dez hipóteses (bases legais) que legitimam o tratamento dos dados pessoais, as quais são taxativas (isto é, não existe nenhuma outra hipótese, além das expressamente descritas neste artigo). Ademais, deve-se destacar que basta o atendimento de uma das dez bases para o tratamento ser considerado legítimo (sendo possível cumular bases legais), cabendo realçar que todas as demais bases legais mencionadas nos incisos II a X são independentes do consentimento. I – mediante o fornecimento de consentimento pelo titular;
Apesar de ainda ser considerado a principal base legal, o consentimento passa a ser apenas uma das dez hipóteses legais trazidas na legislação, sendo que todas as outras nove hipóteses existentes independem do consentimento para que sejam tidas como válidas. Conforme disposto no artigo 5°, XII desta Lei, consentimento é a
manifestação livre, informada e inequívoca do titular para que seja realizado o tratamento dos seus dados pessoais. A legislação não especificou o que se deve entender por “livre, informado e inequívoco”, o que passamos a fazer a seguir, com base especialmente no entendimento que se pode extrair acerca desses conceitos à luz do General Data Protection Regulation (GDPR – Regulamento Geral de Proteção de Dados Europeu), especificamente da Guideline 259/2017, do então denominado Article 29 (atual European Data Protection Board – EDPB), tratando exatamente sobre consentimento1.
Primeiramente, para que o consentimento seja “livre”, os titulares devem ter escolha efetiva sobre quais tipos de dados serão tratados em cada operação. Se houver qualquer tipo de pressão para a entrega do consentimento, sob pena de consequências negativas exageradas, o consentimento não será tido como lícito, uma vez que não terá sido manifestado “livremente”. Assim, imagine a situação em que determinado titular, ao instalar aplicativo para acessar cifras de músicas, descobre que há obrigação, entre outros, de liberar o acesso à geolocalização do dispositivo, ao microfone, câmera de vídeo e fotos armazenadas, sob pena de não ter acesso à aplicação. Como tais dados, em um primeiro momento, podem não ter direta correlação com o uso do aplicativo, a fim de garantir o consentimento livre, é importante que o titular dos dados tenha a possibilidade de optar se, de fato, deseja ou não ter esses dados tratados, sem que exista nenhuma pressão no momento da sua coleta, especialmente porque o correto funcionamento do aplicativo não depende do tratamento desses dados. Aprofundando o conceito, importante observar que a mencionada Guideline 259 endereça especificamente duas questões acerca do “desbalanceamento do consentimento” (em decorrência da posição hierarquicamente superior do controlador dos dados pessoais), que pode interferir na obtenção do consentimento livre, as quais podem ser observadas, basicamente: i) nas relações de emprego; e ii) no tratamento de dados realizado pelo poder público. Nesses dois casos deve-se ter bastante atenção, se o consentimento for a base legal utilizada, sendo, inclusive, pertinente buscar outras hipóteses para justificar o tratamento dos dados (conforme descrito nos incisos II a X), a fim de mitigar os riscos relacionados, conforme a seguir melhor analisado. Especificamente nas situações envolvendo relação de emprego,
considerando autorizações para realização de monitoramento do empregado (titular dos dados) por meio de câmeras, ferramentas de Data Loss Prevention (DLP), Mobile Device Management (MDM), entre outras questões correlacionadas, existe posicionamento no sentido de que o consentimento não é a base legal ideal para torna lícito o tratamento, diante da dificuldade de sanar a assimetria existente na relação “empregadorempregado”. Isso não significa, contudo, que em nenhuma situação o consentimento poderá ser utilizado na relação, havendo restritos casos em que sua aplicabilidade pode ser adequada2. Finalizando os comentários sobre o consentimento livre, importante observar o que diz respeito à granularidade, por meio da qual não se pode ter como válido o consentimento manifestado no formato de “tudo ou nada”. Nesse sentido, nas situações em que houver coleta de dados para diferentes finalidades, o titular dos dados deve ter a possibilidade de escolher, de uma a uma, a finalidade específica em relação a qual autoriza o tratamento de dados, sendo inválido se não houver essa opção. Passando para o consentimento informado, ele será atingido quando, antes da coleta dos dados pessoais, os titulares forem amplamente informados acerca do ciclo de vida do tratamento dos seus dados pessoais, o que guarda bastante correlação com o princípio da transparência. Nesse sentido, entendemos que os incisos do artigo 9° devem ser contemplados, no que fazemos referência aos comentários lá trazidos. Assim, em síntese, no mínimo devem ser apresentadas, de forma clara e ostensiva, as seguintes informações para o titular dos dados: a) finalidades específicas do tratamento; b) forma e duração do tratamento, guardados os segredos comercial e industrial; c) identificação e informações de contato do controlador; d) informações acerca do uso compartilhado de dados pelo controlador e a finalidade; e) responsabilidades dos agentes que realizarão o tratamento; e f) direitos do titular, aí se incluindo menção à possibilidade de confirmação de tratamento dos dados, acesso, atualização, retificação, anonimização, eliminação, além de outros dispostos nos artigos 17 a 22 da Lei.
Como não há restrição à modalidade de obtenção do consentimento (conforme mencionado no artigo 8° desta Lei), essa transparência pode ser levada a efeito de diversas formas, tais como por escrito, áudio, vídeo, entre outros, sendo certo que em todas as situações deve ser utilizada: i) linguagem clara (evitando termos técnicos desnecessários e adequando o texto, de acordo com o público-alvo); ii) direta e objetiva (evitando textos longos); e iii) a língua portuguesa (os documentos em outra língua devem ser traduzidos para o português, a fim de que tenham validade jurídica, conforme disposto no artigo 224 do Código Civil). Importante adicionar também a obrigação de que sejam informados ao titular os riscos a que pode estar sujeito, em decorrência do tratamento dos seus dados pessoais, sendo igualmente relevante que sejam esclarecidas as medidas levadas a efeito pelo controlador, com o objetivo de mitigar tais riscos, já previamente mapeados e devidamente identificados. Ademais, o consentimento deve ser inequívoco, o que será alcançado por meio de demonstração do controlador, no sentido de que o titular, de fato, manifestou a autorização para que ocorresse o tratamento dos seus dados pessoais. Isso pode se dar por meio de clique em botão, marcando opção em caixa de texto (a qual deve vir desmarcada, por padrão), gravando áudio ou vídeo confirmando a aceitação dos termos. Opções pré-selecionadas ou o mero silêncio passivo não serão considerados manifestação do consentimento inequívoco, não havendo espaço para dúvida acerca da efetiva intenção do titular. Na ausência de certeza, certamente se estará em momento de insegurança para o controlador, o que pode ensejar o entendimento de ilicitude do tratamento dos dados pessoais, com as consequências negativas daí decorrentes.
Por fim, deve o controlador adotar o máximo possível de ferramentas capazes de demonstrar que, de fato, foi o titular que manifestou o seu consentimento, e não outra pessoa em seu lugar, especialmente quando o tratamento for realizado de forma não presencial, pela internet, ou por meio de ligação telefônica. Diante disso, cumpridos os requisitos mencionados, o consentimento será considerado válido, sendo fundamental que o controlador armazene todas as evidências pertinentes acerca da sua obtenção, diante da possibilidade de que seja exigida a apresentação do cumprimento de todos os requisitos
mandatórios, especialmente em situação de litígio. II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
Caso exista determinação legal (quer em lei federal, estadual ou municipal), quer nas demais normas (decretos, resoluções, entre outros), o controlador (vide conceito no artigo 5°, VI) poderá realizar o tratamento de dados pessoais com fundamento nessa base legal. Obrigações contratualmente assumidas não se encontram acobertadas pelo presente inciso, não podendo relações privadas serem utilizadas como fundamento para tratamento de dados pessoais. Assim, é relevante que a assinatura de contratos seja precedida de prévia e efetiva validação acerca da possibilidade de cumprir todas as disposições lá constantes à luz da legislação, a fim de que não haja a assunção de obrigação impossível. Ademais, eventuais determinações previstas na legislação internacional, bem como em melhores práticas comprovadamente seguidas por determinado nicho da indústria, também poderão ser entendidos como fundamento para o tratamento de dados, sob pena de serem criados entraves de consequências relevantes, especialmente a companhias multinacionais. É importante que, previamente ao tratamento dos dados com base em previsões legais internacionais, haja extenso levantamento dos riscos relacionados para os titulares e para o agente de tratamento, especialmente por meio da elaboração de análise cotejando tais riscos, armazenando as evidências da realização de tal estudo. III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
A administração pública poderá realizar o uso compartilhado de dados (vide conceito no artigo 5°, XVI), desde que tal se dê com o estrito objetivo de executar políticas públicas (o conceito de políticas públicas não é único, mas, em linhas gerais, podemos considerá-lo como sendo toda atividade realizada por qualquer ente da administração pública com o objetivo de solucionar demandas da sociedade, englobando setores, tais como saúde, educação, economia, entre outros) expressamente previstas na legislação. Adicionalmente, deve o ente respectivo atentar-se a todas as demais
regras e responsabilidades previstas nos artigos 23 a 32 da presente Lei, os quais contemplam extenso detalhamento do que deve ser levado a efeito para o tratamento de dados pelo Poder Público. IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Fundamental observar o conceito de órgão de pesquisa (artigo 5°, XVIII) trazido na própria legislação, especialmente considerando os diversos aspectos que precisam ser preenchidos para que, de fato, se tenha uma entidade como tal. Estando-se diante do que se entende como órgão de pesquisa, a entidade (pública ou privada) poderá realizar, com o uso de dados pessoais, pesquisas de caráter histórico, tecnológico ou estatístico. Ademais, há recomendação (não constituindo obrigação) no inciso de que preferencialmente se realize a anonimização dos dados (vide comentários ao artigo 12), em tais situações. V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Estamos diante do caso em que determinados dados pessoais necessariamente precisem ser tratados para a execução de obrigações contratualmente firmadas, havendo pedido do titular para que tal ocorra. Assim, por exemplo, nas situações em que o titular de dados adquira produtos ou serviços, seus dados poderão ser tratados para essa específica finalidade, sendo impossível executar o contrato, sem que isso ocorra. Igualmente, procedimentos preliminares à formalização do contrato em que o titular seja parte também poderão ensejar o tratamento de dados pessoais, desde que haja solicitação nesse sentido. Como exemplo, é possível mencionar todos os levantamentos realizados por instituições financeiras, anteriormente à concessão de crédito. Certamente, o próprio titular espera que tal ocorra, com o objetivo de que, ao final do processo, ele tenha acesso àquele montante que deseja obter junto ao banco. VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
Diante das previsões constitucionais de: inafastabilidade da apreciação
pelo Poder Judiciário (artigo 5°, XXXV, da Constituição Federal); e ampla defesa e contraditório (artigo 5°, LV, da Constituição Federal), é trazida expressa possibilidade para o tratamento de dados pessoais, considerando o exercício de direitos em processos em geral (judiciais, administrativos ou arbitrais). Assim, nas situações em que se entender que determinados dados pessoais poderão servir como elemento para exercício de direitos em demandas em geral, eles poderão ser armazenados, desde que para essa única e exclusiva finalidade, enquanto subsistir tal necessidade. Podem ser utilizados como parâmetro para retenção da informação os respectivos prazos prescricionais previstos, na legislação civil e penal. Havendo discussão judicial, haverá fundamento para armazenamento dos dados durante todo o prazo em que subsistir possibilidade de discussão da demanda. VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Proteção da vida ou incolumidade física estão relacionadas a questões graves e que ponham em risco a vida ou a integridade física do titular. Diante disso, esse critério é sobremodo restritivo e somente terá lugar nas parcas situações em que tal for constatado, de fato. Como exemplo, podemos mencionar a obtenção de dados de geolocalização de dispositivos de telefone celular, com o objetivo de tentar localizar eventuais vidas que possam estar no meio dos escombros, após determinado incidente. Igualmente, situações em que pessoas possam ter sido sequestradas ou estejam perdidas das suas famílias podem ensejar tentativas de obtenção de dados de geolocalização, a fim de identificar os titulares. VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei n° 13.853, de 2019)
Esse inciso foi objeto de sutil alteração com a Lei 13.853/2019, passando a deixar claro que a tutela da saúde poderá ser considerada como base legal, exclusivamente nas situações descritas no texto da lei; ademais, foi adicionada a possibilidade de que os serviços de saúde se utilizem dessa base para justificar suas atividades. Assim, os profissionais da área da saúde (médicos, farmacêuticos,
enfermeiros, educadores físicos, fisioterapeutas, psicólogos, nutricionista, biólogo, biomédico, entre outros) e as entidades que são membro do SNVS (Sistema Nacional de Vigilância Sanitária) – tais como ANVISA (Agência Nacional de Vigilância Sanitária), Laboratórios Centrais de Saúde Pública (LACENS); Instituto Nacional de Controle de Qualidade em Saúde (INCQS); Fundação Oswaldo Cruz (FIOCRUZ); além de outras entidades, inclusive estaduais e municipais – poderão se valer dessa base legal para o tratamento de dados, desde que com o objetivo específico de tutela da saúde, sendo vedado qualquer outro uso que desvirtue essa finalidade. Além disso, os serviços de saúde, isto é, os “estabelecimentos destinados a promover a saúde do indivíduo, protegê-lo de doenças e agravos, prevenir e limitar os danos a ele causados e reabilitá-lo quando sua capacidade física, psíquica ou social for afetada”3 também poderão se utilizar dessa base legal para sustentar suas atividades. IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
Para aprofundamento do conceito de interesses legítimos, fazemos referência aos comentários ao artigo 10. Nesse momento, importante destacar que no inciso IX supra há referência à possibilidade de atendimento de interesses legítimos do controlador “ou de terceiro”, ao passo em que no artigo 10, que se dedica ao tratamento do tema com maiores detalhes, há referência tão somente a interesses legítimos do controlador. Interpretações mais cautelosas tenderão a seguir no sentido de que a previsão deste inciso IX se trata de equívoco do legislador, e que deve prevalecer o disposto no artigo 10, não havendo possibilidade do uso dessa base por terceiros, ficando restrita diretamente ao controlador. Por outro lado, pode haver o entendimento de que, na verdade, as restrições previstas no artigo 10 não se aplicam aos terceiros, no que esses teriam ainda mais liberdade para tratamento dos dados com fundamento nessa base, do que os próprios controladores. Diante disso, deve ser observado com cautela o uso de interesses legítimos como base legal para o tratamento de dados a ser realizados por terceiros, que não diretamente o controlador, diante dessa indefinição que existe na legislação, a qual deve ser solucionada, com o tempo de aplicação
prática da norma. Até o presente momento, considerando as demais disposições acerca do tema, bem como o próprio GDPR4, tem prevalecido o entendimento, no sentido de que terceiros poderão se valer dessa base legal para o tratamento dos dados, de acordo com o disposto no artigo 10, conforme se abordará com detalhes nos comentários ao dispositivo específico. X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Informações sobre adimplência e inadimplência sobre determinado titular poderão ser utilizadas, a fim de se tomar decisão acerca da concessão ou não de crédito. Nesse ponto, importante observar a menção à legislação pertinente, a qual contempla a Lei do Cadastro Positivo (Lei 12.414, de 9 de junho de 2011), bem como o Código de Proteção e Defesa do Consumidor (Lei 8.078, de 11 de setembro de 1990), cujas disposições também devem ser observadas, quando houver o uso de tal base legal para fundamentar o tratamento de dados. § 1°. (Revogado). Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no art. 4° desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados. § 2°. (Revogado). A forma de disponibilização das informações previstas no § 1° e no inciso I do caput do art. 23 desta Lei poderá ser especificada pela autoridade nacional. § 3°. O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
Mesmo dados que estejam publicamente acessíveis (inclusive por meio da internet) somente poderão ser tratados, desde que sejam seguidos os princípios: i)
da finalidade: isto é, deverá ser respeitada a finalidade pela qual eles foram tornados públicos, em eventual uso subsequente por terceiros; ii) da boa-fé: não deverá haver utilização desvirtuando as legítimas expectativas dos seus titulares; e iii) do interesse público: deve ser identificado o interesse público que embasou a disponibilização dos dados, tratando-os especificamente dentro dessas situações.
Fica claro, portanto, que o fato de existirem dados para amplo acesso não retira a proteção que a eles deve ser concedida, sendo obrigatório o
cumprimento, no mínimo, dos princípios expressamente mencionados anteriormente. § 4°. É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Nas situações em que o próprio usuário tornar públicos seus dados pessoais não se fará necessária a obtenção do seu consentimento para tratamento dos seus dados pessoais, sendo fundamental observar que, mesmo nessa hipótese, não será totalmente livre a utilização dos dados, a qual somente poderá ocorrer, desde que sejam resguardados os direitos (artigos 9° e 18, principalmente) e os princípios (artigo 6°) previstos na Lei. § 5°. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
Nas situações em que a base legal para tratamento dos dados pessoais for o consentimento e o controlador desejar comunicar ou compartilhar os dados com outro controlador, deverá ser obtido consentimento específico para tanto. Importante observar as previsões do artigo 8°, § 6° (a cujos comentários fazemos referência), nas quais há a constatação de que em determinadas situações de tratamento de dados, não se fará necessário renovar o consentimento do titular. § 6°. A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
No sentido do disposto no § 4° citado, em qualquer situação em que for realizado o tratamento dos dados pessoais, devem ser respeitados os princípios (artigo 6°) e os direitos (artigo 9° e 18, principalmente) dos titulares dos dados, independentemente da base legal que venha a ser escolhida para tornar lícito o tratamento dos dados. § 7°. O tratamento posterior dos dados pessoais a que se referem os §§ 3° e 4° deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
Esse parágrafo foi adicionado pela Lei 13.853/2019, com o objetivo de flexibilizar o uso de dados pessoais de acesso público ou tornados manifestamente públicos pelo titular, inclusive para novas finalidades, desde que sejam respeitados os demais pontos relevantes da LGPD, incluindo os fundamentos e os princípios da lei. Art. 8° O consentimento previsto no inciso I do art. 7° desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
O consentimento poderá ser obtido por qualquer meio que guarde evidência da manifestação do titular. Para tanto, podem ser utilizados métodos tradicionais (contratos ou formulários em papel, por exemplo), bem como ferramentas digitais (por meio de assinatura eletrônica ou digital, telefone, biometria, vídeo, áudio, entre outros), sendo amplas as possibilidades trazidas na norma. § 1°. Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
Nas situações em que se obtiver o consentimento por escrito (entende-se que essa situação engloba também o uso de ferramentas digitais), a lei determina que seja adicionada cláusula destacada, a qual seja facilmente identificada pelo titular. Podem ser usadas soluções textuais ou gráficas para a obtenção desse destaque. Ademais, ainda com o intuito de alcançar maior transparência, é recomendável que, para os textos mais longos, seja apresentada ao titular síntese dos principais pontos sobre o tratamento dos dados pessoais, solicitando-se que o titular assine, rubrique, ou de outra forma manifeste seu consentimento, especificamente em relação a esse “quadro-síntese”. § 2°. Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
Como consequência desse parágrafo, é fundamental que somente sejam utilizados mecanismos de coleta de consentimento que permitam a geração de evidências acerca da sua obtenção. Adicionalmente, tais evidências devem ficar armazenadas durante todo o período em que os dados estiverem armazenados, independentemente da finalidade.
Isso pode ser especialmente importante, em eventual solicitação da
Autoridade Nacional de Proteção de Dados, acerca de evidências relacionados ao cumprimento de todas as exigências para obtenção de consentimento válido. Eventual falha nessa demonstração pode trazer diversas consequências negativas, podendo chegar à necessidade de exclusão da respectiva base. § 3°. É vedado o tratamento de dados pessoais mediante vício de consentimento.
Quando não houver nenhuma outra base legal que legitime o tratamento dos dados pessoais e o consentimento contiver algum vício (de qualquer espécie, quer porque não é livre, informado e inequívoco, quer porque não foi dado em cláusula destacada), o tratamento dos dados não poderá ter sequência. Nesse sentido, cabe deixar ainda mais clara a necessidade de que sejam armazenadas evidências acerca da obtenção do consentimento, uma vez que tal pode vir a ser utilizado como argumento favorável, demonstrando que não houve vício em sua obtenção. § 4°. O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
Nos termos do disposto no artigo 6°, I, o consentimento somente será entendido como lícito, quando for obtido para propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedadas autorizações universais para o tratamento dos dados, bem como tratamento posterior que seja incompatível com essas finalidades. Como consequência, pois, o documento por meio do qual será obtido o consentimento deve ser elaborado de forma a demonstrar essa transparência, bem como que não foi concebida autorização genérica, tendo sido contemplados também todos os demais dispositivos legais. Para entender as demais informações a serem expressamente indicadas ao titular dos dados, no momento da coleta do seu consentimento, fazemos referência à leitura dos comentários ao artigo 9° desta Lei. § 5°. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
A revogação do consentimento deve ser tão fácil quanto foi a sua manifestação positiva – assim, se o consentimento inicialmente se deu por meio do “clique em um botão”, não se pode exigir forma mais dificultosa do titular para sua remoção. O ato de revogação também deve ser gratuito e passível de ser exercido, a qualquer momento. Ademais, a revogação do consentimento não significará a automática eliminação dos dados pessoais, a qual somente deverá ser levada a efeito, quando também for realizado pedido expresso do titular nesse sentido, nos termos do artigo 18, VI, respeitadas as situações obrigatórias de guarda dispostas no artigo 16, ocasião em que os dados ainda poderão ser armazenados, com o objetivo de atender às específicas finalidades determinadas. § 6°. Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9° desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Não se fará necessária a obtenção de novo consentimento do titular, sendo suficiente informá-lo acerca das alterações realizadas, nas situações em que houver alguma modificação no que diz respeito: i)
à finalidade do tratamento dos dados;
ii) à forma e duração do tratamento; iii) à identificação do controlador; ou iv) às informações acerca do uso compartilhado de dados pelo controlador. A fim de obter ainda mais transparência no processo, é relevante que no momento de informação ao titular haja específico destaque às alterações que foram realizadas com o tratamento dos seus dados pessoais, não devendo restar dúvida acerca do que, de fato, foi modificado. As evidências acerca da efetivação desse procedimento devem ser armazenadas, sendo recomendável também que as plataformas passem a adotar como padrão a exibição das diferentes versões de suas políticas de privacidade (especialmente por meio digital), com destaque para o que foi modificado entre o texto anterior e a versão atual.
Caso o titular discorde dos novos procedimentos, poderá revogar o seu consentimento, direito que deve ser a ele também explicitamente informado.
Fundamental observar o disposto no § 5° do artigo 7°, o qual exige que nas situações em que o titular desejar realizar a comunicação ou o compartilhamento de dados com outros controladores, novo consentimento do titular deve ser obtido. Art. 9° O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
No artigo 9° são descritos alguns dos direitos dos titulares dos dados pessoais, cabendo destacar a previsão geral de acesso facilitado às informações sobre o tratamento dos seus dados pessoais, o que pode ser incluído em contrato, políticas de privacidade, entre outros. Assim, não será suficiente, por exemplo, incluir política de privacidade escondida no rodapé de portais e aplicativos, ou deixar a cláusula de proteção de dados “escondida” no meio de outras disposições contratuais, havendo obrigação de exibição ostensiva dessas informações. I – finalidade específica do tratamento;
No sentido do disposto no artigo 6°, I, o consentimento somente será entendido como lícito, quando for obtido para propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedadas autorizações universais para o tratamento dos dados. Assim, todo o escopo de utilização do dado deve ser prévia e expressamente informado ao titular, sob pena de posterior entendimento pela nulidade do tratamento. II – forma e duração do tratamento, observados os segredos comercial e industrial;
Devem ser trazidas informações sobre como o tratamento será realizado (incluindo o objeto, a duração e natureza do tratamento, indicando também se haverá tratamento automatizado), mencionando também o período durante o qual os dados serão tratados, especificando quando se dará a exclusão desses dados. No momento de revelação das informações apresentadas, os agentes de tratamento devem atentar que não há obrigatoriedade de informar aspectos que possam revelar segredos comerciais ou industriais, os quais não precisam, portanto, ser disponibilizados nas específicas documentações sobre
privacidade. Assim, a eventual omissão de informação com base nesse fundamento deve ser precedida de específica análise interna, sendo posteriormente produzida documentação analisando a situação e justificando o porquê do entendimento. III – identificação do controlador;
O controlador deve ser claramente identificado, sendo recomendável que sejam exibidas informações, tais como: nome empresarial; e número de inscrição do fornecedor no Cadastro Nacional de Pessoas Físicas (CPF) ou no Cadastro Nacional de Pessoas Jurídicas do Ministério da Fazenda (CNPJ\MJ), quando pertinente. IV – informações de contato do controlador;
Importante que dados como endereço físico e eletrônico, além de outras informações necessárias para localização e contato do controlador também sejam exibidas. O controlador deve ficar atento para manter tais informações sempre atualizadas. V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
Nas situações em que for ser realizado o compartilhamento de dados com terceiros, isso deve ser expressamente mencionado ao titular, com a maior transparência possível, havendo também a inclusão da finalidade pela qual isso se dará. Nessa situação, apesar de não haver expressa disposição legal, entendemos também que podem ser deixadas a salvo informações que especificamente possam revelar segredos industriais e comerciais, reiterando que eventual omissão de informação por esse fundamento deve ser expressamente motivada e armazenadas evidências internas que sejam capazes de demonstrar a fundamentação dessa decisão tomada. VI – responsabilidades dos agentes que realizarão o tratamento; e
Quando existirem outros agentes envolvidos no tratamento dos dados pessoais, também deve ser expressamente declinada qual vai ser a função de cada um deles no tratamento de dados pessoais, a fim de que o titular tenha ampla compreensão de todos os agentes que participarão do controle dos seus
dados pessoais. VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
Seguindo a transparência para com os titulares, também devem ser incluídos na documentação pertinente os direitos dos titulares, expressamente indicando, no mínimo, o que consta do artigo 18 da Lei, o qual contempla a menção a direitos como acesso, correção, atualização, anonimização, bloqueio ou eliminação, portabilidade, entre outros. Importante observar que os direitos dos titulares se encontram espraiados entre os artigos 17 a 22, desta LGPD. § 1°. Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
No sentido do disposto no artigo 8°, §§ 3° e 4°, quando o consentimento contiver algum vício, ou se for obtido sem que tenha havido prévia e extensa informação ao titular acerca dos propósitos sobre o tratamento dos seus dados, esse procedimento será compreendido como nulo. Justamente por isso, é relevante que qualquer omissão de informações dos documentos de privacidade, com fundamento em questões de segredo industrial ou comercial, seja precedida de estudo interno, por meio do qual fiquem demonstrados esses aspectos, devendo ser armazenado esse relatório, com o objetivo de subsequente apresentação às autoridades, se necessário. § 2°. Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
No sentido do artigo 8°, § 6°, quando houver modificação da finalidade pela qual os dados foram obtidos, que não sejam compatíveis com o consentimento já manifestado, o titular deve ser informado acerca disso, não sendo necessário renovar o seu consentimento.
A lei dispõe que o titular poderá revogar o consentimento, nas situações em que não concordar com a nova situação proposta. Importante observar o disposto no § 5° do artigo 7°, o qual exige que nas situações em que o titular desejar realizar a comunicação ou o compartilhamento de dados com outros controladores, novo consentimento do titular deve ser obtido.
§ 3°. Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
Em outra obrigação de transparência, quando o fornecimento de dados for obrigatório para a fruição de produtos, serviços ou para o exercício de direitos, o titular deve necessária e obrigatoriamente receber, de forma clara e em destaque, todas as informações sobre como poderá exercer os direitos mencionados no artigo 18 da Lei. Isso se justifica, a partir da constatação de que, como, em tese, o titular será obrigado a entregar seus dados pessoais, não tendo outra opção para ter acesso àquilo que deseja, ainda mais transparência deve ter o controlador, diante da posição “hierarquicamente inferior” do titular. Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
O legislador optou por não trazer conceito específico de “interesse legitimo”, limitando-se a identificar duas situações, dentre várias outras, em que ele possa ser identificado – assim, os dois incisos a seguir tratam de algumas das possíveis situações, estando-se diante de rol exemplificativo. A intenção foi deixar o conceito aberto, de tal forma que ele consiga se amoldar à diversidade de situações que possam existir na prática, não restringindo o entendimento sobre o instituto, que foi mantido bastante aberto e flexível. Isso não significa que ele é completamente livre e pode se aplicar a qualquer situação. É importante observar os dois pontos que devem ser obrigatoriamente sempre respeitados, quando se pretender realizar o tratamento de dados com base no legítimo interesse, quais sejam: i)
ii)
finalidades legítimas: nos termos do disposto no artigo 6°, I, somente propósitos legítimos (e também específicos, explícitos e informados ao titular) justificarão o fundamento do interesse legítimo; e existência de situação concreta: o titular deve ter a efetiva expectativa de que seus dados serão tratados, em decorrência de relação prévia que exista entre ele e o controlador. Assim, necessária e obrigatoriamente, deve o titular ter passado por alguma situação real e concreta com o controlador dos dados, sendo insuficiente a mera expectativa de que
venha a existir algum relacionamento entre ambos. Nesse sentido, pois, os controladores que objetivarem se utilizar dessa possibilidade devem ter evidências armazenadas de que atendem a ambos os requisitos anteriores, especialmente diante do fato de que a Autoridade Nacional de Proteção de Dados pode solicitar a elaboração de Relatório de Impacto a Proteção de Dados, conforme será endereçado nos comentários ao § 3° do presente artigo. Antes de adentrar especificamente nos exemplos trazidos nesta Lei, importante reiterar o que já foi mencionado nos comentários ao inciso IX do artigo 7°, no sentido de que as previsões constantes neste artigo podem ser entendidas como também extensíveis a terceiros, devendo tal ausência de referência ser suprida diante da interpretação global da norma, até mesmo com fundamento no GDPR, o qual expressamente segue nessa direção. Especificamente na situação de terceiros, é importante haver expressa confirmação de que: i) o tratamento se dará, de fato, por interesse legítimo do terceiro; ii) o tratamento é necessário para atingir a finalidade que se almeja; e iii) estarão respeitados os direitos e as garantias dos titulares5. Tais premissas são relevantes também quando o controlador faz o tratamento com esse fundamento, mas ainda mais importantes quando levados a efeito por terceiro. Feitas essas considerações, passamos a verificar as duas expressas situações que a Lei traça como possibilidades do uso do interesse legítimo: I – apoio e promoção de atividades do controlador; e
Sendo atingidos os requisitos mencionados anteriormente, o controlador poderá fundamentar o tratamento de dados para o apoio e a promoção de suas atividades. Nesse sentido, podemos citar alguns exemplos, tais como: i)
o controlador que, após observar as preferências de determinados usuários em seu portal, passar a exibir para eles produtos que mais o agradem, com base no tratamento de dados dos demais usuários daquele site;
ii)
o envio de e-mail com descontos específicos para aqueles produtos buscados por determinado titular, ou até mesmo com indicações, tomando por base o histórico de compras do titular; ou
iii) relembrar determinado consumidor que incluiu produtos em seu “carrinho virtual”, mas não finalizou a compra. II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
Da mesma forma, o legítimo interesse poderá justificar o tratamento de dados para situações que possam beneficiar o titular, aí se incluindo, por exemplo, questões relacionadas a segurança e antifraude, a estes não se limitando. Assim, podem ser tratados dados de determinado titular que realiza uma transação bancária, a fim de evitar fraude e garantir a segurança dos valores que o cidadão possui junto à instituição – igualmente terceiros beneficiários de transações financeiras podem ter seus dados tratados com o objetivo específico de garantir o atingimento da finalidade desejada. § 1°. Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
Reiterando o disposto nos princípios da adequação e necessidade (artigo 6°, II e III), apenas os dados que sejam compatíveis e efetivamente necessários para o atingimento das finalidades objetivadas poderão ser objeto de tratamento. Surge como ainda mais relevante, pois, a realização do teste de necessidade v proporcionalidade, sendo importante que haja evidência desse estudo por parte do controlador, a fim de possuir todas as comprovações, quando houver eventual necessidade de demonstração para as autoridades competentes. § 2°. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
O tratamento de dados com base no legítimo interesse deve ser realizado com ainda maior transparência perante o titular, o que reforça a necessidade de que somente seja levado a efeito diante de efetivas “situações concretas”, havendo concreta expectativa do titular de que seus dados sejam tratados para a finalidade específica.
Assim, trazendo alguns exemplos práticos, até pode ser expectativa do estudante receber, da Faculdade em que está matriculado, cupom de desconto para aquisição de livros em determinada livraria, com a qual a Universidade tenha feito parceria. Igualmente, receber oferta para estacionamento ou alimentação nas localidades do campus pode estar dentro das legítimas possibilidades. Por outro lado, receber da sua Universidade ofertas de eletrodomésticos de determinada loja de departamento, pode não corresponder a expectativa do titular – isso pode fazer sentido em específicas situações, como quando em decorrência de determinada disciplina o aluno for solicitado a adquirir algo em especial. Como se observa, pois, quanto maior for a transparência, mais facilmente o controlador conseguirá demonstrar que era expectativa do titular que aquele tratamento de dados ocorresse. § 3°. A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Neste parágrafo surge a primeira menção explícita na Lei acerca do Relatório de Impacto à Proteção de Dados Pessoais, que se trata de documento do controlador, contemplando a descrição dos processos de tratamento de dados que podem gerar riscos aos titulares, identificando o que pode ser feito para mitigação desses riscos, conforme conceito trazido no artigo 5°, XVII, a cujos comentários fazemos referência. Pela dicção do parágrafo, mesmo que se trate de possibilidade de solicitação por parte da Autoridade Nacional de Proteção de Dados, o recomendável é que os agentes que forem tratar dados com essa base legal já deixem previamente elaborada pelo menos a minuta atualizada do Relatório, independentemente de solicitação da Autoridade, diante da possibilidade de sua solicitação, a qualquer momento. Novamente, não existe obrigatoriedade de incluir no Relatório informações que, se divulgadas, possam comprometer segredos industriais e comerciais, devendo haver específica justificativa para tanto, a qual deverá ser devidamente armazenada, caso haja alguma contestação. Para aprofundamento do estudo acerca do Relatório, remetemos aos comentários aos artigos 32 (relacionado ao Poder Público) e 38 (menção à
necessidade de sua elaboração, quando houver o tratamento de dados pessoas sensíveis) da Lei Geral de Proteção de Dados. Seção II Do tratamento de dados pessoais sensíveis Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
O tratamento de dados pessoais sensíveis (nos remetemos ao conceito trazido no artigo 5°, II) poderá ser realizado em oito hipóteses, indo também além do consentimento. Em linhas gerais, as hipóteses que legitimam o tratamento de ambas as modalidades de dados pessoais são sobremodo semelhantes. Especificamente nesse ponto, importante destacar que há vedação ao tratamento de dados sensíveis para a execução de contrato, com base em interesses legítimos e para a proteção ao crédito, permanecendo as demais possibilidades, ainda que com algumas restrições, como será observado adiante. Naturalmente, contudo, o tratamento de dados sensíveis deve ser precedido de cautelas ainda maiores (com especial atenção aos princípios e direitos dos titulares), uma vez que eventual incidente de segurança com os dados em referência pode trazer consequências mais gravosas aos direitos e liberdades dos titulares. Feitas essas observações, passamos a observar as bases legais que legitimam o tratamento de dados pessoais sensíveis: I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
Nas situações em que o consentimento for a modalidade a autorizar o tratamento dos dados sensíveis, ele deverá ser realizado de forma específica e destacada, além de livre, informada, inequívoca (o mesmo exigido para o tratamento de dados pessoais, conforme descrito no artigo 7°, I, a cujos comentários nos referimos). O consentimento será entendido como específico, desde que ele seja manifestado em relação a propósitos claramente determinados pelo
controlador, anteriormente ao procedimento de coleta dos dados pessoais. Permanecem as obrigações de granularidade (dispostas em relação ao consentimento livre, o que exige a existência de opt-in para cada finalidade em específico), sendo adicionada também a determinação de que o consentimento seja manifestado de modo destacado das eventuais outras previsões contidas no documento (o que faz referência ao consentimento destacado, conforme explanado a seguir). Para que o consentimento seja entendido como destacado, é importante que o titular dos dados tenha, de fato, pleno e efetivo acesso ao documento que esclarecerá todos os fatos relevantes sobre o tratamento dos seus dados pessoais. Nesse sentido, especialmente nas situações em que o consentimento for manifestado dentro de contexto geral e mais amplo, deve ser destacado o trecho relativo ao tratamento dos dados (isso pode se dar, a partir do uso de caixa alta, fontes em negrito, sublinhado, itálico, entre outros), garantindo ao titular o efetivo acesso ao referido conteúdo. Em síntese, pois, deve o titular ter ainda mais cautela, no momento em que for obter o consentimento para o tratamento de dados sensíveis, optando sempre pela máxima transparência possível, bem como por deixar evidentes os trechos relativos ao tratamento dos dados, os quais não devem se encontrar “escondidos” dentro de eventuais outras disposições contratuais. II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
Como já anteriormente referenciado, será possível o tratamento dos dados sensíveis com fundamento em outras bases legais, além do consentimento, desde que, de fato, o tratamento seja indispensável para atingir a finalidade desejada, conforme se passa a observar adiante. a) cumprimento de obrigação legal ou regulatória pelo controlador;
A alínea repete a redação do disposto no artigo 7°, II, a cujos comentários nos remetemos. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
Para a execução de políticas públicas (fazemos referência ao conceito trazido no artigo 7°, III), os entes da administração pública poderão se valer
de dados sensíveis, nas situações em que isso for indispensável. Importante observar que, diferentemente do previsto no artigo 7°, III, contratos, convênios e instrumentos congêneres não serão suficientes para legitimar o tratamento de dados sensíveis, sendo tal hipótese aplicável apenas aos dados pessoais. c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
A alínea repete a redação do disposto no artigo 7°, IV, sendo nosso entendimento que a anonimização dos dados sensíveis deve ser ainda mais perseguida, nas situações em que órgãos de pesquisa forem realizar estudos com esses dados, diante dos riscos já relatados. d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
A alínea repete a redação do disposto no artigo 7°, VI, a cujos comentários nos remetemos. e) proteção da vida ou da incolumidade física do titular ou de terceiro;
A alínea repete a redação do disposto no artigo 7°, VII, a cujos comentários nos remetemos. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei n° 13.853, de 2019)
A alínea repete a redação do disposto no artigo 7°, VIII, a cujos comentários nos remetemos. g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9° desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Dados sensíveis podem ser tratados com o objetivo específico de prevenção a fraude e segurança do titular. Dentre outros, estão abarcadas situações de tratamento de dados para acesso a locais restritos; para efetivação ou confirmação de transações bancárias; combater fraudes em
processos de identificação; a estes não se limitando, desde que se esteja diante do uso de sistemas eletrônicos. § 1°. Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
As disposições do presente artigo se aplicam amplamente, inclusive nas situações em que o tratamento de dados pessoais puder revelar dados sensíveis, salvo se houver disposição em contrário em lei específica. Como exemplo, temos a situação de que determinada companhia que realiza o transporte privado de passageiros passa a aplicar inteligência em sua massa de dados, com o objetivo de identificar a religião, preferência políticas ou sexuais dos seus consumidores, a partir da confirmação dos endereços de início e término das corridas. Nessa situação, os dados obtidos serão sensíveis e, como tal, o tratamento deles estará sujeito as disposições trazidas neste artigo 11. Assim, o tratamento de dados pessoais que possam revelar dados sensíveis também deve ser realizado adotando-se as mesmas regras e padrões mais restritivos, uma vez que, como resultado do tratamento serão obtidos dados sensíveis. § 2°. Nos casos de aplicação do disposto nas alíneas a e b do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
As entidades públicas que tratarem dados sensíveis para cumprimento de obrigação legal ou regulatória, bem como para a execução de política pública deverão dar ampla publicidade à dispensa de consentimento, conforme disposto no artigo 23, I, a cujos comentários fazemos referência. § 3°. A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
O presente parágrafo dispõe acerca da possibilidade futura de que haja regulamentação sobre o compartilhamento de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, podendo haver inclusive a vedação a que tal se dê. Eventual restrição somente poderá ser
concretizada, após serem ouvidos os respectivos órgãos setoriais diretamente impactados. § 4°. É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5° deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: (Redação dada pela Lei n° 13.853, de 2019)
Em regra geral, dados de saúde não poderão ser compartilhados entre controladores, caso haja o objetivo de vantagem econômica, conceito que deve ser entendido de forma ampla, contemplando vantagens diretas ou indiretas, inclusive aquelas de caráter não estritamente monetário. Apesar disso, importante observar que a Lei 13.853/2019, com o objetivo de flexibilizar o uso de dados de saúde e impedir eventuais reflexos negativos ao setor, trouxe algumas exceções no próprio texto do caput, permitindo o uso desses dados para fins econômicos, desde que com o objetivo de prestação de serviços de saúde (vide conceito nos comentários ao inciso VIII do artigo 7°), assistência farmacêutica e de saúde (incluindo eventuais exames que venham a ser realizados, bem como as prescrições de tratamento), desde que isso se dê em benefício dos titulares. Adicionalmente, são trazidas outras duas situações em que os dados de saúde poderão ser comunicados ou compartilhados, conforme analisado a seguir: I – portabilidade de dados quando consentido pelo titular; ou
É permitida a comunicação de dados para garantir o exercício da portabilidade dos dados (nos termos descritos no artigo 18, V, da Lei, a cujos comentários fazemos referência), a pedido do titular. Trata-se de algo que, de fato, não poderia ser impedido, sob pena de a própria lei restringir direito trazido aos titulares. II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. (Incluído pela Lei n° 13.853, de 2019)
Antes da alteração trazida pela Lei 13.853/2019, constava nesse inciso previsão de que dados referentes à saúde poderiam ser compartilhados entre controladores, com o objetivo de “adequada prestação de serviços de saúde
suplementar”, no que estavam abarcados nesse conceito planos e seguros privados de assistência à saúde, nos termos descritos na Lei 9.656/1998. Apesar da alteração do inciso, entendemos que tal possibilidade foi mantida, passando a integrar o texto do § 4°. Ademais, nas situações em que se esteja diante de necessidade de compartilhamento desses dados para que a prestação de serviços de saúde aconteça a contento, tal poderá ser levado a efeito. § 5°. É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. (Incluído pela Lei n ° 13.853, de 2019)
Nesse parágrafo observamos que houve a transcrição da Súmula Normativa 27, de 10 de junho de 2015, da Agência Nacional de Saúde Suplementar (ANS)6, por meio da qual se reitera a impossibilidade de concretização de plano de saúde, em decorrência de seleção de riscos por parte das operadoras. Diante dessa disposição, já conhecida dos planos privados de assistência à saúde, permanece a possibilidade de se modular o valor do plano com base em condições reguladas (agravo por doença preexistente, por exemplo), permanecendo a restrição de uso da mera análise de risco (além das condições reguladas) para condicionar a contratação ou excluir beneficiários. O fundamento principal do legislador, portanto, foi evitar o cruzamento de informações para práticas que possam ser entendidas como injustas (aí se incluindo a negativa de acesso ou elevação do valor dos serviços de saúde), reiterando posição já consolidada na indústria. Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Trata-se de conceito relevante trazido na legislação, uma vez que, se estivermos diante de dados que não identificarem nem tornarem identificáveis uma pessoa natural, eles não serão tidos como dados pessoais, logo, não serão objeto das previsões trazidas na Lei Geral de Proteção de Dados. Diante desse conceito, dados estatísticos, por exemplo, podem ser
considerados anonimizados. Apenas importante ter atenção com o tamanho do espaço amostral, uma vez que o tratamento com universo sobremodo reduzido pode levar à identificação dos titulares, mesmo em situação que possa parecer impossível. Para mitigar o risco de “reidentificação” do titular (e consequentemente “desanonimização”), podem ser usadas algumas técnicas específicas7, destacando-se duas principais8: i) a randomização, por meio da qual se altera a veracidade dos dados, de forma a remover a ligação forte entre eles e o seu titular, aí se incluindo métodos como a “adição de ruído”9, “permuta”10 e “privacidade diferencial”11; e ii) generalização, que consiste em generalizar ou diluir os atributos de titulares de dados pessoais, por meio da alteração da escala ou da ordem de magnitude, o que pode ser alcançado pela agregação ou k-anonimização12 e da l-diversidade ou t-proximidade13. Em qualquer técnica que venha a ser utilizada, é importante sempre confirmar que ela é robusta o suficiente e, de fato, não permitirá identificar determinado indivíduo, e nem trará registros que possam, de alguma forma, fazer algum link com o titular. Caso reste algum identificador, há a possibilidade de que se esteja diante de dados pseudonimizados (fazemos referência aos comentários trazidos ao §4° do artigo 13, no qual é endereçado o que se deve entender por pseudonimização), ou até mesmo de dados pessoais.
Diante disso, para que, de fato, os dados sejam considerados anônimos, é importante que não seja possível reverter o processo de anonimização por meios exclusivamente próprios, isto é, com o uso de ferramentas (hardware e software), ou com dados que determinado controlador ou operador detenha internamente. Havendo a possibilidade de que isso ocorra, os dados não poderão ser tidos como anonimizados e deverão ser entendidos como dados pessoais. Adicionalmente, importante considerar que o processo de anonimização pode representar alternativa à exclusão de dados pessoais, quando houver pertinência em manter os dados dessa forma. Nesse caso específico, deve-se considerar que mesmo o uso anonimizado deverá ficar sujeito a determinadas limitações legais, inclusive da própria LGPD, em especial os princípios, tal como o da finalidade, especialmente se os dados originários forem sensíveis ou de crianças e adolescentes14.
Certamente sempre haverá “zona cinzenta” sobre essa questão, devendo determinado agente que desejar tratar dados como anonimizados ter extensa documentação acerca dos motivos pelos quais entende ter aplicado efetivamente técnicas de anonimização, diante da possibilidade de que outro controlador venha a “desanonimizar” determinados dados que, até então, eram entendidos como anônimos, especialmente na atual sociedade da informação tecnológica. Justamente por isso, já existem até mesmo manifestações acerca da impossibilidade de anonimizar dados atualmente15. É importante, pois, confirmar que essa reversão não se faz possível com “esforços razoáveis”, conceito que passa a ser abordado no parágrafo a seguir. § 1°. A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
O presente parágrafo tenta tornar objetivo o conceito de “esforço razoável”, mencionando que, para sua determinação, serão considerados o custo e tempo necessários para reversão do processo, considerando o “estado da arte” da tecnologia e o uso exclusivo de meios próprios. Nesse sentido, importante atualizar com frequência o que se entende por “esforço razoável”, diante da constante evolução tecnológica, que eleva a capacidade computacional das máquinas e pode, em determinadas situações, tornar fácil a reversão de algo que antes poderia ser sobremodo difícil. § 2°. Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Neste parágrafo, há a posição de que caso os dados tratados mantenham o usuário identificável, mesmo que considerando a formação de perfil comportamental, ainda assim, deverão seguir o regime de tratamento de dado pessoal. Isso significa dizer que se o processo de anonimização não for suficiente para impedir a identificação do titular, não poderão ser utilizados os benefícios legais trazidos, quando o procedimento é efetivo.
Ademais, deve-se considerar que, mesmo após o processo de anonimização efetivo, isso significará apenas que a Lei Geral de Proteção de Dados poderá ter seu uso flexibilizado, não se afastando também a incidência
dos demais dispositivos do ordenamento jurídico nacional. Nesse sentido, o uso de dados de perfil comportamental, ainda que para tomada de decisões que afetem direta ou indiretamente determinado grupo de usuários, deve ser feito com cautela, diante da possibilidade de causar discriminação e interferir em terceiros. § 3°. A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Reiterando a relevância da Autoridade Nacional de Proteção de Dados, tem-se que a ANPD também terá o papel de tornar “menos subjetivo” o conceito de anonimização, aí se incluindo a determinação sobre o que deverá ser entendido como “esforços razoáveis”, por meio do estabelecimento de padrões e técnicas. Certamente, será esforço relevante e complexo, uma vez que tais padrões não poderão ser excessivamente elevados, a ponto de tornar impossível o seu atingimento, bem como não poderão ser muito simplórios, a ponto de se tornarem obsoletos facilmente. Adicionalmente, para a ANPD cumprir integralmente o disposto no presente parágrafo, será necessária bastante atenção, uma vez que caberá à Autoridade manter os conceitos sempre atualizados, de acordo com o “estado da arte” da tecnologia, sempre consultando as melhores referências de tecnologia disponíveis. Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
Em primeiro lugar, deve ser esclarecido que os conceitos trazidos no presente artigo são limitados tão somente para o uso dos dados pessoais para a realização de estudos e pesquisas em saúde pública, por parte dos órgãos de pesquisa, nos termos do conceito disposto no artigo 5°, XVIII, a cujos comentários fazemos referência. Em linhas gerais, entende-se que o conceito de “saúde pública” abrange o
conjunto de ações e serviços de saúde, prestados por órgãos e instituições públicas federais, estaduais e municipais, da Administração direta e indireta e das fundações mantidas pelo Poder Público, constituindo o Sistema Único de Saúde (SUS), englobando também as instituições públicas de controle de qualidade, pesquisa e produção de insumos, medicamentos (inclusive de sangue e hemoderivativos) e de equipamentos de saúde, nos termos do disposto no artigo 4° e § 1° da Lei 8.080/1990. Para aqueles agentes que estiverem contemplados no restrito escopo apresentado, para que tenham as benesses do tratamento dos dados como pseudonimizados, há a obrigatoriedade de tratá-los em ambiente seguro, conforme práticas de segurança previstas na regulamentação setorial, sem prejuízo também de que a ANPD construa disposições específicas, considerando a natureza dos dados tratados, principalmente porque dados sensíveis provavelmente serão objeto do tratamento. Ademais, o princípio da finalidade (artigo 6°, I, a cujos comentários fazemos referência) deve ser contemplado, sendo importante observar também as previsões do artigo 8°, § 6°, no sentido de que quando houver modificação da finalidade pela qual os dados foram obtidos, o titular deve ser informado acerca disso. Por fim, há a reiteração de que todos os princípios éticos correlacionados devem ser contemplados no tratamento dos dados para essa finalidade de saúde pública, com destaque especial para o respeito à dignidade da pessoa humana e ao sigilo profissional. § 1°. A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
Neste parágrafo entendemos que há clara referência ao fato de que a divulgação de resultados e de trechos do estudo somente deve ocorrer, mediante, no mínimo, realização de prévia pseudonimização dos dados, a qual é obrigatória.
Nesse caso, como provavelmente o resultado conterá dados sensíveis, ainda mais atenção deve ser dada à técnica utilizada, a fim de garantir a sua efetividade. Adicionalmente, se for opção do órgão, podem ser utilizadas também técnicas de anonimização, a fim de tornar ainda mais seguro o processo, mitigando o risco de divulgação indevida de dados.
§ 2°. O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.
Nesse parágrafo adiciona-se objetiva camada de segurança dos dados pessoais, na medida em que consta vedação objetiva ao compartilhamento de dados com terceiros, não havendo nenhuma exceção a isso. Além disso, por meio deste parágrafo há claro direcionamento de que os órgãos de pesquisa não poderão repassar a terceiros obrigações específicas de segurança da informação, cabendo a eles total atenção em relação a esse ponto. § 3°. O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
Trata-se de outro ponto que a ANPD precisará regulamentar, dispondo sobre quais dados poderão ser objeto de acesso pelos órgãos de pesquisa, para fins de realização dos estudos em alusão. O entendimento que se extrai deste parágrafo é de que a ANPD deva consultar as autoridades de saúde e sanitárias, a fim de que, em conjunto, tracem esses parâmetros. § 4°. Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Neste parágrafo há a introdução do conceito de pseudonimização na LGPD, o qual, como se percebe, fica restrito aos limites informados no caput do presente artigo. Assim, diversamente do previsto no GDPR, em nossa lei não se optou por trazer conceito amplamente aplicável, sendo sobremodo restritiva a opção da legislação brasileira.
Via de regra, a pseudonimização é alcançada por meio da substituição de algum dado pessoal forte que identifique o seu titular, perdendo a possibilidade de associação direta ou indireta, a qual só se torna possível, por meio do uso de informações adicionais, que são mantidas restritas pelo controlador. Naturalmente, essa simples alteração não será suficiente para impedir a identificação do titular dos dados, especialmente diante da possibilidade de realização de testes de “força bruta”, isto é, por meio da tentativa de todas as possibilidades cabíveis, a fim de que se consiga
“reidentificar” determinado titular. Exemplos claros são o uso de técnicas de criptografia ou hash. Assim, trabalhar com o hash do CPF (Cadastro de Pessoas Físicas), e não com o dado em si, por exemplo, não é suficiente para indicar que se está diante de dado anonimizado, uma vez que se conhecendo o algoritmo do CPF, é possível calcular o hash de todas as possíveis combinações e, por consequência, fazer o caminho reverso e identificar qual hash será atribuído a cada CPF. No máximo, técnicas como essas podem tornar os dados pseudonimizados16. Importante deixar claro que, mesmo diante da restrita aplicação do conceito de pseudonimização previsto na LGPD, nada impede que os agentes de tratamento se utilizem amplamente desse mecanismo, até mesmo como forma de mitigar os riscos de segurança em geral, uma vez que certamente será menor o risco de se trabalhar com o dado dessa forma, do que com eles Seção III Do tratamento de dados pessoais de crianças e de adolescentes Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
No presente artigo vamos endereçar questões específicas sobre proteção de dados de crianças e de adolescentes. Antes de adentrar as especificações trazidas nos parágrafos, convém esclarecer que, de acordo com a Lei 8.069/1990 (Estatuto da Criança e do Adolescente – “ECA”), criança é a pessoa com até 12 (doze) anos incompletos; e adolescente é aquela entre 12 (doze) e 18 (dezoito) anos incompletos. Assim, ao serem tratados dados pessoais desse grupo, deve-se sempre levar em conta seu melhor interesse, conforme prevista no caput, bem como a necessidade de proteção integral, conforme disciplinado na legislação pertinente (ECA). Complementando essas informações, importa observar a parte inicial da Consideranda 38 do GDPR, a qual reitera a necessidade de proteção especial aos titulares mencionados, diante dos riscos a que podem estar expostos e das consequências mais gravosas que podem ser trazidas a esse grupo peculiar. Trazendo outra referência internacional, importante considerar também o
Children’s Online Privacy Act (COPPA)17, legislação dos Estados Unidos da América, e em vigor desde 1998, e que traz extensa regulamentação acerca do tratamento de dados de crianças. § 1°. O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
Como se observa no texto deste parágrafo, há limitação da aplicação das suas disposições às crianças, ficando de fora dessas restrições o consentimento manifestado por adolescentes. Apesar de alguns entendimentos, no sentido de que isso se trataria de lapso do legislador e não seria suficiente para excluir a obrigação dos agentes de coletarem dos adolescentes o consentimento específico e em destaque, entendemos que essas obrigações mais restritivas não se aplicam a titulares a partir de 13 anos de idade, em relação aos quais será suficiente a obtenção do consentimento ordinário. Tal entendimento se extrai, a partir da leitura do Relatório da Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei 4.060/2012 (que posteriormente deu ensejo à LGPD)18, o qual é claro ao declarar que a exigência mais elevada de consentimento fica restrita ao tratamento de dados de crianças19. Aprofundando os conceitos trazidos no parágrafo20, importante observar que o consentimento será entendido como “específico” quando, antes da coleta dos dados, no contrato, na política de privacidade ou em outro documento relacionado, houver detalhamento sobre o ciclo de vida do tratamento dos dados pessoais, com referência objetiva e clara sobre todos os limites e as finalidades em relação aos quais os dados serão tratados, inclusive sendo granular, cabendo ao usuário a seleção sobre o tratamento que deseja efetivamente autorizar. O conceito de “específico”, pois, engloba, de certa forma, os consentimentos informado e livre, não sendo suficiente obter o consentimento do titular como uma “carta em branco” (diante da obrigatoriedade de extenso detalhamento dessa operação) e sem dar ao titular o poder de escolha efetiva sobre o tratamento dos seus dados. Já o consentimento “em destaque” será alcançado quando for clara a identificação do usuário em relação ao tratamento que será realizado com
seus dados pessoais. Isso é especialmente relevante quando o consentimento estiver contemplado dentro de documento que contemple outras autorizações, situações em que o trecho relacionado ao tratamento de dados pessoais deve ser realçado, em relação às demais partes do texto, do vídeo ou do áudio. § 2°. No tratamento de dados de que trata o § 1° deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o artigo 18 desta Lei.
Cabe aos controladores de dados de crianças manter público o contrato, a política de privacidade ou o documento correlacionado, no qual constam as explanações obrigatórias mencionadas no parágrafo antecedente. Adicionalmente, também devem ser publicados os procedimentos para o usuário exercer os direitos referenciados no artigo 18 da lei. Neste parágrafo, importante observar que, a despeito da menção ao § 1° (o qual limita a aplicação do texto às crianças), a partir da leitura do Relatório da Comissão Especial já mencionado21, o melhor entendimento é de que essa obrigação se estende a quem realiza, também, o tratamento de adolescentes. Com base nisso, o entendimento é o de que, por cautela, a obrigação do § 2° deve ser entendida como aplicável aos controladores que tratam dados de crianças ou de adolescentes. § 3°. Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1° deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1° deste artigo.
A própria lei traz exceção às regras previstas para o consentimento prévio ao tratamento de dados de crianças, o qual poderá ser realizado, por apenas uma vez e sem o armazenamento dos dados pessoais, com o objetivo estrito de contatar os pais ou responsável legal ou para a proteção do titular, ficando vedado também o seu compartilhamento com terceiros.
Há o entendimento de que essa exceção também se aplica ao tratamento de dados de adolescentes, especialmente a partir da constatação de que a necessidade de obtenção de consentimento mais restritivo fica limitada às crianças. § 4°. Os controladores não deverão condicionar a participação dos titulares de que trata
o § 1° deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
Reiterando os princípios da finalidade, necessidade e adequação, neste parágrafo consta que qualquer tratamento de dados de crianças, especialmente em jogos e pela internet, deve se restringir ao mínimo necessário. Entendemos que essa obrigação também pode se estender ao tratamento de dados de adolescentes, uma vez que se trata de natural extensão dos princípios da finalidade, necessidade e adequação, os quais têm ampla aplicação. § 5°. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1° deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
Neste parágrafo há a determinação que os controladores de dados pessoais implementem soluções técnicas, dentro dos esforços razoáveis, com o objetivo de garantir que os dados de somente serão tratados, mediante prévio consentimento dos pais ou do responsável legal do titular, e não da criança diretamente. § 6°. As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físicomotoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Neste parágrafo há preocupação com a eventual dificuldade da criança de ter plena compreensão sobre os limites do tratamento dos seus dados pessoais, quer em decorrência da natural falta de maturidade ou nível de conhecimento, ou de eventuais limitações físicas, auditivas, visuais ou mentais do titular dos dados. Com isso, há reforço à clareza com a informação prévia ao tratamento dos dados, bem como a necessidade de implementar soluções de acessibilidade, cabendo observar quanto a esse tocante a Lei 13.146/2015 (Lei Brasileira de Inclusão da Pessoa com Deficiência – Estatuto da Pessoa com Deficiência), em especial, o disposto no artigo 63, que trata da obrigatoriedade de portais em geral implementarem soluções de acessibilidade.
Seção IV Do término do tratamento de dados Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
Neste artigo são relatadas as hipóteses em que deverá acontecer o término do tratamento dos dados pessoais, situação que ensejará a sua eliminação, cabendo destacar que tal deverá se operar de forma automática, não se fazendo necessário qualquer pedido expresso do titular dos dados. Deve-se observar, contudo, que não se trata de algo absoluto, sendo fundamental observar as exceções previstas no artigo 16, a cujos comentários se faz referência. I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
Neste inciso há reforço ao princípio da finalidade, reiterando a sua relevância, na medida em que, uma vez atingida a finalidade especificada ao titular, ou quando os dados não forem mais necessários ou relacionados ao alcance das finalidades, deverá ocorrer o término do tratamento, com a subsequente exclusão dos dados. II – fim do período de tratamento;
Quando houver especificação do período de guarda dos dados, após ser alcançado o fim do período mencionado, os dados não mais poderão ser tratados. III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5° do art. 8° desta Lei, resguardado o interesse público; ou
Nas situações em que houver expressa solicitação do titular para exclusão dos dados, o atendimento ao pedido será mandatório, ressalvando-se as demais hipóteses de manutenção dos dados, conforme previsto nesta Lei. Nesse ponto, expomos o nosso entendimento de que a mera revogação do consentimento, se não for seguida de expressa solicitação de exclusão dos dados, autorizará a manutenção desses dados pessoais, ratificados os tratamentos até então realizados, conforme disposto no § 5° do artigo 8°. Assim, nos casos de revogação do consentimento, a eliminação dos dados
pessoais somente será processada, quando houver pedido direto para tanto, não se tratando de consequência direta e imediata do exercício do direito de revogação. IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
A ANPD poderá determinar a determinado agente de tratamento que elimine da sua base aqueles dados em relação aos quais não conseguir comprovar a licitude, o que compreende o integral cumprimento das disposições legais. Isso inclusive complementa o sentido do disposto no artigo 52, VI desta Lei, a cujos comentários fazemos referência. Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
Quando identificada qualquer das situações descritas no artigo 15, deverá ocorrer a eliminação dos dados pessoais. Isso, contudo, não deverá acontecer sem qualquer critério, sendo importante observar as exceções trazidos no artigo 16. I – cumprimento de obrigação legal ou regulatória pelo controlador;
Havendo qualquer outra determinação legal (independentemente de ser federal, estadual ou municipal) ou regulatória, o controlador poderá manter os dados, com o objetivo específico de atender a tais obrigações. Importante observar que, mesmo havendo a aparente restrição da aplicabilidade do inciso ao controlador, nas situações em que o operador também estiver diante de situação assemelhada, ele poderá se socorrer desse inciso para não excluir os dados objeto de solicitação, sob pena de descumprir outras obrigações legais. Ademais, importante observar que eventuais determinações previstas na legislação internacional, bem como em melhores práticas comprovadamente seguidas por determinado nicho da indústria, também poderão ensejar a retenção de dados, sob pena de se criar diversos problemas de descumprimento de preceitos relevantes. É importante que previamente à retenção dos dados com base em previsões legais internacionais, haja extenso levantamento dos riscos relacionados, especialmente por meio da elaboração
de análise cotejando os riscos de não seguir referida normativa, armazenando as evidências da realização de tal estudo. II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Nas situações em que órgão de pesquisa contiver dados pessoais, eles poderão ser guardados por prazo indeterminado, recomendando-se a realização do processo de anonimização (conforme descrito no artigo 12), quando pertinente. III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
Como se observa neste inciso, mesmo após a solicitação de terceiro para eliminação dos dados, em específicas situações em que subsistir motivação para a retenção dos dados para que posteriormente venham a ser transferidos a terceiro, tal poderá se dar. Importante a obrigação de que todos os demais dispositivos da Lei sejam integralmente seguidos. IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Nas situações em que acontecer o término do tratamento dos dados, o controlador poderá, após realizar o processo de anonimização descrito no artigo 12 desta lei (fazemos referência aos comentários trazidos ao mencionado artigo), mantê-los restrito para seu uso, sendo vedado o acesso por parte de terceiros. É apenas importante observar que, sendo os dados de fato anonimizados, é possível sustentar que, como não mais estarão diretamente protegidos por esta Lei, eles podem ser divulgados ou compartilhados com terceiros, desde que todos os demais dispositivos sejam atendidos, especialmente os que tratam sobre as restrições ao uso dos dados, mesmo anonimizados.
1.
2.
Os entendimentos foram extraídos da Guideline 259/2017, a qual trata especificamente de consentimento à luz do GDPR. Disponível em: [http://portaldaprivacidade.com.br/wpcontent/uploads/2017/12/wp29_consent-12-12-17.pdf]. Acesso em: 26.01.2019. Há Guideline do Article 29, emitida pelo ainda Article 29 à época do estudo, especificamente abordando o tratamento de dados no ambiente de trabalho, cabendo destacar o tópico 3.1.1,
3. 4.
5.
6.
7.
8. 9.
10.
11.
que endereça questões sobre o consentimento para tratamento de dados nessa relação. Disponível em: [http://ec.europa.eu/newsroom/document.cfm?doc_id=45631]. Acesso em: 25.01.2019. Como exemplo de consentimento válido do empregado, podemos citar a situação em que determinada empresa resolve criar painel com as fotografias dos aniversariantes do mês, os quais, se desejarem ser exibidos na imagem, deverão enviar sua imagem para o Departamento de Recursos Humanos. Nessa situação, o ato de o empregado submeter o seu retrato representará seu consentimento para o tratamento dos dados pessoais, para a única finalidade de sua utilização, no respectivo mês da celebração do seu aniversário. Conforme conceito oficial da Agência Nacional de Vigilância Sanitária (ANVISA), disponibilizado em: [anvisa.gov.br/servicosaude/organiza/index.htm]. Acesso em: 29.08.2019. Nesse sentido, importante observar as previsões constantes no artigo 6°, f, do GDPR: “Artigo 6° 1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações: […] f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança”. Tal entendimento é corroborado pelo disposto na Consideranda 47 do GDPR: “Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável”. Esse teste de “três partes” para confirmação do tratamento dos dados com base no interesse legítimo pode ser observado em documento produzido pelo ICO (Information Comissioner’s Office), especificamente abordando essa base legal. Disponível em: [https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulationgdpr/legitimate-interests-1-0.pdf]. Acesso em: 30.01.2019. Disponível em: [www.ans.gov.br/component/legislacao/? view=legislacao&task=PDFAtualizado&format=raw&id=Mjk5NA==;]. Último acesso em: 08.10.2019. Nesse sentido, recomendamos a leitura da Opinião 05/2014, do então ainda denominado Article 29 acerca de Técnicas de Anonimização. Importante apenas observar que a Opinião foi emitida considerando a Diretiva 95/46, e não o GDPR, o que não retira a relevância do documento, havendo poucos impactos práticos como decorrência da mudança legislativa. Disponível em: [https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2014/wp216_en.pdf]. Acesso em 19.01.2018. Fazemos referência à Opinião 05/2014, que contempla explanação objetiva e completa acerca dessas questões. A anonimização, em geral, corresponde em tornar determinados dados pessoais “menos precisos” (com o uso de “arredondamento” de casas decimais, por exemplo), com o objetivo de dificultar a identificação do seu titular. Assim, em vez de adicionar no banco de dados que determinado indivíduo pesa 78 Kg, pode ser adicionada a informação de que ele pesa 80 Kg, por exemplo. Trata-se de técnica rudimentar e que em geral deve ser combinada com outro mecanismo, a fim de reduzir o risco de “desanonimização”. Basicamente, quando a alteração de dados em referência a determinado titular for irrelevante, pode-se usar técnica nesse sentido, “espalhando” aleatoriamente os dados entre os diversos titulares, a fim de tornar mais difícil a identificação do seu legítimo representante. De forma diversa das técnicas anteriores, a privacidade diferencial, em geral, é utilizada a posterori, a partir dos resultados obtidos em determinado banco de dados, com o objetivo de
12.
13.
14.
15.
16. 17.
18.
19.
20.
impedir a identificação específica dos titulares, por meio da adição de ruídos, de forma deliberada. Para aprofundamento no conceito, recomendamos a leitura do Capítulo Differential privacy, escrito por Cynthia Dwork, que se encontra nas páginas 1-12 do livro Automata, languages and programming. Por trazer algumas questões específicas de cálculos matemáticos, a leitura pode se tornar complexa, mas o foco também pode ficar restrito aos aspectos teóricos de anonimização. Disponível em: https://www.microsoft.com/enus/research/wp-content/uploads/2016/02/dwork.pdf. Acesso em: 27.12.2018. Essa técnica é utilizada como forma de prevenir determinado titular de dados de ser individualizado, por meio da diminuição da granularidade. Por exemplo, em vez de tratar dados com a idade específica dos titulares, podem ser utilizadas algumas opções de faixa etária – i. e., não sendo necessário entender que o usuário possui exatamente 32 anos, pode ser criado range de idades, nele categorizando todos os titulares que possuam entre 25 e 35 anos, por exemplo. Igualmente, não sendo necessário ter acesso ao endereço completo do titular, ter acesso ao seu CEP pode ser opção para dificultar a específica identificação do titular. A presente técnica se trata de extensão da k-anonimização, com o objetivo de impedir que ataques determinísticos não serão capazes de “desanonimizar” os dados, por meio da garantia de que para cada atributo haverá pelo menos “l” possibilidades diferentes. A Opinião 03/2013, emitida pelo ainda Article 29 à época do estudo, segue exatamente nessa direção, ao determinar que mesmo o processo de “anonimização total” não representa que os dados estarão completamente a par da aplicação da Diretiva 95/46, que veio a ser substituída posteriormente pelo GDPR (General Data Protection Regulation). Disponível em: [https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2013/wp203_en.pdf]. Acesso em: 19.01.2018. Nesse sentido, recomendamos o artigo Transparent government, not transparent citizens: a report on privacy and transparency for the cabinet office, de autoria de Kieron O’Hara. Disponível em: [https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/61280/trans and-privacy-review-annex-b.pdf]. Acesso em: 18.01.2019. Recomendamos a leitura da já mencionada Opinião 05/2014 do Article 29 para aprofundamento do conceito de pseudonimização à luz da antiga Diretiva Europeia de proteção de dados. Segue link para acesso ao texto integral da lei, em inglês: [http://www.ecfr.gov/cgi-bin/textidx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5]. Acesso em: 31.01.2019. Segue a referência mencionada, extraída da página 37 do Relatório em alusão: “Ademais, responsáveis que lidem com dados de crianças e adolescentes deverão manter pública informação sobre os tipos de dados coletados, como estes são utilizados e os procedimentos para o exercício dos direitos dos titulares”. Disponível em: [https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012]. Acesso em: 31.01.2019. Segue a referência mencionada, extraída das páginas 36 e 37 do Relatório em alusão: “Ademais, responsáveis que lidem com dados de crianças e adolescentes deverão manter pública informação sobre os tipos de dados coletados, como estes são utilizados e os procedimentos para o exercício dos direitos dos titulares”. Disponível em: [https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012]. Acesso em: 31.01.2019. Para todos os detalhes sobre as conceituações relacionadas ao consentimento, reiteramos a referência à leitura da Opinião 15/2011, do então Article 29. Disponível em: [https://ec.europa.eu/justice/article-29/documentation/opinionrecommendation/files/2011/wp187_en.pdf]. Acesso em: 19.01.2019.
21.
Segue a referência mencionada, extraída da página 37 do Relatório em alusão: “Ademais, responsáveis que lidem com dados de crianças e adolescentes deverão manter pública informação sobre os tipos de dados coletados, como estes são utilizados e os procedimentos para o exercício dos direitos dos titulares”. Disponível em: [https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012]. Acesso em: 31.01.2019.
Capítulo III Dos Direitos do Titular
VIVIANE NÓBREGA MALDONADO Tal como mencionamos em nosso livro Comentários ao GDPR – General Data Protection Regulation, Ed. RT, 2018, a ideia de privacidade, na forma como conhecemos, existe formalmente há apenas cerca de 130 anos. Com efeito, até o expresso reconhecimento do direito à privacidade no ensaio denominado “The Right to Privacy”, de autoria de Samuel D. Warren e Louis D. Brandeis, em Harvard Law Review, no ano de 1890, emergiam tão somente referências de ordem filosófica, tais como aquelas que têm suas raízes fincadas na antiga Grécia. É conhecida, por exemplo, a concepção de privacidade idealizada por Aristóteles, que formulou a distinção entre a esfera pública e a esfera doméstica, assim denominadas, respectivamente, polis e oikos, esta última atribuível ao que se pode chamar de reino da vida privada. O específico conceito de privacidade, em sua origem, referia-se à não interferência estatal quanto à vida dos cidadãos. Posteriormente, com seu amadurecimento, a privacidade passou a ser compreendida em um contexto mais alargado e como um direito mais amplo, tal seja aquele que emerge da prerrogativa de não intromissão sob nenhuma forma e por nenhuma pessoa. Warren e Brandeis, em referido e emblemático trabalho, reconheceram o chamado “direito de estar só” e, desde logo, apontaram a existência de uma vasta gama de hipóteses que potencialmente poderiam infringir tal condição, à vista mesmo do já existente, àquela altura, desenvolvimento de invenções capazes de invadir e de malferir a esfera humana. Mencionaram eles, por exemplo, as máquinas fotográficas instantâneas, capazes de capturarem as imagens de forma quase que imediata. E, exatamente em razão de tais avanços, os juristas assinalaram que a
definição e a natureza da proteção à privacidade devem ser revistas e atualizadas de tempos em tempos (“That the individual shall have full protection in person and in property is a principle as old as the common law; but it has been found necessary from time to time to define anew the exact nature and extent of such protection”) para fins de efetividade dessa proteção. Nessa linha lógica e acertada dos juristas, o conceito de privacidade abriu-se, com o passar dos anos, em novos flancos, entre os quais aquele que precisamente diz respeito à proteção dos dados pessoais. Assim, pode-se dizer que a proteção dos dados pessoais é uma das facetas do conceito maior de privacidade, e que brotou e floresceu por decorrência do desenvolvimento tecnológico ocorrido nas últimas décadas. Paulatinamente, esse caminho propiciou a ascensão de tal proteção ao patamar de direito fundamental do homem, tal como já se assegurava com relação à privacidade em seu sentido maior. E é justamente por decorrência de tal condição que o Regulamento Geral de Proteção de Dados Europeu – RGPD – EU 679/16 (General Data Protection Regulation – GDPR) centrase, primordialmente, no próprio titular dos dados pessoais, na medida em que reconhece e atribui-lhe significativos direitos. A lei brasileira inspirou-se no Regulamento Europeu, de modo que incorporou essa lógica: em sua ratio está a proteção do próprio ser humano, o que ensejou, por evidente, a inclusão de consistente rol de direitos a serem assegurados e exercidos pelo titular dos dados pessoais. Muitas pessoas questionam-se sobre a não proteção das pessoas jurídicas quanto aos dados corporativos. E a resposta tem razões históricas. Retrocedendo-se ao período pós-Segunda Guerra Mundial, constata-se que a privacidade se estabeleceu, desde logo, como integrante da categoria dos direitos humanos, sendo certo que, ulteriormente, a proteção de dados atingiu esse mesmo patamar, ostentando, de igual forma, qualidade da mesma espécie. Eis o background quanto a tal evolução. A proteção de dados na Europa foi concebida a partir do paulatino desenvolvimento de conceitos e, ademais, como consequência de um longo caminho percorrido, o qual teve como ponto de partida o reconhecimento da relevância da privacidade como direito fundamental do ser humano. Examina-se, pois, como se deu tal trajetória desde sua pedra fundamental
até o estágio presente, o qual, inequivocamente, coloca no centro de agenda universal a questão da proteção dos dados pessoais. A Convenção Europeia dos Direitos Humanos foi adotada pelo Conselho da Europa em 04.11.1950 e entrou em vigor em 1953. O nome oficial da Convenção é “Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais” e tem ela por objetivo proteger os direitos humanos, bem como as liberdades fundamentais. A Convenção faz expressa referência à Declaração Universal dos Direitos Humanos, proclamada pelas Nações Unidas em 10.12.1948. O artigo 8° de referido instrumento trata especificamente do “Direito ao Respeito pela Vida Privada e Familiar”, achando-se assim estabelecido em seus incisos: 1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência. 2. Não pode haver ingerência da autoridade pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e constituir uma providência que, numa sociedade democrática, seja necessária para a segurança nacional, para a segurança pública, para o bem-estar econômico do país, a defesa da ordem e a prevenção das infracções penais, a proteção da saúde ou da moral, ou a proteção dos direitos e das liberdades de terceiros.
Nessa conformidade, o respeito à vida privada foi definido e reconhecido como direito fundamental com relação aos países europeus subscritores, em caráter inalienável. Anos depois, já na década de 1980, foi firmada a Convenção para a Proteção das Pessoas Singulares no que diz respeito ao tratamento automatizado de dados pessoais (Convenção 108, de 28 de janeiro de 1981), no âmbito do Conselho da Europa, e que ostenta, portanto, o status de primeiro instrumento internacional juridicamente vinculativo adotado no domínio da proteção de dados. Assim está estabelecido em seu artigo 1°.: A presente Convenção destina-se a garantir, no território de cada Parte, a todas as pessoas singulares, seja qual for a sua nacionalidade ou residência, o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de carácter pessoal que lhes digam respeito (“proteção dos dados”).
Em seu preâmbulo, constam quatro consideranda, das quais é possível depreender que a proteção ora instituída consiste em expansão do direito relativo ao respeito à vida privada, e o que se justifica em razão da evolução
tecnológica e do ora crescente tratamento de dados pessoais de forma automatizada. Eis os consideranda: Considerando que a finalidade do Conselho da Europa é conseguir uma união mais estreita entre os seus membros, nomeadamente no respeito pela supremacia do direito, bem como dos direitos do homem e das liberdades fundamentais; Considerando desejável alargar a proteção dos direitos e das liberdades fundamentais de todas as pessoas, nomeadamente o direito ao respeito pela vida privada, tendo em consideração o fluxo crescente, através das fronteiras, de dados de carácter pessoal susceptíveis de tratamento automatizado; Reafirmando ao mesmo tempo o seu empenhamento a favor da liberdade de informação sem limite de fronteiras; Reconhecendo a necessidade de conciliar os valores fundamentais do respeito pela vida privada e da livre circulação de informação entre os povos, acordaram o seguinte.
Verifica-se, pois, que, no interregno de aproximadamente 30 anos, operou-se o alargamento da proteção dos direitos e das liberdades fundamentais de todas as pessoas, em especial quanto ao respeito à sua vida privada, de modo a, agora, ser assegurada, de forma expressa, a específica proteção quanto aos dados pessoais. Por evidente, e tal como se extrai do texto, tal compreensão decorreu especificamente do “fluxo crescente, através das fronteiras, de dados de caráter pessoal suscetíveis de tratamento automatizado”. Essa Convenção, que, em razão do advento do Regulamento Geral de Proteção de Dados, foi submetida a modernização ainda no ano de 2018, possui caráter amplo, já que é aberta a todo e qualquer país do mundo para fins de assinatura e ratificação. Inobstante tal fato, porém, a par dos membros do Conselho da Europa, poucos Estados ratificaram o instrumento. O Brasil, até o momento, a ele não aderiu. Anos depois, foi estabelecida a Carta dos Direitos Fundamentais da União Europeia de 2000. Em 1999, o Conselho Europeu considerou oportuno consagrar em uma Carta os direitos fundamentais em vigor no âmbito da União Europeia, de modo a conferir-lhes maior visibilidade. Para tal fim, foi concebido tal instrumento, que foi formalmente adotado em Nice, em dezembro de 2000, pelo Parlamento Europeu, pelo Conselho e pela Comissão, e o qual se tornou juridicamente vinculativo para a União Europeia com a entrada em vigor do Tratado de Lisboa, em dezembro de 2009. O Tratado de Lisboa (inicialmente conhecido como o Tratado Reformador) é um tratado que foi assinado pelos Estados-membros da União
Europeia (UE) em 13 de dezembro de 2007, e que reformou o funcionamento da União. Tornou-se vigente em 01 de dezembro de 2009. Ele emenda o Tratado da União Europeia (TUE, Maastricht; 1992) e o Tratado que estabelece a Comunidade Europeia (TCE, Roma; 1957). Nesse processo, o TCE foi renomeado para Tratado sobre o Funcionamento da União Europeia (TFUE). Inserido no Título II (Liberdades), está o artigo 8°, que dispõe especificamente sobre a Proteção de Dados Pessoais, nos seguintes termos: 1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.
Afigura-se inconteste, pois, que, em franca e rápida evolução, a proteção de dados veio a ser finalmente alçada à categoria de direito fundamental no âmbito da União Europeia, de forma sólida e definitiva. Por fim, insta mencionar o próprio Tratado sobre o Funcionamento da União Europeia (TFUE) (18.12.2007, em vigor a partir de 01.12.2009), que, em seu artigo 16°, reconheceu o direito à proteção de dados a todas as pessoas, nos seguintes termos: 1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. 2. O Parlamento Europeu e o Conselho, deliberando de acordo com o processo legislativo ordinário, estabelecem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União, bem como pelos Estados-Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados. A observância dessas normas fica sujeita ao controlo de autoridades independentes. As normas adotadas com base no presente artigo não prejudicam as normas específicas previstas no artigo 39 do Tratado da União Europeia.
Tais Cartas, portanto, demonstram que, primeiramente estabelecido o respeito à privacidade como direito fundamental, ocorreu expansão conceitual para, como consequência do desenvolvimento tecnológico, alocarse a proteção de dados na categoria de direito específico, autônomo e atribuído a todas as pessoas, em igual patamar. Tal circunstância, pois, explica o fato de que o novo Regulamento Europeu esteja integralmente voltado à proteção das pessoas físicas, tal como se extrai de sua parte introdutória (“relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação
desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados”). Com efeito, as pessoas jurídicas não se inserem no escopo do Regulamento como titulares de direitos, remanescendo tão somente às pessoas físicas referida proteção de ordem legal. Em alinhamento à concepção estabelecida na Europa, a lei brasileira reproduz grande parte dos mesmos princípios fundamentais, validando a primazia do direito à proteção de dados pessoais como elemento autônomo. Tal circunstância, evidentemente, eleva o País em termos reputacionais e o coloca em alinhamento com o Regulamento Europeu, hoje considerado standard universal. Não por outra razão, aliás, o plenário do Senado Federal, em 02.07.2019, aprovou a Proposta de Emenda à Constituição 17, de 2019, que inclui expressamente no texto constitucional a proteção de dados pessoais como um novo e autônomo direito, tal como já existe em ambiente europeu. A Proposta foi apresentada no mês de março do mesmo ano e encontra-se em sua regular tramitação. Se aprovada, alterará os artigos 5°, XII, e 22, XXX, da Constituição, que passarão a ter a seguinte redação: “Art. 5° […] XII – é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal, bem como é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais;” “Art. 22. Compete privativamente à União legislar sobre: […] XXX – proteção e tratamento de dados pessoais.”
Pois bem. Assim como previstos no Regulamento de Proteção de Dados europeu, na lei brasileira foram também elencados de forma expressa os direitos que se acham assegurados aos titulares dos dados pessoais e que por eles, portanto, podem ser exercidos. Este capítulo, pois, alinha quais são esses específicos direitos. Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Como já referido, o escopo da lei é a proteção da pessoa natural, sendo certo que o conceito de dados pessoais, na forma do art. 5°, inciso I, diz respeito à “informação relacionada a pessoa natural identificada ou identificável”.
Nessa conformidade, os direitos e garantias elencados na lei dizem respeito, por evidente, unicamente às pessoas físicas com relação a seus dados pessoais, estando afastados de seu alcance as eventuais pretensões formuladas por entes jurídicos. De igual maneira, não se incluem no escopo da lei eventuais requerimentos formalizados por pessoas naturais no que se refere a informações outras que não se caracterizem como dados pessoais, na estrita forma como definidos em lei. Quanto a esta última hipótese, é de relevo anotar que nem toda informação pode ser compreendida como dado pessoal. A proteção legal, assim, restringe-se unicamente a aquelas informações que ostentam tal qualidade. No mais, verifica-se que o legislador inseriu no dispositivo legal a garantia de direitos previstos na Constituição Federal, haja vista que vinculou a titularidade dos dados pessoais aos direitos fundamentais da liberdade, da intimidade e da privacidade. Tal opção deixa entrever a preocupação do legislador em maximizar as garantias ao titular dos dados pessoais, conferindo-lhe especial status. Outro aspecto a ser destacado é referente à impossibilidade de desvinculação dos dados pessoais da pessoa de seu titular quando aqueles passam a ser tratados pelo controlador ou pelo operador. Com efeito, ainda que o titular, voluntariamente, disponibilize irrestritamente os seus dados pessoais, mesmo que publicamente, subsiste a ele a plena titularidade, em liame indissociável. Por fim, no que se refere à última parte do dispositivo, especificamente no que concerne à menção “nos termos da Lei”, abre-se a possibilidade de inclusão de restrições e de exceções de caráter legal, notadamente quando venha a existir preponderância de interesses que se sobreponham à vontade do titular. Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
O art. 18 elenca os específicos direitos que podem ser exercidos pelo titular dos dados pessoais. Evidentemente, como será visto mais à frente, nem todas as requisições formuladas pelo titular dos dados poderão vir a ser atendidas. A redação da norma em seu caput pode, à primeira vista, sugerir que exista obrigatoriedade do atendimento, por parte do controlador, quanto a uma pretensão que lhe tenha sido endereçada na forma de requisição.
Entretanto, o § 4° desse mesmo artigo reconhece, desde logo, que existem hipóteses em que há impossibilidade de atendimento da pretensão. De todo modo, e já se adianta o tema quanto a esse aspecto, o que se impõe ao controlador é que sempre processe a requisição que lhe é formulada, não sendo admissível ignorá-la, ainda que possa se mostrar ilegítima ou despropositada. A lógica desse específico dispositivo, em linha com o que estabelece o Regulamento Europeu, pressupõe a análise, por parte do controlador, quanto às requisições que lhe sejam enviadas, para, a partir de então, valorar se poderão, ou não, ser atendidas, com base nos fundamentos da própria lei. O procedimento a ser adotado pelo controlador, nessas hipóteses, será examinado ainda nesse mesmo artigo. I – confirmação da existência de tratamento;
O primeiro direito listado na lei diz respeito à possibilidade de confirmação da própria existência do tratamento. Sob essa acepção, e sem que se exija justificativa, todo e qualquer titular possui o direito de meramente confirmar a existência de tratamento de seus dados pessoais. Esse específico direito guarda relação com o princípio da transparência, tal como preconizado no art. 6°, em que se dispôs que As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: “VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”.
No entender da ICO (Information Commissioner’s Office), que é a autoridade da proteção de dados do Reino Unido, a transparência, em uma maneira simples de ser compreendida, diz respeito à atuação clara, aberta e honesta sobre quem é o responsável pelo tratamento, assim como de que forma e por qual razão serão utilizados os dados pessoais de um determinado titular. A redação do art. 9° da Lei 13.709/2018, muito embora não seja expressa a respeito, permite a compreensão de que, pelo princípio da transparência, o titular dos dados deverá ser informado do fato ao início do tratamento de seus dados pessoais, independentemente de qualquer requisição. Esse standard amolda-se ao espírito do Regulamento Europeu, exigindo-se, desde logo, que
o titular de dados tenha conhecimento acerca do tratamento de seus dados pessoais, desde sua coleta. A propósito, na lei europeia, há norma expressa a respeito. Enquanto o art. 13 do GDPR trata especificamente das informações a serem fornecidas quando os dados são recolhidos junto do titular de dados, o art. 14 trata das informações a serem prestadas quando os dados pessoais não são recolhidos junto do titular de dados. A ciência quanto ao tratamento, pois, deve ser dada pelo controlador concomitantemente à própria coleta, independentemente de haver recolhido os dados diretamente do titular, ou não. O direito à confirmação do tratamento subsiste mesmo que as informações tenham sido disponibilizadas ao momento do recolhimento dos dados. Trata-se, aqui, de garantir ao titular dos dados que permaneça no controle de seus dados pessoais, assegurando-se-lhe, pois, que possa formular requisição, para seu mero conhecimento, acerca da existência de tratamento de dados pessoais. II – acesso aos dados;
O direito de acesso aos dados pressupõe a existência de conhecimento prévio ou de anterior confirmação da existência de tratamento. Com efeito, sendo incontroversa a existência do tratamento de dados pessoais, o titular dos dados poderá ter acesso a eles e também a uma série de informações, entre as quais as finalidades, categorias, destinatários, prazo de conservação, origem dos dados, existência de decisões automatizadas, apenas para elencar algumas. No Regulamento Europeu, há dispositivo legal específico relativo ao direito de acesso (art. 15), em que se estabelecem o direito em si, assim como as detalhadas informações que podem ser acessadas pelo titular 1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações: a) as finalidades do tratamento de dados; b) as categorias dos dados pessoais em questão; c) os destinatários ou categorias de destinatários a quem foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais; d) se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo; e) a existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento; f) o direito de apresentar reclamação a uma autoridade de controle; g) se os dados
não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados; h) a existência de decisões automatizadas, incluindo a definição de perfis, referida no art. 22, n. 1 e 4, e, pelo menos nesses casos, informações uteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
No mais, “2. Quando os dados pessoais forem transferidos para um país terceiro ou uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 46° relativo à transferência de dados”.
Por fim, 3. O responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento. Para fornecer outras cópias solicitadas pelo titular dos dados, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrônicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrônico de uso corrente.
A seguir-se a mesma lógica posta no Regulamento Europeu, contemplase extenso rol que se pressupõe deva ser disponibilizado de forma física, em cópia, sendo de conveniência que a autoridade brasileira venha a detalhar quais as informações que poderão vir a ser buscadas pelo titular, no exercício desse específico direito. III – correção de dados incompletos, inexatos ou desatualizados;
O direito de correção dos dados é a versão brasileira do direito de retificação previsto no art. 16 do Regulamento Europeu, segundo o qual O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhes digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.
Tal direito guarda relação com o princípio data accuracy estabelecido pela OECD (Organization for Economic Co-operation and Development). A Organização elaborou guidelines para a proteção da privacidade nos fluxos transfronteiriços de dados pessoais. Nessas guidelines, que vieram a ser atualizadas no ano de 2013, consta, a par das questões relacionadas à legalidade e à necessidade, que os dados pessoais devem ser precisos, completos e atualizados (accurate, complete and kept up-to-date). E tamanha é a relevância desse aspecto atinente à precisão dos dados pessoais que, em um pouco extenso texto (as guidelines propriamente ditas), há exatas 12
menções às expressões accurate e accuracy. A compreensão que se extrai da valorização, naquele contexto, da acurácia dos dados diz respeito aos riscos inerentes a problemas de identificação de pessoas no que se refere aos fluxos transnacionais, recomendando a Organização, pois, que as empresas disponham de meios para corrigir informações equivocadas ou desatualizadas. Ademais, destaca que a imprecisão é capaz de ensejar reflexos no que se refere ao profiling dos titulares de dados. Tais fundamentos, portanto, bem justificam o direito à retificação inserido no Regulamento Europeu, achando-se assegurado ao titular de dados, por força de lei, o direito à retificação dos dados pessoais inexatos que lhe digam respeito e, ainda, o direito a que seus dados sejam completados se estiverem incompletos. No Brasil, quer-se crer que a preocupação primordial no quanto diz respeito ao direito de correção não se acha atrelada, em termos primordiais, ao fluxo transfronteiriço de pessoas. Com efeito, o escopo principal do direito aqui alinhado guarda consonância com a cotidiana identificação de pessoas dentro do próprio território nacional, devendo ser ressaltado que a falta de acurácia dos dados é elemento que potencialmente pode viabilizar fraudes, notadamente em ambiente on-line. Assim, os dados devem ser atualizados por decorrência de alteração de nome, endereço, estado civil, gênero, entre outros, desde que, por óbvio, haja a devida e formal requisição do titular ao controlador, que, a priori, não dispõe de meios para tomar ciência de tais modificações sem a provocação do interessado. Sob os mesmos fundamentos, dados incompletos devem ser completados e dados equivocados devem ser corrigidos. Evidentemente, é de todo aconselhável o registro do histórico dos apontamentos, sem que necessariamente ocorra a deleção da informação desatualizada, a qual poderá vir a ter utilidade para variados fins, seja para o controlador, seja para o titular. Por fim, tem-se que, em caso de dúvidas quanto à legitimidade e ao próprio objeto do pedido, o controlador poderá solicitar informações adicionais e comprovação quanto à identidade do postulante para, ao depois, avaliar a própria pretensão sob o aspecto meritório.
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Nesse dispositivo, encontram-se elencados três direitos de naturezas diversas, os quais merecem, portanto, análise individualizada. O primeiro direito a ser examinado é o concernente à anonimização. Na forma do quanto dispõe o art. 5°, III, dado anonimizado é o “dado relativo a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. No art. 12, em seu caput, define-se que os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Nesse particular, a lei brasileira afasta-se da concepção europeia em termos de compreensão. Com efeito, para os fins do Regulamento Europeu, o dado caracterizado como “anonimizado” é tido desde logo por irreversível, de modo que perde, por completo, a qualidade de dado pessoal para os fins da lei. Com efeito, para aqueles fins, se um determinado processo pode vir a ser revertido, entende-se que o dado, sob essa acepção, é meramente pseudonimizado, e que, portanto, qualifica-se como dado pessoal. Muito embora a anonimização esteja capitulada na lei brasileira como um direito do titular, deve ser levado em consideração que o exercício de tal direito não se dá de forma irrestrita, haja vista que a própria lei, nas hipóteses em menciona a conveniência do processo de anonimização, faz a ressalva do sempre que possível, tal como se extrai dos artigos 7°, inciso IV, 11, inciso II, c, 13, caput, e 16, inciso II. A reiterada menção à mera possibilidade de anonimização deixa entrever que o legislador reconhece o elevado grau de dificuldades técnicas e operacionais para o processo, de modo que, a depender do quadro que se apresente, poderá ser escusada a não adoção de medidas para esses fins. Ora, se, para hipóteses relevantes, tais como “estudo por órgão de pesquisa” e “estudos em saúde pública”, em que há expressa menção à conveniência da anonimização, há ressalva concernente à mera possibilidade (e não a sua imposição incondicional), tem-se como corolário lógico que, em hipóteses outras, não será exigível do controlador que adote referido processo se esse se mostrar impossível.
O segundo direito trazido pelo dispositivo diz respeito ao bloqueio, que, na forma do art. 5°, XIII, define-se como a “suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados”. No Regulamento Europeu, acha-se previsto o direito à limitação do tratamento, o qual não é contemplado nos mesmos moldes pelo legislador brasileiro e que, em tese, pode ser entendido como direito aproximado ao direito de bloqueio. O direito à limitação do tratamento, na forma do art. 18 do GDPR, consiste, em síntese, no direito de obter restrição quanto ao tratamento em específicas situações. Tal direito não se confunde com o direito ao apagamento, o qual pressupõe a completa eliminação dos dados quando há o requerimento do titular e quando, de fato, inexista base legal para a subsistência do tratamento. No caso do direito à limitação, pode ser postulada a restrição temporal ou qualitativa na forma das hipóteses previstas no dispositivo em questão. E o consideranda 67 do GDPR bem elucida as formas de lidar com tais situações, trazendo os adequados métodos para a operacionalização do direito: Para restringir o tratamento de dados pessoais pode recorrer-se a métodos como a transferência temporária de determinados dados para outro sistema de tratamento, a indisponibilização do acesso a determinados dados pessoais por parte dos utilizadores, ou a retirada temporária de um sítio web dos dados aí publicados. Nos ficheiros automatizados, as restrições ao tratamento deverão, em princípio, ser impostas por meios técnicos de modo a que os dados pessoais não sejam sujeitos a outras operações de tratamento e não possam ser alterados. Deverá indicar-se de forma bem clara no sistema que o tratamento dos dados pessoais se encontra sujeito a restrições.
A propósito desse direito, manifestou-se o ICO (Information Commissioner Office), órgão regulatório do Reino Unido em matéria de proteção de dados, trazendo luz à restrição. Esclarece o órgão, em síntese, que normalmente as restrições são temporárias e que o eventual levantamento da restrição deve ser comunicado previamente ao interessado. Ademais, enquanto perdurar a restrição, o responsável nada poderá fazer com os dados que não unicamente mantê-los em suas bases e sistemas, salvo se houver consentimento para atividade diversa, ou para a finalidade de proteger os direitos de outra pessoa, ou ainda por razões de importante interesse público. No Brasil, o ato de bloqueio está também listado como sanção, na forma do art. 52, inciso V, registrando-se aqui a inconveniência de utilização da mesma denominação para definir um dos direitos do titular e também uma
das sanções a que estão sujeitos os agentes de tratamento, conforme previsão do art. 52, V. Sendo esse o quadro da opção legislativa no que concerne à terminologia, seria recomendável que a ANPD esclarecesse a distinção conceitual no que pertine ao direito assegurado ao titular e à sanção a ser potencialmente imposta em virtude de infração. Por fim, nesse mesmo inciso, trata-se ainda da “eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nessa Lei”. A eliminação de dados, em um sentido amplo, aproxima-se em muito do direito ao apagamento que já era previsto da Diretiva Europeia 95/46. O Regulamento Europeu veio a substituir tal Diretiva e, em seu artigo 17, acha-se positivado o “direito ao apagamento de dados”, também denominado, naquele mesmo dispositivo, de “direito a ser esquecido”. Analisa-se, pois, a questão do direito ao esquecimento naquele contexto, antes que se possa adentrar no direito à eliminação previsto na lei brasileira. O direito a ser esquecido, ou direito ao esquecimento, não pode ser considerado novo em solo europeu, na medida em que são conhecidas decisões judiciais antigas, provenientes de jurisdições diversas, em que houve discussão acerca do tema. Um dos emblemáticos casos é referente ao homicídio de Walter Sedlmayr, ator que veio a ser assassinado em 1990 por dois meios-irmãos, que foram condenados à prisão perpétua. Concedidos os benefícios do livramento condicional, nos anos de 2007 e 2008, postulou-se remoção de informações referentes aos autores do crime da plataforma Wikipedia, sendo certo que, em 2009, a Corte Constitucional Alemã afastou a pretensão. Ora, sendo esse o resultado da demanda, é evidente que, no caso concreto, o direito ao esquecimento não foi reconhecido em favor da parte postulante. De todo modo, houve o exercício de ponderação dos elementos atinentes à privacidade e ao interesse público, o que permite dizer que ocorreu efetiva discussão sobre o tema. Em outros dois casos ocorridos também na Alemanha (Lebach I e II), houve igualmente debate de aspectos referentes à mesma tese, havendo a Corte Constitucional, em ambos os processos, procedido à operação de ponderação relativa ao sopesamento de princípios de similar patamar. Assim, a despeito dos específicos resultados das demandas, o fato é que, em seu
bojo, houve discussões acerca do tema, o que permite concluir, como dito, que a tese do direito ao esquecimento não é nova. Sob o ponto de vista normativo, também não é possível afirmar-se que o direito previsto no art. 17 do Regulamento Europeu constitui inovação, pois, como dito, a Diretiva EU 95/46 já tratava expressamente da possibilidade de apagamento de dados em mais de um artigo, de sorte que, seja na seara jurisprudencial, seja na seara normativa, o direito ao esquecimento é muito anterior ao GDPR. A despeito desse fato, é forçoso reconhecer-se que, muito embora a Diretiva seja do ano de 1995, foi apenas em 2014, por ocasião do emblemático caso que envolveu o cidadão espanhol Mário Costeja Gonzalez e o Google, que o tema passou a ganhar notoriedade e repercussão mundiais. Em apertadíssima síntese, o Tribunal de Justiça da União Europeia, em maio de 2014, reconheceu em favor de tal pessoa o direito ao esquecimento no que se refere a informação antiga encontrada por meio do buscador Google e com relação à qual já não havia necessidade ou legítimo interesse quanto à sua subsistência. O Google, não dispondo de instância recursal, naquele mesmo mês tratou de implementar ferramenta em sua plataforma, dentro da aba “Transparency Report”, para o fim de possibilitar solicitações de remoção de dados de cidadãos europeus com base em tal decisão judicial. Cinco anos depois, a ferramenta continua sendo disponibilizada pelo Google e as estatísticas demonstram que, desde sua implantação, foram submetidas cerca de 3.300.000 requisições, havendo significativa parcela delas (44,9% – agosto/2019) sido atendida. Entre outros fundamentos, a Corte Europeia, para reconhecer o direito ao esquecimento, valeu-se do pressuposto de que os motores de busca realizam atividade de tratamento de dados, razão pela qual se submetem à obrigação de apagamento, na forma como já era prevista pela Diretiva EU 95/46. Pois bem. Se as Diretivas Europeias não ostentam caráter cogente e prescindem do denominado processo de “transposição” para serem incorporadas aos sistemas internos e alcançarem força de lei, o mesmo não se pode dizer dos Regulamentos Europeus, que, desde sua plena eficácia, impõem-se de forma coercitiva a cada um dos Estados-Membros. O art. 17, pois, é norma cogente.
Em seu item 1, está estabelecido que o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora justificada, e este tem a obrigação de apagar os dados pessoais, sem demora justificada, quando se aplique um dos seguintes motivos: a) Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento; b) O titular retira o consentimento em que se baseia o tratamento de dados e não há outro fundamento legal para o tratamento; c) O titular opõe-se ao tratamento; d) Os dados, em sua origem, foram tratados ilicitamente; e) O apagamento presta-se a atender uma obrigação jurídica de direito da União ou do Estado-Membro a que responsável esteja sujeito; f) Os dados foram recolhidos na oferta de serviços da sociedade de informação com relação a crianças.
Por seu turno, o item 3 trata das hipóteses de não aplicação. Em síntese, esse específico dispositivo afirma que o tópico 1 não é aplicável em algumas situações, assim como também o item 2, que trata das medidas a serem adotadas quando há o reconhecimento do direito ao esquecimento. Diz o item 3, pois, que não há aplicação quando o tratamento de dados se revele necessário: a) ao exercício da liberdade de expressão e de informação; b) ao cumprimento de obrigação legal que exija o tratamento, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento; c) por motivos de interesse público no domínio da saúde pública; d) para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos; e) para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Admitido que um titular de dados pretenda fazer valer o direito ao esquecimento no âmbito da União Europeia, deverá formular sua pretensão invocando uma das bases legais constantes do item 1 do artigo 17. Ao ser recebida a solicitação, deverá o responsável pelo tratamento examinar se há causa legal, ou não, à permanência do dado em tratamento. Se entender que não existe base legal para a conservação do dado, deverá atender à solicitação no prazo legal e comunicar o titular dos dados pessoais. E, para a efetividade dessa ação, o responsável pelo tratamento haverá de tomar as medidas que forem razoáveis, inclusive as de caráter técnico, tendo em vista a tecnologia disponível e os custos para sua aplicação, para atender o pedido. Ademais, se
o receptor da solicitação não é o próprio controller, deverá de imediato comunicar os responsáveis pelo tratamento efetivo dos dados de que o titular solicitou o apagamento, para que esses possam proceder à análise e adotar as medidas pertinentes. Há que ser anotado, ademais, que, quando se trata de apagamento de dados, não é suficiente sua mera ocultação, devendo, de fato, ocorrer sua completa eliminação dos arquivos e sistemas, inclusive backups. Na excepcional hipótese de que, por razões justificadas, seja necessária a manutenção do dado no backup do sistema, deverá o responsável pelo tratamento comunicar o titular do dado quanto a essa ocorrência, informandolhe as razões. No mais, o controlador deverá adotar expediente técnico que permita, caso necessário seja, demonstrar que a solicitação foi devidamente atendida, o que, via de regra, é efetivado por meio de logs (registros). Compreendendo, em sentido diverso, que o dado pessoal não poderá ser apagado, com base no que dispõe o item 3 do art. 17, deverá o responsável pelo tratamento comunicar o titular dos dados quanto à decisão de recusa, apontando, ademais, qual a base legal que justifica a permanência da informação.
Anota-se ainda que, sob a acepção atinente aos princípios da transparência e da informação, afigura-se de toda conveniência que os responsáveis pelo tratamento implementem canais ou formulários que facilitem toda espécie de comunicação do titular de dados, inclusive para os específicos fins de propiciarem a formulação de solicitações atinentes a seus direitos, entre os quais as de apagamento. A Comissão Europeia, atenta às dificuldades interpretativas quanto à razoabilidade e validade dos pedidos para fins de atendimento, ou não, publicou em seu site oficial algumas informações adicionais tendentes à facilitação da compreensão do tema. Ali estão guidelines específicas capazes de auxiliar na tarefa de avaliação dos pedidos de remoção. No mais, as guidelines do extinto Working Party 29 quanto à implementação da decisão do Tribunal de Justiça da União Europeia no que se refere ao caso Costeja também proveem detalhadas informações acerca dos critérios a serem tomados em consideração diante de uma postulação de apagamento.
De resto, na exata conformidade do quanto ocorre com as decisões judiciais a propósito do tema, deverá o responsável pelo tratamento proceder a juízo de valor sobre a pretensão, analisando a existência, ou não, de base legal para a conservação dos dados cujo apagamento é pretendido. Se existir tal base, poderá então proceder à recusa, que sempre deverá ser motivada. E, ao contrário, se não houver base legal, o pedido do titular de dados deverá ser atendido no prazo definido no Regulamento, incumbindo ao responsável munir-se de elementos aptos à eventual demonstração de que processou o pedido e de que o atendeu. Em exame da redação do inciso I do art. 17 do GDPR, verifica-se que a questão temporal não é relevante ao reconhecimento do direito ao esquecimento naquele contexto. Basta, por exemplo, que se retire o consentimento a qualquer tempo. Por essa razão, a compreensão que se tem do direito ao esquecimento no GDPR distancia-se, em parte, dos elementos adotados pela doutrina clássica, em que há a pressuposição da perda do interesse público pelo mero transcurso do tempo como pilar justificador da invocação do direito. O legislador, em matéria de proteção de dados no seio europeu, optou por tratar o direito ao apagamento de dados como sinônimo ao direito ao esquecimento. No Brasil, não há possibilidade de similar entendimento. Trata-se de institutos jurídicos distintos. O tema do direito ao esquecimento, hoje, achase catalogado como matéria de Repercussão Geral (tema 786) no Supremo Tribunal Federal e, obviamente, não está reconhecido em diplomas legais. Nessa conformidade, e para afastar-se a possibilidade de dúvidas, tem-se que o que a lei brasileira prevê é a possibilidade de “eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nessa Lei”. Tal prerrogativa, sob a ótica brasileira, não se relaciona com o direito ao esquecimento, e diz respeito unicamente à possibilidade de eliminação de dados nessas circunstâncias, já que os dados, pessoais, por evidente, devem sempre ser necessários, adequados e lícitos. Constatando, pois, o titular que há dados pessoais fora desse standard, faculta-lhe a lei o direito de postular a sua completa eliminação, sempre permitida, obviamente, a aferição da plausibilidade do pedido por parte do controlador, o qual, caso não possa atender a pretensão, deverá justificar a negativa ao titular.
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
A nova redação desse inciso advém da Lei 13.853/2019, que converteu a Medida Provisória 869/2018 em lei ordinária. A alteração em questão, no tocante à originária redação, apenas migrou a expressão “de acordo com a regulamentação da autoridade nacional” para o centro da formulação, de modo a agora sugerir que a regulamentação em questão diz respeito ao regramento da própria portabilidade e sua requisição. De fato, da originária redação, era possível inferir-se erroneamen-te que a regulamentação se referia também aos segredos comercial e industrial, o que não fazia sentido. Em linhas gerais, o direito refere-se à possibilidade de, junto ao controlador, obter os dados pessoais de forma estruturada e de modo a que possam ser transmitidos a outro controlador. Em sua origem, o objetivo da norma diz respeito à proteção do titular de dados quanto à situação conhecida como vendor lock-in, que, em português pode ser traduzida por “aprisionamento tecnológico”. Tal circunstância acaba por compelir o usuário a permanecer vinculado a um determinado controller, já que os custos para possível troca seriam excessivamente elevados e capazes de desmotivar a substituição. Com a obrigatoriedade de atendimento ao direito de portabilidade, permite-se ao titular dos dados encaminhá-los a outro controlador de maneira fácil e estruturada. Para isso, pois, e como é evidente, deverá esse manter os dados alocados de forma estruturada, para o fim de possibilitar que, em formato portável, sejam exportados ao terceiro ou entregues ao titular dos dados para que ele possa utilizá-los junto a outro controlador. O já mencionado e ora extinto Grupo de Trabalho do art. 29, em dezembro de 2016, estabeleceu guidelines para esse específico direito no contexto europeu, as quais foram revisadas e adotadas em abril de 2017. Em linhas gerais, as guidelines estabelecem quais os dados a serem portados e, em especial, quais as medidas técnicas e formatos admissíveis para a conformidade ao Regulamento. Ademais, tratam ainda dos desafios atinentes a uma elevada quantidade de dados, constando sugestão, nesse particular, de adoção de API (Application Programming Interface) para a facilitação de atendimento das solicitações.
Por evidente, a portabilidade diz respeito unicamente às informações relativas ao próprio titular, sendo certo que a lei foi clara ao determinar a preservação dos segredos comercial e industrial. O intuito da regra, frise-se, é unicamente possibilitar ao titular que, de posse de seus dados e de seu histórico, obtenha similar contratação em concorrente, exercendo, assim, sua livre opção. VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Já analisamos a eliminação de dados nas hipóteses em que esses se mostrem desnecessários, excessivos ou tratados em desconformidade com o disposto na lei. Esse específico inciso diz igualmente respeito à eliminação de dados, mas agora com relação ao consentimento do titular. O art. 7° da LGPD traz as bases legais autorizadoras do tratamento e a primeira delas é o fornecimento de consentimento pelo titular. Por evidente, quem fornece o consentimento pode igualmente retirá-lo quando assim lhe aprouver. E é justamente acerca desse aspecto de que trata a lei: o titular pode postular a eliminação de dados se já não mais existe o consentimento. O dispositivo aponta exceção para as hipóteses previstas no art. 16, no qual é prevista a autorização da conservação dos dados após o esgotamento da sua finalidade se há obrigação legal ou regulatória a ser cumprida pelo controlador, ou estudo por órgão de pesquisa, ou ainda transferência a terceiro e uso exclusivo do controlador após anonimização. O intuito da norma, pois, é autorizar a eliminação dos dados pessoas quando da retirada do consentimento, salvo se estiver presente alguma das hipóteses de exceção previstas no art. 16. E, seguindo a mesma lógica quanto aos demais direitos, caso não seja possível o atendimento em questão, a negativa deverá ser prontamente comunicada e justificada ao titular. VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
O conceito de uso compartilhado de dados está no art. 5°, inciso XVI: uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Uma vez que é permitido tal uso compartilhado nos termos da lei, assegura-se ao titular dos dados pessoais buscar informação acerca das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado. O dispositivo assenta-se no conceito geral de informação e de acesso, uma vez que o liame entre o titular e os seus dados pessoais é indissociável. Assegura-se a ele, pois, o direito de conhecer quais os entes públicos e privados que procedem a seu tratamento, não sendo facultado ao controlador omitir do titular os respectivos resultados da consulta. O intuito da norma é manter o titular no pleno controle de seus dados pessoais de forma a que conheça todas as entidades, públicas ou privadas, que procedam ao tratamento dos dados por força do compartilhamento por parte do poder público. VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
O presente dispositivo assegura ao titular dos dados a possibilidade de saber que poderá não fornecer o consentimento e, ademais, quais seriam as consequências da negativa a esse específico consentimento. Muito embora o dispositivo possa sugerir a compreensão de que deverá ser formulada consulta ao controlador, tem-se que, em consonância com Regulamento Europeu, tal informação em questão já deverá ser prestada de maneira antecipada à própria coleta dos dados pessoais e independentemente de qualquer requisição. Com efeito, os deveres de transparência e de informação pressupõem conduta ativa a cargo do controlador, que deverá sempre maximizar a clareza ao titular no que concerne ao tratamento de seus dados pessoais. De todo modo, admitindo-se que essa informação não tenha sido prestada oportunamente, remanesce ao titular o direito de instar o controlador a prestar o esclarecimento de forma clara, expressa e inequívoca, devendo ele, para atendimento à solicitação, explicitar as consequências decorrentes do não consentimento em termos concretos. IX – revogação do consentimento, nos termos do § 5° do art. 8° desta Lei.
O art. 8°, § 5°, da LGPD dispõe que
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
Por seu turno, o art. 5°, inciso XII, define o consentimento como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
O consentimento constitui uma das dez bases legais para o tratamento dos dados pessoais, que são definidas na lei como verdadeiros requisitos para sua ocorrência. Na sistemática da lei, o consentimento ocupa lugar de destaque, havendo sido mencionado inúmeras vezes pelo legislador. Deve ser destacado, porém, que, a despeito dessa atenção especial, o consentimento não se acha em posição hierarquicamente superior com relação às demais bases legais previstas no art. 7°. Ao tempo da aprovação do texto do Regulamento Europeu, muito se discutiu acerca da relevância do consentimento, havendo quem entendesse que esse haveria de estar presente para todo e qualquer tratamento. Essa conclusão é errônea e levou alguns controllers europeus a interpretarem de forma equivocada a norma legal, exigindo do titular de dados pessoais específico consentimento para hipóteses que, em realidade, apoiavam-se em outra base. Ora, se o tratamento se fundamenta, por exemplo, na execução de contrato ou no cumprimento de obrigação legal, não há que se reclamar do titular de dados o fornecimento de seu consentimento para validar o tratamento. As bases legais da lei brasileira são examinadas em outro capítulo desse livro. O que releva aqui é a possibilidade de revogação do consentimento na forma de exercício de direito do titular, e o que pode dar-se a qualquer tempo. Sob essa acepção, afigura-se desnecessário o cumprimento de eventual elemento condicionante para que se opere a revogação. Além disso, o fator temporal é irrelevante. Nessa conformidade, a revogação pode operar-se no instante seguinte ao do fornecimento do consentimento, sendo certo que, em tal ocorrência, o tratamento dos dados deve cessar, salvo se, por óbvio, existir outra base legal que se cumule a ela.
No mais, a revogação do consentimento não produz quaisquer efeitos no que se refere aos atos praticados sob a égide do consentimento licitamente fornecido, ratificando-se, portanto, o tratamento anteriormente realizado. Por fim, insta mencionar que a eventual alteração das finalidades do tratamento deverá ser sempre comunicada ao titular, para o fim de que, em caso de discordância, proceda à revogação do consentimento. § 1°. O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
Após elencar os nove direitos assegurados ao titular de dados, aqui já examinados, o legislador aponta para outras faculdades, que se iniciam aqui, precisamente no § 1°. Vetado o capítulo referente à Autoridade Nacional por ocasião da sanção da Lei 13.709/2018, sobreveio a Medida Provisória 869/2018, que criou a Autoridade Nacional de Proteção de Dados, entre outras providências. Muito embora no corpo do texto não se encontre o exato correspondente e não se esclareça qual o procedimento a ser adotado para fins de peticionamento e tampouco para o processamento subsequente, há sintonia entre esse dispositivo da lei e o disposto no art. 55-J da Medida Provisória, no qual se prevê a competência da ANPD para “V – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei”. Oportunamente, acredita-se, serão melhor esclarecidos pela Autoridade Nacional quais os meios e formas adequados para a formalização de reclamações por parte dos titulares de dados pessoais. De todo modo, a despeito da forma procedimental a ser adotada, o fato é que a LGPD estipulou expressamente tal faculdade a ser exercida pelo titular dos dados pessoais, quando e se lhe convier. § 2°. O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
A lei prevê algumas hipóteses autorizadoras do tratamento em que há dispensa de consentimento. O art. 7°, § 4°, por exemplo, esclarece que “É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os
direitos do titular e os princípios previstos nesta Lei”. Na conformidade desse dispositivo, portanto, depreende-se que, mesmo quando o próprio titular tenha tornado manifestamente públicos os seus dados pessoais, subsiste base para a oposição, nos exatos termos da lei. Por seu turno, o art. 11, ao referir-se ao tratamento dos dados pessoais sensíveis, elenca, no inciso II, a possibilidade de tratamento dos dados sem fornecimento de consentimento do titular, nas hipóteses ali taxativamente trazidas em seus sete incisos, que dizem respeito, em síntese, a cumprimento de obrigação legal ou regulatória pelo controlador, tratamento compartilhado para fins de execução de políticas públicas, realização de estudos por órgãos de pesquisa, exercício regular de direitos, proteção da vida ou incolumidade física do titular ou de terceiro, tutela da saúde e garantia da prevenção à fraude e à segurança do titular. Permite-se, pois, a oposição ao tratamento dos dados nas hipóteses de dispensa do consentimento caso se verifique descumprimento legal. § 3°. Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
O exercício dos direitos listados na lei acha-se cometido ao próprio titular de dados, de modo que terceiras pessoas não possuem autorização para demandarem em nome alheio. Nessa conformidade, é o próprio titular quem formula o requerimento expresso, ou, se o caso, o seu representante legalmente constituído para os específicos fins. E observe-se, aqui, que o regramento diz respeito aos requerimentos endereçados aos próprios agentes de tratamento e, não, à autoridade nacional.
Na União Europeia, tornou-se relativamente comum que os controladores, ali denominados responsáveis pelo tratamento, disponibilizem canais em seus portais ou plataformas para que os titulares formulem os seus requerimentos. Tal procedimento alinha-se com o esforço à facilitação, ao titular, para o exercício de seus direitos, o que também é esperado dos controladores que se submetem à legislação brasileira, que cuidou de prever, em sentido amplo, o incentivo à facilidade de controle sobre os dados, o que, por óbvio, inclui a própria possibilidade de exercício dos direitos. Entretanto, qualquer que seja o canal para a formulação de pedidos, o requerimento sempre será considerado válido caso não venham a ser
previstos expressamente a forma e o modo de encaminhamento para tal fim. § 4°. Em caso de impossibilidade de adoção imediata da providência de que trata o § 3° deste artigo, o controlador enviará ao titular resposta em que poderá: I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
Muito embora seja inafastável a prerrogativa do titular quanto à formulação de pedidos de providência, é evidente que nem todas as reclamações poderão ser atendidas. Caso possam, desde logo, ser solucionadas, deverá o controlador adotar as providências reclamadas de forma imediata. Não sendo essa hipótese, porém, e aferida a impossibilidade de atendimento e a pertinência subjetiva para o recebimento da reclamação, exige-se a resposta ao postulante, indicando-se as razões para o não atendimento da pretensão ou os motivos impeditivos. De outra parte, caso o receptor não seja o agente de tratamento de dados, deverá desde logo comunicar ao requerente, indicando, quando possível, quem é o agente apto para o recebimento da reclamação. O que não se admite, em hipótese alguma, é o não estabelecimento de comunicação com o titular dos dados pessoais, de modo a que fique privado da ciência acerca do resultado da pretensão e das específicas razões em caso de não atendimento. O sistema de proteção de dados europeu e brasileiro valorizam de forma acentuada os aspectos relativos às comunicações entre os titulares de dados e os agentes de tratamento. Nesse diapasão, admitido que o controlador tenha dificuldades para identificar o solicitante, poderá com ele comunicar-se para o específico fim de confirmar a sua identidade, fato que, por evidente, tem igualmente por intuito evitar-se possível fraude quanto a dados de terceiros. § 5°. O requerimento referido no § 3° deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
A regra para o exercício de direitos é a gratuidade. No que se refere aos prazos, há estrito estabelecimento no que pertine ao tratamento de dados levado a efeito pelo Poder Público, tal como consta no art. 23, § 3°, que
dispõe: Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da Lei 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
No mais, carecem ainda de regras mais específicas o cômputo de prazos para o exercício de cada qual dos direitos, o que haverá de vir solucionado pela Autoridade Nacional, quando concretamente vier a ser formada. No mais, na forma da parte final do dispositivo, antevê-se a possibilidade de que, em algumas hipóteses excepcionais, possa vir a ser exigido o pagamento de algum valor, sob condições específicas que possam extrapolar o limite da razoabilidade da própria gratuidade. § 6°. O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
A atual redação do § 6° também ingressa na legislação por força da Lei 13.853/2019. Em essência, manteve-se o comando referente à obrigação de informação a ser efetuada pelo responsável com relação aos agentes com os quais tenha compartilhado dados para a repetição do procedimento. O legislador, no entanto, passou a ressalvar tal obrigatoriedade nas hipóteses de impossibilidade, aqui entendidas as de caráter técnico e operacional, ou de necessidade de esforço desproporcional. Em regra, um único controlador procede ao recolhimento dos dados pessoais ao momento do início do tratamento. Assim, o vínculo que se estabelece ao momento inicial do tratamento é entre o titular dos dados e o controlador, em face de quem, portanto, serão exercidos os direitos assegurados em lei. Se o titular dos dados formulou requerimento de correção, eliminação, anonimização ou bloqueio e se a pretensão foi deferida, incumbirá ao próprio controlador informar os agentes com os quais realizou o uso compartilhado dos dados acerca dessa situação para que eles próprios repitam o procedimento que forem pertinentes, de modo a conferir plena efetividade à providência.
O intuito da norma, como parece evidente, é deixar a cargo do próprio responsável pelo tratamento adotar todos os procedimentos necessários ao atingimento da finalidade, eximindo-se o titular, pois, do ônus de buscar, perante cada um dos agentes, a resolução e o atendimento da sua pretensão. No mais, a razão para tal obrigatoriedade é evidente: sem o compartilhamento da informação com os demais agentes de tratamento, a ação tomada pelo controlador não estará revestida de ampla eficácia. § 7°. A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
O direito à portabilidade diz respeito à utilização, por parte do titular de dados, de informações que estejam em poder de um controlador para que sejam transferidas a outro controlador, com relação ao qual haja interesse de estabelecimento de relação jurídica contratual. Se, em determinada hipótese concreta, há postulação de portabilidade de dados pessoais, mas esses já foram anonimizados de forma absolutamente irreversível, não há possibilidade, por evidente, de exigir-se do controlador o atendimento da pretensão e tampouco que envide esforços para buscar reverter o processo de anonimização. Nessa conformidade, ressaltou o legislador que, uma vez anonimizados os dados pessoais, resta prejudicado o pedido de exigência de portabilidade. § 8°. O direito a que se refere o § 1° deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
O § 1° do art. 18 prevê o direito de peticionar diretamente à autoridade nacional.
É consenso que a relação jurídica que se estabelece entre o titular dos dados pessoais e os agentes de tratamento traz feições, em muitas hipóteses, de relação formalmente consumerista, haja vista que o tratamento de dados, em sentido geral, pode ser entendido como prestação de serviços para o atingimento de um determinado escopo. De mais a mais, é forçoso reconhecer-se a condição de hipossuficiência e de vulnerabilidade em inúmeras circunstâncias, tais como condições preestabelecidas para as quais subsiste pouquíssima margem de discussão e de negociação.
Por essa razão, assegurou a lei a possibilidade de peticionamento aos organismos de defesa do consumidor, sem prejuízo da formulação de requerimentos diretamente frente à autoridade nacional. Sob essa acepção, ademais, admite-se, em tese, que, caso haja pertinência objetiva e subjetiva, sejam adotados procedimentos relativos à proteção de um grupo de pessoas de forma coletiva, à forma e semelhança do que dispõe o art. 80 do Regulamento Europeu, em que se estatui a previsão de “mandatar organismo, organização ou associação sem fins lucrativos” no que diz respeito à proteção de seus dados pessoais. Tal possibilidade, por evidente, ostenta relevância no que concerne às situações em que um conjunto de pessoas ostente igual interesse no que se refere a questões atinentes a seus dados. Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: I – em formato simplificado, imediatamente; ou II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. § 1°. Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. § 2°. As informações e os dados poderão ser fornecidos, a critério do titular: I – por meio eletrônico, seguro e idôneo para esse fim; ou II – sob forma impressa. § 3°. Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento. § 4°. A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
O art. 19 da lei, conquanto relativamente extenso, não traz normatização autônoma quanto aos direitos em si. Com efeito, buscou ele tão somente explicitar as formas e modos para o exercício dos direitos já tratados nesse capítulo, tornando mais claras as regras positivadas nos dispositivos legais precedentes. No caput, referindo-se aos direitos de confirmação e de acesso, prevê a lei duas possibilidades. Tratando-se de informação simples, com relação à
qual não se façam necessárias pesquisas ou averiguações, a entrega deverá operar-se em formato simplificado, imediatamente. Por seu turno, tratando-se de declaração completa, na qual constem as referências mencionadas no inciso II, o controlador deverá atender o pedido no prazo de até 15 (quinze) dias, que é contado da data do requerimento. Admitindo-se, porém, que o titular dos dados utilize meio não imediato de comunicação (tal como uma carta postada, por exemplo), haverá de prevalecer o cômputo do prazo a partir da efetiva ciência por parte do controlador. O § 1° aponta para a necessidade de que os dados sejam armazenados em formato que facilite o direito de acesso por parte do titular. Tal como ocorre em ambiente europeu, as empresas necessitarão adaptar-se às novas exigências da lei, modificando internamente seus sistemas para o atendimento dos direitos. Relembre-se, aqui, que o direito à portabilidade prevê a entrega dos dados de forma compilada e estruturada ao próprio titular ou a quem ele indicar, de modo que os controladores deverão manter os dados em formato que atenda a previsão legal. Preferencialmente, pois, deverão estar compilados em formato portável. O § 2° estabelece que as informações em questão poderão ser fornecidas por meio eletrônico ou sob a forma impressa. É importante destacar que, muito embora sejam admitidas essas duas possibilidades, a escolha dá-se a critério do próprio titular, de modo que o controlador haverá de estar apto para atender a opção feita por ele ao momento da requisição. No § 3°, tem-se o titular poderá solicitar cópia eletrônica integral de seus dados pessoais nas hipóteses em que o tratamento ocorra com base no consentimento do titular ou no contrato. Essa é claramente a forma de concretização do já mencionado direito à portabilidade, cujo pressuposto é alocar na pessoa do próprio titular o direito de escolher com quem pretende estabelecer relação jurídica, sob a ótica de sua liberdade negocial. Por evidente, e como já mencionado ao longo deste capítulo, buscou o legislador conceder ao titular de dados ferramenta apta viabilizar o seu direito de escolha, de modo que, agora, pode transferir seu histórico positivo a outro controlador. A exemplo do que já ocorre na Europa, há plena aplicabilidade de similar
dispositivo legal, notadamente no que se refere a serviços bancários, planos de saúde e empresas de telefonia. De fato, a apresentação de um histórico positivo a um novo controlador pode trazer inúmeras vantagens em termos de negociação com esse novo agente. É exatamente esse o sentido da norma. Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. § 1°. O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. § 2°. Em caso de não oferecimento de informações de que trata o § 1° deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais. § 3° (VETADO).
O caput do art. 20 sofreu alterações e foi estabelecida, ao final, a possibilidade de revisões sem a intervenção por pessoa natural no que se refere à dinâmica referente às decisões tomadas com base em tratamento automatizado e que conduzem à construção do perfil do titular de dados. Como sabido, o profiling tem lugar de destaque na lei, haja vista que toma por base múltiplos dados pessoais, entre os quais os sensíveis. O caput do dispositivo refere-se expressamente à definição de perfil pessoal, profissional, de consumo e de crédito, prevendo-se, ainda, a menção genérica a aspectos de sua personalidade. Dos tratamentos automatizados, emergem decisões que potencialmente podem afetar os interesses do titular de dados. Com relação a tais decisões, pois, poderá o titular solicitar revisões. O texto originário da norma previa a possibilidade de solicitação de revisão a cargo de “pessoa natural”. Naquele contexto, pois, o titular dos dados poderia efetuar seu pedido de revisão e solicitar que essa fosse levada a efeito por uma pessoa física, que poderia, então, proceder à análise do caso. Por meio da Medida Provisória 869/2018, a redação do artigo foi alterada, excluindo-se a possibilidade de exigência de revisão por parte de pessoa natural. Depreende-se, pois, que a revisão de tais decisões não será necessariamente realizada por pessoa física, afastando-se o direito à específica pretensão de que a análise seja realizada de forma humana.
Ora mantido o texto por força da Lei 13.853/2019, os titulares poderão buscar a revisão das decisões, sem que, no entanto, haja obrigatoriedade de análise humana, a qual, portanto, é mera faculdade ao controlador. No § 1°, encontra-se a previsão de que o controlador deverá fornecer, sempre que houver solicitação, informações claras e adequadas a respeito dos critérios e procedimentos utilizados para esses fins. A lei resguarda os segredos comercial e industrial. Entretanto, naquilo que não possa ser entendido propriamente como segredo, o controlador deverá explicitar de que formas e sob quais critérios chega ao profiling e às decisões propriamente ditas. Sob essa perspectiva, deverá o controlador, desde logo, estar preparado para atender tal espécie de solicitação, especificando a metodologia e ferramentas empregadas para a ultimação desses procedimentos, com a ressalva daquela espécie de informação que possa ser entendida como segredo protegido pela lei. Na hipótese de que o controlador não ofereça as informações solicitadas sob o argumento de que se impõe a observância do segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para a verificação de aspectos discriminatórios de tratamento, na forma do que dispõe o § 2°. Tal previsão legal é de todo conveniente, na medida em que visa a impedir a recusa genericamente sustentada como segredo comercial e industrial, privando o titular de dados de conhecer os específicos critérios referentes à própria definição de perfis e decisões que dela decorrem. Assim, uma vez invocada tal negativa genérica, o titular poderá noticiá-la à autoridade nacional, que, por sua vez, poderá realizar auditoria para verificação. Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
O art. 21 traz a circunstância em que os dados pessoais são utilizados para o exercício regular de direitos do próprio titular. Por evidente, a ciência de tais dados nessa específica circunstância impede a utilização, por parte de terceiros, para fins outros, notadamente quando possa ensejar prejuízo ao titular. Com efeito, a utilização indevida de dados nesse contexto revela conduta
abusiva e eivada de má-fé, de modo a expor o controlador ou terceiro a consequências, materiais ou morais, decorrentes da infringência da expressa vedação legal. Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
O último artigo deste capítulo trata especificamente da possibilidade de que a defesa dos interesses e dos direitos dos titulares possa ser exercida em juízo, de forma individual ou coletiva. Observe-se, a propósito, que o titular se acha municiado em termos amplos a buscar a proteção de seus dados, ou a reclamar indenização, quando tenha ocorrido infringência dos termos da lei. O exercício de direitos em juízo não se incompatibiliza e nem se restringe no que se refere aos procedimentos administrativos a serem instaurados por força de deliberação da autoridade nacional de proteção de dados. O legislador, considerando que o titular de dados é a figura central no sistema normativo, buscou assegurar ampla proteção, disponibilizando a ele inúmeras garantias no que se refere ao exercício de seus direitos. Conclusões A Lei Geral de Proteção de Dados, à inspiração do que ocorre com o novo Regulamento Europeu de Proteção de Dados e cuja aplicabilidade plena foi alcançada em 25.05.2018, centra-se nas pessoas físicas e na proteção de seus dados pessoais, na medida em que a proteção dos dados hoje é entendida como direito fundamental do homem, por força de evolução do conceito de privacidade, que, há tempos, já era reconhecido como direito fundamental. Para a completa proteção dos dados pessoais, a lei elencou quais os direitos assegurados aos titulares dos dados, além de descrever vasta gama de regras protetivas atreladas aos princípios da transparência e da informação, como forma de garantir seu pleno exercício. Os titulares de dados, portanto, possuem a prerrogativa de invocarem esses direitos sob as condições postas na lei, devendo, para tanto, formalizarem suas solicitações de modo a que alcancem seus objetivos. É certo que nem todos os requerimentos serão acolhidos, haja vista que,
em muitas situações, os controladores poderão sustentar razões diversas e relevantes, e que normalmente dizem respeito à base legal do tratamento, a justificar a possibilidade de sua perfeita e regular continuidade. De toda forma, toda e qualquer solicitação deverá ser processada pelo agente de tratamento, a quem compete observar o prazo de lei e manter clara comunicação com o titular dos dados, seja na hipótese de acolhimento de pedido, ou não. Por fim, anota-se que os direitos dos titulares consistem em tema de alta relevância no contexto da lei, haja vista que, frise-se, o sistema normativo coloca em seu palco principal a figura do titular dos dados pessoais. Assim, para a validação de tais direitos, é inafastável que os agentes de tratamento, a par de conhecerem de forma profunda a lei, estabeleçam os paradigmas práticos de conformidade para que, finalmente, seja viabilizado o seu exercício de forma ampla, precisa e completa.
Capítulo IV Do Tratamento de Dados Pessoais pelo Poder Público
FERNANDO ANTONIO TASSO Seção I Das regras Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1° da Lei n° 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
A assimetria de poder e a transparência A assimetria de poder nas relações jurídicas é fenômeno ao qual a ciência jurídica dispensa especial atenção. Como ensina Bruno Bioni1, as relações de trabalho têm por inerente à própria caracterização do vínculo empregatício a subordinação, evidenciando uma relação assimétrica de poder. O mesmo ocorre nas relações de consumo dado o controle dos meios de produção pelo fornecedor e o poder econômico que dele decorre. O reconhecimento da posição de vulnerabilidade de certos grupos redunda no dirigismo legal característico dessas legislações, de modo a reequilibrar a relação. A relação jurídica estabelecida entre o Poder Público e o indivíduo titular de dados pessoais é marcada pela assimetria de poder, seja em decorrência da natureza jurídica do ente estatal que atua com poder de império, dotado de poderes para a consecução de seus deveres, como pela circunstância objetiva de que o ente estatal detém grande quantidade de dados pessoais em seus bancos de dados, como insumo ou subproduto do desempenho de sua atividade. É inerente à atividade administrativa a gestão de uma série de bancos de
dados potencialmente sensíveis, sendo que a coleta e tratamento desses dados é um ponto nevrálgico em termos de políticas públicas que tenham escala.2 Tem-se como exemplos: a proteção de dados pessoais nos programas de Nota Fiscal3, no sistema de Bilhete Único do transporte público4, a oferta de Wi-Fi público nos grandes centros5 e o banco de dados de prontuários médicos do sistema público de saúde.6 O tratamento de dados pessoais é um aspecto da execução das políticas públicas que mereceu da LGPD regulamentação específica decorrente do reconhecimento de que a massificação das relações travadas entre o Estado e os cidadãos, marcada pela voracidade na coleta de dados, tratados de forma não padronizada e, tampouco, transparente, redunda no risco de o Estado violar direitos e garantias fundamentais do titular. Nessa hipótese, a defesa do titular dos dados de forma individualizada se ressente da inegável disparidade de meios e recursos entre os contendores. O reconhecimento dessa realidade resultou na previsão pela LGPD de normas de dirigismo que, submetendo o Poder Público aos seus ditames, potencializa o caráter de transparência no tratamento de dados, tornando suas hipóteses excepcionais.
Destinatários da norma (artigo 1°, parágrafo único, da Lei 12.527/11 O capítulo IV da LGPD cuida do tratamento de dados pessoais pelo Poder Público e elenca as hipóteses legais em que o Estado é investido do poder de tratar dados pessoais, excluindo, por via de consequência, qualquer outra, atrelando-as ao propósito de cumprir sua finalidade pública e desde que tenham como premissa o interesse público. A atuação do Poder Público é, portanto, excepcional e condicionada. O artigo 23 da LGPD define quais são as pessoas jurídicas de direito público interno que se submetem aos termos da lei quando realizam tratamento7 de dados pessoais, sendo categórica quanto ao necessário atrelamento dessa atividade a uma finalidade, a um vetor axiológico e a objetivos estritos. Ao definir os entes públicos submetidos à sua incidência, a LGPD torna clara sua relação de interação e complementariedade com a LAI, ao fazer expressa menção às pessoas jurídicas de direito público referidas no artigo 1°, parágrafo único, desta.
Enquanto a LAI veio regulamentar e prestigiar a transparência das instituições públicas pela imposição ao gestor público da obrigação de dar ampla e efetiva publicidade dos dados existentes a respeito da própria pessoa jurídica, a LGPD procura impor igual transparência à atividade de tratamento de dados pessoais dos cidadãos realizada pelo Estado. Ambas as leis são inspiradas pelo valor da transparência da atividade pública, pelo qual o indivíduo, pessoa natural, tem a possibilidade de exercer a defesa de seus direitos e garantias fundamentais contra o Estado (liberdade negativa) e exercer o efetivo controle da atividade pública (liberdade positiva), como forma de equalizar a relação entre cidadão e Estado, marcada pela assimetria de poder em desfavor do indivíduo. Administração Direta Os primeiros destinatários da norma são “os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público”8 nos três níveis Federativos. Nos termos do Decreto-lei 200, de 25.02.1967, com alterações posteriores, administração direta é a “que se constitui dos serviços integrados na estrutura administrativa da Presidência da República e dos Ministérios” (art. 4°, I).9 Conquanto ainda vigente, o artigo 4° do Decreto-lei 200/1967 é incompleto, porquanto se refere tão somente ao Poder Executivo Federal. Porém, essa organização é obrigatória em toda a estrutura da Administração Pública da União, dos estados, do Distrito Federal e dos municípios, tendo em vista o tratamento dado à matéria pela Constituição Federal de 1988. Doutrinariamente, entende-se por administração direta o conjunto de órgãos que integram as pessoas políticas do Estado (União, estados, Distrito Federal e municípios), aos quais foi atribuída a competência para o exercício, de forma centralizada, de atividades administrativas.10 Ministério Público O Ministério Público foi contemplado no mesmo dispositivo legal destinado à administração direta, muito embora não a integre. A Constituição Federal de 1988 assegurou ao Ministério Público, em seu
artigo 127, §§ 2° e 3°, autonomia funcional, administrativa e financeira, alçando-o ao patamar de uma das funções essenciais à Justiça, incumbindolhe a defesa da ordem jurídica, do regime democrático e dos interesses sociais e individuais indisponíveis. A autonomia funcional indica que a instituição não está subordinada a nenhum outro órgão, poder ou autoridade pública e, como tal, exercita suas funções com independência, sem se reportar ao Poder Executivo, ao Poder Legislativo ou ao Poder Judiciário.11 Defensoria Pública Em igual patamar Constitucional encontra-se a Defensoria Pública, função essencial à Justiça, que tem perfil institucional dotado de autonomia funcional, administrativa e financeira12 e que, na qualidade de instituição permanente, foi-lhe incumbida a orientação jurídica, promoção dos direitos humanos e de defesa, em todos os graus, judicial e extrajudicial, dos direitos individuais e coletivos, de forma integral e gratuita, aos necessitados.13 Parece-nos que não contemplar expressamente a Defensoria Pública no elenco dos entes autônomos ao lado dos Poderes do Estado consistiu em mero lapso legislativo. Denota-se que seu perfil constitucional, anteriormente à promulgação da Emenda Constitucional 80, em 04.06.2014, previa que a Defensoria Pública era uma instituição essencial à função jurisdicional do Estado, sem contemplar o caráter permanente. A Emenda também lhe atribuiu o mesmo tratamento dispensado ao Poder Judiciário no que diz respeito à estruturação da carreira (artigo 93 da Constituição Federal), à iniciativa legislativa para a criação de cargos e remuneração (artigo 96, II, da Constituição Federal) e ao mesmo plexo de princípios institucionais, antes privativos da carreira do Ministério Público (artigo 134, § 4°, da Constituição Federal). Portanto, ao utilizar como técnica legislativa a de fazer expressa menção ao artigo 1° da LAI, que é anterior ao novo perfil institucional da Defensoria Pública gizado pela Emenda Constitucional 80, a regra não levou em consideração seu status de instituição autônoma e permanente, ao lado do Ministério Público, cometendo a apontada atecnia.
Administração Indireta No que concerne à administração indireta, submetem-se às disposições da LGPD “as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.”14 Novamente, é incompleta a definição de administração indireta trazida pelo DL 200/1967, porquanto se limita a indicar “categorias de entidades dotadas de personalidade jurídica própria”. Se, por um lado, é importante destacar que se trata de um conjunto de pessoas jurídicas às quais se atribui competência para o exercício descentralizado de funções administrativas, é imprescindível divisar que há empresas públicas e sociedades de economia mista que não são criadas para prestar serviços públicos, ou exercer outra atividade própria da Administração Pública em sentido material, mas para atuar no domínio econômico em sentido estrito (Estado-empresário)15. Essas empresas públicas e sociedades de economia mista que exploram atividade econômica em sentido estrito, em regime concorrencial, conforme previsto no artigo 173, § 1°, da Constituição Federal, recebem da LGPD o mesmo tratamento destinado às pessoas jurídicas de direito privado, enquanto as demais, o destinado às pessoas jurídicas de direito público, conforme será tratado na análise do artigo 24 dessa Lei. Parte da doutrina administrativista contempla os consórcios públicos, disciplinados pela Lei 11.107/2005, entre os integrantes da administração indireta estando, portanto, sujeitos às disposições da LGPD. Ontologicamente, consistem em acordo de vontades para a consecução de fins comuns, não obstante tenha a referida lei lhe atribuído personalidade jurídica.16 Em assim sendo, entendemos que se enquadra no conceito legal de “entidade controlada direta ou indiretamente pela União, Estados, Distrito Federal e Municípios” para fins de incidência da LGPD. Princípios administrativos Princípios são espécie de norma jurídica cogente de forte conteúdo valorativo, dotada de generalidade, indeterminação e abstração. Diferentemente da regra, os princípios incidem simultaneamente sobre uma mesma situação, prevalecendo apenas um ou alguns, de acordo com o juízo de ponderação no caso concreto.
Para José Cretella Júnior, princípios de uma ciência são as proposições básicas, fundamentais e típicas que condicionam todas as estruturações subsequentes. Princípios, nesse sentido, são os alicerces, os fundamentos da ciência.17 A Administração Pública é regida por princípios constitucionais explícitos, previstos no artigo 37, caput, da Constituição Federal e por princípios implícitos que, embora não elencados expressamente no Texto constitucional, decorrem das premissas maiores do Estado Democrático de Direito delineado pela carta magna em toda sua extensão. A Lei 9.784/1999 trata dos processos administrativos no âmbito da Administração Pública Federal e prevê18 que ela […] obedecerá, entre outros, aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência.
Excetuados os princípios já expressos na aludida disposição constitucional, os demais princípios foram positivados pela norma infraconstitucional, tornando explícitos outros princípios consagrados pela doutrina e jurisprudência como decorrentes da melhor hermenêutica. Segundo Hely Lopes Meirelles, muito embora de natureza federal, a referida Lei tem verdadeiro conteúdo de norma geral de atividade administrativa não só da União, mas também dos Estados e Municípios.19 O mesmo autor ensina que, entre os princípios explícitos, o princípio da legalidade tem especial importância para a Administração Pública, uma vez que dele advém a legitimidade de toda a atividade funcional, sob pena de sua inobservância inquinar de invalidade o ato administrativo, expondo o administrador público à responsabilização disciplinar, cível e criminal. Significa que o administrador público atua secudum legem, ou seja, somente nos estritos limites da lei e sujeito às exigências do bem comum, diferentemente da acepção da legalidade no direito privado que preconiza a autonomia de vontade, em que a imposição de um fazer ou deixar de fazer somente pode decorrer da lei20. Enquanto a Administração Pública atua somente conforme o que a lei prevê e autoriza, o indivíduo exerce sua liberdade plena, tendo-a limitada unicamente pelo que a lei lhe impõe ou veda. É justamente por estar jungido inexoravelmente ao princípio da
legalidade que o Poder Público necessita de autorização legal para o tratamento de dados pessoais dos administrados. Nesse sentido, a previsão na LGPD de um capítulo específico destinado ao tratamento de dados pessoais pelo Poder Público é supedâneo idôneo de legitimidade. Pressupostos de legitimidade para o tratamento de dados pessoais O tratamento de dados pessoais pelo Poder Público, a teor do artigo 23, caput, da LGPD, tem por pressupostos o atendimento de uma finalidade pública, a persecução de um interesse público e a execução, pelo ente público, de suas competências legais ou cumprimento de suas atribuições. Trata-se, na verdade, de preceito legal que complementa a base legal de tratamento de dados pelo Poder Público, já analisada no artigo 7°, inciso III, que prevê a autorização de tratamento de dados para a execução de políticas públicas. É de se notar que há entes públicos que não executam políticas públicas, mas cumprem atribuição ou competência constitucional, como é o caso do Poder Judiciário, do Poder Legislativo, do Ministério Público e Defensoria Pública. Nesse contexto, a base legal para o tratamento de dados pelo poder público é particionada entre os dois dispositivos que formam um todo coeso e coerente, que vem confirmado pela previsão conjunta em outros dispositivos da lei, como nos artigos 26 e 33, inciso VII da LGPD. Atendimento de uma finalidade pública O princípio da impessoalidade expresso no artigo 37 da Constituição Federal consiste no clássico princípio da finalidade, na medida em que obriga o administrador a praticar o ato administrativo somente para o seu fim legal, sendo esse unicamente aquele que a norma de Direito indica, expressa ou virtualmente, como objetivo do ato, de forma impessoal.21 Uma vez que o princípio da finalidade exige que o ato seja praticado sempre com finalidade pública, o administrador fica impedido de buscar outro objetivo ou de praticá-lo no interesse próprio ou de terceiros. No âmbito da LGPD, a finalidade pública é atendida quando o Poder Público executar o tratamento de dados pessoais dos administrados, pessoas naturais, nos estritos termos da lei para a execução de políticas públicas
previstas na norma, zelando pela proteção de dados pessoais da pessoa natural e pela garantia de seus direitos personalíssimos. Persecução de um interesse público A finalidade terá sempre um objetivo certo e inafastável de qualquer ato administrativo: o interesse público. O interesse público comunga com o atendimento do bem comum da coletividade.22 Se, por um lado, é inviável defini-lo23, socorre-nos o conceito de Celso Antônio Bandeira de Mello, segundo o qual […] interesse público deve ser conceituado como o interesse resultante do conjunto de interesses que os indivíduos pessoalmente têm quando considerados em sua qualidade de membros da sociedade e pelo simples fato de o serem.24
A observância do interesse público advém do reconhecimento de que os indivíduos, considerados singular e coletivamente, possuem interesse legítimo de que seus direitos e garantias fundamentais sejam observados e protegidos pelo Estado mediante o tratamento adequado dos dados pessoais que lhe são confiados, abstendo-se de fazê-lo em benefício exclusivo do ente público representado. Nesse diapasão, enquanto a finalidade pública impõe ao Poder Público que o tratamento de dados seja direcionado à execução de uma política pública ou missão institucional prevista na norma, o interesse público subjacente e inafastável é a preservação dos direitos e garantias fundamentais do administrado, pessoa natural, por ser essa a demanda do bem comum da coletividade. Execução de competências legais ou atribuições O Poder Público existe para administrar a vida em sociedade e o faz somente em observância e na medida em que a lei lhe dá investidura. Significa dizer que o poder público existe para cumprir uma função legal e, para tanto, a lei o investe de poder para fazê-lo. Enquanto grande parte da doutrina administrativista define a função administrativa como um poder-dever para enfatizar o aspecto de inafastabilidade de atuação diante da investidura legal para cumprimento de um dever, Celso Antônio Bandeira de Mello preconiza a existência de um dever-poder, sublinhando que o poder não tem existência autônoma, mas
existe por graça e na medida da atribuição à Administração de um dever legal, que o precede. I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
Transparência no tratamento de dados pessoais O inciso I consagra a necessária transparência no tratamento de dados pessoais pelo Poder Público, ecoando o princípio da transparência25 que permeia, juntamente dos outros nove, todas as operações de tratamento de dados pessoais e dados sensíveis. No contexto de uma relação assimétrica de poder, como a que caracteriza a estabelecida entre o poder público e o indivíduo, a transparência visa a inspirar no titular de dados a credibilidade no ente público controlador dos dados e a necessária responsabilidade a que está submetido, numa clara relação com um princípio peculiar da lei protetiva nacional26, o da responsabilização e prestação de contas27. Determina que, ao fazê-lo, o ente público enuncie as hipóteses de tratamento, em expressa correspondência ao respaldo de investidura legal (exercício de suas competências). A existência de hipótese de tratamento consiste em clara remissão ao princípio maior da legalidade administrativa previsto na Constituição Federal. São requisitos legais que tais informações sejam disponibilizadas de forma clara, atualizada e de fácil acesso, preferencialmente nos sítios eletrônicos dos entes administrativos. Denota-se o comprometimento da lei com a chamada publicidade real ou material, em contraposição à mera publicidade ficta ou formal, de modo a dar concretude aos princípios constitucionais da moralidade e eficiência, positivados no artigo 37 da Constituição Federal. Prevalência das plataformas digitais Ao tratar do atributo da acessibilidade da informação, o inciso I dá preferência que o faça em sítios eletrônicos, acessíveis pela Internet, sem exclusão dos meios analógicos.
A LAI regulamentou o direito fundamental do cidadão obter dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, conforme garantido no artigo 5°, inciso XXXIII, da Constituição Federal. Conforme já consignado, defendemos o caráter de complementariedade e diálogo entre a LAI e a LGPD, seja pela remissão expressa desta àquela, como pela identidade de propósitos das duas leis, qual seja conferir ao Poder Público a mais concreta transparência de sua atividade, permitindo ao cidadão o acesso aos dados do próprio órgão consultado e, agora, às operações de tratamento dos dados pessoais do indivíduo. Nesse contexto, a LAI dispensa tratamento detalhado aos sítios eletrônicos, e merece transcrição, sendo de observância impositiva diante da ausência de tratamento específico pela LGPD28. Art. 8°. É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas. […] § 3° Os sítios de que trata o § 2° deverão, na forma de regulamento, atender, entre outros, aos seguintes requisitos: I – conter ferramenta de pesquisa de conteúdo que permita o acesso à informação de forma objetiva, transparente, clara e em linguagem de fácil compreensão; II – possibilitar a gravação de relatórios em diversos formatos eletrônicos, inclusive abertos e não proprietários, tais como planilhas e texto, de modo a facilitar a análise das informações; III – possibilitar o acesso automatizado por sistemas externos em formatos abertos, estruturados e legíveis por máquina; IV – divulgar em detalhes os formatos utilizados para estruturação da informação; V – garantir a autenticidade e a integridade das informações disponíveis para acesso; VI – manter atualizadas as informações disponíveis para acesso; VII – indicar local e instruções que permitam ao interessado comunicar-se, por via eletrônica ou telefônica, com o órgão ou entidade detentora do sítio; e VIII – adotar as medidas necessárias para garantir a acessibilidade de conteúdo para pessoas com deficiência, nos termos do art. 17 da Lei n° 10.098, de 19 de dezembro de 2000, e do art. 9° da Convenção sobre os Direitos das Pessoas com Deficiência, aprovada pelo Decreto Legislativo n° 186, de 9 de julho de 2008.
Base legal: execução de políticas públicas O tratamento de dados pessoais deve estar ancorado, necessariamente, a uma base legal que o legitima. No espectro de atuação do Poder Público estão englobadas, entre outras,
atividades de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. O tratamento de dados pessoais exclusivamente para esses fins, por possuírem regime jurídico próprio29, é expressamente excluído da incidência da LGPD, por força de norma expressa do artigo 4°, inciso II, da lei. As demais atividades realizadas pelo ente ou órgão público seguem a regra de necessário atrelamento a uma base legal. O artigo 7° da LGPD prevê, entre as diversas bases legais para a realização do tratamento de dados pessoais, uma específica para a Administração Pública em seu inciso III, sendo ela a execução de políticas públicas, previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Merece justa crítica o emprego da norma de extensão consistente na expressão “instrumentos congêneres” como base legal, por ser expressão de grande espectro. No entanto, melhor interpretação demanda restringi-la ao termo imediatamente anterior, entendendo-a como congênere de convênios e desde que tenha previsão legal. Conforme consignado, a previsão do artigo 23, caput, complementa e confere completude às hipóteses de tratamento de dados pelo poder público aos entes que exercem competência ou atribuição constitucional. É importante notar que, da análise do dispositivo legal, se verifica direta correspondência com a base principiológica da lei. Princípio da finalidade Ao prescrever que o tratamento e uso compartilhado de dados devem ser os necessários à execução de políticas públicas, o dispositivo legal remete ao princípio da finalidade (artigo 6°, inciso I, da LGPD), segundo o qual a realização do tratamento deve ser direcionada para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. O princípio da finalidade tem incidência bifronte, pois, ao passo que torna explícito o objetivo final do tratamento, também confere ao titular dos dados pessoais a previsibilidade de seu resultado, inviabilizando o tratamento posterior dissociado da finalidade original.
Infringe o princípio da finalidade, por exemplo, o compartilhamento de dados de consumo do programa de Nota Fiscal, idealizado como política pública de controle da arrecadação, com empresas privadas que realizarão marketing digital e perfilamento de consumo.30 Decorre da observância ao princípio da finalidade que a operação de tratamento de dados deve guardar direta relação com a missão institucional do órgão ou ente público detentor da base de dados sobre a qual está fundamentada a execução de política pública para o qual foi investido por lei. O Acordo de Cooperação Técnica 07/2013, firmado entre o Tribunal Superior Eleitoral – TSE – e a SERASA S/A é um exemplo em que o compartilhamento, ainda que parcial, da base de dados daquele ente público com entidade privada baseado na finalidade de proteção ao crédito não se coaduna com a investidura legal de garantir a legitimidade do processo eleitoral e a efetivação da prestação jurisdicional, a fim de fortalecer a democracia.31 Portanto, revendo posicionamento anterior deste autor, ainda que celebrado exclusivamente para a validação de dados (data matching, mostrou-se acertada a revogação do convênio, porquanto o compartilhamento de dados pessoais para a proteção do crédito, ainda que viesse a ser uma das hipóteses legais da LGPD (artigo 7°, inciso X), não está alinhada à execução de política pública cuja finalidade seja a garantia do processo eleitoral. Diferente posicionamento, por hipótese, adviria de semelhante convênio que tivesse como ente público o Banco Central do Brasil. Princípio da adequação Segundo o princípio da adequação (artigo 6°, inciso II, da LGPD), as operações devem guardar compatibilidade com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Ele guarda estreita relação com o princípio da finalidade, pois a adequação diz respeito à justa expectativa que o titular dos dados tem quanto ao tratamento que a eles é dado. Ou seja, cuida da expectativa de que o Poder Público proceda ao tratamento de dados pessoais da maneira que se propôs a fazer, não laborando aquém ou além da finalidade da operação. Trata-se, por exemplo, da hipótese em que o ente público coleta dados para a execução de certame público, como o sorteio de casas populares, e, ao
seu final, ao invés de descartar os dados utilizados no sorteio, conforme os termos do edital, os mantém sob sua custódia para a eventualidade de novo uso. No caso, a finalidade da coleta e tratamento de dados foi atingida, porém não é adequada a preservação dos dados por tempo indeterminado sob o vislumbre de um possível uso futuro, violando, assim, uma justa expectativa de seu descarte. Ainda que para nova finalidade o Poder Público se valha de nova base legal, como o consentimento do titular dos dados, ao manter os dados em suas bases, fere o princípio da adequação. Enquanto o princípio da finalidade se preocupa com a legitimidade do propósito do tratamento, o da adequação analisa a legitimidade sob o ponto de vista da expectativa do titular dos dados. Princípio da necessidade Os dados coletados devem se restringir ao mínimo necessário à execução da política pública decorrente da investidura legal, ou seja, a finalidade da coleta. A observância ao referido princípio demanda que, no ato de fazê-lo, seja empregado o critério da mínima coleta, ou da minimização da base de dados que fora coletada em desconformidade, e que ela compreenda somente dados pertinentes, proporcionais à finalidade da operação e que não sejam excessivos. A aparente redundância legal demonstra a preocupação do legislador em incutir no gestor público a cultura da privacidade de dados, desde o momento da coleta. A coleta de dados em desatendimento ao princípio da necessidade traz ao administrador público risco de que, em eventual falha no tratamento, como na hipótese de vazamento de dados, direitos e garantias fundamentais do indivíduo sejam violados. A análise de conformidade dos dados coletados à sua finalidade, no âmbito de um Programa de Governança em Privacidade de Dados Pessoais (artigo 50, § 2°, da LGPD), dá ensejo ao estudo de “risquificação” (tradução livre da expressão riskification do inglês) no qual é feito mapeamento de riscos e estabelecida a relação entre o custo e o benefício na manutenção de
dados pessoais, por vezes sensíveis em sua base, em eventual hipótese de vazamento de dados (data breach). O documento que materializa essa análise é o relatório de impacto à proteção de dados pessoais (RIPDP)32, definido pelo artigo 5°, inciso XVII, da LGPD como sendo a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Procedimentos e práticas Diversos diplomas legais e regulamentares delimitam a atividade de tratamento de dados e impõem ao Poder Público regras de conformidade com padrões internacionais de segurança da informação que, antes mesmo da entrada em vigor da LGPD, já possuíam plena aplicabilidade. Trata-se de normas setoriais que reafirmam a ideia de que a garantia da privacidade dos dados pessoais deve nortear a atividade pública ou delegada e que, cronológica e paulatinamente, evoluíram para normas com maior nível de detalhamento e granularidade técnica. O cenário regulatório no âmbito do Poder Público tem como destaques: 1.
2.
3.
4.
Lei 8.159/1991 e Decreto 7.845/2012 – dispõem sobre a política nacional de arquivos públicos e privados, prevendo que todos têm o direito de receber das autoridades públicas informações de interesse pessoal ou coletivo, excetuadas aquelas cuja confidencialidade seja necessária para a segurança da sociedade e do Estado; Lei 9.296/1996 – Lei de Interceptação Telefônica e Telemática – regulamenta o artigo 5°, Inciso XII, da Constituição Federal e prescreve as hipóteses excepcionais em que o Poder Judiciário pode determinar a quebra do sigilo das comunicações privadas sob a justificativa do interesse público; Lei 9.472/1997 – Lei Geral de Telecomunicações – garante, em seu artigo 3°, o direito à privacidade dos dados pessoais do usuário de serviços de telecomunicação prestados por concessão do Estado; Lei 9.507/1997 – Lei do Habeas Data – regulamenta o instrumento constitucional hábil para o conhecimento e retificação de informações relativas à pessoa do impetrante, constantes de registros ou bancos de
5. 6.
7.
dados de entidades governamentais ou de caráter público; Lei 9.784/1999 – regulamenta o processo administrativo no âmbito da Administração Pública Federal; Lei 9.983/2000 – prevê o crime de inserção de dados falsos em sistemas de informação da Administração Pública, inserindo o artigo 313-A no Código Penal; Lei Complementar 105/2001 – estabelece o sigilo das operações das instituições financeiras enunciando-o em sem artigo 1°;
8.
Lei 11.419/2006 e Resolução 121/2010 do CNJ – regulamenta o Processo Judicial Eletrônico no âmbito do Poder Judiciário, estabelecendo requisitos mínimos de segurança da informação, transparência e acessibilidade para a tramitação de processos judiciais, comunicação de atos e transmissão eletrônica de peças processuais. A Resolução dispõe sobre as regras de sigilo e divulgação de dados processuais eletrônicos na Internet;
9.
Resolução CFM 1.821/2007 – prevê, em seu artigo 2°, requisitos técnicos de segurança da informação para a implantação do prontuário eletrônico e proteção de dados médicos das redes pública e privada;
10.
Decreto 6.135/2007 – regulamenta o Cadastro Único para Programas Sociais do Governo Federal, prevendo, em seu artigo 8°, o sigilo dos dados de identificação das famílias e prevendo a utilização para finalidades específicas; Decreto 6.426/2008 – assegurou, em seu artigo 6°, o sigilo dos dados pessoais apurados no Censo Anual da Educação, vedando sua utilização em finalidades estranhas às previstas na legislação educacional aplicável; Lei 12.414/2011 (alterada pela Lei Complementar 166/2019) – dispõe sobre o cadastro positivo de créditos e regula a responsabilidade civil dos operadores; Lei 12.527/2011, Decreto 7.724/2012 e Resolução 215/2015 do CNJ – Lei de Acesso à Informação e Regulamento – a Lei trouxe definições legais de fundamental importância para o tratamento de dados, diferenciando informações pessoais de informações comuns, bem como requisitos técnicos de tratamento da informação dos órgãos
11.
12.
13.
14. 15.
16.
17.
18.
19.
20.
públicos. A Resolução trata do acesso à informação no âmbito do Poder Judiciário nacional; Lei 12.682/2012 – dispõe sobre a elaboração e o arquivamento de documentos e meios eletromagnéticos; Lei 12.965/2014 e Decreto 8.771/2016 – Marco Civil da Internet e Regulamento do Marco Civil da Internet – disciplinam o tratamento de dados pessoais que transitam pela Internet, abordando ainda, no regulamento, regras de segurança da informação aplicáveis aos provedores de funcionalidades acessíveis pela Internet, inclusive no setor público; Decreto 8.777/2016 – institui a Política de Dados Abertos do Poder Executivo federal que tem por escopo aprimorar a transparência pública com a divulgação de dados produzidos ou acumulados pelo Poder Executivo Federal sobre os quais não recaia vedação expressa de acesso, com a possibilidade de estabelecimento de normas complementares relacionadas à proteção de dados pessoais; Decreto 8.789/2016 – regulamenta o compartilhamento de dados no âmbito da Administração Pública federal, declinando as finalidades em seu artigo 2° como sendo a amplificação da oferta de serviços públicos, formulação e monitoramento de políticas públicas, fiscalização de benefícios e melhoria da fidedignidade de dados; Decreto 9.094/2017 (alterado pelo Decreto 9.723/2019) – dispõe sobre a simplificação do atendimento prestado aos usuários dos serviços públicos, institui o Cadastro de Pessoas Físicas – CPF como instrumento suficiente e substitutivo para a apresentação de dados do cidadão no exercício de obrigações e direitos e na obtenção de benefícios, ratifica a dispensa do reconhecimento de firma e da autenticação em documentos produzidos no País e institui a Carta de Serviços ao Usuário; Lei 13.726/2018 – racionaliza atos e procedimentos administrativos dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios e institui o Selo de Desburocratização e Simplificação; Decreto 9.637/2018 – dispõe sobre a governança da segurança da informação e altera dispositivos da Lei de Licitação, instituindo a Política Nacional de Segurança da Informação – PNSI, no âmbito da
21.
22.
Administração Pública federal com a finalidade de assegurar os atributos de confidencialidade, integridade, disponibilidade e autenticidade da informação; Lei 13.787/2018 – regulamenta os requisitos técnicos e procedimentais para a digitalização e a utilização de sistemas informatizados para a guarda, o armazenamento e o manuseio de prontuário médico de paciente; Lei 13.853/2019 – altera a Lei 13.709/2018 (LGPD) criando a Autoridade Nacional de Proteção de Dados (ANPD) e dá outras providências.
Conclui-se que é vasta a quantidade de normas setoriais de conformidade com a privacidade de dados cuja observância já era obrigatória no setor público, antes mesmo da promulgação da LGPD, cujo advento consiste no estabelecimento de um referencial normativo. Por outro lado, é importante sublinhar a preocupação das normas para que o tratamento de dados se dê de forma adequada e adstrita aos limites da necessidade para o atingimento do fim. Esses dois vetores foram consagrados como princípios basilares da LGPD. II – (VETADO); e III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei.
Encarregado ou Data Protection Officer (DPO) Anteriormente à Medida Provisória 869/2018, posteriormente convertida em lei, o encarregado era uma pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.33 Foi oportuna a modificação de conceito legal trazida pela Lei 13.853/2019,34 suprimindo a expressão “pessoa natural” para permitir que exerça a função de encarregado uma pessoa jurídica, um comitê, um grupo de trabalho, sendo possível, inclusive, a terceirização de tal serviço. Em sendo exercido por uma única pessoa, questiona-se qual o perfil desse profissional, se predominantemente técnico ou jurídico. O Professor Sandro di Minco ressalta que o encarregado tem especial importância para o ente representado, porquanto deve reunir conhecimento técnico necessário para
ser suporte, conselheiro, consultor interno e realizar a formação continuada dos gestores na cultura de proteção de dados.35 Por outro lado, sendo o DPO o ponto de contato entre o controlador, a autoridade nacional e o titular de dados, deve ter pleno conhecimento da sensibilidade e valor do direito personalíssimo do qual se coloca como garante. Daí por que não se pode prescindir de um sólido conhecimento jurídico. É recorrente o uso da expressão techie-lawyer para designar esse novo profissional que possui a tecnologia como idioma e o direito como linguagem.36 IV – (VETADO ). § 1°. A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.
Atribuições da Autoridade Nacional de Proteção de Dados (ANPD) O rol de atribuições legais da ANPD não se encerra no artigo 55-J da LGPD, incluído pela Lei 13.853/2019, a exemplo dessa disposição. A regra reforça o compromisso legal com a transparência das operações de tratamento de dados pessoais, em prestígio ao princípio da publicidade previsto no artigo 37 da Constituição Federal e do princípio da transparência do artigo 6°, inciso VI, da LGPD. § 2°. O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
Conflito de interesses na identidade entre o Encarregado (DPO da LGPD e a Autoridade responsável pela custódia da informação da LAI A LAI prevê que as informações requeridas pelo cidadão ao Poder Público pelo canal SIC (Serviço de Informação ao Cidadão) serão prestadas pelo órgão ou entidade pública titular da informação37 e, em caso de eventual recurso, esse será dirigido à autoridade hierarquicamente superior à que exarou a decisão impugnada.38 Nota-se que a Lei não fez qualquer menção específica a uma pessoa natural, autoridade ou órgão especialmente criado para tal finalidade. No Tribunal de Justiça de São Paulo, o atendimento das demandas
relacionadas ao acesso à informação preconizado pela referida Lei foi atribuído à Ouvidoria Judicial39, que tem a incumbência normativa de encaminhar o pedido ao setor administrativo responsável, fazer o controle de efetivo atendimento quanto aos prazos e conteúdo e, finalmente, repassar a informação ao cidadão. A figura do encarregado prevista na LGPD tem por definição se tratar de pessoa indicada pelo controlador para atuar como canal de comunicação entre controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Como já consignamos, a possibilidade de ser instituído como uma pessoa jurídica, um comitê, um grupo de trabalho, ou, eventualmente, um serviço terceirizado, leva à conclusão de que as duas legislações se encontram alinhadas no aspecto estrutural. O dispositivo da LGPD sob análise não vedou, expressamente, que o mesmo órgão, por exemplo, desempenhe concomitantemente as atribuições legais desta Lei e da LAI. Contudo, ao prever que a existência da autoridade prestadora de informações ao cidadão não dispensa o órgão ou ente público de instituir o encarregado, o dispositivo legal faz clara indicação de que, mandatoriamente, deverão consistir em pessoas diversas. A conclusão supra se sustenta no fato de que as duas pessoas possuem funções complementares, inconfundíveis e, potencialmente, antagônicas. Enquanto a autoridade de acesso à informação tem por investidura legal dar acesso ao cidadão a toda informação passível de publicidade sob custódia da Administração Pública, observada a matriz de sigilo, ao encarregado cabe, entre outras atribuições, justamente o oposto, qual seja a preservação de dados pessoais e dados sensíveis que estejam em bases públicas. É inegável que o caráter de complementariedade das atividades públicas dessas duas pessoas, autoridade de acesso à informação e encarregado, recomenda que sua interação seja próxima e recorrente, dando-se ampla publicidade às deliberações conjuntas, não somente ao controlador que, em última análise, é o custodiante dos dados e possui responsabilidade civil, administrativa e criminal em caso de eventual irregularidade, mas à sociedade, conforme preconizado no artigo 6°, inciso VI, da LGPD. § 3°. Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei n° 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da Lei n° 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei n°
12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
Mosaico legislativo Anteriormente à existência de uma lei geral de proteção de dados pessoais, já havia no ordenamento jurídico um sistema de proteção regido por leis setoriais, conforme comentamos no inciso I deste artigo. A LGPD integra o ecossistema protetivo, passando a ser, com o início de sua vigência, o referencial normativo de interpretação das leis setoriais. § 4°. Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
Natureza jurídica das atividades notarial e registral A disposição legal guarda simetria com o artigo 236 da Constituição Federal para estabelecer um regime jurídico sui generis aos delegatários das serventias extrajudiciais pois, enquanto reconhecido por diversas disposições legais seu caráter público, haja vista que o ingresso na atividade notarial e de registro se faz por concurso público e sua atividade é fiscalizada pelo Poder Judiciário, sendo a atividade remunerada por emolumentos, a atividade-fim é desempenhada mediante a contratação de funcionários pelas leis trabalhistas ordinárias. É, portanto, atividade pública exercida em caráter privado, por delegação do Poder Público. A despeito das inovações trazidas pelas novas tecnologias como o blockchain, que permite o registro perene e confiável de documentos pelo uso exclusivo de algoritmos computacionais sem a intervenção de uma autoridade investida de poder estatal, entendemos que a atividade registrária não tem na nova tecnologia um substituto ou um concorrente, porquanto é dispensada à atividade registral e notarial uma especial prelazia Estatal, que lhe atribui confiabilidade decorrente do poder que advém da própria soberania. A LGPD atribui aos serviços notariais, de registro e de protesto, o mesmo tratamento legal dispensado às pessoas jurídicas de direito público, encontrando perfeita harmonia com o artigo 173 da Constituição Federal e artigo 24 da LGPD, a contrario sensu, que prevê o regime público às empresas públicas e sociedade de economia mista que não desempenhem atividade concorrencial, mas de monopólio. § 5°. Os órgãos notariais e de registro devem fornecer acesso aos dados por meio
eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.
Fornecimento de informações à Administração Pública A LGPD impõe aos órgãos notariais e de registro o dever legal de fornecer acesso aos dados à Administração Pública em espectro mais abrangente ao, até então, vigente, decorrente do exercício da atividade correcional pelo Poder Judiciário. O fluxo de informações no âmbito correcional é regulamentado, no Tribunal de Justiça de São Paulo, pelas Normas da Corregedoria Geral de Justiça que atribuem a corregedoria permanente ao Juiz de Direito e o grau recursal à Corregedoria Geral de Justiça. Para o desempenho dessa atividade, os magistrados possuem acesso aos livros e às informações contábeis e administrativas da serventia extrajudicial que, no Tribunal de Justiça de São Paulo, estão reunidas no Portal do Extrajudicial, sítio eletrônico acessível pela Internet. A disposição legal contida na LGPD empregou maior abrangência ao dever legal de dar acesso às informações custodiadas pelas serventias aos órgãos e entes da Administração Pública, vindo ao encontro do que já se preconizava pelo Decreto 8.789/2016, que regulamentou o compartilhamento de dados no âmbito da Administração Pública federal. Porém, o acesso da Administração Pública aos dados deve estar necessariamente atrelado ao atendimento da finalidade pública da atividade registral, qual seja a garantia da autenticidade, segurança e eficácia dos atos jurídicos,40 bem como do órgão ou ente administrativo que postula o acesso. É exemplo de plena compatibilidade com a finalidade das instituições envolvidas o acesso à base de dados da ARPEN – Associação dos Registradores de Pessoas Naturais do Estado de São Paulo41 – e ARISP – Associação dos Registradores Imobiliários de São Paulo42 – que é franqueado à Defensoria Pública de São Paulo, que tem a investidura legal de prover a orientação jurídica, promoção dos direitos humanos e de defesa, em todos os graus, judicial e extrajudicial, dos direitos individuais e coletivos, de forma integral e gratuita, aos necessitados. Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos
termos desta Lei.
Empresas estatais que atuam na exploração de atividade econômica O Estado pode prestar serviços públicos ou ainda, excepcionalmente, atuar na exploração de atividade econômica, por intermédio de empresas constituídas sob o regime de direito privado, desde que autorizado por lei. Trata-se de pessoas jurídicas de direito privado que mantêm regime de dependência com o ente estatal criador, sem que lhes seja tolhida, contudo, a necessária autonomia gerencial. As empresas públicas e sociedades de economia mista encontram definição legal no Decreto-lei 200/1967 (modificado pelo Decreto-lei 900/1969). Empresa pública é a entidade dotada de patrimônio próprio e capital exclusivo do Estado, criada por lei para a exploração de atividade econômica, podendo revestir-se de qualquer das formas de direito. A sociedade de economia mista, por seu turno, é a sociedade anônima criada por lei para a exploração de atividade econômica. A exploração da atividade econômica pelas empresas estatais é excepcional e suplementar, devendo ter lugar somente quando necessária aos imperativos da segurança nacional ou a relevante interesse coletivo, conforme prescreve o artigo 173 da Constituição Federal. O caráter suplementar de atuação advém do fato de que a ordem econômica, segundo a Constituição Federal, tem por princípios a livre iniciativa, a propriedade privada e a livre concorrência.43 A par da observância da finalidade pública de sua constituição (necessária ao imperativo da segurança nacional ou relevante interesse coletivo), em todas as hipóteses deverá pautar sua atuação no interesse público, do que decorre estarem sujeitas a um regime híbrido, público e privado. A LGPD guardou perfeita consonância com o preceito constitucional ao prever que as empresas estatais que atuarem em regime de concorrência devem observar as regras de tratamento de dados destinadas às pessoas jurídicas de direito privado particulares. O contrário implicaria conferir tratamento privilegiado às empresas estatais que atuam na mesma atividade desequilibrando a livre concorrência, que é um dos princípios basilares da
ordem econômica. Empresas estatais que atuam em regime de monopólio, por consequência, submetem-se às disposições da LGPD destinadas ao Poder Público. Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.
Empresas estatais que prestam serviço público Assim como as empresas estatais que atuam na exploração de atividade econômica em regime de monopólio, também terão o mesmo tratamento dispensado pela LGPD ao Poder Público aquelas que prestam serviço público. Atividade mista e segregação de bancos de dados É possível que uma mesma empresa estatal desempenhe atividade econômica em regime concorrencial e preste serviço público, a exemplo da Empresa Brasileira de Correios e Telégrafos (ECT), que é empresa pública federal. Consta de seu catálogo de produtos e serviços uma ampla gama de serviços que concorrem com empresas privadas, como o serviço de entrega. Sua atividade também contempla a prestação de alguns serviços em regime de monopólio,44 como os de carta, cartão postal, correspondência agrupada e telegrama. O questionamento sobre qual o tratamento da LGPD é aplicável a ela, se o destinado a pessoas jurídicas de direito privado particulares ou o destinado ao Poder Público, deve ser respondido de modo a potencializar ambas as vocações prestigiando a preservação das garantias e direitos fundamentais.
Dispensar o tratamento mais rigoroso, indistintamente, implicaria impor entraves indesejados que a previsão de um capítulo próprio na LGPD destinado ao Poder Público procurou contornar. Por outro lado, estender esse tratamento inclusive às atividades desempenhadas em regime concorrencial violaria o princípio da livre-iniciativa e da livre concorrência. Oportuna é a solução preconizada por Márcio Cots e Ricardo Oliveira45 no sentido de se proceder ao mapeamento e à clara segregação de bases de
dados, dispensando-se tratamento específico àquelas que sustentam uma e outra atividade. Exemplificativamente, suponha-se que um indivíduo é ativista digital e apreciador de vinhos e que, por acreditar que os meios analógicos são mais seguros, tenha por hábito enviar cartas em papel a outros ativistas digitais com conteúdo cifrado pelos Correios. Imagine-se, ainda, que entre seus correspondentes poderiam estar indivíduos que, como Edward Snowden ou Julian Assange, têm suas comunicações monitoradas pelos órgãos de segurança e combate ao terrorismo. Em outro cenário, este mesmo indivíduo, que é apreciador de vinhos, recebe mensalmente as diversas garrafas adquiridas, ora pelo serviço de entrega dos Correios, o Sedex, ora por outras empresas de entrega, como a FedEx, a DHL, ou outra do gênero. Seria possível, em princípio, que seu perfil de consumo de vinhos fosse construído pela coleta e tratamento dos dados existentes na base de dados do serviço de entrega dos Correios, para posterior comercialização a outros distribuidores do gênero visando à oferta direcionada de produtos. Isso porque os dados aqui coletados subsidiam atividade econômica em regime concorrencial e, para que sejam tratados, a empresa pode se valer de qualquer das bases legais do artigo 7° da Lei protetiva, dispensando a esses dados o regime de proteção destinado às demais pessoas jurídicas de direito privado. Contrariamente, os dados reunidos das diversas correspondências entre esse indivíduo e os destinatários, ativistas digitais, revolucionários ou não, são impassíveis de estruturação e perfilhamento, pois redundam no mapeamento de convicções políticas ou filiação a organização de caráter político ou filosófico, que consistem em dados sensíveis46, passíveis de tratamento somente em casos excepcionais. Como os dados coletados subsidiam essa atividade exercida em caráter de monopólio, devem-se aplicar a eles as regras de tratamento de dados destinadas ao Poder Público. No contexto apresentado, em que uma mesma pessoa jurídica exerce atividade mista (atividade econômica em regimes concorrencial e monopolista), não é juridicamente viável que uma única base de dados reúna todas essas informações, sob pena de inviabilizar o tratamento específico que cada qual recebe da lei. Portanto, a manutenção de bases de dados distintas e segregadas, uma para suportar a atividade concorrencial (entregas) e outra
para a atividade exercida em caráter de monopólio (carta), é a solução técnica adequada para o correto tratamento jurídico. Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Dados Esse artigo, de aparente simplicidade, deve ser analisado de forma detida, com a plena compreensão dos termos e conceitos que o compõem, sob pena de se extrair conclusões potencialmente danosas ao setor público, sob os aspectos da governança em tecnologia da informação e da gestão de recursos públicos. Ao tratar, genericamente, de “dados”, entendemos que o dispositivo legal fala mais do que tencionava dizer, transbordando o escopo da norma inserida em lei de tratamento de dados pessoais e dados sensíveis, conforme definições legais que constam do artigo 5°, incisos I e II, da LGPD. Aborda, nesse contexto, questão de formato de dados afeta à Política de Dados Abertos, regulada pelo Decreto 8.777/2016, que prevê a divulgação de dados produzidos ou acumulados pelo Poder Executivo Federal sobre os quais não recaiam sigilo ou vedação expressa de acesso e ressalvada a proteção de dados pessoais; de compartilhamento de dados no âmbito da administração pública federal, regulado pelo Decreto 8.789/2016; e da LAI, que tem previsão semelhante em relação aos dados informacionais passíveis de acesso ao público. Conclui-se que o artigo 25 trata somente de dados pessoais e dados sensíveis, porém a regra deve ser analisada sob a ótica da complementariedade, interpretada, em qualquer hipótese, pela máxima garantia dos direitos fundamentais protegidos pela LGPD. Contexto da evolução tecnológica no setor público A incorporação de tecnologias da informação no setor público sofre limitações não existentes no setor privado, tornando evidente o descompasso entre o nível de informatização não somente entre os setores público e privado, mas entre os próprios órgãos da Administração Pública de um mesmo Poder ou nível federativo.
A existência de orçamentos limitados, a alternância de gestões que promovem descontinuidade de projetos estruturantes, a priorização de gastos em contratação de pessoal em prejuízo de investimentos em tecnologia da informação, a falta de convergência de investimentos com um mesmo propósito, a ausência de alinhamento estratégico entre órgãos de um mesmo setor e priorização heterogênea de investimentos em tecnologia da informação entre os diversos órgãos públicos são apenas alguns dos fatores que caracterizam o poder público como uma estrutura gigante qualificada pelo atraso tecnológico, à exceção de algumas poucas ilhas de excelência. Essa heterogeneidade resulta que, nos três níveis federativos e nos três Poderes, cada órgão utiliza recursos de tecnologia da informação compatíveis com sua cultura e recursos disponíveis, com baixa eficiência, reunindo cada qual uma quantidade enorme de dados redundantes, não estruturados, sem qualidade, não reutilizáveis e, consequentemente, incapazes de gerar valor na atividade administrativa. Em persistindo esse cenário, fica prejudicada e, por vezes, inviabilizada a execução de políticas públicas, a prestação eficiente de serviços públicos, a descentralização da atividade pública e a disseminação e o acesso das informações pelo público em geral. A solução tecnológica preconizada pela LGPD para aplacar o problema do fluxo informacional está na interoperabilidade e estruturação de dados. Interoperabilidade A interoperabilidade pode ser entendida como uma característica que se refere à capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficaz e eficiente.47 O conceito extraído do sítio eletrônico oficial “Governo Digital”, do Ministério do Planejamento, Desenvolvimento e Gestão, é premissa de um governo moderno baseado em sistemas que trabalhem nas diversas esferas, de forma íntegra, segura e coerente em todo o setor público. É por meio da interoperabilidade que softwares48 de diferentes épocas e concepções podem ser integrados, permitindo o compartilhamento de dados. Numa abordagem simples, dados são armazenados em arquivos e
trabalhados por sistemas, enquanto o transporte de dados via web é feito por protocolos (padrões) de comunicação. Portanto, arquivos, sistemas e protocolos são os elementos de estudo fundamentais para análise da exata extensão da norma. Ao promover a interoperabilidade, a LGPD prescreve, em suma, que o dado deve ser tratável por qualquer sistema e transitável pela web. Para tanto, é necessário que os dados estejam em padrão aberto e que os sistemas que vão trabalhá-lo estejam aptos a fazê-lo, independentemente do fato de também adotarem a concepção de código aberto. Padrão aberto Padrão aberto é a característica do elemento tecnológico que está disponível para livre acesso e implementação, sem viés discriminatório ou de favorecimento e é utilizável independentemente do pagamento de licenças ou royalties. Não há uma definição única de open standard49, mas as características que compõem o conceito são extraídas das abordagens da Digital Standards Organization (DSO50 e da Open Source Initiative (OSI)51, essa dedicada à promoção do software de código aberto. Dados abertos e dados em formato aberto Dados abertos, segundo a definição da Open Knowledge International (OKI),52 são os que qualquer pessoa pode livremente acessar, utilizar, modificar e compartilhar para qualquer finalidade, estando sujeito, no máximo, a exigências que visem a preservar sua proveniência e sua abertura. O Decreto 8.777/2016, que institui a política de dados abertos no Poder Executivo federal, define dados abertos em seu artigo 2°, inciso II, como sendo os dados acessíveis ao público, representados em meio digital, estruturados em formato aberto, processáveis por máquina, referenciados na internet e disponibilizados sob licença aberta que permita sua livre utilização, consumo ou cruzamento, limitando-se a creditar a autoria ou a fonte. Dados pessoais e dados sensíveis não são dados abertos, pelo fato de que qualquer atividade de tratamento depende de uma base legal e deve observância ao arcabouço principiológico da LGPD. Segundo o artigo 25 da LGPD, os dados devem ser armazenados em
formato aberto, ou seja, formato de arquivo não proprietário, cuja especificação esteja documentada publicamente e seja de livre conhecimento e implementação, livre de patentes ou qualquer outra restrição legal quanto à sua utilização.53 Portanto, a natureza do dado é conceito diverso da forma em que ele se apresenta. A LGPD prescreve que os dados pessoais e sensíveis (dados não abertos) sejam armazenados em formato aberto. Em outras palavras, ocupa-se do formato em que a informação é armazenada. São exemplos os documentos arquivados em formato aberto PDF, TXT, HMTL, os arquivos em áudio no formato OGG e FLAC, e as imagens em formato PNG ou SVG. Contrapõe-se a esse conceito o dado armazenado em formato fechado ou proprietário, tomando-se, por exemplo, um documento de texto de um determinado órgão público, que seja codificado em formato que somente o sistema daquele órgão consiga interpretá-lo, sem possibilidade de que outro o faça. Software de código aberto e software gratuito O sistema computacional ou software é construído em dada linguagem, resultado da compilação de seu código-fonte. O software cujo código-fonte é acessível a qualquer pessoa com conhecimento técnico para que o execute, copie e redistribua, modifique ou o estude é considerado software livre, de código aberto ou aderente à Licença Pública Geral (GPL).54 Se, por outro lado, o código fonte não é acessível ou passível de distribuição ou alteração, por se tratar de obra protegida pelo direito de propriedade intelectual previsto pela Lei 9.609/1998, a Lei do Software, dizse que o software é de padrão tecnológico fechado ou proprietário. O fato de ser o software aderente ao padrão tecnológico aberto ou fechado não significa, em um ou outro caso, que seja gratuito. Dessa forma, a distribuição de um sistema operacional de código aberto pode ter sua distribuição feita a título oneroso, enquanto um software proprietário pode ser distribuído a título gratuito.
O aprofundamento da análise dos conceitos de dados em formato aberto e software de código aberto é fundamental para compreender que a imposição legal de interoperabilidade de dados não implica a obrigatoriedade de toda a Administração Pública adotar o software livre (de código aberto), construído em linguagens abertas de programação, ou ainda que deva adotar o mesmo sistema para o tratamento de dados (sistema único). Os dados devem ser acessíveis e passíveis de leitura pelos diversos sistemas computacionais e esses devem ter a capacidade de acessá-los e tratálos, independentemente do padrão adotado na sua construção. A falha na compreensão desses conceitos pode levar o gestor público a proceder de modo diametralmente oposto à intenção da norma e ao interesse público. Basta imaginar a hipótese em que a interpretação da regra sob análise resultasse na conclusão de que a interoperabilidade se dá somente entre unidades que utilizam o mesmo sistema, ou de que todos os sistemas de todos os órgãos públicos, indistintamente, devem adotar o padrão de código aberto. Recursos investidos seriam perdidos, planejamentos estratégicos plurianuais seriam frustrados, tempo valioso empregado no treinamento e capacitação do servidor público seria em vão, integrações com sistemas de outros órgãos governamentais seriam abandonados. No âmbito nacional do Poder Judiciário, a Resolução 185/2013, do Conselho Nacional de Justiça, determina que todos os Tribunais do país adotem o sistema de tramitação processual denominado PJe (Processo Judicial Eletrônico), com o abandono de novas implantações dos sistemas já existentes, ainda que já programadas, e do desenvolvimento de novas funcionalidades, conforme o artigo 44, fundamentando-se na racionalização de recursos orçamentários, segundo os consideranda. Em recente manifestação55, a então Presidente do CNJ, Ministra Carmen Lúcia, declarou que a relativização da obrigatoriedade na adoção do sistema único com o redirecionamento dos investimentos na interoperabilidade, mediante a aplicação da regra de salvaguarda do artigo 45 da Resolução, é a alternativa que melhor atende ao interesse público. Modelos de interoperabilidade O compartilhamento de dados pode ser feito de diversas formas, como
pela disponibilização de arquivos de texto, imagem, áudio, vídeo ou planilhas eletrônicas para download; pela disponibilização de um portal dotado de ferramenta de consulta à base de dados; pela utilização de software ETL56, pelo desenvolvimento de uma API57, ou ainda, por um webservice. Pela utilização dessas três últimas abordagens é possível se fazer a integração de sistemas, ou seja, a criação de um canal em que softwares troquem informações diretamente entre si. O ETL é um software que proporciona a integração de sistemas por meio da troca de arquivos, muito utilizado em sistemas de Business Intelligence, por exemplo. Ele é o responsável por extrair um conjunto de dados de uma aplicação de origem, reestruturá-la para o formato do sistema de destino (transformação) e realizar o carregamento desse pacote de dados para tratamento por esse sistema. API é uma interface de comunicação entre sistemas que utiliza grande diversidade de protocolos e permite que um sistema utilize, em larga escala, funcionalidades do outro sem a necessidade de implementá-las em seu próprio código. Pela API é possível que, por exemplo, dois sistemas compartilhem funcionalidades e dados em banco um do outro, mantendo sua individualidade, coexistindo num mesmo ambiente (estação de trabalho ou data center) ou, alternativamente, interagindo via web. O webservice é uma espécie limitada de API em que a interação entre sistemas é padronizada e disponibilizada para acesso via web. Ao passo que o webservice trabalha exclusivamente sob a lógica computacional de requisição e resposta, mais limitada que uma API convencional, ele possui a virtude de permitir a interação do sistema com diversas aplicações externas que atendam ao seu padrão. Enquanto no Executivo Federal o Padrão de Interoperabilidade do Governo Eletrônico é o e-PING58, no Poder Judiciário nacional e órgãos de Justiça, como o Ministério Público, Polícia Civil e Defensoria Pública, adotase, obrigatoriamente, o Modelo Nacional de Interoperabilidade – MNI,59 que é um modelo de interoperabilidade baseado em webservices, preconizado pela Resolução Conjunta 3/2013 do Conselho Nacional de Justiça e do Conselho Nacional do Ministério Público. Por meio da sua adoção, já é possível que, na Justiça Paulista, milhares de ações de execução fiscal sejam aforadas pelo Estado de São Paulo e pelos
645 municípios mediante a comunicação entre os sistemas, delegacias de polícia tenham o inquérito policial eletrônico integrado ao processo criminal eletrônico, recursos dirigidos aos Tribunais Federais e Tribunais Superiores sejam remetidos ao Tribunal de destino pelo próprio sistema, bem como que citações sejam enviadas pelo sistema diretamente aos Correios pelo serviço de AR Digital. O intercâmbio e tratamento de dados, portanto, está disponível a qualquer outra instituição pública que venha a aderir ao MNI, sem necessidade alguma de abandono de seus sistemas de origem, em franca postura de bom emprego dos recursos públicos. Dados estruturados O conceito de dados estruturados se insere no contexto do modelo de interoperabilidade e condiz com a ideia de que os dados devem estar organizados para serem acessados com eficiência. Dados estruturados são dados formatados, normalmente organizados em tabelas, com linhas e colunas e, por isso, são facilmente processados por um sistema gerenciador de bancos de dados, passíveis de serem obtidos por máquinas, quantificados e transferíveis e tratáveis. Sistemas de Gerenciamento de Bancos de Dados Relacionais (SGBDR e migração de dados A própria base em que os dados são armazenados é gerenciada por software que, tal como os demais elementos de tecnologia, podem ser construídos em código aberto, a exemplo do MySQL60, ou fechado, como o SQL Server61, da Microsoft Corporation. Fruto da mesma concepção equivocada é a crença de que a escolha de armazenar os dados em software de gerenciamento de banco de dados relacional (SGBDR) de código fechado inviabiliza a interoperabilidade ou vice-versa, bem como de que se trate de uma opção sem retorno. De fato, a migração de dados consiste na transferência de dados tabelados em uma base de dados para outra, utilizando-se desde recursos técnicos avançados até o prosaico conceito do “de-para”. Significa que o empenho de recursos de migração será direcionado a consumir os campos de dados “de” um banco de origem e armazená-los no campo correspondente da estrutura de
banco de dados “para” o qual ele é destinado. Apesar da simplicidade do conceito, os entraves técnicos passam por questões como a qualidade de dados na origem, a existência de documentação a respeito da base original, o relacionamento entre dados não tabelados (campos de livre preenchimento) e campos tabelados na nova base, e, finalmente, a possibilidade de automatizar a migração para sua realização em grande escala, para nomear alguns. A modernização tecnológica do Tribunal de Justiça de São Paulo iniciada com o Plano de Unificação, Modernização e Alinhamento – PUMA (20122013)62 – teve como pressuposto da unificação de sistemas de gerenciamento processual a migração de 63,4 milhões de processos judiciais de uma base de dados atingida pela obsolescência para base de dados de última geração, permitindo, na sequência, a implantação do processo digital em todo o Estado de São Paulo, que ocorreu com a conclusão do Projeto 100% Digital, em 30 de novembro de 201563. Sistemas transacionais e ERPs especialistas64 Sistemas de informação transacionais, ou simplesmente sistemas transacionais, são softwares que permitem aos usuários a realização de acessos pontuais para inserção (entrada), manipulação, armazenamento e consulta (saída) de informações em processo de retroalimentação. Consistem na principal ferramenta tecnológica de organizações privadas, órgãos e entes públicos. Entre os sistemas do gênero transacional, estão os sistemas de gestão integrada, ou ERPs, que são softwares corporativos que têm como função principal exercer o controle total dos dados e informações, integrando e gerenciando dados, recursos e processos que permeiam as atividades diárias de uma empresa ou ente público. Especialistas são ERPs desenvolvidos para um nicho ou setor específico, como os sistemas de gerenciamento de processos judiciais. No Poder Judiciário, são exemplos de sistemas de gestão integrada especialista na atividade-fim (jurisdicional) de código fechado, o Sistema de Automação da Justiça65 – Primeiro Grau (SAJ-PG5) –, e Segundo Grau (SAJ-SG5); e de código aberto, o PJ-e66, o e-Proc, entre outros. É por meio desses sistemas que, na Justiça, as ações são aforadas e
petições intermediárias são apresentadas pelo peticionamento eletrônico, as movimentações processuais são registradas pelos servidores públicos, e os atos judiciais são realizados e comunicados pelos magistrados, compondo o processo eletrônico, cuja matriz é totalmente digital.67 Na atividade-meio (administrativa) há sistemas proprietários como o Sistema de Automação da Justiça – Administrativo (SAJ-ADM) –, e de código aberto, como o Sistema Eletrônico de Informações (SEI), do Governo Federal68. A questão de fundo é que a utilização de sistema transacional, livre ou proprietário, tem plena capacidade de interagir com bases de dados administradas por softwares de concepção livre ou proprietária. Significa dizer que o incentivo legal pela adoção de software livre no âmbito da Administração Pública ou a promoção da utilização de software único por um Poder da República não é pressuposto da interoperabilidade apregoada pela LGPD ou de economicidade no contexto da gestão de recursos públicos, mas consiste em viés decorrente unicamente dos princípios de governança de tecnologia da informação adotados por cada órgão ou ente público. Síntese A LGPD prescreve que os dados pessoais e sensíveis sejam armazenados de forma estruturada e em formato aberto (interoperável), de modo a permitir seu consumo por outros órgãos ou entes públicos, inclusive mediante a integração de sistemas, desde que observadas determinadas premissas técnicas e, dessa forma, viabilizar finalidades específicas, previstas em rol taxativo: a execução de políticas públicas, a prestação de serviços públicos, a descentralização da atividade pública, a disseminação e o acesso das informações pelo público em geral. Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° desta Lei.
Uso compartilhado de dados (artigo 5°, inciso XVI, da LGPD Entre as diversas operações de tratamento de dados pessoais, elencadas no artigo 5°, inciso X, da LGPD69, estão a transmissão, a comunicação, a
transferência e a difusão, que compõem um subconjunto que a lei denominou “uso compartilhado de dados”, incluindo ainda nesse conjunto as operações de interconexão e tratamento compartilhado.70 Uso compartilhado de dados por entes públicos Ao tratar da possibilidade de uso compartilhado de dados pessoais constantes de bases de dados sob controle do poder público, por entes públicos, a LGPD trata de modo indistinto todas as operações que integram o conceito mais amplo, o de uso compartilhado de dados. Para tanto, cuidou de estabelecer três requisitos cumulativos: a existência de finalidade específica no compartilhamento, a existência de base legal para os entes envolvidos e a validação do compartilhamento pelo Teste de Proporcionalidade decorrente do atendimento dos princípios do artigo 6°. Protagonismo da base principiológica da LGPD O artigo 26 deixa expresso que o uso compartilhado de dados pessoais pelos órgãos e entes públicos deve observar os princípios de proteção de dados pessoais elencados no artigo 6° da Norma. Não basta, portanto, que o compartilhamento possua base legal (artigo 7°, inciso III e artigo 23 da LGPD), atenda às finalidades específicas de execução de políticas públicas ou advenha de atribuição legal do órgão ou entidade pública. É característica de normas que tratam da garantia de direitos em contexto fático permeado pela utilização de tecnologia da informação o forte atrelamento da aplicação das regras à observância da base principiológica. Em tempos de evolução exponencial da tecnologia da informação, seria impossível ao legislador prever os elementos tecnológicos e sua terminologia de modo a dar-lhes contorno jurídico e tratamento definitivo. Antes, preocupou-se em estabelecer, com muita propriedade, o embasamento principiológico de hermenêutica e aplicação da regra na própria lei. Com isso, o natural descompasso entre o rápido avanço da tecnologia e a imutabilidade da regra, senão pelo processo legislativo, se vê atenuado pelo efeito revitalizador da observância dos princípios nela contidos, a permitir uma maior plasticidade da norma, sem que, com isso, ela perca sua essência. Os princípios do artigo 6° da LGPD consistem em autêntico filtro de
validade e legitimidade das regras de proteção de dados pessoais, que se materializa quando se verifica que a operação de tratamento de dados pessoais sob análise com fundamento na execução das políticas públicas ou no exercício de competência ou atribuição legal observam o equilíbrio entre a liberdade positiva (controle da atividade pública) e negativa (preservação dos direitos e garantias fundamentais) do titular de dados. A verificação do equilíbrio, conforme propõe Bruno Bioni, é feita pelo Teste de Proporcionalidade71 da operação de tratamento ou compartilhamento de dados pessoais, baseado nos princípios constitucionais que regem a Administração Pública e nos princípios de proteção de dados previstos na LGPD. Os princípios da finalidade (artigo 6°, I, da LGPD), da adequação (inciso II) e da responsabilização e prestação de contas (inciso X)72 buscam fundamento de validade nos princípios constitucionais da legalidade, da impessoalidade e da moralidade (artigo 37, caput, da Constituição Federal) e se materializam quando, cumulativamente, o ato administrativo de tratamento ou compartilhamento de dados pessoais: a) está previsto em leis e regulamentos ou respaldado em contratos, convênios ou instrumentos congêneres (artigo 7°, inciso III, da LGPD); b) é praticado no exercício de suas competências ou atribuições (artigo 23, caput, da LGPD); c) o ato praticado busca o atendimento do interesse público (artigo 23, caput, da LGPD). Os princípios da transparência (artigo 6°, inciso VI, da LGPD) e do livre acesso (inciso IV da LGPD) possuem direta relação com o princípio da publicidade (artigo 37, caput, da Constituição Federal) e são observados quando o órgão ou ente administrativo:
a) pratica a transparência ativa (artigo 23, inciso I, da LGPD e artigo 8° da LAI); b) viabiliza a transparência passiva (artigo 23, inciso I, da LGPD e artigo 10 da LAI); c) implementa outras formas de publicidade das operações de tratamento preconizadas pela ANPD (artigo 23, § 1°, da LGPD); d) expede os informes (artigo 26, § 2°, da LGPD) e comunicados (artigo 27,
inciso II, da LGPD) na forma da lei. Os princípios da necessidade ou da mínima coleta (artigo 6°, inciso III), da qualidade dos dados (inciso V), da segurança (inciso VII) e da não discriminação (inciso IX) fecham o escopo principiológico do Teste de Proporcionalidade e possuem fundamento no princípio constitucional da eficiência (artigo 37, caput, da Constituição Federal). Portanto, o uso compartilhado de dados pessoais pelo Poder Público se legitima pelo sucesso do Teste de Proporcionalidade, ocasião em que se coloca à prova a observância de todos os princípios legais e constitucionais que regem o tema. A falha em superá-lo resulta na ilegalidade do ato. Compartilhamento de dados pessoais na Administração Pública federal (Dec. 8.789/16) – Vide nota ao artigo 23, § 1°, da LGPD. § 1°. É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
Uso compartilhado de dados pelo ente público e o ente privado Diversamente do tratamento dispensado aos entes públicos, quando o compartilhamento de dados pessoais constantes de bases controladas por entes públicos envolver o uso por entes privados, a LGPD trata de modo distinto as operações de uso compartilhado. As normas que tratam desse contexto estão contempladas no artigo 26, § 1° e no artigo 27, desenhando um sistema de regras, exceções e especificidades de complexidade invulgar. Nesse contexto, optou o legislador por tratar com destaque da operação de transferência de dados. Não existe uma definição legal de transferência, bastando para a análise proposta a utilização do núcleo comum ao conceito do dicionário Houaiss73 e àquele constante do glossário publicado pela SERPRO74. Trata-se da mudança geográfica de um local a outro e da modificação do controle sobre os dados. Transferência de dados – regra e exceção A regra consiste na vedação de transferência pelo Poder Público de dados pessoais constantes de suas bases a entidades privadas.
A redação original da Lei Protetiva sancionada previa apenas duas hipóteses autorizativas de transferência a entidades privadas de dados pessoais existentes em bases públicas, rol esse que foi ampliado para cinco hipóteses pela MP 869/2018 e reduzido para quatro hipóteses na redação final dada pela Lei 13.853/2019. Por se tratar de dispositivo legal que excepciona a regra, em numerus clausus, deve ser interpretado restritivamente. Dados públicos e acessíveis publicamente Públicos são os dados constantes de bases públicas, sob custódia de órgão ou ente público, e podem ser dados pessoais, dados sensíveis e dados informacionais (de acesso ao público). A LAI define informação como dados, processados ou não, que podem ser utilizados para produção e transmissão do conhecimento, contidos em qualquer meio, suporte ou formato75 e, em seu artigo 7°, traz rol exemplificativo de informações passíveis de acesso sob os auspícios da LAI.76 No mesmo artigo em que define informação, traz definição de informação pessoal de idêntico teor à definição de dado pessoal existente na LGPD. Ao prescrever que aos órgãos e entidades do Poder Público cabe, entre outros deveres, o de assegurar a proteção da informação sigilosa e da informação pessoal, observando eventual restrição de acesso77, a LAI permite uma segura distinção entre o que hoje define a lei como dados pessoais e as informações não referentes a pessoa natural identificada ou identificável, estes últimos entendidos como dado informacional ou dados acessíveis ao público78. Significa dizer que dados pessoais ou sensíveis não perdem a natureza ou proteção legal pelo fato de integrarem bases de dados públicos. Por esse motivo que ambas as leis tratam do atributo da confidencialidade dos dados de forma coerente para que essas categorias de dados não sejam acessíveis publicamente, assim como os dados sigilosos, definidos pela LAI.79 O dispositivo legal sob análise ocupa-se, portanto, tão somente dos dados pessoais e dados sensíveis existentes em base pública de dados, relegando à LAI o tratamento dos dados de acesso ao público.
I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei n° 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
Exigência decorrente da execução descentralizada de atividade pública A atividade pública, notadamente no âmbito administrativo, pode ser prestada diretamente pelo órgão administrativo a quem a lei atribuiu o poderdever de fazê-lo (execução centralizada) ou por pessoa jurídica diversa (execução descentralizada), seja ela pública (administração indireta) ou privada, em determinadas hipóteses. Nesse contexto, é preciso divisar que quando a execução descentralizada é conferida a pessoa jurídica de direito público (autarquias e fundações) ou a entidades paraestatais (empresas públicas e sociedades de economia mista) que estiverem operacionalizando políticas públicas (em regime de monopólio), o regime jurídico de proteção de dados é aquele conferido aos entes e órgãos públicos, por força do artigo 24, parágrafo único, da LGPD. Nessas hipóteses, ainda que se trate de execução descentralizada de atividade pública, o regime jurídico regente do compartilhamento de dados é o previsto no artigo 26, caput, da lei. Diversamente, se a execução descentralizada de atividade pública é conferida a ente privado ou a entidades paraestatais que estiverem atuando em regime de concorrência, estes terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado, por força do artigo 24, caput, da LGPD. Nessas hipóteses, o regime jurídico de compartilhamento de dados é o gizado no artigo 26, §§ 1° e 2° e artigo 27 da LGPD. A execução descentralizada de atividade pública se materializa mediante outorga ou delegação. Enquanto aquela pressupõe a edição de lei específica, esta se dá através de contrato de concessão ou permissão de serviço público, sendo ainda mais factível o vislumbre de cenários em que o Poder concedente transfere dados pessoais existentes em suas bases de dados ao concessionário, como na prestação de serviços de transporte público terrestre, ferroviário e aéreo, telefonia, manutenção de rodovias, ferrovias e aeroportos. Ao prever hipótese em que o compartilhamento de dados pessoais consiste numa exigência para a execução descentralizada de atividade pública, a regra contempla os entes privados e entes paraestatais que atuam em regime de concorrência, e sugere duas conclusões.
Primeiramente, em prestígio ao princípio da finalidade, o único propósito legítimo para a transferência de dados é a execução de atividade pública, ainda que descentralizada. Em hipótese alguma deve se desviar da finalidade pública e da persecução do interesse público primário, para atender interesses do administrador ou do órgão ou ente público, enquanto pessoa jurídica de direito público interno (interesse público secundário), como já tivemos a oportunidade de analisar. Por outro lado, se a extensão da transferência se restringe a uma exigência legal, regulamentar ou proveniente de convênios e congêneres, tem especial aplicabilidade o princípio da necessidade, pelo qual o Poder Público deve restringir os dados pessoais transferidos ao mínimo necessário para a execução da atividade pública, ainda que, em suas bases, disponha de outros dados relacionados à pessoa do titular. II – (VETADO); III – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
Dados acessíveis publicamente e dados pessoais Dados pessoais ou sensíveis não perdem a natureza ou proteção legal pelo fato de integrarem bases de dados públicos (artigo 17 da LGPD). Não por outro motivo, a regra do artigo 7°, § 3°, da LGPD prescreve que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
A regra de contenção ao final do inciso preconiza que, ainda que acessíveis publicamente, o fundamento de validade do ato de transferência deve advir do sucesso do Teste de Proporcionalidade para aferição, sobretudo, do atendimento ao princípio da boa-fé e da finalidade, pelo qual se conclui que, ainda que acessível publicamente, o dado pessoal não pode ser transferido a entidade privada dissociado do atendimento de finalidade pública e na persecução do interesse público. Exemplificativamente, tal situação ocorreria com a utilização da base nominal de vencimentos de funcionários públicos, disponibilizados sob os auspícios da Lei de Acesso à Informação, para o perfilamento de consumo por empresa de publicidade direcionada. Nessa hipótese, se utilizado para
finalidade diversa de sua acessibilidade pública, o tratamento deve recorrer a uma nova base legal. IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
Crítica ao inciso A inclusão desse inciso entre os demais que preveem hipóteses relacionadas a circunstâncias específicas nos parece inoportuna, pois leva à conclusão equivocada de que, ainda que a transferência não se enquadre na hipótese de execução descentralizada da atividade pública (inciso I), ou no caso em que os dados já sejam acessíveis publicamente (inciso III), ou ainda não objetivar exclusivamente a prevenção de fraudes e irregularidade ou proteção e resguardo da segurança e integridade do titular de dados (inciso V), bastaria que o Poder Público obtivesse o respaldo na transferência de dados ao particular em documento legal, contrato, convênio ou instrumento congênere. A tão só previsão legal ou contratual dissociada de contexto fático a motivar a transferência de dados pessoais existentes em bases de dados do Poder Público ao particular não nos parece suficiente, porquanto se trata de um autêntico requisito de validade do ato de transferência de dados consistente na observância do onipresente princípio da legalidade, sem o qual sequer se cogita a existência de ato administrativo. Ademais, não se sustenta a mera existência de previsão legal ou contratual se não amparada no sucesso em superar o Teste de Proporcionalidade, baseado nos princípios de proteção de dados do artigo 6°. Tome-se, por exemplo, o ente público que, com base em lei, transfere dados pessoais existentes em sua base de dados a ente privado, em quantidade indiscriminada, dissociado de uma finalidade específica e em absoluto descompasso com a expectativa do titular no ato da coleta. Numa situação que tal, a existência de lei ou contrato não seria supedâneo idôneo a legitimar a transferência de dados. V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Abrangência da norma
A previsão de hipótese de prevenção de fraudes e irregularidades, proteção e resguardo da segurança e integridade do titular é ampla o suficiente para garantir uma confortável margem de atuação ao administrador público, que poderá fundamentar a transferência de dados pessoais a entes privados em hipóteses parelhas às que goza de permissão legal para o tratamento de dados por recursos próprios, conforme previsto no artigo 11, inciso II, alíneas “e”, “f” e “g”, da LGPD. Dado o amplo espectro de atuação, a coerência e a legitimidade na aplicação da norma demandam a validação pelo Teste de Proporcionalidade, enunciado nos comentários ao caput deste artigo. Por força da Lei 13.853/2019, foi incluída ao final do dispositivo a expressão “desde que vedado o tratamento para outras finalidades” que veio no sentido de reafirmar que por se tratar de uma hipótese excepcional, mas de aplicabilidade potencialmente ampla, deve-se observar com maior atenção o princípio da finalidade e adequação. § 2°. Os contratos e convênios de que trata o § 1° deste artigo deverão ser comunicados à autoridade nacional.
Comunicação na forma do artigo 25 da LGPD O compartilhamento deve observar os padrões de interoperabilidade e estruturação de dados. Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto: I – nas hipóteses de dispensa de consentimento previstas nesta Lei; II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou III – nas exceções constantes do § 1° do art. 26 desta Lei.
Demais hipóteses de uso compartilhado de dados pelo ente público e o ente privado Tendo destacado no artigo 26, § 1°, a operação de transferência de dados de ente público a ente particular dentre as diversas operações contempladas no conceito de uso compartilhado de dados, o artigo 27 trata das hipóteses e requisitos para que se proceda às operações remanescentes: comunicação, difusão, interconexão e tratamento compartilhado.
O dispositivo legal tem redação confusa, a começar pelo fato que enuncia “comunicação” ou o “uso compartilhado de dados” como hipóteses alternativas quando, pela definição legal do artigo 5°, inciso XVI, a comunicação é espécie de uso compartilhado e não figura distinta. Já tendo tratado de transferência no sobredito artigo, bastaria que esse dispositivo tratasse das demais hipóteses de uso compartilhado. Não se trata de crítica vazia na medida em que a crença de que a lei não ostenta palavras inúteis pode levar o intérprete a um esforço exegético inglório, de modo que a identificação dessa circunstância pode indicar pelo menos uma de muitas possibilidades de interpretação sistemática plausível. Dito isso, basta estabelecer que para as hipóteses de uso compartilhado de dados entre o ente público e o privado diversas da transferência, a lei protetiva exige, como regra, a obtenção do consentimento do titular dos dados pessoais. O consentimento para compartilhamento de dados pessoais deve ser específico para essa finalidade, não bastando ao controlador tê-lo colhido para outras modalidades de tratamento (artigo 7°, § 5°, da LGPD). O consentimento como base legal O consentimento é, portanto, a base legal que tem o condão de legitimar a comunicação, difusão, interconexão e o tratamento compartilhado de dados pessoais existentes em bases públicas por entes privados sendo, porém, dispensado nas hipóteses dos incisos I a III do artigo. Essa é a evidência de que o consentimento é uma das bases legais de tratamento de dados pelo poder público, ainda que restrita à hipótese de comunicação, difusão, interconexão e tratamento compartilhado de dados pessoais. Afora essa hipótese, a LGPD nada dispõe quanto à possibilidade de utilização do consentimento (artigo 7°, inciso I) como base legal de tratamento de dados pessoais pelo Poder Público. Conquanto o Regulamento Geral de Proteção de Dados Pessoais Europeu (GDPR) não vede expressamente, como faz em relação ao uso do legítimo interesse pelo Poder Público, há notável demonstração de ceticismo em seus Consideranda, pois consigna que é questionável a manifestação livre do consentimento no bojo de uma relação caracterizada pela assimetria de poder.
No entanto, bem observa Mirian Wimmer80 que recorre ao Teste de Proporcionalidade baseada nos princípios de proteção de dados (artigo 6°) para ponderar que quanto mais facultativa for a relação entre o cidadão titular dos dados pessoais e o Estado, maior será a possibilidade de se admitir o consentimento como base legal de tratamento. Exemplifica com o caso em que o cidadão tem a opção entre fruir de um serviço público presencialmente, mediante o comparecimento na sede do órgão público, ou através de seu aplicativo para celular. Nesta última hipótese, por se tratar de uma comodidade e não de um empecilho ao acesso ao serviço, eventual consentimento na coleta de dados como a geolocalização para tratamento estatístico seria justificável. Portanto, à exceção das hipóteses em que é expressamente dispensado, como no caso de dados que também foram tornados manifestamente públicos pelo próprio titular81 (inciso I) e nas exceções constantes do § 1° do artigo 26 da lei protetiva (inciso III), remanesce a hipótese do inciso II, que prevê a dispensa do consentimento quando, nos casos de uso compartilhado de dados – leia-se, à exceção da transferência, que possui regra própria no artigo 26, § 1° e já está contemplada no inciso III – é dada publicidade nos termos do inciso I do artigo 23 da lei. No entanto, a exemplo da crítica dispensada a outros dispositivos da lei, a publicidade, ainda que na especial forma do artigo 23, inciso I, não consiste, de fato, numa hipótese de dispensa de consentimento, mas numa reafirmação de preceito de transparência que deve permear toda atividade de tratamento de dados pessoais, indistintamente. Portanto, a melhor interpretação do inciso II parece ser a de considerá-lo um requisito cumulativo nas hipóteses previstas nos incisos I e III do artigo 27, não podendo ser utilizado de forma autônoma. Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação. Art. 28. (VETADO). Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do Poder Público a realização de operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.
Solicitação e poder de requisição
Na seara da Administração Pública, a solicitação difere da requisição decorrente do exercício do poder hierárquico atribuído a determinadas autoridades. Diversamente de utilizar a expressão requisitar, como o faz no artigo 55J, inciso IV, da LGPD, a previsão de solicitação, aos órgãos e entidades do Poder Público, de realização de operações de tratamento de dados pessoais, das informações específicas sobre o âmbito e da natureza dos dados e outros detalhes do tratamento realizado, não traz em seu bojo o viés de exercício de poder requisitório, decorrente da hierarquia. Parece-nos correta essa interpretação por dois motivos. Em primeiro lugar, atribuir à ANPD, que é órgão da Presidência da República82, a possibilidade de impor aos demais Poderes da República, que realizem operação de tratamento de dados, subverteria o pacto republicano e a tripartição dos poderes. Por outro lado, como toda a operação de tratamento de dados gera custos a serem absorvidos pelo órgão ou ente público, não é razoável admitir ingerência dessa ordem, salvo as hipóteses de adequações para conformidade às normas gerais, impostas em caráter geral. Situação de igual natureza levou a Presidência da República a vetar a criação da autoridade nacional no Projeto de Lei que deu origem à LGPD, porquanto o Projeto de Lei proveniente do Poder Legislativo tratou de criação de estrutura administrativa cuja prerrogativa cabe somente ao Poder que arcará com seu custeio, no caso, o Poder Executivo. Ademais, a solicitação é o instrumento jurídico utilizado no pedido de providências entre autoridades de igual hierarquia ou que possuem elevado grau de autonomia, mas, de modo algum, implicam mera facultatividade em seu atendimento. No que concerne às demais atividades, quais sejam, a de solicitar informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado, podendo emitir parecer técnico complementar para garantir o cumprimento desta Lei, não há qualquer ressalva em assim proceder, porquanto consistem em ações que guardam estreita relação com a missão institucional da ANPD. Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.
Poder normativo da ANPD No exercício de sua função pública de implementar a LGPD83, a ANPD reúne, entre outros poderes, o normativo, previsto no artigo 55-J, inciso II, da Lei. Conquanto o poder normativo que lhe fora atribuído seja amplo, o artigo 30 destacou as atividades de comunicação e uso compartilhado de dados pessoais no âmbito do Poder Público para que a autoridade nacional emita normas complementares às já existentes. O artigo 11, § 3°, da LGPD prevê igual destaque à atividade regulatória da ANPD na comunicação e uso compartilhado de dados pessoais sensíveis entre controladores, cujo objetivo seja a vantagem econômica. É digno de registro que, anteriormente à criação da ANDP e o estabelecimento de suas competências legais pela MP 869/2018, o poder de emitir regulamentos complementares se limitava às hipóteses de comunicação e uso compartilhado de dados, não alcançando outras operações de tratamento. Conclui-se que se cuida de duas operações de tratamento de especial sensibilidade e caberá à ANPD, sobretudo no âmbito do Poder Público, exercer sua missão institucional de zelar pela uniformidade da interpretação e implementação da lei diante das questões que surgirão no contexto de vigência da lei protetiva, catalisando o processo de estabelecimento de segurança jurídica. Seção II Da responsabilidade Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
Responsabilização e orientação Diversamente de inaugurar a Seção II com a previsão de poderes disciplinares e sancionatórios da autoridade nacional diante da constatação da ocorrência de infração por órgão ou ente do Poder Público, o artigo 31 trata da possibilidade (“pode”) de a autoridade nacional enviar informe com medidas cabíveis para fazer cessar a violação.
Sob a ótica da atividade administrativa, tal possibilidade consiste em genuíno poder-dever, pois é uma das atribuições que justificam sua própria razão de existir, seja pelo caráter fiscalizador do cumprimento da lei, como pela incumbência legal de implementá-la. Seria possível questionar qual a função, bem como quais seriam as consequências da inobservância das recomendações de cessação da violação. Não resta dúvida de que o ato de informar as medidas cabíveis para cessação da violação de direitos e garantias fundamentais decorrentes do tratamento de dados pessoais pelo Poder Público não retira ou mitiga o poder sancionatório da autoridade nacional. Antes, funciona como parâmetro a ser levado em conta no escalonamento da penalidade a ser imposta, sendo tão mais severa quanto o grau de desídia e incúria do administrador público, uma vez ciente da operação de tratamento potencialmente danosa e das medidas passíveis de conter ou mitigar os danos. Com efeito, entre os critérios de aplicação das sanções previstas no artigo 52, incisos I a IV, o § 1° do mesmo artigo prevê, no seu inciso II, o quesito da boa-fé do infrator. É patente a violação do quesito na hipótese de prévia ciência pelo administrador público da existência de violação à lei informada pela própria ANPD, em que já se preveem medidas de cessão ou mitigação dos danos. O artigo 52, em seu § 2°, prevê, ainda, a cumulatividade das sanções nele previstas em relação a outras sanções administrativas, civis e penais existentes em legislação específica e, no caso de se direcionar contra o Poder Público, a expressa observância dos diplomas legais específicos, tratados no § 3°. Como último registro, é importante notar que não está previsto em qualquer dispositivo da LGPD a possibilidade da ANPD enviar semelhante informe a pessoas jurídicas de direito privado, o que, pela posição topológica do artigo inserido no capítulo destinado ao Poder Público, leva à segura conclusão de que o dispositivo cuida, exclusivamente, de um poder de autocontrole administrativo. Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
Elaboração e publicação do Relatório de Impacto à Proteção de Dados
Pessoais (RIPDP) A inexistência de dispositivo legal expresso determinando ao ente público a obrigatoriedade na elaboração periódica do relatório de impacto à proteção de dados pessoais na LGPD poderia levar à inferência da obrigatoriedade em sua elaboração, já que apenas a publicação é passível de solicitação. Esse entendimento não se coaduna com o regime jurídico administrativo, pois, conquanto esteja alinhado com a maior transparência que se demanda do Poder Público como forma de equilibrar a assimetria de poder, não comunga do conceito de legalidade segundo o qual a administração deve agir secundum legem. Ademais, foi clara a opção legislativa em prever que a elaboração do RIPDP é facultativa, diferentemente do instituto europeu equivalente previsto na GDPR, o DPIA (Data Protection Impact Assessment). Ao prever, em seu artigo 38, que a autoridade nacional poderá determinar ao controlador que elabore relatório de impacto, a interpretação sistemática da LGPD resulta na mera facultatividade de elaborar o RIPDP, imposta ao Poder Público.
1. 2.
3.
4.
5.
6.
7.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019. ANTONIALLI, Dennys; CRUZ, Francisco Brito. Privacidade e Internet: Desafios para a Democracia Brasileira. Disponível em: [www.plataformademocratica.org/Arquivos/Privacidade_e_internet_Desafios_para_a_Democracia_Brasileira.p BIONI, Bruno Ricardo; MACHADO, Jorge. A proteção de dados pessoais nos programas de Nota Fiscal: um estudo de caso do “Nota Fiscal paulista”. Disponível em: [revista.ibict. br/liinc/article/view/3734]. NATUSCH, Igor; FELIZI, Natasha; VARON, Joana. Bilhete Único: concentração de dados e dinheiro no transporte público do Rio. Disponível em: [chupadados.codingrights.org/com-oriocard-seus-dados-passeiam-pelo-rj-e-ninguem-sabe-onde-vao-descer/]. BIONI, Bruno Ricardo. Expansão do Wi-Fi público às “custas” de dados pessoais. Disponível em: [www.jota.info/?pagename=paywall&redirect_to=//www.jota.info/opiniao-eanalise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/expansao-do-wi-fi-publico-ascustas-de-dados-pessoais-17072017]. KAMEDA, Koichi; PAZELLO, Magaly. e-Saúde e desafios à proteção da privacidade no Brasil. Disponível em: [politics.org.br/edicoes/e-sa%C3%BAde-e-desafios-%C3%A0prote%C3%A7%C3%A3o-da-privacidade-no-brasil]. Art. 5°, X, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) – “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. 8. Art. 1°, I, da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). 9. BANDEIRA DE MELLO, Celso Antonio. Curso de Direito Administrativo. 33. ed. São Paulo: Malheiros, 2016. p. 156. 10. ALEXANDRINO, Marcelo; PAULO, Vicente. Direito Administrativo Descomplicado. 26. ed. Rio de Janeiro: Forense; São Paulo: MÉTODO, 2018. p. 31. 11. DAVID ARAÚJO, Luiz Alberto; NUNES JUNIOR, Vidal Serrano. Curso de Direito Constitucional. 21. ed. São Paulo: Editora Verbatim, 2017. p. 504. 12. Art. 134, § 2°, da Constituição Federal, conforme redação dada pela Emenda Constitucional 80, de 4 de junho de 2014. 13. Art. 134, caput, da Constituição Federal. 14. Art. 1°, II, da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). 15. ALEXANDRINO, Marcelo; PAULO, Vicente. Direito Administrativo Descomplicado. 26. ed. Rio de Janeiro: Forense; São Paulo: MÉTODO, 2018. p. 32. 16. PIETRO, Maria Sylvia Zanella Di. Direito Administrativo. 31. ed. rev. atual e ampl. Rio de Janeiro: Forense, 2018. p. 656. 17. CRETELLA JÚNIOR, José. Filosofia do Direito Administrativo. Rio de Janeiro: Forense, 1999. p. 35. 18. Art. 2° da Lei 9.784/1999 – Lei do processo administrativo no âmbito federal. 19. MEIRELLES, Hely Lopes. Direito Administrativo Brasileiro. 43. ed. São Paulo: Malheiros, 2018. p. 90. 20. Art. 5°, II, da Constituição Federal. 21. MEIRELLES, Hely Lopes. Direito Administrativo Brasileiro. 43. ed. São Paulo: Malheiros, 2018. p. 96. 22. MEIRELLES, Hely Lopes. Op. cit., p. 112. 23. JUSTEIN FILHO, Marçal. Curso de Direito Administrativo. 13. ed. São Paulo: Thomson Reuters Brasil, 2018. p. 60. 24. BANDEIRA DE MELLO, Celso Antonio. Curso de Direito Administrativo. 33. ed. São Paulo: Malheiros, 2016. p. 62. 25. Art. 6°, inciso VI, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). 26. Anota-se que não há previsão semelhante no GDPR. 27. Art. 6°, inciso X, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). 28. Previsão de semelhante teor a respeito dos sítios eletrônicos do Poder Judiciário encontra-se no artigo 6°, § 4°, da Resolução 215/2015 do Conselho Nacional de Justiça. 29. Art. 4°, §§ 1°, 2° e 3°, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). 30. Idem a nota 21. 31. Disponível em: [www.tse.jus.br/o-tse/sobre-o-tse/gestao-estrategica]. 32. Do inglês: DPIA – Data Protection Impact Assessment. 33. Redação original do art. 5°, VIII, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), alterada pela Lei 13.853/2019. 34. Art. 5°, VIII, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) – “encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. 35. MINCO, Sandro di. O impacto da Lei Geral de Proteção de Dados (LGPD) nas lides forenses.
36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48.
49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65.
Palestra proferida em curso de extensão na Escola Paulista da Magistratura. São Paulo, 26.11.2018. ROSAS, Eduarda Chacon. Techie-Lawyers: eles não são nem TI nem advogados. Disponível em: [www.lexmachinae.com/2018/11/01/techie-lawyers-nem-ti-nem-advogados/]. Art. 10 da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). Art. 15, parágrafo único, da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). Portaria 9.546/2018 da Presidência do Tribunal de Justiça, publicada no DJe de 16.02.2018. p. 18. Art. 1° da Lei 6.015/1973 (LRP – Lei de Registros Públicos). Disponível em: [www.arpen.org.br]. Disponível em: [www.arisp.com.br]. Art. 170, caput, II e IV, da Constituição Federal. Decreto-lei 509/69, ratificado pela Lei 6.538/78. COTS, Márcio; OLIVEIRA, Ricardo. Lei geral de proteção de dados pessoais comentada. São Paulo: Thomson Reuters, 2018. p. 183. Art. 5°, II, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). Disponível em: [www.governodigital.gov.br/transformacao/compras/orientacoes/interoperabilidade]. Conceito de software: Art. 1° da Lei 9.609/1998 – Lei do Software: “Programa de computador é a expressão de um conjunto organizado de instruções em linguagem natural ou codificada, contida em suporte físico de qualquer natureza, de emprego necessário em máquinas automáticas de tratamento da informação, dispositivos, instrumentos ou equipamentos periféricos, baseados em técnica digital ou análoga, para fazê-los funcionar de modo e para fins determinados. Disponível em: [en.wikipedia.org/wiki/Open_standard]. Disponível em: [www.digistan.org/open-standard/]. Disponível em: [opensource.org/]. Disponível no sítio eletrônico do Portal Brasileiro de Dados Abertos: [dados.gov.br/pagina/dados-abertos]. Art. 2°, IV, do Decreto 8.771/2016 (Regulamento do Marco Civil da Internet). Do inglês: General Public License (GPL). Disponível em: [www.cnj.jus.br/noticias/cnj/84858-cnj-vai-flexibilizar-pje-e-investir-emintegracao-de-sistemas]. Do inglês: Extract, Transform, Load (Extrair, Transformar e Carregar). Do inglês: Application Programming Interface (Interface de Programação de Aplicação). Disponível em: [eping.governoeletronico.gov.br/#apresentacao]. Disponível em: [www.cnj.jus.br/tecnologia-da-informacao/comite-nacional-da-tecnologia-dainformacao-e-comunicacao-do-poder-judiciario/modelo-nacional-de-interoperabilidade]. Disponível em: [www.mysql.com/]. Disponível em: [www.microsoft.com/pt-br/sql-server/sql-server-2017]. Disponível em: [www.tjsp.jus.br/Imprensa/Noticias/Noticia? codigoNoticia=21179&pagina=592]. Disponível em: [www.tjsp.jus.br/Noticias/noticia?codigoNoticia=28859&Id=28859]. Do inglês: Enterprise Resource Planning (ERP). Disponível em: [www.softplan.com.br/solucoes/saj-tribunais/].
66. 67. 68. 69.
70.
71. 72.
73.
74. 75. 76.
77. 78.
Disponível em: [www.pje.jus.br/wiki/index.php/P%C3%A1gina_principal]. Art. 11 da Lei 11.419/2006 e art. 18 da Resolução 551/2011 do TJSP. Disponível em: [softwarepublico.gov.br/social/sei]. Art. 5°, inciso X, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD): “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; Art. 5°, XVI, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD): “uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; […]”. BIONI, Bruno. Proteção de Dados Pessoais no Setor Público. Aula do curso de extensão do Data Privacy Brasil. São Paulo. Dez. 2018. O princípio da responsabilização e prestação de contas (artigo 6°, inciso X, da LGPD) não consta do esquema original da aula, mas foi acrescentado nesta obra como resultado do reestudo da proposta. Transferência – substantivo feminino, 2.INF “movimentação de dados entre dois pontos, ou a passagem de controle do programa de uma seção de código para outra” – Disponível em: [https://houaiss.uol.com.br/pub/apps/www/v3-3/html/index.php#2]. “Transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro” – Disponível em: [www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd]. Art. 4°, I, da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). Art. 7° – O acesso à informação de que trata esta Lei compreende, entre outros, os direitos de obter: I – orientação sobre os procedimentos para a consecução de acesso, bem como sobre o local onde poderá ser encontrada ou obtida a informação almejada; II – informação contida em registros ou documentos, produzidos ou acumulados por seus órgãos ou entidades, recolhidos ou não a arquivos públicos; III – informação produzida ou custodiada por pessoa física ou entidade privada decorrente de qualquer vínculo com seus órgãos ou entidades, mesmo que esse vínculo já tenha cessado; IV – informação primária, íntegra, autêntica e atualizada; V – informação sobre atividades exercidas pelos órgãos e entidades, inclusive as relativasà sua política, organização e serviços; VI – informação pertinente à administração do patrimônio público, utilização de recursos públicos, licitação, contratos administrativos; e VII – informação relativa: a) à implementação, acompanhamento e resultados dos programas, projetos e ações dos órgãos e entidades públicas, bem como metas e indicadores propostos; b) ao resultado de inspeções, auditorias, prestações e tomadas de contas realizadas pelos órgãos de controle interno e externo, incluindo prestações de contas relativas a exercícios anteriores. Art. 6°, II, da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). Art. 2°, II, do Decreto 8.771/2016 (Regulamento do Marco Civil da Internet).
79. 80.
81. 82. 83.
Art. 4°, III, da Lei 12.527/2011 (Lei de Acesso à Informação – LAI). WIMMER, Miriam. Regras para administração pública e encarregado; possibilidade de utilização de dados para execução de políticas públicas; deveres e responsabilidades do poder público na gestão e tratamento de dados. Aula do Curso sobre a Lei Geral de Proteção de Dados. Defensoria Pública do Estado de São Paulo. São Paulo, 2019. Art. 7°, § 4°, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). Art. 2°, VI, da MP 870/2019 e art. 55-A da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), alterada pela MP 869/2018. Art. 5°, XIX, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
Capítulo V Da Transferência Internacional de Dados
LUIS FERNANDO PRADO CHAVES O regime regulatório da transferência internacional1 de dados da LGPD é um dos pontos em que mais se nota a nítida influência da anterior Diretiva Europeia 95/46/CE, do Parlamento Europeu e do atual Regulamento Europeu 679 de 2016 (conhecido como General Data Protection Regulation, ou simplesmente GDPR), que, apesar de ter revogado a Diretiva, pouco trouxe de novidade com relação a esse tópico em específico. Outro modelo regulatório para a transferência internacional de dados que poderia ter sido seguido pelo legislador brasileiro – mas que, nitidamente, foi suplantado pelo europeu – seria o canadense, segundo o qual, para os casos de comunicação de dados (inclusive internacionalmente), as garantias devem ser adotadas por meio de regras de responsabilização na cadeia de contratos entre os agentes de tratamento2. O próprio parecer da Comissão Especial da Câmara dos Deputados – que foi constituída à época da tramitação do Projeto de Lei 4.060/2012 para análise do tema – deixa claro que a intenção do legislador foi, justamente, a de adotar regras muito similares àquelas do direito europeu, inclusive para que o Brasil passasse a apresentar cenário mais atrativo do ponto de vista comercial-regulatório ao setor da TIC (Tecnologia da Informação e Comunicações)3. Nesse sentido, referido documento4 ainda relembra que a Argentina, que possui Lei de Proteção de Dados desde 2000, foi o primeiro país latino-americano a conseguir o reconhecimento da União Europeia como “país de nível adequado” para a transferência de dados provenientes do aludido território, o que indica certa atenção do legislador brasileiro em também ambicionar tal acreditação. De fato, o reconhecimento da União Europeia quanto ao quesito adequação em proteção de dados é cada vez mais buscado pelos países de
relevante economia. Na América Latina, além da já comentada Argentina, o Uruguai figura como “porto seguro” para o recebimento de dados oriundos da União Europeia. Os Estados Unidos da América, que não contam com tal chancela europeia, tiveram de editar acordo com a União Europeia para desburocratizar o fluxo de dados UE-EUA, garantindo, assim, maior agilidade e eficácia nas relações comerciais entre os dois territórios. No entanto, uma das versões desse acordo (conhecida como Safe Harbour) já chegou a ser anulada pelo Tribunal Europeu em 2015, em decisão5 fortemente influenciada pelos escândalos de vigilância e espionagens revelados em 2014, por Edward Snowden, em relação à Agência Nacional de Segurança (NSA) dos EUA. Em julho de 2016, uma nova e mais protetiva versão de framework (conhecida como Privacy Shield) foi adotada e se encontra vigente, apesar de o Parlamento Europeu já ter externado suas preocupações em relação a tal arranjo a ponto de haver sugerido à Comissão Europeia a sua suspensão6, o que, até o momento, não chegou a ser concretizado. O Brasil, por sua vez, logicamente ainda não faz parte do grupo de países já reconhecidos como adequados, pois, até meados de 2018, sequer possuía sua Lei Geral de Proteção de Dados, sendo que, ao dispor sobre o nosso regime pátrio de transferência internacional de dados, o legislador, propositalmente, praticamente transcreveu as disposições do direito europeu. Querendo o Brasil vir a ser reconhecido como um território seguro para receber dados da União Europeia, a intenção do legislador parece acertada, pois, nos termos do artigo 45, 2, do GDPR, a Comissão Europeia, ao decidir sobre a chancela, deverá considerar, especificamente, as “regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país”. A razão por trás de tal requisito positivado pelo Regulamento Europeu está no fato de que, no âmbito da proteção de dados, a localização física do dado não deve diminuir as garantias pensadas pelo legislador original para tutelar os respectivos titulares. Em outras palavras, a proteção deve acompanhar o dado independentemente do local de armazenamento, restando justificável, portanto, a preocupação do legislador europeu com as transferências ulteriores. Se não houvesse o requisito do artigo 45, 2, do GDPR, em uma situação de múltiplas transferências internacionais, os dados pessoais sujeitos ao Regulamento Europeu estariam expostos a uma
fragilidade da proteção que originalmente lhes fora concedida a partir do momento em que eventualmente houvesse uma segunda transferência, a um país de nível de proteção de dados inadequado. A bem da verdade, considerando o cenário global da proteção de dados pessoais, pouca alternativa restava ao legislador brasileiro que não fosse trasladar as disposições do modelo europeu de proteção de dados à nossa LGPD. No entanto, uma diferença relevante entre as regras europeias e as brasileiras no que tange ao assunto em epígrafe reside no fato de que, no GDPR, hipóteses legais correspondentes ao (i) consentimento (explícito e destacado); (ii) execução de contrato; (iii) interesse público/política pública; e (iv) exercício regular de direitos são exceções à regra e somente podem ser utilizadas para fundamentar a transferência esporádica, ou seja, estão limitadas a casos de transferências ocasionais e não repetitivas. Isso quer dizer que, no direito europeu, prevalecem sobre as demais autorizações legais o nível de adequação definido pela correspondente autoridade e as garantias do artigo 46, 2, do GDPR, sendo que, caso o legislador brasileiro tivesse seguido lógica idêntica, também por aqui a decisão sobre o nível de adequação do país e as salvaguardas previstas no artigo 33, II, da LGPD (cláusulas contratuais específicas para determinada transferência; cláusulaspadrão contratuais; normas corporativas globais; e selos, certificados e códigos de conduta regularmente emitidos) seriam preferíveis e adotadas como regra em relação àquelas hipóteses inseridas nos demais incisos do mesmo artigo, que seriam derrogações específicas. Nesse ponto, vale lembrar que, além da premissa da inspiração no modelo europeu, o processo legislativo da LGPD também contou com as contribuições apresentadas pela sociedade em audiência pública dedicada ao tema, ocorrida em 07.06.2017, ocasião em que, sobre o tema em específico, restou clara a preocupação de não se criar regras que inviabilizassem a possibilidade de modelos de negócio de outsourcing relativos às tecnologias de armazenamento de dados (especialmente computação em nuvem7). Tal preocupação vai ao encontro do fundamento da livre-iniciativa, que, além de constitucionalmente previsto (artigo 1°, IV), é ratificado pelo artigo 2°, VI, da LGPD. De fato, é vital que as limitações para transferência internacional de dados não impactem, de maneira irrazoável e injustificada, a economia digital globalizada, pautada na descentralização da localização da informação.
Atualmente, estima-se que existam 4.407 data centers colocation (ou seja, disponíveis para locação e compartilhamento), em 122 países diferentes8. É considerando todo o contexto aqui exposto que devemos analisar, detidamente, cada um dos requisitos trazidos pela nossa legislação, os quais devem ser interpretados em harmonia com a realidade fática de fluxo globalizado de dados que vivemos na sociedade atual. Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
A redação do caput do artigo 33 deixa claro que o legislador pretendeu restringir as hipóteses em que é permitida a transferência internacional de dados pessoais. Nesse sentido, a possibilidade de transferência internacional de dados é exceção à regra, somente admitida se cumprida uma das hipóteses taxativamente listadas nos incisos do artigo 33. No entanto, para correta interpretação das presentes disposições, essencial entender adequadamente o que configura uma atividade de transferência internacional sob a óptica da proteção de dados. Considerando que toda a construção legislativa da LGPD é edificada na lógica da interpretação mais protetiva, bem como a inexistência de uma lista exaustiva de atividades que se enquadrariam no conceito de transferência internacional (o que, naturalmente, expande os limites interpretativos), talvez seja mais simples começarmos por analisar quais atividades não se encaixam no referido conceito. Ademais, na ausência de maiores referências sobre a questão no direito pátrio, vale recorrermos aos entendimentos europeus sobre o tema (que exerceram direta influência na edição da LGPD), ocasião em que não se pode deixar de observar emblemático caso do Tribunal de Justiça Europeu (Processo C-101/01, Bodil Lindqvist vs. Åklagarkammaren i Jönköping), no qual se discutiu a abrangência do conceito de transferência de dados a partir de contexto fático que envolvia o acesso a páginas de internet hospedadas em país de fora do território europeu. Em que pese o ponto de discussão, no caso, ser a anterior Diretiva revogada pelo GDPR, vale lembrar que o GDPR pouco inovou no quesito transferência internacional de dados, permanecendo válidos, portanto, os entendimentos do julgado, no seguinte sentido: Os dados de carácter pessoal que chegam ao computador de uma pessoa situada num país terceiro, provenientes de uma pessoa que os carregou num sítio Internet, não foram
transferidos directamente entre essas duas pessoas, mas por meio da infraestrutura informática do fornecedor de serviços de anfitrião onde a página está armazenada. […] Se o artigo 25° da Directiva 95/46 [correspondente ao atual artigo 44 do GDPR e, consequentemente, similar ao 33 da LGPD] fosse interpretado no sentido de que existe uma «transferência para um país terceiro de dados» cada vez que são carregados dados de carácter pessoal numa página Internet, essa transferência seria necessariamente uma transferência para todos os países terceiros onde existem os meios técnicos necessários para aceder à Internet. O regime especial previsto no capítulo IV da referida directiva tornar-se-ia, necessariamente, no que respeita às operações na Internet, um regime de aplicação geral. Com efeito, desde que a Comissão verificasse, em aplicação do artigo 25°, 4, da Directiva 95/46, que um país terceiro não assegura um nível de protecção adequado, os EstadosMembros seriam obrigados a impedir qualquer colocação na Internet de dados de carácter pessoal.9
O primeiro ponto importante é entender que, pautando-se no melhor entendimento europeu sobre o tema, um simples acesso à aplicação de internet10 não deve ser considerado uma transferência internacional de dados, sob pena de se banalizar a aplicação do conceito e transformar o regime jurídico especial da transferência internacional em geral, o que poderia culminar, inclusive, em uma potencial situação de desarmonia com as bases legais do artigo 7° da LGPD. Ademais, como nos recorda o Information Commissioner’s Office (“ICO”), autoridade de proteção de dados do Reino Unido, não se deve confundir transferência de dados com trânsito de dados11. Isso significa dizer, por exemplo, que, se para viabilizar a troca de e-mails entre diferentes áreas de uma organização 100% brasileira (no contexto de um tratamento de dados pessoais sujeito à LGPD), por uma questão meramente de infraestrutura tecnológica, dados pessoais transitam momentaneamente por um servidor localizado na Índia, tal atividade, por si só, não deveria ser considerada uma transferência internacional de dados àquele país. Indo além, novamente traduzindo os entendimentos europeus do ICO12 à realidade brasileira, temos que o mero envio de dados pessoais por um controlador a seu próprio empregado localizado no exterior não deveria configurar transferência internacional de dados, enquanto que, por outro lado, a comunicação de dados (no âmbito internacional) ocorrida entre diferentes empresas de um mesmo grupo empresarial, indubitavelmente, entra na regra do regime especial criado pela legislação. Nesse sentido, são exemplos de atividades que, comumente, podem
envolver transferência internacional de dados: compartilhamento de base de dados de RH entre empresas do mesmo grupo (matriz-filial); armazenamento de dados em data centers fisicamente localizados no exterior; terceirização de serviço de atendimento ao consumidor; contratação de provedor de computação em serviço de nuvem estrangeiro; contratação de provedor de e-mail estrangeiro. Para as ocasiões em que ocorre, do ponto de vista técnico-jurídico, transferência internacional de dados, deve-se observar, ao menos, um dos requisitos do regime especial trazido pelos incisos do artigo 33, comentados adiante. A título de aprofundamento, vale citar que, no Brasil, para além da LGPD, instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil estão sujeitas à Resolução 4.658/2018, editada pelo Conselho Monetário Nacional e publicada pelo Banco Central do Brasil (“BACEN”)13. Segundo o artigo 16 da Resolução setorial, tais instituições deverão observar – documentando-se as evidências de cumprimento – os seguintes requisitos ao armazenar dados por meio de tecnologia de computação em nuvem no exterior (de forma complementar ao que dispõe a LGPD): a existência de convênio para troca de informações entre o BACEN e as autoridades supervisoras dos países onde os serviços de computação em nuvem poderão ser prestados (localização física dos dados), sendo que, na hipótese de inexistência de convênio, deverá ser solicitada autorização do BACEN; garantia de que o fato de os dados estarem armazenados em servidor estrangeiro não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do BACEN, certificando-se de que a respectiva legislação estrangeira não restringe nem impede o acesso das próprias instituições contratantes e do BACEN aos dados; definição (prévia à contratação) dos países e das regiões em cada país onde os serviços de armazenamento de dados poderão ser prestados e
os dados poderão ser armazenados, processados e gerenciados, novamente observando se as legislações alienígenas em questão não restringem o acesso a dados (seja pela contratante, seja pelo BACEN); previsão de alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços de computação em nuvem referente a dados armazenados no exterior. Feitas essas considerações iniciais, passemos a analisar os requisitos (alternativos) para se legitimar uma transferência internacional de dados à luz da LGPD. I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
Para viabilizar a possibilidade de atendimento a esse requisito, a ANPD deverá analisar, com base nos critérios do artigo 34, o nível de adequação de países estrangeiros. Uma transferência a um desses países, reconhecidos como de nível adequado pela ANPD, afasta a necessidade de cumprimento de qualquer outro requisito, estando, portanto, justificada legalmente a transferência. Mais uma vez, nesse ponto, reiteramos o destaque à clara influência das regras trazidas pelo GDPR, que, na verdade, ratificou o modelo que já existia no Espaço Econômico Europeu para transferência internacional de dados. Nesse sentido, a Comissão Europeia já reconheceu como países de nível adequado: Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai, Estados Unidos da América (de forma limitada às organizações aderentes ao já comentado Privacy Shield framework) e, mais recentemente, Japão. Nesse contexto, considerando, sobretudo, a similitude entre a LGPD e a legislação europeia de proteção de dados, há natural tendência de que a ANPD, ao analisar o nível de adequação de países terceiros, parta da premissa de que todos aqueles sujeitos ao GDPR, bem como aqueles já reconhecidos pela Comissão Europeia, possuem adequação em relação ao Brasil. Uma preocupação inerente à hipótese trazida pelo inciso em referência está no tempo que a ANPD tomará para decidir sobre o nível de adequação de cada país. Na Europa, um dos fatores muito criticados é o tempo que se toma para que seja adotada a decisão de adequação, o que acaba por
representar impacto às relações comerciais entre os países. Portanto, a celeridade para decidir sobre o nível de adequação de países terceiros deve ser uma das preocupações da ANPD, de forma a evitar o atravancamento do fluxo internacional de dados (essencial para o avanço da tecnologia e da economia moderna). Adicionalmente, em relação à exata redação adotada, o próprio legislador explica14 que teve como intenção, no referido inciso, deixar claro que, além dos países, organismos internacionais (pessoas jurídicas de direito internacional público) que apresentem proteção adequada poderão receber dados protegidos pela LGPD de forma facilitada, pois se considera que tal comunicação é essencial para as atividades de entidades multilaterais. Ademais, o legislador preferiu empregar a expressão “proteção adequada” ao invés de “proteção equiparável” (que constava em versões anteriores do Projeto de Lei), pois entendeu que o termo “adequada” deixa a ideia da comparação do grau de proteção mais restrita e menos ambígua. Interessante observar, nesse ponto, que o conceito de “proteção adequada” já foi objeto de intensos debates no âmbito europeu, especialmente no já citado caso que levou à anulação do Safe Harbor (Maximillian Schrems vs. Data Protection Commissioner. Processo C-362/14), estando atualmente consolidado o entendimento de que, embora o nível de proteção no país terceiro deva ser “substancialmente equivalente” ao garantido pela legislação europeia, “os meios a que esse país recorre para assegurar tal nível de proteção podem ser diferentes”, importando o essencial, e não o ponto a ponto da legislação estrangeira examinada, como bem sintetiza o grupo de trabalho Article 29 Working Party (“WP29”)15. II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos;
Todas as garantias mencionadas no referido inciso deverão ser objeto de especificação e chancela por parte da ANPD. No presente momento, é de se imaginar que a ANPD disciplinará o conteúdo mínimo das cláusulas relativas à transferência internacional de dados. No direito europeu, por exemplo, a
Comissão Europeia mantém disponível modelos de cláusulas padrão controlador-operador16 e controlador-controlador17, as quais, uma vez adotadas ipsis litteris, subsidiam a legitimidade da transferência de dados. As normas corporativas globais da LGPD, por sua vez, encontram correspondência no instituto das binding corporate rules (“BCR”) do direito europeu. Por lá, as BCR são pensadas para multinacionais (transferência de dados entre empresas do mesmo grupo), grupos de franquias e joint ventures, por exemplo, e devem passar por aprovação prévia da autoridade europeia correspondente. Para auxiliar os agentes de tratamento de dados pessoais no desenvolvimento das BCR, o European Data Protection Board (“EDPB”), que, após o GDPR, substituiu o WP29, mantém guidelines18 que abordam o conteúdo mínimo esperado para esse tipo de documento. Mais uma vez, espera-se que a ANPD se aproveite das orientações europeias para estruturação das normas corporativas globais, seguindo, portanto, o padrão internacional pretendido pelo legislador brasileiro. Com relação ao item “d” do comentado inciso II, ainda seguindo o padrão europeu, a ideia do legislador foi de que exista, no Brasil, mecanismos de selos, certificados e códigos de conduta que, uma vez aprovados pela ANPD e adotados pela instituição estrangeira importadora dos dados sujeitos à LGPD, subsidiem, do ponto de vista legal, a transferência internacional de dados. Especificamente quanto a esse requisito, fato é que ele é bastante recente também no âmbito europeu (uma das poucas alterações implementadas pelo GDPR em relação ao regime de transferência internacional previsto na anterior Diretiva) e, portanto, carece de estudos e reflexões sobre a melhor forma de sua implementação. De maneira geral, uma das inerentes e principais preocupações sobre as garantias previstas nesse inciso diz respeito ao tempo que a ANPD tomará para editar o teor das cláusulas padrão ou mesmo para chancelar cláusulas, selos, certificações e códigos de conduta. Nesse sentido, há de se ter cautela para que as regras de transferência internacional de dados previstas pela LGPD não se tornem obstáculo indesejado ao legítimo e necessário fluxo global de dados por inércia da ANPD. III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
Referido inciso garante que serviços de inteligência internacional, investigações e atividades de cooperação jurídica internacionais não serão inviabilizados pelas regras de restrição de transferência de dados. Some-se a essa disposição o entendimento de que a LGPD, em si, não se aplica às atividades que tenham como fim exclusivo: (i) segurança pública; (ii) defesa nacional; (iii) segurança do Estado; ou (iv) atividades de investigação e repressão de infrações penais, conforme redação do artigo 4°, III. IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Como não poderia deixar de ser, o inciso IV existe para garantir a prevalência do direito à vida e da integridade física, o qual não pode ser mitigado por questões relativas à limitação do fluxo de dados pessoais. V – quando a autoridade nacional autorizar a transferência;
Esse inciso traz possibilidade genérica de apreciação e consequente autorização, pela ANPD, de transferências específicas. No direito europeu, tal possibilidade somente se aplica a situações de exceção (transferências não habituais), o que parece fazer sentido, até para não tornar inócua a razão de existir das garantias previstas no inciso II do artigo ora em comento. VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
De forma semelhante ao que ocorre no inciso III retroexplanado, aqui se percebe a prevalência de acordos de cooperação internacional sobre as limitações para o fluxo de dados pessoais ao exterior, o que parece justificável em razão da necessidade de se honrar os compromissos assumidos pelo Brasil internacionalmente. VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
A exemplo da base legal do regime geral prevista no artigo 7°, III, da LGPD, a presente hipótese está limitada à atividade da Administração Pública, o que se confirma com a menção expressa ao inciso I do artigo 23 – regulamenta o tratamento de dados pessoais pelas pessoas jurídicas de direito público.
Ademais, a utilização da expressão “quando a transferência for necessária” obriga que a presente disposição seja interpretada de forma restritiva e limitada. Isso quer dizer que a presente hipótese não confere uma faculdade à Administração Pública de transferir dados de forma internacional sob a escusa de execução de política pública, mas permite que esta ocorra apenas e tão somente quando (estritamente) necessário para viabilizar a execução da política em referência. VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
Nesse ponto, a LGPD consagra o consentimento específico e em destaque como alternativa para legitimar a transferência internacional de dados levada a efeito pelos agentes de tratamento de dados. Enquanto no GDPR o consentimento para transferência internacional somente se justifica em casos de exceção (transferências ocasionais), não há na lei brasileira qualquer ressalva dessa natureza. Ainda assim, o consentimento especial para transferência internacional de dados não é simples de ser obtido. Relembre-se que, nos termos do artigo 5°, XII, o consentimento é considerado como tal caso seja consubstanciado por meio de uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Aos adjetivos “livre”, “informado” e “inequívoco” se somam as categorizações “específico” e “em destaque”, o que, notavelmente, aumenta a necessidade de participação do titular dos dados para que o consentimento seja considerado válido. Aqui devemos lembrar que, naturalmente, o consentimento na LGPD, pela definição do artigo 5°, XII, já deve ser “para uma finalidade determinada”, o que ainda é reforçado pelo artigo 8°, § 4° (“o consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”). No entanto, está claro que, ao expandir os elementos do consentimento na disposição ora em análise, o legislador trouxe à tona um consentimento especial, que deve apresentar nível de robustez proporcional ao risco, para o titular, de uma transferência de seus dados pessoais a país que não possui nível considerado adequado (e que esteja desacompanhada de robustas garantias contratuais que vincule a parte importadora dos dados).
Sobre essa elevada carga de participação do titular, segundo Bruno Bioni, uma das maneiras válidas de atingi-la seria adotando meios que, realmente, chamassem a atenção da pessoa física envolvida. Ainda para o autor, aqui não bastam cláusulas contratuais destacadas, devendo ser todo o processo de obtenção do consentimento específico e pontual, garantindo-se que a ação do titular em concordar seja gritante19. Fato é que estamos aqui diante do mesmo tipo de consentimento exigível (quando for a base legal adequada) para o tratamento de dados pessoais sensíveis (artigo 11, I), bem como para o tratamento de dados de crianças (artigo 14, § 1°), o que, segundo o legislador, se justifica “em razão da importância que envolve esse tipo de transferência”20. Ainda, o meio de obtenção do consentimento, além de pontual e gritante, deve ser acompanhado de suficiente informação acerca do caráter internacional da operação de comunicação de dados, distinguindo a atividade de outras, inclusive de outros tipos de compartilhamento de dados. Os requisitos aqui analisados, por certo, fazem com que o consentimento, tal como previsto nesse ponto pela LGPD, seja de difícil obtenção na prática. Nesse sentido, veja-se entendimento europeu sobre o tema, considerando, uma vez mais, que o consentimento específico como possibilidade para legitimar a transferência internacional de dados no Brasil também decorre de inspiração na disposição europeia: Uma vez que o consentimento deve ser específico, é por vezes impossível obter o consentimento prévio do titular dos dados para uma transferência futura no momento da recolha dos dados, e. g., se a ocorrência e as circunstâncias específicas de uma transferência não forem conhecidas no momento em que a anuência é solicitada, o impacto sobre a pessoa em causa não pode ser avaliado. Por exemplo, uma empresa da UE coleta os dados dos seus clientes para um fim específico (entrega de mercadorias) sem considerar a transferência desses dados, nesse momento, para terceiros fora da UE. No entanto, alguns anos mais tarde, a mesma empresa é adquirida por uma empresa não pertencente à UE que deseja transferir os dados pessoais dos seus clientes para outra empresa fora da UE. Para que esta transferência seja válida com base na derrogação do consentimento, o titular dos dados deve dar o seu consentimento para esta transferência específica no momento em que a transferência é prevista. Por conseguinte, o consentimento fornecido no momento da coleta dos dados pela empresa da UE para efeitos de entrega não é suficiente para justificar a utilização desta derrogação para a transferência de dados pessoais para fora da UE, que somente passa a ser prevista posteriormente21.
Portanto, ao contrário do que pode parecer à primeira vista, o consentimento para transferência internacional de dados não é uma via fácil do agente de tratamento para legitimar o ato, mesmo porque, além de
específico (destacado), a manifestação precisa ser “livre” (regra geral sedimentada pela LGPD). Isso significa que o consentimento não deve ser condição para fornecimento de bens, produtos ou serviços, sendo que, na ocasião de sua obtenção, deve sempre haver a possibilidade de recusa, pelo titular. Além disso, devemos lembrar que o consentimento, em regra, pode ser revogado a qualquer momento pelo titular e, não bastasse, sua forma de obtenção é comumente passível de questionamento. Some-se a tudo isso o fato de que transferências internacionais de dados, normalmente, são decorrentes de decisões de negócio ou de necessidades relativas à infraestrutura tecnológica dos agentes de tratamento, as quais não se sujeitam, obrigatoriamente, à vontade do titular. Em conclusão, na prática, é difícil imaginar hipóteses concretas nas quais agentes de tratamento vão poder contar com a negativa do titular em relação à transferência internacional de dados, o que tende a minimizar o uso dessa base legal para tal fim. Em outras palavras, apesar de a LGPD – diferentemente do GDPR – não estabelecer expressamente que o consentimento para transferência internacional de dados somente pode ser utilizado em caráter de exceção, na prática, ante as particularidades da atividade e dos requisitos legais para esse consentimento em específico, pode-se dizer que há nítida tendência de que essa hipótese legal, no que se refere ao tópico em referência, seja preterida pelas demais, especialmente pelas garantias previstas no inciso II (que, na teoria, trazem menos riscos jurídicos aos próprios agentes de tratamento). IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7° desta Lei.
As hipóteses do artigo 7° referenciadas por esse inciso são: para o cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; e para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Tais hipóteses são equivalentes àquelas derrogações para transferências ocasionais previstas no artigo 49 (1) (b), 49 (1) (c), 49 (1) (e) do GDPR, sendo que, no direito europeu, há entendimento solidificado no sentido de interpretar, de forma restritiva, o termo “necessário” constante desse tipo de regra.
Nesse sentido, o EDPB recomenda a realização de teste de necessidade, de forma similar ao que deve ser feito para identificação da incidência da base legal do legítimo interesse, com o intuito de avaliar se, de fato, o caso em exame se encaixa na hipótese de transferência “necessária”. Dessa maneira, pode-se entender que a transferência somente será necessária para o cumprimento de obrigação legal ou regulatória pelo controlador quando o dispositivo em referência de fato exigir aquele tipo de tratamento de dados pessoais que estiver sendo levado a efeito. No caso de a transferência ser necessária para execução do contrato, por exemplo, o EDPB entende que é imprescindível “uma próxima e substancial conexão entre a transferência de dados e o propósito do contrato”22. Assim, uma transferência motivada por uma decisão de negócio da empresa (centralizar o armazenamento e de dados em país terceiro, por exemplo) não se enquadra na hipótese ora em voga, uma vez que não é para o cumprimento do contrato que o fluxo de dados está ocorrendo, mas sim para atender a ato gerencial e administrativo interno de interesse próprio do agente de tratamento. Mantendo-se a lógica do direito europeu, tampouco se aplicaria a hipótese ora analisada para a transferência de dados adicionais, ou seja, aqueles que não são estritamente necessários para a execução do contrato. Por outro lado, um típico exemplo de situação que se enquadra no inciso ora analisado é o do agente de viagens que, para efetivar a reserva de um hotel, comunica dados ao país estrangeiro, no âmbito da execução de seus serviços prestados ao titular dos dados (execução de um contrato). Indo além da questão contratual, a necessidade de transferência de dados para fins de exercício regular de direitos, por sua vez, abrange não apenas os dados necessários para a instrução de um procedimento existente, mas aqueles relativos às diligências prévias ao processo, para constituir corpo probatório. No entanto, seguindo as melhores orientações do direito europeu23, não se deve admitir aqui a mera especulação sobre futura e eventual existência de um processo como justificativa para a necessidade de transferência de dados. Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1° da Lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a
avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
O parágrafo ora analisado pode ser estudado sob duas perspectivas diferentes: (i) quanto às pessoas jurídicas de direito público (referidas no parágrafo único do art. 1° da Lei 12.527/2011, que são os órgãos públicos integrantes da Administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, do Judiciário e do Ministério Público e as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios); e (ii) quanto às pessoas jurídicas de direito privado. Em relação às primeiras, o dispositivo é claro e autoexplicativo: tais entidades poderão provocar a ANPD para que esta avalie o nível de proteção de dados pessoais de determinado país, que, se considerado adequado, dispensa a adoção de qualquer outra salvaguarda para legitimar a transferência internacional. Porém, quanto à segunda vertente comentada, há de se analisar com cautela o emprego do termo “responsáveis” pelo legislador, conceito inexistente na versão final da LGPD, que demanda uma análise do histórico legislativo em relação aos Projetos de LGPD para se alcançar o correto entendimento. Em versões anteriores do Projeto de LGPD, especialmente quando este ainda era Anteprojeto de Lei, o termo “responsáveis” designava “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”24, que, na versão atual da Lei, na falta de uma definição própria, corresponde ao “controlador” (que exerce o mesmo papel que os “responsáveis” nas redações anteriores). Aconteceu que, ao fazer a adaptação terminológica de “responsáveis” para “controladores”, provavelmente por um lapso, o termo “responsáveis” mencionado no referido artigo ficou de fora da revisão do texto legal.
Não obstante, parece certo que a vontade do legislador foi a de que não somente as pessoas jurídicas de direito público supramencionadas pudessem pleitear o exame de um nível de adequação, mas também quaisquer controladores (nesse inciso inapropriadamente denominados “responsáveis”) no âmbito de suas atividades. Portanto, pode-se dizer que há abertura na LGPD para que empresas privadas provoquem a ANPD, no sentido de requererem que tal órgão avalie o nível de adequação da proteção a dados pessoais conferido por país ou organismo internacional, sendo tal alerta
interpretativo (com destaque à perceptível falha na técnica legislativa) extremamente relevante para afastar o entendimento de que somente pessoas jurídicas de direito público LGPD podem requerer o reconhecimento do nível de adequação à ANPD. Art. 34. O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do art. 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração: I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional; II – a natureza dos dados; III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei; IV – a adoção de medidas de segurança previstas em regulamento; V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e VI – outras circunstâncias específicas relativas à transferência.
Os critérios de avaliação do nível de adequação de um país estrangeiro que devem ser adotados pela ANPD encontram clara inspiração no artigo 45, 2, do GDPR. Segundo o legislador brasileiro, a intenção do artigo 34 foi a de evidenciar a necessidade de se observar, no país de destino dos dados, “a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais”25, atribuindo-se maior destaque, portanto, ao inciso V. Isso significa que a ANPD não poderá apenas se basear em uma análise fria e textual da legislação de proteção de dados do país terceiro, mas deverá observar, especialmente, se tal país possui meios efetivos (enforcement) para tornar eficaz o regime legal instituído. No entanto, a LGPD deixa de prever que a ANPD poderá revogar a decisão de reconhecimento do nível de adequação caso, em revisão dos fatores que devem ser levados em conta, o país anteriormente chancelado se mostre faltoso em relação aos requisitos impostos pelo artigo 34. Nesse ponto, em homenagem ao princípio da legalidade que rege os atos praticados pelos entes da Administração Pública e considerando que os critérios aqui examinados estão atrelados a elementos dinâmicos e mutáveis, seria extremamente importante que a ANPD contasse com subsídio legal para revisar ou mesmo revogar suas decisões de adequação, tal como previsto no direito europeu e de forma similar ao previsto no artigo 35, § 4°, da própria LGPD.
Art. 35. A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do art. 33 desta Lei, será realizada pela autoridade nacional. § 1°. Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei. § 2°. Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário. § 3°. A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento. § 4°. Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados. § 5°. As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1° e 2° do art. 46 desta Lei.
Esse artigo consagra que será dever da ANPD disciplinar as questões relativas às cláusulas para transferência internacional de dados, normas corporativas globais adotadas por empresas multinacionais, bem como selos, certificados e códigos de conduta. Apesar de o § 1° definir alguns critérios a serem considerados pela ANPD, deve-se notar que estamos diante de parâmetros genéricos e abertos, o que confere relevante grau de discricionariedade à ANPD ao definir o conteúdo das cláusulas padrão, bem como ao deliberar sobre as demais garantias previstas no já comentado artigo 33, II. Enquanto o § 2° garante à ANPD a possibilidade de solicitar informações adicionais acerca da operação de tratamento que envolva a transferência internacional antes de deliberar sobre o conteúdo dos documentos e cláusulas a ela submetidos, o § 3° abre a possibilidade de que existam instituições certificadoras, que atuarão sob a fiscalização da ANPD, nos termos de regulamentação própria a ser editada, sendo que os atos praticados pelas entidades certificadoras poderão ser objeto de revisão ou anulação, nos termos do § 4°. O § 5°, por sua vez, dita que, para além de questões legais e contratuais, a ANPD, ao decidir sobre a validade de uma transferência internacional
baseada no inciso II do artigo 33, observará não apenas o quanto garantido em contrato ou atestado por selos, certificados e códigos de conduta, mas também medidas técnicas e organizacionais que efetivamente garantam a segurança dos dados protegidos pela LGPD e tratados no exterior. Nesse sentido, ao fazer referência ao previsto nos §§ 1° e 2° do artigo 46, referido dispositivo estabelece que deverão ser observados os padrões de segurança a serem previstos no decreto regulamentador, bem como a máxima do security by design, regra pela qual as medidas técnicas e organizacionais de segurança devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução. No mais, observe-se que houve certa impropriedade técnica na redação do ora comentado § 5°, na medida em que esse se refere tão somente ao operador, desconsiderando a hipótese de que a transferência internacional validada por uma das garantias do artigo 33, II, possa ser realizada entre dois controladores. Portanto, a melhor saída deveria ter sido a utilização da expressão “agente de tratamento” (conceito que inclui o controlador e o operador), ao invés de simplesmente “operador”, o que, aparentemente, melhor refletiria a mens legis. Art. 36. As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do art. 33 desta Lei deverão ser comunicadas à autoridade nacional.
Finalmente, o artigo 36 estabelece que eventuais mudanças provocadas pelo agente de tratamento nas garantias apresentadas em cumprimento ao artigo 33, II, devem ser comunicadas à ANPD, que, por certo, terá o poder de revisar se a nova garantia adotada é ou não apropriada. Segundo o legislador, a principal preocupação aqui foi a de “assegurar a manutenção dos direitos dos titulares no âmbito da transferência internacional de dados”26, evidenciando-se, também, uma ratificação ao princípio da transparência, positivado no artigo 6°, VI, da LGPD.
1.
2.
Definição de transferência internacional de dados segundo o artigo 5°, XV, da LGPD: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. Principle 1 of the CSA Model Code for the Protection of Personal Information, Schedule 1 of PIPEDA: An organization is responsible for personal information in its possession or custody,
3.
4. 5.
6.
7.
8. 9. 10.
11.
12. 13.
14.
15. 16. 17.
18.
including information that has been transferred to a third party for processing. The organization shall use contractual or other means to provide a comparable level of protection while the information is being processed by a third party. Tradução livre: Uma organização é responsável pelas informações pessoais em sua posse ou custódia, incluindo informações que foram transferidas a terceiros para processamento. A organização deve usar os meios contratuais ou outras formas para fornecer um nível de proteção comparável enquanto as informações estiverem sendo processadas por terceiros. Parecer da Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei 4.060/2012. Maio/2018. Disponível em: [www.camara.gov.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012], p. 11. Acesso em: 21.01.2019. Idem. Maximillian Schrems vs. Data Protection Commissioner. Processo C-362/14. Disponível em: [eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62014CJ0362]. Acesso em: 20.01.2019. Resolução do Parlamento Europeu 2645, de 5 de julho de 2018. Disponível em: [www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-20180315+0+DOC+XML+V0//PT]. Acesso em: 20.01.2019. Computação em nuvem pode ser definida como a tecnologia que viabiliza, por meio de conexão à internet, a utilização da capacidade de armazenamento e processamento de computadores e servidores de forma remota, mediante o compartilhamento de infraestrutura técnica. Disponível em: [www.datacentermap.com/datacenters.html]. Acesso em: 27.01.2019. Processo criminal contra Bodil Lindqvist. Processo C-101/01. Disponível em: [curia.europa.eu/juris/liste.jsf?num=C-101/01]. Acesso em: 25.01.2019. Nos termos do artigo 5°, VII, da Lei Federal 12.965/2014 (“Marco Civil da Internet”), devemos considerar “aplicação de internet” como “o conjunto de funcionalidades que podem ser acessadas por meio de um terminal conectado à internet”. ICO. Guide to the General Data Protection Regulation. Disponível em: [ico.org.uk/fororganisations/guide-to-data-protection/guide-to-the-general-data-protection-regulationgdpr/international-transfers/]. Acesso em: 25.01.2019. Idem. Disponível em: [www.bcb.gov.br/acessoinformacao/legado? url=https:%2F%2Fwww.bcb.gov.br%2Fpre%2Fnormativos%2Fbusca%2Fnormativo.asp%3Fnumero%3D4658 Acesso em: 31.01.2019. Parecer da Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei 4060/2012. Maio/2018. Disponível em: [www.camara.gov.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012], p. 39. Acesso em: 21.01.2019. Documento de Referência Relativo à Adequação. WP 254, rev. 01, p. 3. Disponível em: [ec. europa.eu/newsroom/article29/item-detail.cfm?item_id=614108]. Acesso em: 31.01.2019. Disponíveis em: [eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:000 5:0018:EN:PDF]. Acesso em: 26.01.2019. Modelo de 2001 disponível em: [eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CE LEX:32001D0497&from=em]. Acesso em: 26.01.2019. Modelo de 2004 disponível em: [eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:EN:PDF]. Acesso em: 26.01.2019. Orientações para BCR do controlador. WP256. Disponível em: [ico.org.uk/media/fororganisations/documents/2259711/wp-256-bcr-controllers-referential.pdf]. Acesso em:
19. 20.
21.
22.
23.
24. 25.
26.
26.01.2019. Orientações para BCR do operador. WP257. Disponível em: [ec.europa.eu/newsroom/just/document.cfm?doc_id=48799]. Acesso em: 26.01.2019. BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2018. p. 202-203. Parecer da Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei 4.060/2012. Maio/2018. Disponível em: [www.camara.gov.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012], p. 39. Acesso em: 21.01.2019. EUROPEAN DATA PROTECTION BOARD. Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, p. 7. Tradução livre. Redação original: Since consent must be specific, it is sometimes impossible to obtain the data subject’s prior consent for a future transfer at the time of the collection of the data, e.g. if the occurrence and specific circumstances of a transfer are not known at the time consent is requested, the impact on the data subject cannot be assessed. As an example, an EU company collects its customers’ data for a specific purpose (delivery of goods) without considering transferring this data, at that time, to a third party outside the EU. However, some years later, the same company is acquired by a non-EU company which wishes to transfer the personal data of its customers to another company outside the EU. In order for this transfer to be valid on the grounds of the consent derogation, the data subject should give his/her consent for this specific transfer at the time when the transfer is envisaged. Therefore, the consent provided at the time of the collection of the data by the EU company for delivery purposes is not sufficient to justify the use of this derogation for the transfer of the personal data outside the EU which is envisaged later. Disponível em: [edpb. europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf]. Acesso em: 26.01.2019. EUROPEAN DATA PROTECTION BOARD. Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, p. 8. Disponível em: [edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf]. Acesso em: 26.01.2019. Tradução livre. Texto original: a close and substantial connection between the data transfer and the purposes of the contract. EUROPEAN DATA PROTECTION BOARD. Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, p. 11. Disponível em: [edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf]. Acesso em: 26.01.2019. Disponível em: [www.justica.gov.br/news/mj-apresenta-nova-versao-do-anteprojeto-de-lei-deprotecao-de-dados-pessoais/apl.pdf]. Acesso em: 27.01.2019. Parecer da Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei 4.060/2012. Maio/2018. Disponível em: [www.camara.gov.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012], p. 39. Acesso em: 21.01.2019. Parecer da Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei 4.060/2012. Maio/2018. Disponível em: [www.camara.gov.br/proposicoesWeb/prop_mostrarintegra? codteor=1663305&filename=Tramitacao-PL+4060/2012], p. 40. Acesso em: 21.01.2019.
Capítulo VI Dos Agentes de Tratamento de Dados Pessoais
MARCOS GOMES DA SILVA BRUNO Seção I Do controlador e do operador Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
No que tange à conformidade com a Lei Geral de Proteção de Dados, é recomendável a manutenção de registro das operações de tratamento de dados pessoais realizadas, na medida em que o mapeamento dessas operações é essencial para a correta mitigação dos riscos, e também para prestação de contas, princípio expresso na Lei (artigo 6°, inciso X). Com relação a tais registros, na regulamentação europeia (GDPR) se estabeleceu parâmetros objetivos para sua obrigatoriedade. Naquele continente, somente estão obrigadas a registrar suas operações de tratamento de dados pessoais: (a) empresas com mais de 250 colaboradores; ou, independentemente da quantidade de colaboradores, (b) empresas que realizem processamento de dados pessoais que possam implicar em risco para os direitos e liberdades do titular dos dados; (c) empresas que realizam processamento contínuo e não eventual de dados pessoais; (d) empresas que tratem dados sensíveis, especificamente de origem racial ou étnica, opinião política, convicção religiosa ou filosófica, filiação sindical, bem como dados genéticos, biométricos, e dados relativos à
saúde, à vida sexual, ou orientação sexual; ou (e) empresas que tratem dados pessoais relativos a condenações penais e infrações. Diferentemente do modelo europeu, a Lei brasileira não estabeleceu parâmetros mínimos para a obrigatoriedade do registro de atividades de tratamento de dados pessoais. Portanto, a menos que a Autoridade Nacional de Proteção de Dados venha dispor sobre parâmetros objetivos mínimos, é possível interpretar que toda empresa que realiza atividades de tratamento de dados pessoais sujeitas à Lei Geral de Proteção de Dados brasileira está obrigada a realizar esses registros, independentemente também do tipo de dado pessoal tratado. Adicionalmente, a Lei brasileira reforça a necessidade do registro das operações de tratamento de dados que possuem como base legal o legítimo interesse, situação que pressupõe, além do registro, relatório específico de impacto, a teor do artigo 10, § 3°, da Lei Geral de Proteção de Dados. De acordo com as melhores práticas, e com base no modelo europeu, que inspira a legislação brasileira, no caso do controlador, os registros das operações de tratamento de dados pessoais devem conter, minimamente, as seguintes informações: a.
b. c. d.
e.
o nome e o contato do(s) responsável(eis) por cada atividade de tratamento de dados pessoais, do operador, se aplicável, e do encarregado pelo tratamento de dados pessoais; as finalidades de cada atividade de tratamento de dados pessoais; a descrição dos tipos de dados pessoais objeto do tratamento, assim como a descrição da categoria dos titulares daqueles dados pessoais; a descrição dos terceiros com os quais aqueles dados pessoais foram ou serão compartilhados de qualquer forma, incluindo terceiros ou organizações localizadas em outros países; se aplicável, no caso de transferências de dados pessoais para países estrangeiros ou organizações internacionais, a identificação desses países ou organizações, e, no caso das transferências sob o artigo 33, inciso II, da Lei Geral de Proteção de Dados, a documentação que demonstre garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei Geral de
Proteção de Dados; f.
o prazo para a exclusão de cada categoria de dados pessoais objeto de tratamento, se possível; e
g.
descrição das medidas técnicas e organizacionais de segurança referidas no artigo 46 da Lei Geral de Proteção de Dados, quando possível. No caso de operadores de dados pessoais, estes deverão manter registros específicos para as atividades executadas por ordem de cada controlador, contendo, minimamente, as seguintes informações: a.
o nome e o contato do(s) responsável(eis) por cada atividade de tratamento de dados pessoais, do controlador, e do encarregado pelo tratamento de dados pessoais; b. as categorias de dados pessoais tratados em nome de cada controlador; c. se aplicável, no caso de transferências de dados pessoais para países estrangeiros ou organizações internacionais, a identificação desses países ou organizações, e, no caso das transferências sob o artigo 33, inciso II, da Lei Geral de Proteção de Dados, a documentação que demonstre garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei Geral de Proteção de Dados; e d. descrição das medidas técnicas e organizacionais de segurança referidas no artigo 46 da Lei Geral de Proteção de Dados, quando possível. No que tange à forma como os registros devem ser efetuados, considerando o princípio da prestação de contas (artigo 6°, inciso X), tais registros devem ser escritos, ainda que armazenados de forma eletrônica, uma vez que poderão ser requisitados pela Autoridade Nacional de Proteção de Dados, ou outras autoridades com poderes para tanto.
Por fim, importante salientar que o controlador deverá manter os registros de operações de tratamento de dados pessoais devidamente atualizados, de modo que a empresa deverá criar, em seus processos, todo um mecanismo de registro de novas operações de tratamento de dados pessoais, ou mesmo das antigas, quando modificadas. Há que se criar uma verdadeira cultura dentro da empresa, para manutenção desses registros devidamente atualizados.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Conforme se depreende do artigo 38 da Lei Geral de Proteção de Dados, caberá à Autoridade Nacional de Proteção de Dados (ANPD) estabelecer as situações em que o relatório de impacto à proteção de dados pessoais será recomendável, sendo certo que, independentemente dessa futura resolução da ANPD, a Lei Geral de Proteção de Dados já sinaliza pela necessidade do relatório de impacto nas atividades que envolvem o tratamento de dados sensíveis, citado no caput do artigo 38, bem como nas operações de tratamento de dados envolvendo legítimo interesse, a teor do artigo 10, § 3°, da Lei Geral de Proteção de Dados. No tocante à estrutura do relatório de impacto, o próprio artigo 38 prevê que será estabelecida por regulamento. No entanto, o artigo 5°, inciso XVII, da Lei Geral de Proteção de Dados, já o descreve como […] documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Nota-se, portanto, certa similaridade do relatório de impacto com o registro das atividades de tratamento de dados, previsto no artigo 37 da Lei Geral de Proteção de Dados. No entanto, embora similares, as finalidades são distintas. Enquanto o registro das atividades de tratamento de dados pessoais se presta a meramente documentar os processos relacionados ao tratamento de dados pessoais, o relatório de impacto à proteção de dados pessoais apresenta um foco específico no mapeamento dos riscos decorrentes da atividade de tratamento de dados pessoais objeto do relatório. Nesse sentido, a finalidade principal do relatório de impacto à proteção de dados pessoais é de apontar qualquer risco que possa advir daquela operação de tratamento de dados pessoais, e direcionar o controlador e/ou o operador à mitigação daqueles riscos mapeados. Trata-se de uma avaliação de risco similar à prevista na norma técnica
ISO 27.001, de modo que empresas que já passaram pela adequação à referida norma, que já identificaram dados pessoais como um ativo da companhia, e realizaram o levantamento dos riscos ao redor desses dados, estão muito próximas com o cumprimento do requisito do artigo 38 do Lei Geral de Proteção de Dados. Importante salientar que, do ponto de vista da proteção de dados pessoais, é recomendável à empresa conduzir a elaboração do relatório de impacto não apenas nas hipóteses em que a Lei Geral de Proteção de Dados e o futuro regulamento exigem, mas em todas as situações em que possa antever risco aos titulares dos dados pessoais tratados. Trata-se da postura mais segura, e recomendável, notadamente em operações que possam envolver avaliações sistemáticas de aspectos pessoais, tratamento de dados pessoais em grande escala, decisões automatizadas com efeitos significantes, monitoramento automático, processamento de dados pessoais de titulares vulneráveis, limitação no exercício dos direitos dos titulares, entre outras operações onde o risco ao titular seja potencial.
Portanto, se a empresa não está certa quanto à necessidade de um relatório de impacto para determinada atividade de tratamento de dados, a recomendação é por fazê-lo, visando a mitigar riscos potenciais e responsabilidades futuras. Um teste interessante e recomendável para o relatório de impacto é o teste de balanceamento, ou teste de ponderação, sobretudo em tratamento de dados pessoais baseado em legítimo interesse. Trata-se de uma análise do balanceamento entre os interesses legítimos do responsável pelo tratamento e os interesses, direitos e liberdades fundamentais do titular dos dados. Nesse exercício, há que se sopesar, de um lado, os interesses do controlador ou terceiro interessado, e, do outro lado, os interesses ou direitos fundamentais e liberdades do titular dos dados pessoais tratados, de modo a embasar que o legítimo interesse não fere qualquer direito ou liberdade, ao menos de maneira significativa. A iniciativa de elaboração do relatório de impacto deve partir do responsável pela operação de tratamento de dados pessoais sob análise, que deverá solicitar o parecer do encarregado pelo tratamento de dados pessoais, quando designado. No relatório de impacto deverão estar presentes as informações previstas
no parágrafo único, do artigo 38, da Lei Geral de Proteção de Dados, sem prejuízo de outras informações, tais como, exemplificativamente, a avaliação da necessidade e proporcionalidade das operações diante de seus objetivos, e a avaliação dos riscos para os direitos e liberdades dos titulares dos dados tratados. Em certos casos, pode ser adequado, inclusive, solicitar a opinião dos titulares de dados sobre o tratamento em estudo, ou de consultores externos, o que poderá integrar o relatório de impacto. Adicionalmente, nos casos em que o relatório de impacto apontar riscos que não possam ser mitigados, é altamente recomendável consultar a Autoridade Nacional de Proteção de Dados, antes de iniciar aquela operação de tratamento dotada de risco elevado. Isso posto, seguindo as exigências da Lei Geral de Proteção de Dados, e as orientações do “Article 29 Working Party”, órgão consultivo constituído por um representante da autoridade de proteção de dados de cada EstadoMembro da União Europeia, da Autoridade Europeia para Proteção de Dados, e da Comissão Europeia, podemos resumir os requisitos do relatório de impacto, nos itens a seguir: a. b.
c. d. e.
f. g. h.
descrever a natureza, o escopo, o contexto e a finalidade do processamento; pedir aos operadores envolvidos naquele processamento, se o caso, que ajudem o controlador a entender e documentar a atividade, e identificar quaisquer riscos associados; consultar os titulares objeto do tratamento, ou seus representantes, e outros terceiros relevantes envolvidos naquele processamento; pedir o parecer do encarregado pelo tratamento de dados pessoais; confirmar que o processamento é necessário e proporcional aos propósitos, e descrever como a empresa garante a conformidade com os princípios de proteção de dados; realizar uma verificação objetiva da probabilidade e severidade de qualquer risco aos direitos ou interesses dos titulares; identificar as medidas que podem ser adotadas para eliminar ou reduzidos riscos elevados; registrar a decisão de acordo com o resultado do relatório de impacto, incluindo as eventuais diferenças de opinião com o posicionamento do
i. j. k.
encarregado pelo tratamento dos dados pessoais ou dos titulares dos dados processados; implementar as medidas identificadas, e integrá-las ao projeto; consultar a Autoridade Nacional de Proteção de Dados, quando os riscos não puderem ser mitigados; manter o relatório de impacto sob constante revisão, e refazê-lo sempre que necessário. Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
O artigo clarifica o conceito de que o operador somente tratará os dados pessoais de acordo com as instruções fornecidas pelo controlador, sem qualquer discricionariedade para realizar qualquer operação diversa daquela solicitada pelo controlador. Porém, há que se ressaltar que essa atuação em nome do controlador não exime o operador de adotar, independentemente das instruções do controlador, medidas para conformidade com a legislação de proteção de dados, bem como medidas técnicas e organizacionais de segurança referidas no artigo 46 da Lei Geral de Proteção de Dados. A disposição do artigo 39 também é relevante considerando a possibilidade de responsabilização solidária do controlador, por falhas do operador, disposta no artigo 42 da Lei Geral de Proteção de Dados. Nesse contexto, não podemos ignorar o fato de que muitos dos incidentes em dados pessoais divulgados decorrem de falhas do operador, que age em desacordo com as instruções do controlador, o que pode, eventualmente, eximir o controlador de responsabilidade por um eventual incidente relacionado a dados pessoais. Sobre o tema, o “Article 29 Working Party”, órgão consultivo constituído por um representante da autoridade de proteção de dados de cada EstadoMembro da União Europeia, da Autoridade Europeia para Proteção de Dados e da Comissão Europeia, já se posicionou, por meio da “Opinião 01/2010” daquele órgão, que trata dos conceitos de controlador e processador (equivalente ao operador na legislação brasileira). No que toca ao tema da responsabilidade, o documento retromencionado
interpreta que o operador que desvirtua a finalidade pela qual os dados lhe são confiados se torna, em relação àquele ato, um novo controlador, na medida em que abandona o papel de operador, o que pode ser passível de liberar o controlador original da responsabilidade pelo incidente. Em uma interpretação mais extensa da referida Opinião 01/2010, é possível sustentar que até mesmo o empregado ou prestador de serviços do controlador pode ser considerando terceiro naquela relação de tratamento de dados, e liberar o controlador de sua responsabilidade. Nessa toada, em casos de responsabilidade subjetiva relacionada ao incidente envolvendo dados pessoais (por exemplo: um colaborador que dolosamente expõe dados pessoais tratados pela empresa), é possível sustentar a tese de ausência de responsabilidade do controlador, na medida em que aquele colaborador, de forma dolosa, agiu em desacordo com as orientações do controlador, passando a ser um terceiro, equiparado ao controlador. Por outro olhar, é importante salientar que a tese levantada não é absoluta. Se por um lado a atitude dolosa do colaborador pode vir a isentar o controlador de responsabilidade, por outro lado o controlador tem obrigação de garantir a conformidade com as melhores práticas em segurança e confidencialidade, de modo que o uso inapropriado de dados pessoais por um colaborador pode ser considerado como resultado de medidas inadequadas de segurança, em afronta à Lei Geral de Proteção de Dados, o que ocasiona na provável responsabilidade do controlador (sobre o tema da responsabilidade vs. culpa de terceiro, vide também comentários ao artigo 43 da Lei Geral de Proteção de Dados). Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
O direito à portabilidade é uma das importantes novidades introduzidas pela Lei Geral de Proteção de Dados, seja em termos de garantir ao titular o controle sobre seus dados, seja para fazer a interseção com outras Leis, inclusive concorrenciais. No Brasil, o conceito foi bastante difundido após alguns anos da privatização do setor de telefonia, quando se instituiu a portabilidade numérica, que autoriza o titular de uma linha telefônica portar aquele número
entre operadoras, fomentando a livre concorrência. Para viabilizar o exercício daquele direito, as operadoras tiveram que criar um padrão de interoperabilidade, e compreender que o número do terminal telefônico, que constitui um dado pessoal, não pertence à operadora, e sim ao titular da linha, que também é o titular daquele dado pessoal. Essa mesma mudança de entendimento se aplica à Lei Geral de Proteção de Dados Pessoais, e fica patente no que tange à portabilidade de dados, que reafirma ser o titular o “dono” do dado pessoal, e não aquele que trata o dado, assegurando ao titular inclusive o direito de levar seus dados, de forma facilitada e para onde quiser. Inclusive, no que tange ao tratamento de dados pessoais baseado no legítimo interesse, é possível entender que a portabilidade é uma salvaguarda adicional para o controlador, na medida em que dá poder aos titulares, e consiste em um elemento positivo nos testes de balanceamento aplicáveis, sendo a portabilidade parte dos mecanismos para o titular acessar, modificar, excluir, transferir ou processar (por si ou por terceiros) seus próprios dados. Mas, para que a portabilidade se torne realmente aplicável, é necessário estabelecer padrões e normas. De encontro a essa necessidade, o artigo 40 trata de padrões de interoperabilidade para exercício dos direitos dos titulares e tempo de guarda de registros, mas remete o assunto à futura regulamentação pela Autoridade Nacional de Proteção de Dados. De fato, diversas dificuldades podem advir da garantia do exercício dos direitos dos titulares, onde se inclui a portabilidade e o livre acesso aos dados. A segurança, mencionada no artigo 40, é uma das primeiras preocupações do controlador, na medida em que qualquer sistema ou interface que permita acesso a dados pessoais deve ser revestido de camadas de segurança para inibir o acesso não autorizado aos dados pessoais lá disponibilizados. No ato do exercício de qualquer direito do titular, o primeiro desafio do controlador é efetivamente identificar aquele titular que se apresenta e pede o exercício dos seus direitos, na medida em que a falha nessa identificação positiva da pessoa natural poderá acarretar um incidente de segurança relacionado a dados pessoais. Não menos importante é a questão do padrão de interoperabilidade, quando se trata de portabilidade, já que é necessário que os sistemas informatizados consigam processar as informações portadas entre eles, sob
pena de não se dar efetividade a tão levante direito do titular dos dados. Outro desafio ao controlador é mapear o tempo de guarda dos dados pessoais tratados. Independentemente de qualquer pedido do titular nesse sentido, o princípio da necessidade (artigo 6°, inciso III, da Lei Geral de Proteção de Dados) enseja ao controlador ter processos bem definidos de exclusão de dados pessoais, que devem ser de fato excluídos após o término do seu tratamento, como expresso pelo artigo 16 de Lei Geral de Proteção de Dados. Nesse sentido, cada atividade de tratamento de dados pessoais mapeada pelo controlador deverá ter um tempo de retenção máximo, após o qual aqueles dados pessoais devem ser excluídos, ou anonimizados, perdendo a característica de dado pessoal. Complica-se mais a questão quando o titular solicita o exercício do direito de eliminação de seus dados pessoais (artigo 18, incisos IV e VI, da Lei Geral de Proteção de Dados), pois tal direito não pode ser absoluto, sendo possível a manutenção dos dados pessoais, mesmo com pedido expresso de eliminação pelo titular, quando, por exemplo, houver obrigação regulatória ou legal de guarda daqueles dados, entre outras situações que justifiquem a continuidade do armazenamento do dado pessoal objeto do pedido de eliminação, o que também deverá ser mapeado pela empresa em relação a todos os dados pessoais por ela tratados, de acordo com cada finalidade desse tratamento. Adicionalmente, a portabilidade tem contornos com a responsabilidade dos agentes de tratamento dos dados pessoais. Isso porque, a partir do momento em que o dado pessoal é portado de um controlador para o outro, ele pode deixar de existir junto ao controlador que enviou o dado, transferindo a responsabilidade, naquele mesmo ato, ao controlador que recebeu o dado. Por outro lado, o exercício do direito à portabilidade é independente de outros direitos do titular do dado pessoal, e não necessariamente pressupõe essa exclusão automática dos dados pelo controlador que os enviou, que continua autorizado a observar os seus prazos mínimos e justificativas para retenção do dado, mesmo além da vontade do titular. Esse fato também reforça a necessidade de padrões dessa interoperabilidade, para que se estabeleça, fielmente, o momento dessa transferência da responsabilidade.
No que tange ao padrão de interoperabilidade para fins de portabilidade de dados pessoais, considerando a finalidade de tal direito, que visa a, sobretudo, garantir ao titular a rápida transferência de dados pessoais entre controladores, tal padrão deverá ser passível de leitura por máquinas, visando a automatizar a exportação e importação desses dados pessoais. Nesse contexto, é provável que todos os sistemas de armazenamento de dados pessoais que estiverem em conformidade com a Lei Geral de Proteção de Dados estarão aptos a processar o padrão de arquivo regulamentado pela Autoridade Nacional de Proteção de Dados. Seção II Do encarregado pelo tratamento de dados pessoais Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais. § 1°. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. § 2°. As atividades do encarregado consistem em: I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II – receber comunicações da autoridade nacional e adotar providências; III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. § 3°. A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados. § 4°. (VETADO). (Incluído pela Lei n° 13.853, de 2019)
A Lei brasileira traz a obrigatoriedade da figura do Encarregado pelo Tratamento de Dados Pessoais, cargo similar ao do Data Protection Officer – DPO, da legislação europeia. Na regulamentação europeia (GDPR), há critérios objetivos que, se atendidos, obrigam a nomeação do DPO. São eles:
(a) tratamento efetuado por autoridade ou organismo público, excetuando tribunais no exercício de sua função jurisdicional; (b) atividade principal que importe em tratamento de dados pessoais com
controle regular e sistemático dos titulares de dados em grande escala; e (c) atividade principal que importe em tratamento de dados sensíveis, especificamente de origem racial ou étnica, opinião política, convicção religiosa ou filosófica, filiação sindical, bem como dados genéticos, biométricos, e dados relativos à saúde, à vida sexual, ou orientação sexual, ou dados pessoais relativos a condenações penais e infrações.
No Brasil, diferentemente, a Lei Geral de Proteção de Dados não estabelece critérios objetivos, tarefa que fica a cargo da Autoridade Nacional de Proteção de Dados. Nesse sentido, o primeiro ponto a se analisar é quem legalmente está obrigado a ter um Encarregado pelo Tratamento de Dados Pessoais em sua estrutura, o que se dá pela análise das orientações e resoluções expedidas pela Autoridade Nacional de Proteção de Dados, conforme previsto no § 3°, do artigo 41, da Lei Geral de Proteção de Dados. A análise quanto à obrigatoriedade ou não da organização nomear um Encarregado pelo Tratamento de Dados Pessoais deverá ser devidamente documentada, visando a possibilitar a demonstração de que tudo que era relevante foi considerado para aquela decisão, em observância ao princípio da prestação de contas (artigo 6°, inciso X, da Lei Geral de Proteção de Dados). Essa documentação poderá ser solicitada pela Autoridade Nacional de Proteção de Dados, e deverá ser atualizada sempre que necessário, sobretudo quando a empresa lançar produtos ou serviços que importem em novos tratamentos de dados pessoais. Vale ressaltar que a empresa poderá optar pela nomeação do Encarregado pelo Tratamento de Dados Pessoais voluntariamente, ainda que a conclusão seja de que a função não é obrigatória. Nesse caso, o entendimento é de que tudo quanto aplicável em relação ao Encarregado obrigatório também será aplicável ao Encarregado nomeado em base voluntária. Por oportuno, importante pontuar que o fato da organização não designar um Encarregado pelo Tratamento de Dados Pessoais, por entender desnecessária a função, não a desobriga do cumprimento das obrigações previstas na Lei Geral de Proteção de Dados, muito menos eximirá a organização de alocar seu pessoal ou consultores externos em assuntos relacionados à proteção de dados pessoais, situação em que o conflito de interesses, comentado mais adiante, também deverá ser evitado.
Superada essa fase, e concluindo a empresa pela obrigatoriedade da nomeação de um Encarregado pelo Tratamento de Dados Pessoais em sua estrutura, ou optando voluntariamente por essa nomeação, é preciso verificar as funções que serão exercidas por esse colaborador, o perfil do profissional, e sua posição dentro da estrutura organizacional da empresa. As funções do Encarregado vêm claramente descritas no § 2°, do artigo 41 da Lei Geral de Proteção de Dados, mas não se trata de uma relação exaustiva. Entre as principais funções do Encarregado pelo Tratamento de Dados Pessoais, podemos relacionar: a.
b.
c. d.
e.
f. g. h. i.
j.
interagir com os titulares dos dados pessoais, inclusive prestando esclarecimentos, e adotando providências necessárias em razão desses contatos ou reclamações dos titulares; interagir com a Autoridade Nacional de Proteção de Dados, sendo inclusive o ponto de contato para recebimento das comunicações da Autoridade, e responsável por adotar as providências requeridas; orientar os colaboradores da entidade da qual é Encarregado, a respeito das práticas relacionadas à proteção de dados pessoais; executar todas as atribuições determinadas em normas complementares, da Autoridade Nacional de Proteção de Dados ou outros órgãos; assessorar os responsáveis pelo tratamento de dados pessoais na emissão de relatórios de impacto à proteção de dados pessoais, emitindo opiniões e pareceres que possam embasar tais relatórios; monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes; cooperar com a Autoridade Nacional de Proteção de Dados, sempre que demandado; recomendar a realização de relatórios de impacto à proteção de dados pessoais, ou não, inclusive sobre a metodologia da sua realização; recomendar as salvaguardas para mitigar quaisquer riscos aos direitos dos titulares de dados pessoais tratados pela empresa, inclusive salvaguardas técnicas e medidas organizacionais; decidir sobre a adequação dos relatórios de impacto à proteção de dados, e se as suas conclusões estão de acordo com a regulamentação,
ou não. Considerando as funções do Encarregado pelo Tratamento de Dados Pessoais, ele precisa estar acessível aos titulares da Autoridade Nacional de Proteção de Dados. Justamente por isso o § 1° do artigo 41 da Lei Geral de Proteção de Dados estabelece a obrigatoriedade de divulgar, de forma clara e objetiva, os dados de contato do Encarregado. Embora não seja um requisito expresso da Lei Geral de Proteção de Dados, é recomendável que o Encarregado pelo Tratamento de Dados Pessoais esteja localizado em território brasileiro. Caso não esteja, minimamente ele deve ter condições de se comunicar com os titulares e com a Autoridade Nacional de Proteção de Dados em português, bem como deve ter a disponibilidade de estar no Brasil rapidamente, se necessário. No entanto, a regra não é absoluta, pois considerando a aplicação transnacional da Lei, há casos em que a empresa estará sob a aplicabilidade da Lei brasileira, mas não está estabelecida no Brasil, situação em que será muito mais efetivo que o Encarregado esteja fisicamente localizado no país onde a operação ocorre. Por exemplo, uma operação de comércio eletrônico na China, mas que oferece produtos para pessoas naturais localizadas no território brasileiro (com anúncios em português, preços em reais etc.), mesmo sem nenhuma sucursal ou representação no Brasil, pode estar sujeita à Lei Geral de Proteção de Dados. Em uma situação como essa, um Encarregado pelo Tratamento de Dados Pessoais como garantidor do cumprimento da Lei Brasileira, situado no Brasil, pouca ou nenhuma ingerência ou conhecimento terá das operações daquela empresa chinesa. Trata-se, portanto, de situação típica em que ter um Encarregado localizado fora do território nacional pode ser, inclusive, mais benéfico, ou vantajoso. A designação do Encarregado pelo Tratamento de Dados Pessoais deve ocorrer baseada nas qualidades profissionais do indicado, particularmente em seu conhecimento da legislação de proteção de dados, das práticas de tratamento de dados pessoais, e na sua capacidade em cumprir os requisitos da Lei Geral de Proteção de dados. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela organização, maior deverá ser o nível de conhecimento técnico do Encarregado. O Encarregado pelo Tratamento de Dados Pessoais deve ser um membro do quadro de colaboradores da empresa, ou um terceiro contratado. Em
qualquer uma das duas opções, é importante prevenir o conflito de interesses do Encarregado com outras funções que possa eventualmente exercer para a organização. O conflito de interesses é, de fato, um ponto muito sensível relacionado ao cargo do Encarregado pelo Tratamento de Dados Pessoais. Como mencionado, uma das funções do Encarregado é monitorar a conformidade das atividades de tratamento de dados pessoais com a regulamentação e as normas vigentes. Nesse sentido, nas situações em que o Encarregado seja o responsável por uma atividade de tratamento de dados pessoais, dificilmente ele poderá monitorar a conformidade de sua própria atividade. Por exemplo, se uma empresa nomeia como Encarregado o Compliance Officer, e nessa função o nomeado realiza background checks de funcionários e terceiros, haverá nítido conflito de interesse, já que como Encarregado terá que monitorar esses background checks do ponto de vista da conformidade com a proteção de dados pessoais, e, como Compliance Officer, terá que buscar cada vez mais eficiência nessas checagens, com a coleta e tratamento cada vez maior de dados pessoais. Na mesma linha, e também por exemplo, se a empresa nomeia como Encarregado o Diretor de TI, que tipicamente adquire tecnologia para a empresa, inclusive tecnologia relacionada a tratamento de dados pessoais, novamente haverá conflito, pois novamente terá que fiscalizar a si mesmo. Portanto, o Encarregado pelo Tratamento de Dados Pessoais não poderá cumular posição na empresa que o leve a determinar os propósitos e os meios relacionados ao tratamento de dados pessoais. Nesse sentido, é recomendável a criação do cargo de Encarregado pelo Tratamento de Dados Pessoais desvinculado das áreas tradicionais da empresa, inclusive com reporte direto à Diretoria e Presidência da empresa, com todos os recursos necessários para executar suas funções. Adicionalmente, visando a evitar qualquer tipo de conflito, a estrutura da remuneração do Encarregado pelo Tratamento de Dados Pessoais tem que ser específica. Não é recomendável qualquer tipo de vínculo entre a remuneração e os resultados da empresa, bônus, ou qualquer outra meta, o que poderia acarretar em conflito de interesses para o Encarregado, que deve exercer sua função de forma independente, ainda que suas recomendações possam prejudicar o resultado da companhia.
No tocante à responsabilidade do Encarregado pelo Tratamento de Dados Pessoais em face de uma eventual não conformidade da empresa com os requisitos de proteção de dados, como regra geral, esta inexiste. O Encarregado não é pessoalmente responsável, pois o controlador e o operador são responsáveis por garantir e demonstrar que suas atividades são conduzidas de acordo com a regulamentação, de modo que a conformidade com a legislação aplicável à proteção de dados pessoais é uma responsabilidade do controlador e do operador, e não do Encarregado. Todavia, evidente que nos casos em que o Encarregado pelo Tratamento de Dados Pessoais agir com dolo pode responder perante o empregador, e até mesmo perante terceiros. Por fim, a legislação não veda a nomeação de um Encarregado pelo Tratamento de Dados Pessoais para mais de uma empresa, de modo que um único Encarregado pode atender mais de uma companhia. Novamente, é importante que a situação seja avaliada, sobretudo para garantir a independência e capacidade do Encarregado exercer as suas funções, sem sobrecarga excessiva, ou qualquer outro conflito de interesses, de qualquer natureza. Da mesma forma, a Lei Geral de Proteção de Dados não veda a contratação de um Encarregado terceirizado, popularmente conhecido na Europa como DPO as a service, onde novamente todas as recomendações anteriores se aplicam, em especial a garantia da ausência de conflito de interesses. Seção III Da responsabilidade e do ressarcimento de danos Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. § 1°. A fim de assegurar a efetiva indenização ao titular dos dados: I – o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei; II – os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei. § 2°. O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos
dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa. § 3°. As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente. § 4°. Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
A responsabilidade civil em matéria de dados pessoais é primordial para o equilíbrio das relações dessa natureza, sobretudo quando envolvida a tecnologia. A título exemplificativo, uma rápida busca por um tema específico na Internet poderá rapidamente retornar uma enorme base de dados. Mais do que isso, essa pesquisa, ou o acesso a um site, poderá iniciar ou alimentar um infindável perfil sobre as preferências e interesses daquele usuário da rede, alimentando algoritmos e outras tecnologias preditivas a respeito do comportamento do usuário, com massivo tratamento de dados pessoais envolvido. Evidente, portanto, que mais do que regras para ordenar o tratamento de dados pessoais, é importante o estabelecimento da responsabilidade civil ao redor do tema, quando a atividade importar em danos aos titulares dos dados.
O artigo 42 da Lei Geral de Proteção de Dados vai de encontro a essa necessidade, e prevê a responsabilidade dos envolvidos nas operações de tratamento de dados pessoais, tanto do controlador como do operador, deixando clara a possibilidade de reparação dos danos patrimonial, moral, individual ou coletivo, sempre que esses decorram de violação à legislação de proteção de dados pessoais. O inciso I, do § 1°, estabelece hipóteses de responsabilização solidária do operador, especialmente quando descumpre a Lei, ou age em desacordo com as ordens do controlador, o que traz um importante ponto de alerta, de que o operador, efetivamente, deve ser conhecedor das normas relacionadas à proteção de dados pessoais, mesmo que sua função esteja adstrita às ordens e instruções do controlador. Vale frisar que o inciso II do § 1° do artigo 42 prevê, ainda, a responsabilização solidária entre controladores, o que é muito positivo, na medida em que o tratamento de dados pessoais, frequentemente, envolve mais de um agente, e não se poderia, de fato, impor ao titular dos dados o ônus de descobrir, dentro de uma cadeia econômica, quem deu causa ao dano
sofrido. No entanto, a Lei Geral de Proteção de Dados não é exatamente clara quanto à aplicabilidade da responsabilidade subjetiva (aquela decorrente de uma conduta voluntária – dolo – ou de uma conduta negligente, imperita ou imprudente), ou da responsabilidade objetiva (aquela independente de culpa, bastando a prova do dano e do nexo de causalidade). Quando se trata de incidente que gera danos a consumidores, a possibilidade de responsabilização objetiva, independentemente de culpa, se torna mais evidente, na medida em que aplicável o Código de Proteção e Defesa do Consumidor (Lei 8.078/90). De forma bastante clara, a Lei 8.078/90 estabelece, em seus artigos 12 a 14, a possibilidade de responsabilização objetiva dos envolvidos na cadeia de consumo, seja de produtos, seja de serviços: Art. 12. O fabricante, o produtor, o construtor, nacional ou estrangeiro, e o importador respondem, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos decorrentes de projeto, fabricação, construção, montagem, fórmulas, manipulação, apresentação ou acondicionamento de seus produtos, bem como por informações insuficientes ou inadequadas sobre sua utilização e riscos. Art. 13. O comerciante é igualmente responsável, nos termos do artigo anterior, quando: I – o fabricante, o construtor, o produtor ou o importador não puderem ser identificados; II – o produto for fornecido sem identificação clara do seu fabricante, produtor, construtor ou importador; III – não conservar adequadamente os produtos perecíveis. Parágrafo único. Aquele que efetivar o pagamento ao prejudicado poderá exercer o direito de regresso contra os demais responsáveis, segundo sua participação na causação do evento danoso. Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
Como é possível verificar supra, nas relações de consumo há possibilidade de uma ampla responsabilização, e a única alternativa de exoneração seria, em tese, o rompimento do nexo de causalidade, em situações como a culpa exclusiva do consumidor ou de terceiro. Trata-se da aplicação da teoria do risco do negócio ou da atividade, pelo qual esse risco deve ficar com o empreendedor, a quem cabe calcular os riscos envolvidos na sua atividade versus o benefício que dela pode auferir. Porém, é importante pontuar que, nas relações de consumo, há que se considerar as circunstâncias que caracterizam o serviço que deu origem ao
dano, e a efetiva segurança que o consumidor dele poderia esperar, como conceitua o § 1° do artigo 14 do Código de Proteção e Defesa do Consumidor: Art. 14. […] § 1° O serviço é defeituoso quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração as circunstâncias relevantes, entre as quais: I – o modo de seu fornecimento; II – o resultado e os riscos que razoavelmente dele se esperam; III – a época em que foi fornecido.
Portanto, o consumidor não pode, por exemplo, esperar que um software desatualizado seja imune a ataques virtuais, em constante evolução, devendo compartilhar esse risco, quando opta pela utilização daquele recurso sabidamente ultrapassado. Outra característica nas relações de consumo é a inversão do ônus da prova, pelo qual a empresa, para exonerar a sua responsabilidade, afastando o nexo de causalidade, terá de fazer prova de suas alegações, a teor do artigo 6°, inciso VIII, do Código de Proteção e Defesa do Consumidor: Art. 6° São direitos básicos do consumidor: […] VIII – a facilitação da defesa de seus direitos, inclusive com a inversão do ônus da prova, a seu favor, no processo civil, quando, a critério do juiz, for verossímil a alegação ou quando for ele hipossuficiente, segundo as regras ordinárias de experiências; […].
Portanto, no caso de incidentes envolvendo dados pessoais que causem danos a consumidores, é provável a aplicação da responsabilidade objetiva, e também da inversão do ônus da prova para afastar o nexo causal, e consequentemente a indenização, motivo pelo qual os registros e controles das operações envolvendo dados pessoais devem ser rigorosos e estritos, a fim de viabilizar a defesa da empresa. Nos demais casos, que não envolvem relação de consumo, a regra geral no Direito brasileiro é a da responsabilidade subjetiva, sendo que a responsabilidade objetiva somente se aplica mediante previsão legal expressa, não sendo presumível, conforme expresso pelo parágrafo único, do artigo 927 do Código Civil, o qual, no entanto, também recepcionou a teoria do risco: Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo. Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano
implicar, por sua natureza, risco para os direitos de outrem.
Pela mencionada teoria do risco, pode se configurar a responsabilidade civil objetiva em razão do risco da atividade, mas é evidente que não se pode admitir como risco toda e qualquer situação, sob pena de banalização do instituto. Há diversos riscos mapeados pela doutrina, que poderiam acarretar na responsabilização objetiva. A mais abrangente e radical é a teoria do risco integral, na qual sequer é necessária a comprovação do nexo causal, de modo que a responsabilidade é aplicada mesmo sendo a vítima quem deu causa ao dano, exclusivamente. Trata-se de situação que inegavelmente não se aplica diante da Lei Geral de Proteção de Dados, em razão das excludentes de responsabilidade expressas no artigo 43 da Lei. Outra teoria é a do risco administrativo, que pode ensejar responsabilidade objetiva da Administração Pública, baseada no entendimento de que nenhum particular deve suportar o dano advindo de atividades voltadas ao interesse social de uma coletividade, o que pode ser aplicável nos incidentes envolvendo o tratamento de dados pessoais por órgãos públicos. Para ilustrar, destacamos posicionamento do Ministro Celso de Mello, do Supremo Tribunal Federal: Como se sabe, a teoria do risco administrativo, consagrada em sucessivos documentos constitucionais brasileiros, desde a Carta Política de 1946, revela-se fundamento de ordem doutrinária subjacente à norma de direito positivo que instituiu, em nosso sistema jurídico, a responsabilidade civil objetiva do Poder Público, pelos danos que seus agentes, nessa qualidade, causarem a terceiros (CF, art. 37, § 6°). Essa concepção teórica, que informa o princípio constitucional da responsabilidade civil objetiva do Poder Público, faz emergir, da mera ocorrência de ato lesivo causado à vítima pelo Estado, o dever de indenizá-la pelos danos sofridos, independentemente de caracterização de culpa dos agentes estatais (RDA 137/233 – RTJ 55/50 – RTJ 163/11071109, v.g.).
Todavia, em que pese a teoria do risco administrativo ter a capacidade de gerar responsabilidade objetiva aos agentes públicos no tratamento de dados pessoais, vale ressaltar que o entendimento dominante do Supremo Tribunal Federal vai no sentido de que somente de aplica a responsabilidade objetiva para atos comissivos, sendo subjetiva a responsabilidade estatal pelas suas omissões. Nesse sentido, uma eventual omissão de cautela do agente público quanto à segurança no tratamento de dados pessoais não teria o condão de
gerar a responsabilidade objetiva, mas apenas subjetiva. Igualmente aplicável é a teoria do risco proveito, que provêm da máxima romana ubi emolumentum ibi onus, ou seja, onde está o bônus deverá estar o ônus. Por essa teoria, aquele que obtém vantagem ou proveito da operação de tratamento de dados pessoais, ainda que indiretamente, tem o dever de indenizar qualquer dano, de forma objetiva, independentemente de culpa. Frise-se que a obtenção do proveito econômico, nesse caso, é pressuposto indispensável. Há também a teoria do risco criado, que amplia a teoria do risco proveito, deixando de ser indispensável o proveito econômico. Aqui o agente coloca-se em situação de risco exclusivamente por exercer a atividade, bastando a exposição ao dano para que haja obrigação de indenizar. Inegavelmente, em algumas atividades específicas de tratamento de dados pessoais, em razão da sua natureza ou dos elementos presentes, é possível que se crie um risco inerente à atividade, que poderá fazer aplicar a responsabilização objetiva. Mas, em que pese a teoria do risco ser objeto de recepção pela Lei Civil, aplicável também às indenizações envolvendo danos relacionados a incidentes de segurança em dados pessoais, podemos dizer que não há responsabilização objetiva como regra na Lei Geral de Proteção de Dados, embora possa ser aplicável em situações específicas. Em versões anteriores do Projeto de Lei que deu origem à Lei Geral de Proteção de Dados, chegou a se incluir disposições que conceituavam a atividade de tratamento de dados pessoais como atividade de risco, expressamente, as quais, no entanto, foram retiradas da proposição no decorrer do processo legislativo. Por conta disso, é possível sustentar que a regra geral da Lei é a da responsabilidade civil subjetiva, na qual o elemento da culpa deverá ser demonstrado, admitida, em algumas hipóteses específicas, a responsabilidade civil objetiva, de acordo com a natureza da atividade de tratamento de dados pessoais, que realmente possa se enquadrar como atividade de risco. Adicionalmente, importante pontuar que o inciso I do § 1° do artigo 42, já comentado, pode ser importante mitigador de responsabilidade ao controlador, no caso de culpa do operador.
Referido inciso equipara o operador ao controlador, quando este deixa de observar as instruções lícitas do controlador. Vale dizer, se a empresa contrata um terceiro para operar dados pessoais, e ele trata aqueles dados em desacordo com a orientação do controlador, inicia uma nova atividade de controle do dado, estranha à atividade que lhe foi delegada. De acordo com as circunstâncias, essa pode ser hipótese de exclusão de responsabilidade do controlador, como, aliás, é expressamente previsto no artigo 43 da Lei Geral de Proteção de Dados. Importante salientar também a possibilidade de inversão do ônus da prova, ainda que não em relações de consumo. Trata-se de hipótese expressa pelo § 2° do artigo 43 da Lei Geral de Proteção de Dados, deixando clara a incidência da teoria dinâmica do ônus da prova, fazendo com que tal ônus possa recair sobre a parte que tiver melhor condição para de desincumbir do ônus probatório. Também há pacificação do cabimento das ações para reparação de danos coletivos, importante instrumento processual para a garantia de direitos difusos, coletivos, e individuais homogêneos, algo extremamente importante no que tange ao tratamento de dados pessoais, atividade de massa, muitas vezes, e que pode afetar um sem número de indivíduos. O artigo 42 da Lei Geral de Proteção de Dados também rege a relação entre os agentes de tratamento envolvidos em cadeia no evento danoso. Nos termos do § 4°, assegura-se o direito de regresso daquele responsabilizado solidariamente em face dos demais responsáveis, na medida da participação desses para o evento. Por fim, vale comentar que, independentemente da responsabilidade subjetiva ou objetiva, é requisito para qualquer indenização a efetiva demonstração do dano, sem o qual o pedido indenizatório não poderá prosperar. Nesse ponto, há que se ressalvar situações em que o dano pode ser presumido, como um incidente que envolva a violação da intimidade do titular do dado pessoal, mas há que se analisar com cautela cada caso, sob pena de banalizar as indenizações decorrentes de incidentes de segurança envolvendo dados pessoais, o que, efetivamente, não é a intenção do legislador. Muito pelo contrário, a Lei Geral de Proteção de Dados Pessoais tem, como um de seus pilares, o fomento à livre-iniciativa e à segurança jurídica aos agentes de tratamento de dados pessoais, sendo incongruente a
excessiva responsabilização destes, até mesmo por danos inexistentes, ainda que um incidente possa ter ocorrido. Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem: I – que não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
De forma bastante objetiva, o artigo 43 traz as hipóteses excludentes de responsabilidade dos agentes de tratamento de dados pessoais envolvidos em um evento danoso. A primeira delas diz respeito à prova de que não realizaram o tratamento de dados que lhes é atribuído, o que, embora pareça óbvio, é de grande relevância, em face da complexidade envolvida nas atividades de tratamento de dados pessoais. Aliás, essa complexidade é tão patente que o legislador optou pela responsabilidade solidária dos agentes envolvidos (vide artigo 42). Dessa forma, não é difícil que um titular demande a empresa incorreta, acreditando ser ela a responsável pelo tratamento do dado pessoal, quando não o é. Da mesma forma, é crescente a divulgação e exposição de dados pessoais que são atribuídos a incidentes de segurança de uma determinada empresa, quando não são daquela companhia, gerando inúmeros questionamentos e procedimentos, administrativos e judiciais, que são obstados justamente por essa prova, de que aquela empresa investigada/acionada não realizou o tratamento de dados pessoais que lhe foi atribuído. Exemplo dessa situação é o Inquérito Civil Público 08190.052296/18-50, cuja Promoção de Arquivamento1 foi fundamentada no fato de “que os dados pessoais supostamente obtidos durante o ataque são oriundos de outra fonte”. A segunda hipótese de exclusão de responsabilidade se relaciona à ausência de violação à Lei Geral de Proteção de Dados naquela atividade de tratamento de dados pessoais, o que afasta a ilicitude do ato, e, portanto, o dever de indenizar. Por fim, a terceira hipótese diz respeito à culpa exclusiva da vítima do evento danoso ou de terceiro, situação que afasta o nexo causal entre a ação do agente e o dano suportado pela vítima do evento, sendo tal nexo elemento essencial para a responsabilização, inclusive em casos de responsabilidade
objetiva. Nessa hipótese, abre-se uma interessante discussão, se a invasão de um sistema que armazena dados pessoais por um agente mal intencionado e não autorizado, e a posterior utilização danosa desses dados pessoais, seria culpa de terceiro. Aqui vale mencionar o corolário da Lei Geral de Proteção de Dados entre responsabilidade e falha na implementação de medidas de segurança. Como sabido, nenhum sistema é a prova de falhas ou vulnerabilidades, até porque a tecnologia de invasões evolui na mesma proporção (ou até mais rápido) que a tecnologia para defesa desses incidentes. Por conta disso, nunca se pode esperar uma absoluta segurança em sistemas informáticos. Nesse sentido, a partir do momento em que o controlador ou o operador adotam as melhores técnicas de proteção do seu ambiente, caso a invasão resulte de táticas inovadoras, comprovada a adoção de medidas de segurança eficientes e razoáveis, admite-se a excludente de responsabilidade por fato de terceiro2, que pode exonerar integralmente a responsabilidade, ou mesmo mitigá-la, como já decidido pelo Tribunal de Justiça de São Paulo: Não se pode fechar os olhos a uma dura e triste realidade: os sistemas computacionais não são 100% indevassáveis. Aí estão os hackers para demonstrar que a muralha digital, inclusive aquela erguida nos grandes centros tecnológicos mundiais, ostenta um certo grau de vulnerabilidade. Em semelhante cenário, que coonesta a asserção da apelante de que terceiros, à sua revelia, acessaram o sistema da apelada, a melhor solução para o caso, inspirada na ideia da régua lésbica da equidade proposta por Aristóteles, é a divisão, pela metade, dos prejuízos decorrentes da emissão fraudulenta de passagens (TJSP, Apelação 108338932.2015.8.26.0100, Rel. Des. Antonio Nascimento, j. 25.08.2016).
Portanto, mediante a comprovação de que os sistemas envolvidos no incidente eram efetivamente seguros, e adotavam o que há de melhor no estado da técnica de segurança, é possível a alegação de culpa de terceiro, e o acolhimento desta tese, em uma análise subjetiva do Julgador. Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: I – o modo pelo qual é realizado; II – o resultado e os riscos que razoavelmente dele se esperam; III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados
o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
O artigo 44 da Lei Geral de Proteção de Dados positiva o que seria o tratamento irregular de dados pessoais, consistente na inobservância da legislação, ou ausência de segurança, considerando as circunstâncias previstas nos incisos, que fazem a correlação entre a regularidade da atividade de tratamento de dados pessoais e o avanço tecnológico de determinada época, o que se afigura como extremamente correto. Evidente que o estado atual da técnica sempre impactará nos riscos relacionados à atividade de tratamento de dados pessoais, e na segurança ao redor dessas atividades, e é muito salutar que o legislador pondere esse fato entre as circunstâncias que levam à determinação da presença ou ausência de segurança que o titular dos dados pode esperar, o que representa impacto direto na responsabilização. Como já mencionado no comentário ao artigo 43, existe um corolário na Lei Geral de Proteção de Dados entre responsabilidade e falha na implementação de medidas de segurança, o que reforça a possibilidade de exclusão de responsabilidade baseada em fato de terceiro, quando o controlador e/ou o operador conseguem provar efetivamente que adotaram os melhores esforços cabíveis, e mesmo assim não foi possível prevenir um ataque ao sistema. Por fim, vale mencionar que o artigo 44 traz a possibilidade de uma análise discricionária do magistrado quanto à responsabilização vs. expectativa do titular do dado pessoal. Nesse sentido, a exposição de um dado fornecido para a realização de uma operação financeira, notoriamente revestida pelo sigilo e confidencialidade, até por força de Lei Complementar, poderá ter natureza mais grave do que a exposição de um dado fornecido para um cadastro em um pequeno comércio de bairro, já que a expectativa de segurança que se espera de um e outro é completamente diferente. Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
O artigo 45 positiva o entendimento de que o microssistema de proteção e defesa do consumidor presente na legislação brasileira se aplica à Lei Geral de Proteção de Dados, especialmente no tocante às regras de
responsabilidade. Neste sentido, importante trazermos à baila o conceito de consumidor expresso no artigo 2° do Código de Proteção e Defesa do Consumidor: Art. 2° Consumidor é toda pessoa física ou jurídica que adquire ou utiliza produto ou serviço como destinatário final. Parágrafo único. Equipara-se a consumidor a coletividade de pessoas, ainda que indetermináveis, que haja intervindo nas relações de consumo.
Portanto, sempre que o titular dos dados pessoais objeto do incidente danoso tiver adquirido o produto ou serviço como destinatário final, poderá invocar a seu favor o sistema de responsabilização previsto no Código de Proteção e Defesa do Consumidor, e legislação correlata. Adicionalmente, a Lei 8.078/90 traz a figura do consumidor por equiparação, que também poderá invocar as mesmas garantias. Trata-se daquelas vítimas do evento danoso, que, embora não tenham consumido diretamente o produto ou serviço viciado, sofreram danos em razão deles, como conceitua o artigo 17 do Código de Proteção e Defesa do Consumidor: “Art. 17. Para os efeitos desta Seção, equiparam-se aos consumidores todas as vítimas do evento”. E, no tocante à aplicabilidade da Legislação Consumerista, como já mencionado no comentário ao artigo 42, é importante frisar que haverá a possibilidade de responsabilização objetiva do controlador e/ou operador, além da inversão do ônus da prova.
1.
2.
Disponível em: [www.mpdft.mp.br/portal/pdf/noticias/novembro_2018/Arquivamento_Boa_Vista.pdf]. Acesso em: 29.01.2019. LAGO JÚNIOR, Antônio. Responsabilidade civil por atos ilícitos na Internet. São Paulo: Ed. LTr, 2001.
Capítulo VII Da Segurança e das Boas Práticas
CAMILLA DO VALE JIMENE Seção I Da segurança e do sigilo de dados Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Os agentes de tratamento – leia-se o controlador (aquele a quem compete as decisões referentes ao tratamento de dados pessoais) e o operador (aquele que realiza o tratamento de dados pessoais em nome do controlador), de acordo com as definições do art. 5°, incs. VI, VII e IX da LGPD – devem implementar medidas de segurança, medidas técnicas e medidas administrativas capazes de proteger os dados pessoais. Vale lembrar que o art. 6° da LGPD estabelece no inc. VII a segurança como princípio a ser observado nas atividades de tratamento de dados pessoais, definindo o vocábulo “segurança” como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Com isso, é possível compreender que as chamadas “medidas de segurança” contemplariam, no entendimento do legislador, medidas técnicas e administrativas. As medidas de técnicas são aquelas adotadas no âmbito da Tecnologia da Informação, com o uso de recursos informáticos dotados de funcionalidades voltadas à garantia da segurança da informação. São exemplos dessas tecnologias: ferramentas de autenticação de acesso a sistemas, mecanismos de segurança em softwares e hardwares, recursos de controle de tráfego de
dados em rede, instrumentos detectores de invasões de sistemas, recursos de criptografia, segregação de servidores, ferramentas de prevenção à perda de dados, testes de vulnerabilidade, cópias de segurança, entre muitos outros. Por sua vez, as medidas administrativas são as atividades realizadas no âmbito administrativo-gerencial dos agentes de tratamento, incluindo-se as de natureza jurídica. São exemplos de medidas administrativas: políticas corporativas para proteção dos dados pessoais, contratos de confidencialidade, políticas de privacidade de sites e aplicativos, capacitação dos empregados cujas atividades envolvam o tratamento de dados pessoais, controle de acesso aos arquivos físicos, entre outras. Como se vê, o legislador foi assertivo ao impor aos agentes de tratamento a obrigação de adotar medidas de segurança, porquanto empregou o verbo “devem”. No entanto, é importante destacar que tais medidas têm de natureza híbrida, porquanto parte dos procedimentos estão relacionados à tecnologia da informação e parte dos procedimentos estão relacionadas às questões administrativas-gerenciais, inclusive de ordem jurídica. De acordo com Márcio Cots e Ricardo Oliveira, “Inicialmente, vale notar que o verbo ‘devem’ é impositivo da lei, ou seja, não se trata de faculdade: é uma obrigação legal que, se não cumprida poderá ensejar a aplicação de sanções administrativas e responsabilidade civil”1. Restou claro, portanto, que para estar em conformidade com os ditames legais, os agentes de tratamento de dados deverão implementar soluções de natureza multidisciplinar, porquanto o dispositivo em comento empregou a conjunção aditiva “e”, expressando a ideia de adição (“medidas de segurança, técnicas e administrativas”). Desse modo, não bastará apenas a implementação de recursos tecnológicos ou a adoção de documentação interna, como atividades isoladas e pontuais, para garantia de segurança dos dados. Trata-se em realidade de um modelo de governança que considere os riscos operacionais e implemente controles para gerenciá-los ou eliminá-los. E isso é muito positivo, pois decorre da própria complexidade do binômio tratamento de dados versus mantê-los a salvo, que não é de simples solução. Assim, os agentes de tratamento precisarão adotar um conjunto de processos internos, controles tecnológicos, políticas corporativas, regulamentos, contratos, que terão por missão precípua a proteção dos dados
pessoais que estejam sob sua custódia. Em continuidade, o legislador apresentou um extenso rol das condutas com relação às quais os dados pessoais devem ser protegidos, quais sejam: (i)
Acessos não autorizados: consiste no acesso aos dados pessoais realizado por pessoa que não detém permissão dos agentes de tratamento para tanto. Nesse ponto, oportuna a lição de Roberto Cezar Bitencourt: “pessoas não autorizadas são aquelas alheias ao sistema e que não têm legitimidade legal, regulamentar ou estatutária para ingressar”2. Assim, pode-se entender que o legislador pretendeu impedir situações, tais como, o ingresso não autorizado de um hacker a um sistema computacional no qual estavam armazenados dados pessoais ou o caso de empregado, que embora tenha legitimidade para acessar um determinado banco de dados do empregador, aproveita-se das credenciais de acesso de colega, para acessar área restrita, que lhe era vedada. O objetivo da lei é garantir que os dados pessoais sejam mantidos em confidencialidade, sendo conhecidos somente por aqueles que precisem conhecê-los.
(ii) Situações acidentais ou ilícitas, de: (ii.a) Destruição: a doutrina de Cleber Masson define “destruir (eliminar fisicamente a coisa, extinguindo-a)”3. Assim, o termo “destruição” poderia ganhar diferentes interpretações, a depender do contexto do suporte em que se encontra o dado pessoal. Na hipótese de dados pessoais impressos em papel (suporte cartáceo) – destruir poderia significar incinerar ou triturar o suporte em que o dado estava armazenado, eliminando-o fisicamente. Já na hipótese de os dados pessoais estarem armazenados em um computador (suporte digital) – destruir poderia ser interpretado como apagar, deletar. O objetivo da lei é garantir que os dados pessoais estejam disponíveis quando necessários. (ii.b) Perda: refere-se ao sumiço, o desaparecimento de dados pessoais. Pode-se citar como exemplo a situação do dado armazenado em determinado servidor, que não conta com rotinas de extração de cópias de segurança (back up). Caso esse servidor fosse atingido por um desastre natural, como uma inundação ou um incêndio, os dados poderiam ser perdidos. O objetivo da lei é garantir que os dados
pessoais estejam disponíveis sempre que necessário. (ii.c) Alteração: consiste na hipótese de modificação do dado pessoal por pessoas não autorizadas ou modificação indevida realizada por pessoas autorizadas. De acordo com definição de Rogério Greco, “alterar (mudar, modificar)”4. Seria a circunstância de um fraudador que altera dado pessoal em um determinado sistema, com o objetivo de cometer fraudes contra o titular. O objetivo da lei é garantir a integridade da informação, no sentido de que ela é confiável, pois não sofreu nenhuma alteração. (ii.d) Comunicação: o entendimento de comunicação está associado à ideia de transmitir, informar, divulgar, revelar, expor, difundir. Para Guilherme de Souza Nucci, “comunicar (fazer saber ou transmitir)”5. Nessa toada, um exemplo de comunicação ilícita seria o do hacker que expõe dados pessoais resultantes de vazamento de informação em portal público na Internet, para que terceiros tomem conhecimento. O objetivo da lei é garantir que os dados pessoais sejam mantidos em confidencialidade. (ii.e) Qualquer forma de tratamento inadequado ou ilícito: tal expressão dá margem a interpretação bastante extensiva, afinal qual seria o significado do termo “inadequado”? São inúmeras as interpretações possíveis, tais como, inapropriado, despropositado, inconveniente, desacertado. Fato é que a LGPD é omissa quanto à definição de referido termo. Com relação ao termo “ilícito”, é possível compreender que se trata de qualquer tratamento que contrarie as disposições legais da LGPD, em especial as previsões do art. 7° e 11°, que respectivamente, definem em seus incisos as hipóteses legais autorizadoras de tratamento de dados pessoais e dados pessoais sensíveis. Com relação à legislação pátria, curioso constatar que o Código Penal prevê há quase 20 anos certos tipos penais que, em certa medida, dialogam com as disposições legais que vemos atualmente estampadas na LGPD. Nessa esteira, vale colacionar o crime de violação do sigilo funcional (art. 325 – caracteriza-se quando o funcionário público permite mediante empréstimo de senha, o acesso de pessoas não autorizadas a sistemas ou banco de dados da Administração Pública); crime de invasão de dispositivo informático (art. 154-A – caracteriza-se quando a invasão tem por finalidade adulterar ou destruir dados); crime de inserção de dados falsos em sistema de
informações (art. 313-A – caracteriza-se quando funcionário público insere ou facilita a inserção de dados falsos, altera ou exclui dados corretos nos sistemas ou banco de dados da Administração Pública). Como nos dias atuais, tais dispositivos legais também consideraram a necessidade de resguardar a confidencialidade, a disponibilidade e a integridade das informações, objetivos igualmente perseguidos pela LGPD. No que toca ao GDPR, disposição semelhante está parcialmente refletida no art. 25°, que estabelece que o responsável pelo tratamento de dados deve adotar medidas técnicas e organizativas adequadas destinadas a aplicar com eficácia os princípios da proteção de dados, porém de forma bem mais rigorosa. A respeito, Rony Vainzof explana: Assim, por expressa previsão legal, o controller e o processor, de acordo com as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável para os titulares, aplicarão medidas técnicas e organizativas para assegurar um nível de segurança adequada ao risco, incluindo: a pseudoanonimização e a encriptação dos dados pessoais; a capacidade de assegurar a confidencialidade, integridade e resiliência permanentes dos sistemas e dos serviços de tratamento; a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de um incidente físico ou técnico; procedimentos para testar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento6.
Posto isso, verifica-se que a LGPD consolida uma forte tendência legislativa, que traduz a perfeita sinergia entre direito e tecnologia, tipo de abordagem que faz todo sentido nesses tempos de cultura digital. § 1°. A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6° desta Lei.
A ANPD – entenda-se, o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da lei, em todo o território nacional, conforme definição do art. 5°, inc. XIX, da LGPD – poderá estabelecer padrões técnicos mínimos para tornar aplicável as medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Nesse mister, válido destacar os arts. 55-B e 55-J, inc. XIII, que,
respectivamente, asseguraram autonomia técnica e decisória à ANPD e lhe atribuíram a competência de editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade. Ainda, constata-se que o legislador optou por adjetivar como “mínimos” os padrões técnicos que a ANPD poderá dispor, deixando claro que não se espera a imposição de obrigação do uso de absolutamente todas as ferramentas tecnológicas existentes ou que venham a existir para garantir a segurança dos dados pessoais, situação que seria inviável, inclusive do ponto de vista econômico. Isso porque é impossível garantir segurança absoluta, seja no mundo físico, seja no mundo digital. No entanto, a ANPD não estará livre para definir tais padrões, pois deverá considerar os seguintes requisitos estabelecidos pelo próprio dispositivo legal: (i)
Natureza das informações tratadas: observa-se que o legislador empregou o termo “informações” em referido dispositivo legal. Embora o vocábulo seja usualmente utilizado como sinônimo de “dados”, vale registrar a existência de entendimento na doutrina que prega a distinção semântica entre tais termos. Conforme ensinamentos de Danilo Doneda: o termo dado apresenta conotação um pouco mais fragmentada, como se fosse uma informação em estado potencial, antes de ser transmitida; o dado estaria, portanto, associado a uma espécie de “pré-informação”, anterior à interpretação e a um processo de elaboração. A informação, por sua vez, alude a algo além da representação contida no dado, chegando ao limiar da cognição. Sem aludir ao seu significado ou conteúdo em si, na informação já se pressupõe uma fase inicial de elaboração de seu conteúdo – daí que a informação carrega também um sentido instrumental, no sentido de ser capaz de, objetivamente, reduzir um estado de incerteza7.
Partindo-se dessa premissa, a ANPD deverá levar em conta a natureza das informações para dispor sobre padrões técnicos mínimos de segurança, porquanto podem ter um vínculo com uma pessoa, revelando algo sobre ela. Imaginemos aqui as informações referentes ao diagnóstico de HIV positivo de um indivíduo e o estágio de evolução da doença: diante da profundidade da informação revelada seria razoável exigir-se um padrão técnico de segurança mais sofisticado.
(ii) Características específicas do tratamento: são as particularidades de cada tipo de tratamento de dados, tais como as técnicas ou métodos utilizados. Com o avanço tecnológico, são vários os tipos de tratamento
de dados existentes e certamente muitos outros virão a ser inventados no futuro. Nesse ponto, oportunas novamente as palavras de Danilo Doneda, ao explicar diferentes técnicas de tratamento de dados como o profiling e o data mining: Dentre estas técnicas está a elaboração de perfis de comportamento de uma pessoa a partir de informações que ela disponibiliza ou que são colhidas. Esta técnica, conhecida como profiling, pode ser aplicada a indivíduos bem como estendida a grupos. Nela, os dados pessoais são tratados com o auxílio de métodos estatísticos, técnicas de inteligência artificial e outras mais, com o fim de obter uma “metainformação”, que consistiria na síntese dos hábitos, preferências pessoais e outros registros da vida desta pessoa. O resultado pode ser utilizado para traçar um quadro das tendências de futuras decisões, comportamentos e destinos de uma pessoa ou grupo. […] Uma outra técnica ainda diz respeito à modalidade de coleta de dados pessoais conhecida como data mining. Ela consiste na busca de correlações, recorrências, formas, tendências e padrões significativos a partir de quantidades muito grande de dados, com o auxílio de instrumentos estatísticos e matemáticos. Assim, a partir de uma grande quantidade de informações em estado bruto e não classificada, podem ser identificadas informações de potencial interesse8.
Como se vê, é bastante relevante a ANPD ter de considerar as características específicas do tratamento, pois a depender da técnica utilizada, aumentará ou não a quantidade de informações disponíveis sobre um indivíduo, o que justificaria a implementação de padrões técnicos de segurança compatíveis. (iii) Estado atual da tecnologia: consiste em observar qual é estado vigente da tecnologia, fator de grande relevância diante da inovação tecnológica constante. Isso porque não seria razoável a ANPD dispor de padrões técnicos defasados, que sequer funcionariam nos ambientes digitais existentes nos dias atuais. De igual modo, não seria também razoável estabelecer padrões técnicos que sequer foram inventados pelo ser humano. Significa dizer, a autoridade levará em conta todas as ferramentas de Tecnologia da Informação conhecidas pelo homem até o presente momento.
Tais requisitos devem ainda ser sopesados, ao fato do tratamento envolver dados pessoais sensíveis – leia-se, aqueles que versem sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos da definição do art. 5°, inc. II, da LGPD. Isso porque mencionados dados poderiam ensejar discriminação dos
titulares e, especificamente no caso de dado biométrico, por se tratar nas palavras de Edilberto Barbosa Clementino “a medida de características únicas do indivíduo”9, os prejuízos de seu vazamento seriam de difícil mitigação, condição que exige ainda maior critério com relação às medidas de segurança. Por fim, essa ponderação a ser feita pela ANPD para dispor sobre os padrões técnicos mínimos de segurança deverá se escorar também nos “princípios previstos no caput do art. 6°” da LGPD. Embora o dispositivo mencione os “princípios”, fato é que o caput do mencionado artigo consigna apenas o princípio da boa-fé. Os demais princípios estão elencados nos incisos subsequentes, quais sejam: finalidade (inc. I), adequação (inc. II), necessidade (inc. III), livre acesso (inc. IV), qualidade dos dados (inc. V), transparência (inc. VI), segurança (inc. VII), prevenção (inc. VIII), não discriminação (inc. IX) e responsabilização e prestação de contas (inc. X). § 2°. As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
As medidas a que se refere o caput do artigo 46 – vale lembrar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito – deverão ser observadas pelos agentes de tratamento desde a idealização do produto ou do serviço até a fase de sua consumação.
Tal dispositivo legal reflete o conceito privacy by design, expressão atribuída a Ann Cavoukian – Comissária de Informação e Privacidade de Ontario, Canadá, entre os anos de 1997 e 2014 – que a idealizou em meados da década de 1990, motivada pela convicção de que o avanço das tecnologias cada vez mais interconectadas permitiriam a coleta ilimitada de dados pessoais e que apenas a existência de leis não seria o suficiente para garantir a privacidade do usuário, sendo necessário encorajar as empresas que concebessem produtos e serviços a partir dessa metodologia, incorporando a privacidade em todos os seus projetos de tecnologia. O termo privacy by design refere-se, portanto, à metodologia que visa proteger a privacidade do usuário desde a concepção de quaisquer sistemas de tecnologia da informação ou de práticas de negócio que sejam concernentes ao ser humano. Assim, a proteção da privacidade seria o ponto
de partida para o desenvolvimento de qualquer projeto, sendo incorporada à própria arquitetura técnica dos produtos ou serviços. Em decorrência da aplicação do privacy by design, emerge também o conceito privacy by default, que se refere à metodologia que adota por padrão a configuração de privacidade mais restritiva possível na fase da coleta de dados pessoais por qualquer sistema de tecnologia da informação, a fim de garantir a proteção dos dados pessoais de forma automática, ainda que nenhuma interação com a máquina tenha sido feita pelo usuário nesse sentido. É a configuração do sistema nesse mais alto padrão protetivo. A respeito, a doutrina de Cíntia Rosa Pereira Lima e Bruno Ricardo Bioni expõe: Nesse caso em específico, considera-se que o próprio produto ou serviço deve ser arquitetado de forma condizente a proteger as informações pessoais de seus usuários. Vale dizer que a privacy by default é, apenas, um dos diversos tipos de abordagem propiciadas pelo privacy by design, a qual consiste como, a própria terminologia induz, em considerar a privacidade como um elemento condutor na fase de projeção e desenvolvimento de produtos e serviços. Anonimização das informações pessoais, sistemas de notificação em torno de bases de dados, auditorias e muitas outras práticas são exemplos de como a tecnologia em sua fase de concepção pode ser coerente com a proteção da privacidade dos usuários. […] Especificamente, por meio de uma tradução literal do termo default, as aplicações deveriam ter um padrão que, automaticamente, implementaria tal proteção10.
No ano de 2009, Ann Cavoukian, em aprofundamento de seus estudos, publicou o artigo denominado “Privacy by Design: The 7 Foundational Principles – Implementation and Mapping of Fair Information Practices”, que se tornou um marco essencial a respeito do assunto11. Referido artigo acabou por consolidar na doutrina os seguintes princípios basilares do privacy by design: (i)
Proatividade e prevenção: é a característica de atuação proativa dos agentes de tratamento, com a adoção de iniciativas concretas para garantir a privacidade do titular dos dados pessoais desde a etapa do desenvolvimento de sistemas de tecnologia da informação e modelagem de negócios, baseada na perspectiva de uma prática aceitável e justa do uso da informação. Portanto, o conceito de privacy by design não contempla medidas de remediação após os eventos danosos, pelo contrário, tenta evitá-los antes que ocorram. Com isso, haverá de forma espontânea uma prevenção da ocorrência de incidentes de segurança da informação (acessos não autorizados, situações
acidentais ou ilícitas de destruição, perda, alteração, vazamento etc.) envolvendo dados pessoais. (ii) Privacidade por padrão: consiste na ideia da configuração da privacidade como padrão, procurando garantir uma proteção automática do dado pessoal inserido em qualquer sistema ou prática de negócio, tendo por pressuposto a garantia do nível máximo de proteção da privacidade. Desse modo, mesmo que o usuário não adote qualquer atitude em sua interação com a máquina para proteger a sua privacidade, esta permanecerá intacta, na medida em que seus dados pessoais somente serão coletados após sua interação. (iii) Privacidade embarcada no design: é a arquitetura do sistema projetada a partir da proteção da privacidade como um componente nuclear, integrado às suas funcionalidades. (iv) Funcionalidade integral: as funcionalidades da aplicação tecnológica não poderão ter suas capacidades reduzidas, a fim de evitar prejuízo ao usuário. A clássica escolha entre segurança ou privacidade, passa a não fazer mais sentido nesse contexto. A ideia é que não haverá mais um dilema de escolhas que implique em deixar de usufruir daquilo que não foi escolhido. (v)
Segurança em todo o ciclo de vida da informação: trata-se da preocupação dos sistemas de informação garantirem segurança, do ponto de vista técnico, ao dado pessoal desde o momento de sua coleta até o momento de seu descarte definitivo. Todas as etapas do ciclo de vida de uma informação, o qual pode contemplar coleta, armazenamento, processamento, uso, transmissão e destruição, merecem proteção. (vi) Transparência: as políticas e procedimentos das empresas sobre a forma como conduzem a governança da proteção de dados devem ser claras e transparentes ao usuário. Inclusive, com o estabelecimento de mecanismos de correção de falhas e auditorias para garantir conformidade. (vii) Respeito à privacidade do usuário: os interesses e necessidades do usuário devem ser colocados no cerne do desenvolvimento, acima de outros interesses, de molde a atender todas as suas expectativas relacionadas à performance e garantia de sua privacidade.
Os ideais do privacy by design e do privacy by default foram amplamente disseminados no decorrer dos anos entre pesquisadores e autoridades, até que ganhou reconhecimento internacional, passando a ser incorporado pela legislação: em 1995, a Diretiva 95/46 da União Europeia sobre proteção de dados pessoais mencionou o assunto em sua Consideranda 46; em 2016, a GDPR estabeleceu tais conceitos como pressupostos para a proteção de direitos e liberdades do indivíduo em sua Consideranda 78 e em seu artigo 25°; em 2018, a Lei Geral de Proteção de Dados Pessoais positivou o privacy by design no dispositivo legal em comento. Em suma, a dinâmica por trás do conceito do privacy by design é a perfeita associação entre o direito e tecnologia, de modo a implementar no desenho da arquitetura da rede mecanismos técnicos que possam garantir a efetividade de direitos dos seus usuários, por padrão, em benefício do ser humano. Como consequência, o ambiente digital se tornaria espontaneamente mais seguro, ético e saudável, consolidando uma cultura de proteção de dados. Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Os agentes de tratamento – leia-se o controlador (aquele a quem compete as decisões referentes ao tratamento de dados pessoais) e o operador (aquele que realiza o tratamento de dados pessoais em nome do controlador), de acordo com as definições do art. 5°, incs. VI, VII e IX da LGPD – bem como qualquer outra pessoa que intervenha em uma das fases do tratamento, obrigam-se a garantir a segurança da informação. É curioso observar que a LGPD menciona em seu rol de definições apenas o que seria “segurança” de acordo com os ditames da lei, no entanto, deixa de mencionar especificamente o conceito de “segurança da informação”, embora o mesmo permeie toda a lógica que sustenta a norma. Segurança da Informação é a disciplina voltada à proteção da informação, considerada um ativo do negócio – ou seja, aquilo que tem valor para a entidade – dos diferentes tipos de ameaças internas e externas (eventos que podem ter impactos negativos, como empregados mal intencionados, ataques cibernéticos, espionagem, concorrência desleal, fraudes digitais etc.) para mitigar os riscos, aumentar o retorno sobre os investimentos e garantir a
continuidade do negócio. Considerando que na era da Sociedade da Informação, esta passa a ter valor financeiro, é imprescindível a adoção de metodologia adequada para protegê-la. O foco da disciplina, portanto, é voltado à proteção de informação estratégica relevante para os negócios e, não necessariamente, para a proteção de dados pessoais. As duas coisas não se confundem, porém, diante da necessidade de proteção dos dados pessoais para garantia da privacidade de seus titulares, se fez imprescindível a aplicação dessa metodologia também nesse universo. A respeito, Mary Pat McCarthy e Stuart Campbell explanam: Há aqueles que juntariam, sem discriminação, privacidade e segurança, acreditando que não se poderia ter uma sem a outra. Mas, as duas estão inexoravelmente veiculadas? Embora, de fato, vemos seu inter-relacionamento, não estamos seguros de que as duas devem ser tratadas como parte de um todo indivisível. Por exemplo, alguém poderia idealizar uma arquitetura de segurança que evitasse grande parte das penetrações, detectasse algumas poucas exceções, e reagisse a invasões rápida e definitivamente. Esse ambiente de segurança abordaria os reinos físicos e do ciberespaço dentro dos quais a empresa faz seus negócios. Ele poderia ser refinado para fazer um trabalho apropriado de manter os atacantes externos a distância, enquanto de maneira adequada gerenciaria os riscos internos de segurança da informação. Ao mesmo tempo, no entanto, essa empresa também poderia comercializar listas de informações dos clientes- listas que foram coletadas por meio de uma infra-estrutura muito segura – para terceiros, sem conhecimento dos seus clientes. Você poderia argumentar que a empresa estaria fazendo um grande trabalho na área de segurança, porém a maioria dos clientes concordaria que a pontuação de sua empresa quanto à privacidade é abominável. Em outras palavras, uma empresa poderia ter apropriada segurança da informação acoplada a um uso censurável de informações pessoais. As duas atitudes, com certeza, não são conjugadas. […] Segurança é um tema que vai bem além da tecnologia, e privacidade é um tema que vai bem além da segurança12.
Estabelecida essa proposição, ficam muito claras as razões de segurança ser apenas um dos princípios estabelecidos pelo art. 6° da LGPD para nortear as atividades de tratamento de dados pessoais, cujo teor deve ser conjugado com os outros princípios, que vão muito além de segurança. Como se vê, são partes complementares de um todo. Válido aqui contextualizar os três pilares principais que norteiam a disciplina da Segurança da Informação: a confidencialidade (informação ser conhecida somente por quem precise conhecê-la, princípio need to know), a disponibilidade (informação estar disponível quando necessária) e a integridade (a informação é confiável, pois não sofreu alterações). Segundo Edison Fontes:
A informação é um bem da organização e como tal deve ser gerenciado, protegido, possuir regras e políticas de utilização. Na medida em que a informação está armazenada no ambiente computacional, ela é cada vez mais necessária para a realização e lucro dos negócios. Um processo de segurança da informação na organização deve ter como objetivos: disponibilidade da informação – a informação deve estar acessível para o funcionamento da empresa e a realização do negócio; integridade da informação – a informação deve estar correta, ser verdadeira e não estar corrompida; confidencialidade da informação – a informação deve ser acessada e utilizada exclusivamente pelos usuários autorizados13.
Referida disciplina é norteada pelas Normas Técnicas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013. A primeira define os requisitos a serem atendidos pelo Sistema de Gerenciamento da Segurança da Informação estabelecido pela empresa para que possa obter certificação por meio de auditoria, já a segunda é considerada um código de boas práticas para controle de segurança da informação, que auxiliam na implementação de mencionado Sistema de Gerenciamento, consubstanciado nas melhores técnicas mundialmente reconhecidas sobre o assunto. A Norma Técnica ABNT NBR ISO/IEC 27002 destaca: A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos14.
Cabe esclarecer que as organizações ISO (International Organization for Standardization e IEC (International Electrotechnical Commission contam com a participação de especialistas de vários países e têm como objetivo criar e gerenciar normas técnicas internacionais, sendo tais normas posteriormente publicadas no Brasil pela ABNT (Associação Brasileira de Normas Técnicas, cujos controles e boas práticas podem ser adotadas por qualquer entidade, de natureza pública ou privada (empresas, governos, entidades sem fins lucrativos. Mais recentemente, no mês de agosto de 2019, foi publicada a Norma Técnica ISO/IEC 27701:2019, uma verdadeira complementação às Normas Técnicas em apreço, vez que estabelece requisitos e diretrizes especificamente para um Sistema de Gerenciamento de Informações relacionadas à Privacidade (Privacy Information Management System), dentro do contexto da organização. Mencionada Norma Técnica destaca logo em sua introdução:
Quase toda organização processa Informações de Identificação Pessoal (IIP). Além disso, a quantidade e os tipos de IIP processadas está aumentando, assim como o número de situações nas quais uma organização precisa cooperar com outras organizações no processamento de IIP. A proteção da privacidade no contexto de processamento de IIP é uma necessidade da sociedade, bem como é tópico dedicado de legislação e/ou regulamentação em todo o mundo15.
Por conseguinte, feita essa contextualização, constata-se que ao impor os agentes de tratamento o dever de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, conforme disposto no art. 46, a LGPD almeja alcançar os mesmos objetivos que sustentam os pilares da Segurança da Informação (confidencialidade, disponibilidade e integridade), incorporando a ideia de que segurança é uma questão que vai muito além da tecnologia, embora tecnologia seja parte contribuinte da solução. Em complemento, ao consignar no artigo sob análise a obrigação dos agentes de tratamento ou de qualquer outra pessoa envolvida em uma das fases do processo de garantia da segurança da informação, a LGPD torna a disciplina, pelo menos no que toca aos dados pessoais, uma obrigação legal e não apenas uma mera opção de controle interno de gestão de riscos operacionais que poderia ou não ser adotada pelas organizações. Trata-se de uma verdadeira evolução nesse segmento. Ainda, o dispositivo legal em análise preordena a garantia de segurança da informação mesmo após o término do tratamento dos dados pessoais. Significa dizer que o dado pessoal deve ser protegido em todo o seu ciclo de vida, o qual pode contemplar criação, coleta, manuseio, processamento, armazenamento, transporte, transmissão, exclusão ou destruição definitiva da informação, mesmo depois de concluído o seu tratamento. Tal previsão é deveras importante, pois seria absolutamente ineficaz proteger o dado somente em determinada etapa de seu ciclo de vida. Válido lembrar que estão consignadas no art. 15 da LGPD, as hipóteses de término do tratamento dos dados pessoais, quais sejam, a verificação de que a finalidade foi alcançada (inc. I); a verificação de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada (inc. I); fim do período de tratamento (inc. II); revogação do consentimento (inc. III) e; determinação da ANPD (inc. IV). Imperioso destacar o Decreto 9.637/2018, que instituiu a Política Nacional de Segurança da Informação no âmbito da administração pública
federal, tendo por objetivo assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. O mencionado decreto estabeleceu em seu art. 2°, que para os fins nele dispostos, a segurança da informação abrange segurança cibernética, defesa cibernética, segurança física e proteção de dados organizacionais e as ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. Foi também instituído o Comitê Gestor da Segurança da Informação, órgão que será o responsável por assessorar o Gabinete de Segurança Institucional da Presidência da República, nos assuntos ligados à segurança da informação. Por fim, válido mencionar o importante precedente europeu, envolvendo o Centro Hospitalar Barreiro Montijo, que após denúncia do Sindicato de Médicos local foi multado pela Comissão Nacional de Proteção de Dados (autoridade de proteção de dados portuguesa) em 400.000 euros por diversas violações à GDPR, sendo uma das violações a não aplicação de meios técnicos e administrativos para prevenir o acesso não autorizado aos dados pessoais dos pacientes, deixando de garantir a integridade e a confidencialidade deles.
A Comissão constatou que não existiam políticas corporativas que definissem regras sobre a criação de usuários para o sistema informatizado do Hospital, muito menos documentação que definisse os níveis de segregação de acesso do perfil dos usuários ao sistema compatíveis com os cargos exercidos pelos empregados. Com isso, foram inúmeras as situações irregulares: empregados do corpo técnico que tinham níveis de acesso ao Sistema que deveriam ser permitidos apenas ao corpo médico; as credenciais de acesso concedidas aos médicos, permitiam independentemente de sua especialidade, acesso aos dados de qualquer paciente do Hospital e; embora o Hospital contasse com apenas 296 médicos, existiam 985 usuários do sistema com o perfil de “médico”. Significa dizer, um dos motivos que ensejou a imposição da penalidade foi a completa ausência de controles de Segurança da Informação, capazes de limitar os acessos aos dados pessoais dos pacientes armazenados nos sistemas, de acordo com a necessidade para execução dos trabalhos e as funções exercidas pelos empregados (princípio need to know). Não houve nesse caso efetivo vazamento de dados, mas apenas a falta de
controles internos, situação que a autoridade julgou suficiente para penalização, o que demonstra claramente a importância da disciplina Segurança da Informação para o tema privacidade e proteção de dados pessoais. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O controlador – repita-se, aquele a quem compete as decisões referentes ao tratamento de dados pessoais, de acordo com a definição do art. 5°, inc. VI, da LGPD – tem o dever de comunicar a ocorrência de incidente de segurança para a ANPD e para o titular dos dados pessoais. Em uma interpretação harmônica da LGPD, pode-se interpretar “incidente de segurança” como um acontecimento indesejado ou inesperado, que seja hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Todavia, deve ser ressaltado que no campo da Tecnologia da Informação, um incidente de segurança pode ter definição diferente, pois não está apenas associado a uma ameaça à segurança da informação, mas também ao comprometimento das operações do negócio. Nesse sentido, ensina Adriano Lima: Um incidente de segurança é uma interrupção não planejada ou a redução da qualidade de um serviço de TI. A falha no funcionamento de qualquer item, seja software ou hardware, utilizado no suporte de um sistema que ainda não tenha afetado um serviço, também é considerada um incidente. Por exemplo, a falha de um componente de uma configuração de alta disponibilidade constitui um incidente, mesmo quando não interrompe o serviço16.
Observe-se ainda o emprego da conjunção “e” com relação aos destinatários da comunicação (“autoridade nacional e ao titular”). Isso porque caso não tenham ciência da ocorrência do incidente de segurança da informação, a ANPD não poderá zelar pela proteção dos dados pessoais, bem como o titular dos dados afetados não poderá agir de modo a mitigar os riscos aos quais estará exposto. Porém, é importante mencionar que não é todo ou qualquer incidente de segurança da informação que deva ser comunicado, porquanto o legislador
limitou a comunicação às hipóteses de incidente somente àqueles que possam acarretar aos titulares, alternativamente: (i)
Risco: trata-se da combinação da probabilidade de um evento vir a ocorrer e de suas consequências. É a ideia de correr perigo. De acordo com a doutrina de Maria Helena Diniz, risco é: 1. Possibilidade da ocorrência de um perigo ou sinistro causador de dano ou se prejuízo, suscetível a acarretar responsabilidade civil na sua reparação. 2. Medida de danos ou prejuízos potenciais, expressa em termos de probabilidade estatística de ocorrência e de intensidade ou grandeza das consequências previsíveis. 3.Relação existente entre a probabilidade de que uma ameaça de evento adverso ou acidente determinados, se concretize com o grau de vulnerabilidade do sistema receptor a seus efeitos17.
(ii) Dano Relevante: trata-se efetivamente do prejuízo expressivo sofrido. Conforme Marcus Cláudio Acquaviva, dano significa Do latim damnu, prejuízo, perda. Prejuízo sofrido pelo patrimônio econômico ou moral de alguém. O dano pode ser material, também chamado real, quando atinge um bem economicamente apurável; ou moral, quando macula bens de ordem moral, como a honra18.
Mencionada limitação é muito relevante para adequação à realidade cotidiana, na medida em que são corriqueiros os incidentes de segurança da informação dentro das organizações, inclusive da ordem de centenas de milhares por dia a depender do porte da entidade, mas não necessariamente, importam em risco ou prejuízos ao titular dos dados pessoais, pois de níveis de gravidade variados. A perda de um pen drive, o furto de um notebook, a interrupção de acesso a um sistema, podem ser considerados do ponto de vista técnico incidentes de segurança, porquanto a informação corporativa estará exposta a uma ameaça. Porém, na grande maioria dos casos, sequer envolvem dados pessoais, de modo que não configurariam uma ocorrência hábil de propiciar riscos ou danos aos titulares dos dados pessoais. Serão, portanto, o risco ou o dano relevante aos titulares, os critérios balizadores para a tomada de decisão do controlador em comunicar a ANPD e o titular dos dados pessoais acerca dos incidentes de segurança da informação havidos sob sua responsabilidade. § 1°. A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados; II – as informações sobre os titulares envolvidos; III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; IV – os riscos relacionados ao incidente; V – os motivos da demora, no caso de a comunicação não ter sido imediata; e VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
O controlador deverá fazer a comunicação à ANPD e ao titular em prazo razoável – prazo esse não mencionado pela LGPD – exigindo a apresentação das seguintes informações: (i) descrição da natureza dos dados pessoais afetados; (ii) informações sobre os titulares envolvidos; (iii) indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados; (iv) riscos relacionados ao incidente; (v) os motivos da demora, no caso de a comunicação não ter sido imediata; (vi) medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ao exigir a apresentação de tais informações pelo controlador, na medida em que emprega o verbo “deverá”, o legislador deixa claro que pretende obter um detalhamento do ocorrido, de modo que tenha subsídios que propiciem a avaliar o nível de gravidade do incidente de segurança da informação e o quanto o agente estava preparado para proteger os dados. Compreender qual tipo de dado está abarcado no incidente e quem são os titulares envolvidos é essencial para poder mensurar a quais riscos estariam expostos e, via de consequência, quais seriam as medidas mais adequadas para reverter ou mitigar os prejuízos. Imaginemos um caso hipotético de vazamento de uma base de dados que continha números de cartões de crédito. Entender a natureza dos dados afetados (números de cartões de crédito), ajuda a compreender os riscos relacionados (os titulares dos dados correm o perigo de serem vítimas de fraudes) e quais medidas seriam adequadas para reverter o risco (cancelamento dos cartões). Outrossim, é incontroverso no universo da Tecnologia da Informação o fato de não existir segurança absolutamente infalível no ambiente digital. Tal como ocorre no mundo físico, não há como garantir segurança cem por cento. Embora seja possível instalar grades, fechaduras, cercas e alarmes em uma casa, nada garante que esse patrimônio esteja absolutamente a salvo de um
furto, um roubo, um ato de vandalismo ou um acidente natural, como uma enchente ou um incêndio. Nesse sentido, parece que o legislador também é afeito a essa questão, pois ao requerer a “indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados”, revela compreender a ideia de ainda que tenham sido empregadas as melhores e mais modernas medidas técnicas e de segurança, nada garante integralmente que sejam infalíveis. Todavia, será possível ao menos avaliar o quão diligente foi o controlador para evitar que o incidente acontecesse. Tanto é assim, que para aplicar sanções no caso de infrações à lei, a ANPD adotará como parâmetros a boa-fé do infrator, a adoção de políticas de boas práticas e governança e a pronta adoção de medidas corretivas, entre outros critérios (art. 52, § 1°). Desse modo, partindo-se da premissa que nada garantiria segurança da informação absoluta, o ideal é compreender o ocorrido para poder fazer a gestão do incidente, a fim de evitar que venha a se repetir no futuro. Nessa senda, ensina Edison Fontes: Gestão de incidentes de segurança da informação. O objetivo desse aspecto é garantir que incidentes e ocorrências similares sejam formalmente registrados e exista uma busca pela efetiva causa do mesmo com o objetivo de corrigir e resolver em tempo aceitável para a realização do negócio19.
No que concerne ao tema prazos, o caput do artigo em comento não menciona o prazo para comunicação, adjetivando-o apenas como “razoável”, ficando a cargo da ANPD definir qual seria mencionado prazo. Observa-se que a LGPD mencionou prazos em outros dispositivos legais. O art. 19, inc. II, fixou o prazo de até 15 (quinze) dias para atender requisição do titular de confirmação de existência ou acesso aos dados pessoais, por meio de declaração clara e completa. No § 4° do mesmo artigo, há previsão de que a ANPD poderá dispor de forma diversa desse prazo para setores específicos. Com relação ao tratamento de dados pessoais pelas pessoas jurídicas de direito público, o art. 23, § 3°, definiu que os prazos para o exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica. Cabe destacar que embora não haja no caput do artigo a fixação do prazo para comunicação, a contrario sensu, o inc. V do mesmo dispositivo impõe a necessidade de justificar a demora da comunicação, caso não tenha sido
“imediata”. Ora, não é plausível falar em prazo razoável e, concomitantemente, exigir comunicação instantânea. Ainda, necessário ponderar que quando grandes incidentes de segurança da informação ocorrem, em especial no âmbito digital, é necessário adotar procedimentos mínimos de perícia computacional para apurar o ocorrido, sendo inviável na maioria dos casos prestar instantaneamente informações que sequer houve tempo hábil de serem apuradas. Por seu turno, a GDPR preordena em seu art. 33° que em caso de violação, o responsável pelo tratamento deve notificar a autoridade competente, sem demora injustificada e, sempre que possível, no prazo de até 72 (setenta e duas) horas após ter conhecimento da mesma, a menos que a violação não seja suscetível em risco para os direitos e liberdades das pessoas. Acerca do titular dos dados pessoais, o art. 34° estabelece que a comunicação deve ocorrer sem demora justificada, igualmente limitado à hipótese de a violação implicar um elevado risco para os direitos e liberdades das pessoas. Tal parâmetro do direito comparado, pode vir a ser adotado pela ANPD. § 2°. A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como: I – ampla divulgação do fato em meios de comunicação; e II – medidas para reverter ou mitigar os efeitos do incidente.
A ANPD examinará a gravidade do incidente e caso julgue essencial para proteger os direitos dos titulares dos dados vitimados, poderá determinar ao controlador que implemente alguns procedimentos, como a ampla divulgação nos meios de comunicação e a adoção de medidas para reverter ou atenuar os efeitos do incidente.
O legislador optou por empregar o verbo “poderá”, significa dizer não será mandatório à ANPD impor sempre tais medidas, estando condicionada à ponderação da necessidade aplicável no caso concreto. Ainda, o rol de medidas apresentado não é exaustivo, vez que é antecedido pela expressão “tais como”, cujo teor demonstra sua natureza exemplificativa. A medida consistente na divulgação nos meios de comunicação do incidente havido tem por finalidade propiciar que o próprio titular dos dados – caso não tenha sido localizado pelo controlador para receber o comunicado
– possa vir a tomar conhecimento do incidente por meio da mídia e, assim, adotar sozinho providências para seu próprio resguardo. Voltemos ao caso hipotético anteriormente mencionado, do vazamento de uma base de dados que continha números de cartões de crédito: o operador tenta comunicar ao titular o incidente de segurança que pode lhe acarretar risco (vazamento do seu número de cartão de crédito), porém não logra êxito (a conta de e-mail fornecida pelo titular no ato do cadastro ocorrido anos atrás, agora está cancelada), com a divulgação do incidente nos meios de comunicação (notícia publicada em um portal na Internet), o titular dos dados toma conhecimento do incidente (lê a notícia) e pode adotar a medida adequada para reverter o risco ao qual está exposto (cancelar seu próprio cartão de crédito). Outrossim, a ANPD poderá determinar ao controlador medidas para reverter ou atenuar os efeitos do incidente, as quais podem variar de acordo com o caso concreto, caso compreenda que aquelas que já adotadas pelo controlador no ato da comunicação não sejam suficientes para proteger os direitos dos titulares dos dados pessoais. § 3°. No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Para examinar a gravidade do incidente, a ANPD analisará se houve a comprovação de que foram adotadas pelos agentes de tratamento medidas técnicas com funcionalidades de tornar os dados afetados indecifráveis para terceiros não autorizados a acessá-los, dentro da esfera e nos limites técnicos de seus serviços. Para Maria Helena Diniz, a definição jurídica para o termo ininteligível é: “1. Obscuro. 2. O que é difícil de compreender. 3. Desprovido de sentido”20. Significa dizer, o legislador incorporou na LGPD tecnologias específicas que sejam capazes de tornar os dados incompreensíveis para terceiros. Mas qual seria esse tipo de tecnologia? Tudo leva a crer que o legislador se referiu à criptografia. Segundo Ligia Maura Costa, A criptografia existe desde que o mundo é mundo. No mundo virtual, trata-se de uma técnica de codificação de textos que faz com que a transmissão de mensagens e textos se torne “ilegível” para quem não tem acesso ao padrão utilizado. Para cifrar ou decifrar mensagens, é usado um padrão criptográfico conhecido como chave. Quanto maios for a chave, isto é
quanto maior o número de bits da chave, maior será a proteção. […] A criptografia pode ser simétrica (ou chave privada) ou assimétrica (chave pública). No primeiro caso, a mesma chave é usada tanto para cifrar quanto para decifrar mensagens. […] N criptografia assimétrica são usadas duas chaves distintas, uma para cifrar e outra para decifrar, embora matematicamente vinculadas. […] A criptografia, a cada dia que passa, torna-se mais e mais usual em qualquer transação realizada via Internet. Suas principais funções são: (i) confidencialidade, (ii) autenticidade e (iii) integridade das mensagens21.
A ideia por trás da mecânica do dispositivo legal em testilha é muito interessante: se por um lado a tecnologia propicia uma maior exposição dos dados por estar em rede e, consequentemente, fragiliza a segurança da informação, por outro lado, a própria tecnologia pode ser empregada para ajudar a solucionar o problema, com aplicações que permitem a garantia de confidencialidade e integridade, que são justamente alguns dos objetivos de segurança. Portanto, com o uso de recursos de tecnologia é possível garantir que, ainda que haja um vazamento de dados pessoais, tais dados estarão ininteligíveis por terceiros não autorizados. Novamente voltando ao exemplo hipotético do vazamento de uma base de dados que continha números de cartões de crédito, caso houvesse sido aplicado recurso de criptografia em tal base, ainda que os dados vazassem na Internet (vez que impossível garantir segurança absoluta), ninguém conseguiria decifrar que ali estariam contidos os dados de cartão de crédito (uma vez criptografados, o dados estariam ininteligíveis), de modo que o risco estaria mitigado (os titulares dos dados não correriam o perigo de ser vítimas de fraude, pois somente o detentor da chave é que conseguiria acessar as informações ali contidas). Vale mencionar que não é a primeira vez que o ordenamento jurídico brasileiro menciona a criptografia. O Decreto 8.771/2016, que regulamentou o Marco Civil da Internet (Lei 12.965/2014), consignou que os provedores de conexão e de aplicações de Internet, devem na guarda, armazenamento e tratamento de dados pessoais e de comunicações privadas, observar determinadas diretrizes sobre padrões de segurança, entre elas, o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como a encriptação (art. 13, inc. IV). No mesmo diapasão, o Decreto 9.637/2018, que instituiu a Política Nacional de Segurança da Informação, estabeleceu que a alta administração dos órgãos e das entidades da administração pública federal competentes para
planejar a execução de programas, projetos e processos relativos à segurança da informação, devem orientar que os mesmos a utilizarem recursos criptográficos adequados aos graus de sigilo exigidos no tratamento das informações (art. 17, inc. IV. § 1°, inc. I). Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Os sistemas informatizados empregados no tratamento de dados pessoais devem ser dotados de estrutura que atendam aos (i) requisitos de segurança, (ii) padrões de boas práticas e de governança; (iii) princípios gerais previstos na LGPD; (iii) demais normas regulamentares. Com exceção dos princípios gerais previstos na LGPD, as demais exigências dispostas no artigo em testilha são de caráter extremamente genérico e abrangente, sendo necessário proceder uma interpretação restritiva de modo a tornar viável a aplicabilidade do artigo ao caso concreto. Por “requisitos de segurança” pode-se compreender aqueles que sejam aptos a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito, nos termos do art. 46 da própria LGPD. Com relação aos “padrões de boas práticas e de governança”, podem ser consideradas as anteriormente mencionadas Normas Técnicas ABNT NBR ISO/IEC 27001:2013 e 27002:2013, bem como a sua extensão Norma Técnica ISO/IEC 27701:2019, já que consistem em requisitos e diretrizes de boas práticas para Gestão de Sistema de Segurança da Informação, inclusive sobre Privacidade, consubstanciados nas melhores técnicas mundialmente reconhecidas sobre o assunto. Ainda, podem ser igualmente considerados como boas práticas e de governança: a metodologia do privacy by design, os instrumentos de governança corporativa, tais como políticas internas de segurança da informação e de proteção de dados pessoais, os contratos e acordos de confidencialidade, a capacitação dos empregados, o monitoramento dos controles etc. Acerca dos “princípios gerais”, podem ser considerados aqueles insertos
no art. 6°, caput e incisos da LGPD, quais sejam: boa-fé (caput), finalidade (inc. I), adequação (inc. II), necessidade (inc. III), livre acesso (inc. IV), qualidade dos dados (inc. V), transparência (inc. VI), segurança (inc. VII), prevenção (inc. VIII), não discriminação (inc. IX) e responsabilização e prestação de contas (inc. X). Por fim, entende-se por “demais normas regulamentares” as demais normas existentes ou que serão criadas no âmbito jurídico que complementarão ou dialogarão com a LGPD, no estabelecimento de regras com orientações mais específicas sobre determinados assuntos. Seção II Das boas práticas e da governança Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. § 1°. Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. § 2°. Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6° desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: I – implementar programa de governança em privacidade que, no mínimo: a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas; II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. § 3°. As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
Os controladores e operadores – leia-se os agentes de tratamento, nos termos da definição do art. 5°, inc. IX, da LGPD – podem isoladamente ou por meio de associações, formular suas próprias regras de boas práticas e de governança sobre proteção de dados pessoais.
Para tanto, terão que considerar a natureza e o escopo do tratamento e dos dados pessoais, a finalidade, a probabilidade e a gravidade dos potenciais riscos envolvidos, bem como todos os benefícios decorrentes do tratamento de dados. Há claramente um estímulo para que os agentes da iniciativa pública e privada formulem suas próprias regras e se autorregulem de acordo com as condições de as peculiaridades da organização e a sua forma de funcionamento. Isso porque, embora a LGPD seja soberana, a depender do setor econômico as normas de segurança e os padrões técnicos serão diferentes. Nesse mister, o § 2° do dispositivo legal em testilha menciona que o controlador poderá – especificamente na aplicação dos princípios da segurança (inc. VII) e da prevenção (inc. VIII) insertos no art. 6° da LGPD – adotar Programa de Governança em Privacidade que atentem para a sua estrutura, escala e o volume de suas operações, bem como para a sensibilidade dos dados que trata em suas atividades e a gravidade dos danos aos titulares no caso de incidente de segurança. É fácil compreender que não seria razoável estabelecer para uma padaria as mesmas normas de segurança que são estabelecidas para um hospital, ante a complexidade dos tipos de operações e a diferença na natureza dos dados tratados. Válido colacionar as reflexões de Marcel Leonardi sobre autorregulação, ainda que em suas lições tenha se referido à questão da Internet:
o sistema de autorregulação pelos próprios participantes funciona muito bem em fóruns e listas de discussão voltadas para um tópico ou interesse específico, que contam com um número limitado de usuários moderadores para fazer cumprir as regras estabelecidas. Isso não significa porém que essas “comunidades” online estejam imunes ao sistema jurídico, nem que suas normas devam sempre prevalecer em caso de disputas entre usuários22.
O GDPR também conta com previsão semelhante em seu art. 40°, estabelecendo que as associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do referido regulamento. Inclusive, no que concerne ao tratamento equitativo e transparente, aos legítimos interesses dos responsáveis pelo tratamento em contextos específicos, à pseudonimização dos dados pessoais, entre outros. É certo que esse modelo contribui para a conscientização da sociedade acerca da importância da proteção de dados pessoais e ajuda a criar um mercado mais maduro e ético a respeito do tema, na medida em que operadores e controladores, entre si, vão exigir mutuamente conformidade com as regras de boas práticas e de governança que estabeleceram de comum acordo. Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.
A ANPD incentivará a adoção pelos agentes de tratamento de padrões de tecnologia que facilitem aos titulares dos dados pessoais o controle sobre eles. Embora a LGPD não mencione o “controle” no rol dos direitos dos titulares dos dados pessoais estampado no art. 18, todos os direitos ali expostos são decorrentes do direito de autodeterminação informacional, consubstanciado na ideia de que o indivíduo deve gozar do direito de controlar suas informações pessoais. Segundo Bruno Ricardo Bioni, O principal vetor para alcançar esse objetivo é franquear ao cidadão controle sobre seus dados pessoais. Essa estratégia vai muito além do consentimento do titular dos dados, pelo qual ele autoriza o seu uso. Tão importante quanto esse elemento volitivo, é assegurar que o fluxo informacional atenda às suas legítimas expectativas e, sobretudo, não seja corrosivo ao livre desenvolvimento da personalidade. É a combinatória desses elementos de que se trata a autodeterminação informacional23.
Sobre as características desse direito, Stefano Rodotà ensina: é um tipo de proteção dinâmico, que segue o dado em todos os seus movimentos. […] é de fato o fim da linha de um processo evolutivo experimentado pelo conceito de privacidade – de uma definição original como o direito de ser deixado em paz, até o direito de controle sobre as informações de alguém e determinar como a esfera privada deve ser construída24.
Inclusive, a LGPD estabeleceu nas competências da ANPD o estímulo à adoção de padrões para produtos e serviços que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos responsáveis (art. 55-J, inc. VIII). Até mesmo o Superior Tribunal de Justiça Brasileiro já ponderou a respeito da autodeterminação informacional: A inserção de dados pessoais do cidadão em bancos de informações tem se constituído em uma das preocupações do Estado moderno, onde o uso da informática e a possibilidade de controle unificado das diversas atividades da pessoa, nas múltiplas situações de vida, permite o conhecimento de sua conduta pública e privada, até nos mínimos detalhes, podendo chegar à devassa de atos pessoais, invadindo área que deveria ficar restrita à sua intimidade; ao mesmo tempo, o cidadão objeto dessa indiscriminada colheita de informações, muitas vezes, sequer sabe da existência de tal atividade, ou não dispõe de eficazes meios para conhecer o seu resultado, retificá-lo ou cancelá-lo. E assim como o conjunto dessas informações pode ser usado para fins lícitos, públicos ou privados, na prevenção ou repressão de delitos, ou habilitando o particular a celebrar contratos com pleno conhecimento de causa, também pode servir, ao Estado ou ao particular, para alcançar fins contrários à moral ou ao Direito, como instrumento de perseguição política ou opressão econômica. A importância do tema cresce de ponto quando se observa o número imenso de atos da vida humana praticados através da mídia eletrônica ou registrados nos disquetes de computador. Nos países mais adiantados, algumas providências já foram adotadas. Na Alemanha, por exemplo, a questão está posta no nível das garantias fundamentais, com o direito de autodeterminação informacional (o cidadão tem o direito de saber quem sabe o que sobre ele), além da instituição de órgãos independentes, à semelhança do ombudsman, com poderes para fiscalizar o registro de dados informatizados, pelos órgãos públicos e privados, para garantia dos limites permitidos na legislação (Hassemer, “Proteção de Dados”, palestra proferida na Faculdade de Direito da UFRGS, 22.11.93). No Brasil, a regra do art. 5°, inc. X, da Constituição de 1988, é um avanço significativo: “São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação” (STJ, REsp 22.387-8-RS, Min. Ruy Rosado de Aguiar, 13.02.1995).
Posto isso, conclui-se que a ANPD deve estimular os agentes de tratamento de dados pessoais que empreguem soluções tecnológicas com funcionalidades que permitam o exercício da autodeterminação de informação pelos titulares dos dados de forma facilitada. Bibliografia ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC
27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. Rio de Janeiro, 2013. ACQUAVIVA, Marcus Cláudio. Dicionário jurídico brasileiro Acquaviva. 9. ed. rev., atual. e ampl. São Paulo: Ed. Jurídica Brasileira, 1998. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Ed. Forense, 2019. BITENCOURT, Roberto Cezar. Tratado de direito penal. São Paulo: Saraiva, 2012. CAVOUKIAN, Ann. Privacy by design: the 7 foundational principles – Implementation and Mapping of Fair Information Practices. Disponível em: [www.ipc.on.ca/wpcontent/uploads/Resources/7foundationalprinciples.pdf]. Acesso em: 23.01.2019. CLEMENTINO, Edilberto Barbosa. Processo judicial eletrônico. Curitiba: Ed. Juruá, 2007. COSTA, Ligia Maura. Direito internacional eletrônico: manual das transações on-line. São Paulo: Ed. Quartier Latin, 2008. COTS, Márcio. OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada. São Paulo: Ed. RT, 2018. DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998. v. 2. DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998. v. 4. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Ed. Renovar, 2006. DONEDA, Danilo. O direito fundamental à proteção de dados pessoais. In: MARTINS, Guilherme Magalhães (Coord.). Direito privado e internet. São Paulo: Ed. Atlas, 2014.
FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas e organizações. São Paulo: Ed. Sicurezza, 2000. FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Ed. Brasport, 2008. GRECO, Rogério. Código Penal comentado. 6. ed., rev., ampl. e atual. Niterói: Ed. Impetus, 2012.
ISO/IEC 27701: Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines. Geneve: ISO, 2019. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Saraiva, 2012. LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da informação. São Paulo: Ed. Senac, 2018. LIMA, Cíntia Rosa Pereira; BIONI, Bruno Ricardo. A proteção dos dados pessoais na fase de coleta: apontamentos sobre a adjetivação do consentimento implementada pelo artigo 7, incisos VIII e IX do Marco Civil da Internet a partir da human computes interaction e da privacy by default. In: LUCCA, Newton de; SIMÃO FILHO, Adalberto; LIMA, Cíntia Pereira de (Coord.). Direito & Internet III: Marco Civil da Internet: Lei n. 12.965/2014. São Paulo: Ed. Quartier Latin, 2015. t. I. MASSON, Cleber. Código Penal comentado. 2. ed. rev., atual. e ampl. São Paulo: Ed. Método, 2014. MCCARTHY, Mary Pat; CAMPBELL, Stuart. Transformação na segurança eletrônica: estratégias e gestão da defesa digital para proteger a reputação e a participação de sua empresa no mercado. Trad. Celso Roberto Paschoa. Revisão Técnica: KPMG Auditores. São Paulo: Ed. Pearson Education do Brasil, 2013. NUCCI, Guilherme de Souza. Código Penal comentado. 14. ed., rev., atual. e ampl. Rio de Janeiro: Ed. Forense, 2014. RODOTÁ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Organização, seleção e apresentação: Maria Celina Bodin de Moraes. Trad. Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Ed. Renovar, 2008. VAINZOF, Rony. Dados pessoais, tratamento e princípios. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Ed. RT, 2018.
1.
COTS, Márcio; OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Pessoais comentada.
2. 3. 4. 5. 6.
7. 8. 9. 10.
11. 12.
13. 14.
15.
16. 17. 18.
São Paulo: Ed. Thomson Reuters Brasil, 2018. p. 238. BITENCOURT, Roberto Cezar. Tratado de direito penal. São Paulo: Saraiva, 2012. p. 449450. MASSON, Cleber. Código Penal comentado. 2. ed. rev., atual. e ampl. São Paulo: Ed. Método, 2014. p. 682. GRECO, Rogério. Código Penal comentado. 6. ed. rev., ampl. e atual. Niterói: Ed. Impetus, 2012. p. 936. NUCCI, Guilherme de Souza. Código Penal comentado. 14. ed., rev., atual. e ampl. Rio de Janeiro: Ed. Forense, 2014. p. 1373. VAINZOF, Rony. Dados pessoais, tratamento e princípios. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato (Coord.). Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Ed. RT, 2018. p. 67. DONEDA, Danilo. O Direito Fundamental à Proteção de Dados Pessoais, in Direito Privado e Internet. Coordenador: MARTINS, Guilherme Magalhães. Ed. Atlas. São Paulo, 2014, p. 63. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Ed. Renovar, 2006. p. 173-176. CLEMENTINO, Edilberto Barbosa. Processo judicial eletrônico. Curitiba: Ed. Juruá, 2007. p. 13. LIMA, Cíntia Rosa Pereira. BIONI, Bruno Ricardo. A proteção dos dados pessoais na fase de coleta: apontamentos sobre a adjetivação do consentimento implementada pelo artigo 7, incisos VIII e IX do Marco Civil da Internet a partir da human computes interaction e da privacy by default. In: LUCCA, Newton de; SIMÃO FILHO, Adalberto; LIMA, Cíntia Pereira de (Coord.). Direito & Internet III: Marco Civil da Internet: Lei n. 12.965/2014. São Paulo: Ed. Quartier Latin, 2015. t. I. p. 277-278. Disponível em: [www.ipc.on.ca/wp-content/uploads/Resources/7foundationalprinciples.pdf]. Acesso em: 23.01.2019. MCCARTHY, Mary Pat; CAMPBELL, Stuart. Transformação na segurança eletrônica: estratégias e gestão da defesa digital para proteger a reputação e a participação de sua empresa no mercado. Trad. Celso Roberto Paschoa. Revisão Técnica KPMG Auditores. São Paulo: Ed. Pearson Education do Brasil, 2013. p. 131-132. FONTES, Edison. Vivendo a segurança da informação: orientações práticas para pessoas e organizações. São Paulo: Ed. Sicurezza, 2000. p. 21. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. Rio de Janeiro, 2013, p. x. No texto original: “Almost every organization processes Personally Identifiable Information (PII). Further, the quantity and types of PII processed is increasing, as is the number of situations where an organization needs to cooperate with other organizations regarding the processing of PII. Protection of privacy in the context of the processing of PII is a societal need, as well as the topic of dedicated legislation and/or regulation all over the world”. (ISO/IEC 27701:2019: Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines. Geneve, 2019, Introduction). LIMA, Adriano. Gestão da segurança e infraestrutura de tecnologia da informação. São Paulo: Ed. Senac, 2018, p. 34. DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998. v. 4. p. 215. ACQUAVIVA, Marcus Cláudio. Dicionário jurídico brasileiro Acquaviva. 9. ed. rev., atual. e
19. 20. 21. 22. 23. 24.
ampl. São Paulo: Ed. Jurídica Brasileira, 1998. p. 421. FONTES, Edison. Praticando a segurança da informação. Rio de Janeiro: Ed. Brasport, 2008, p. 226. DINIZ, Maria Helena. Dicionário jurídico. São Paulo: Saraiva, 1998. v. 2. p. 843. COSTA, Ligia Maura. Direito internacional eletrônico: manual das transações on-line. São Paulo: Ed. Quartier Latin, 2008. p. 58-60. LEONARDI, Marcel. Tutela e privacidade na internet. São Paulo: Ed. Saraiva, 2012. p. 135. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Ed. Forense, 2019. p. 110. RODOTÁ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Organização, seleção e apresentação Maria Celina Bodin de Moraes. Trad. Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Ed. Renovar, 2008. p. 17.
Capítulo VIII Da Fiscalização
FABRICIO DA MOTA ALVES Seção I Das sanções administrativas Multa advém do latim mulcta ou multa, com plurissignificação, podendo ser entendida como “pena pecuniária a quem infringe leis ou regulamentos” ou “qualquer sanção que é aplicada com o fim de reparar um ato considerado repreensível”1. Amplamente, é adotada como instrumento acessório de natureza coercitiva (para compelir o cumprimento de determinação convencional, legal ou judicial), ou de natureza compensatória (quando destinada a indenizar pelo inadimplemento de obrigação devida. Sua eficácia sempre foi questão relevante, consumindo a intelectualidade humana desde seus primórdios, presente mesmo em escritos religiosos, como a Bíblia cristã. Nos tempos mais antigos, não foi diferente. Toma-se, por exemplo, as reflexões político-filosóficas de Xenofonte: general, filósofo e historiador, autor de diversas obras contendo relatos importantes para a reconstrução histórica do tempo em que viveu. De origem elitista, conviveu com Sócrates e tornou-se seu discípulo, em um período de crise e instabilidade nas poleis gregas, o que lhe despertou questionamentos importantes sobre o papel da política e das leis na persecução da ordem e do controle social. Contrapondo-se ao pensamento sofista – o qual pregava que a persuasão e a razão seriam suficientes para o governo de “muitos”, privilegiando, assim, a onipotência do discurso retórico na política –, Xenofonte defendia uma visão mais realista da filosofia política: para ele, seriam necessárias “leis com dentes”, ou seja, dotadas de elementos coercitivos2, para a manutenção da
coesão da cidade e do bem comum. Essa mesma visão xenofôntica da política foi capaz de explicar a edificação de partes importantes de sistemas regulatórios ao longo da História humana: a aplicação de penalidades, entre elas a multa. Por isso, a coercitividade das leis tem sido muito associada à instrumentalização administrativa que o legislador confere aos órgãos de fiscalização, notadamente componentes do Poder Executivo, a quem compete, por excelência, segundo o modelo aristotélico-platônico aprimorado pela visão maquiavélica de Estado tripartite, o exercício do poder de polícia. Neste capítulo, portanto, em análise ao disposto nos artigos 52 a 54 da Lei 13.709, de 14 de agosto de 2018 – LGPD, com as alterações da Lei 13.853, de 8 de julho de 2019, trataremos de todas as penalidades ali previstas, mas com um enfoque maior nas multas simples e diária, em razão de sua importância histórica. Especial atenção será conferida, ainda, às penalidades vetadas pelo Presidente da República, em especial as previstas nos incisos VII, VIII e IX, do artigo 52 e, novamente, vetadas, nos incisos X, XI e XII, após reinserção pelo Congresso Nacional, quando da apreciação da Medida Provisória 869, de 2019. A despeito do não afetamento legislativo inicial da seção respectiva pela Medida Provisória (MPV) 869, de 27 de dezembro de 2018, fato é que a redação final aprovada pelo Congresso Nacional e que foi convertida na Lei 13.853, de 2019, acabou por promover singelas sete alterações na LGPD, das quais quatro foram vetadas, conforme analisaremos. Ademais, não resta dúvida quanto à convergência temática deste capítulo com a efetividade da atuação da Autoridade Nacional de Proteção de Dados (ANPD), esta, sim, criada pela MPV retromencionada e mantida pela Lei dela resultante. Isso porque, em especial nessa questão, a Lei 13.853, de 2019, busca dar prevalência sancionatória, em matéria de proteção de dados, à ANPD, tal como preceitua o parágrafo único do novo artigo 55-K recentemente inserido pela norma reformadora. Um evidente esforço de se construir uma centralidade administrativa por especialização temática, evitando, assim, qualquer tentativa de fragmentação
do poder fiscalizatório do Estado, em que corresponda a aplicação de penalidades previstas na LGPD. E a multa, por certo, é apenas a mais eloquente delas. Inicialmente, mostra-se necessário descrever o avanço dos debates legislativos em torno da proposta de edição de um regime sancionatório específico à disposição da ANPD. As principais proposições legislativas que tramitaram apensadas entre si e que culminaram na aprovação da LGPD foram as seguintes: a) PLS 330, de 2013 – Iniciativa: Senador Antonio Carlos Valadares; b) PLS 181, de 2014 – Iniciativa: Senador Vital do Rego; c) PLS 131, de 2014 – Iniciativa: Comissão Parlamentar de Inquérito (CPI) da Espionagem; d) PL 4060, de 2012 – Deputado Milton Monti; e) PL 5276, de 2016 – Presidência da República. Os textos iniciais dessas proposições legislativas divergiam profundamente quanto à previsão de regime sancionatório, senão vejamos. a) PLS 330, de 2013 O projeto de lei em questão, de iniciativa do senador sergipano Antonio Carlos Valadares, previa um capítulo específico para as sanções administrativas, em número de quatro: advertência, suspensão temporária de atividade, intervenção administrativa e interdição total ou parcial da atividade (art. 15). Admitia, ainda, cumulatividade de penas e imposição cautelar das penalidades de advertência e suspensão temporária (art. 16) e um escalonamento quantitativo, para multa, oscilando de R$ 1.000,00 (um mil reais) a R$ 20.000,00 (vinte mil reais). b) PLS 181, de 2014
Mais maduro, tanto conceitualmente, quanto redacionalmente, referido projeto de lei, de autoria do hoje Ministro do Tribunal de Contas da União, Vital do Rego, propunha, no capítulo destinado à tutela administrativa, cinco penalidades: advertência (com indicação de prazo para adoção de medidas corretivas), alteração/retificação/cancelamento do banco de dados; multa; suspensão parcial ou total das atividades de tratamento de dados pessoais; e
proibição, total ou parcial, dessas atividades. De mesma forma, previa cumulatividade de penalidades, inclusive por medida cautelar, fixando limites para a pena pecuniária de multa (até 5% do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos) e da pena de proibição (de até cinco anos). c) PLS 131, de 2014 Comissão Parlamentar de Inquérito criada, nos termos do Requerimento 811, de 2013, de iniciativa da então Senadora Vanessa Grazziotin e outros Senadores, objetivou investigar a denúncia de existência de um sistema de espionagem, estruturado pelo governo dos Estados Unidos, com o objetivo de monitorar e-mails, ligações telefônicas, dados digitais, além de outras formas de captar informações privilegiadas ou protegidas pela Constituição Federal. Após os trabalhos parlamentares investigativos, foi aprovado relatório propondo a apresentação do presente projeto de lei, que versava tão somente sobre o fornecimento de dados de cidadãos ou empresas brasileiros a organismos internacionais. Não havia cominação de sanções decorrentes do descumprimento de suas propostas. d) PL 4060, de 2012 Proposição legislativa mais antiga sobre proteção de dados ainda em tramitação no Congresso Nacional, essa matéria fora apresentada pelo Deputado Milton Monti e, curiosamente, não possuía nenhuma previsão sancionatória em seu texto. Pelo contrário, remetia a cominação de penalidades para o sistema punitivo previsto no Código de Defesa do Consumidor (art. 21). e) PL 5276, de 2016 Após extensa consulta pública, o anteprojeto da lei de proteção de dados gestado pelo Poder Executivo federal fora, enfim, apresentado, no dia em que o Senado Federal aprovou o afastamento cautelar da então Presidente da República, Dilma Rousseff, até conclusão do processo de impeachment.
Esse texto, considerado, então, a base normativa mais relevante para apreciação pelo Congresso Nacional, foi a proposição que mais detalhou o regime sancionatório. Ao total, a proposição previa sete penalidades: multa simples ou diária; publicização da infração; anonimização dos dados
pessoais; bloqueio dos dados pessoais; suspensão de operação de tratamento de dados pessoais; cancelamento dos dados pessoais; e suspensão de funcionamento de banco de dados. Também permitia a cumulatividade de penalidades, inclusive a sua aplicabilidade com penalidades administrativas, cíveis ou penais previstas em legislação específica. De plano, afastava expressamente a aplicação de penalidade pecuniária (simples ou diária) e de publicização da infração a órgãos públicos (art. 52, § 3°). Porém, não previu parâmetros, limites, nem valores para a aplicação da sanção de multa. f) Substitutivos do Senado
Com uma tramitação nada célere, as matérias concorriam no tempo e no texto, tanto aquelas que tramitavam na Câmara dos Deputados, como aquelas que tramitavam no Senado Federal. Os projetos em curso no Senado Federal foram relatados, inicialmente, pelos Senadores Aloysio Nunes Ferreira (SP) e Ricardo Ferraço (ES). O relatório do Senador Aloysio Nunes Ferreira, apresentado perante a Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT), em 15.07.2015, concluía pela aprovação da matéria, na forma de substitutivo, em que se previram seis penalidades: advertência, com indicação de prazo para a adoção de medidas corretivas; alteração, retificação ou cancelamento do banco de dados; multa; suspensão, parcial ou total, das atividades de tratamento de dados pessoais; proibição, parcial ou total, das mesmas atividades; e intervenção judicial. Nessa primeira proposta, havia previsão de cumulatividade de penas e de sua concessão por medida cautelar. Os limites impostos para a pena de multa e de proibição de atividades eram de, no primeiro caso, 5% (cinco por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos; e, no segundo caso, não será superior a cinco anos. Previa-se, ainda, aplicação de multa diária, sem, contudo, estabelecer qualquer limite quantitativo. Uma cominação interessante era a definição legal de título executivo extrajudicial para natureza jurídica das sanções, em decisão final, de multa e de obrigação de fazer e não fazer, nos moldes do que já havia em regimes
regulatórios nacionais. Havia, ainda, previsão de critérios atenuantes e agravantes, conferindo proporcionalidade à aplicação das penalidades. A mudança mais relevante se deu sob a relatoria do Senador Ricardo Ferraço, já na Comissão de Assuntos Econômicos. O parlamentar capixaba, já na primeira versão de seu relatório legislativo, optou por reduzir o patamar da sanção pecuniária, fixando limite em 100 salários mínimos e, ainda assim, em caso de reincidência apenas. De fato, em seu relatório, que acabou por inspirar o relator na Câmara dos Deputados, Deputado Orlando Silva, na relatoria do PL 5276, de 2016, ficaram assim consignadas as razões para tanto: Outro ângulo da questão é que tal penalidade pode assumir proporções colossais, em alguns casos, cujos efeitos adversos a aproximariam da própria proibição da atividade, podendo tornar-se, portanto, desarrazoada e desproporcional e inviabilizar a atividade econômica. Diversamente, postulamos a fixação de valores, em patamares de até uma centena de salários mínimos, a ser aplicada apenas nas eventuais reincidências de infrações suscetíveis de “advertência com indicação de prazo para a adoção de medidas corretivas” (inciso I), e de “alteração, retificação ou cancelamento do banco de dados” (inciso II). A sua vez, a sanção de proibição ou suspensão total das atividades de tratamento de dados assume nítido efeito de encerramento ou extinção da pessoa jurídica, por comprometer de forma irreversível a sustentabilidade do negócio, podendo atingir inclusive outros segmentos de atividades que não têm participação ou atuação nas operações de tratamento de dados. Não é possível ignorar as consequências sociais que certamente advirão de medida dessa natureza, em termos de extinção de postos de trabalho, perda de receitas fiscais e muitas outras sequelas adversas. É necessário, para que o texto permaneça nos lindes constitucionais e nas lições seculares das melhores fontes do direito, vincular a sanção à empresa faltosa, e delimitar o alcance da punição, para que não fique sujeita a extrapolações, subjetivas e objetivas, descabidas na imposição de restrições de atividades. Pelos fundamentos aqui sumariados, alvitramos as modificações redacionais do caput e incisos III, IV e V do art. 31, conforme a presente Emenda (grifamos).
Já na segunda versão de seu relatório, apresentado perante a mesma Comissão, houve mudança na circunstância e nos limites da aplicação da penalidade de multa, porém, preservou-se a visão do parlamentar quanto a uma menor lesividade máxima para a cominação da sanção pecuniária. Já claramente inspirado na proposta do regulamento europeu, o senador relator assim se posicionou: Inclusive, a esse respeito, fixamos teto para a penalidade de multa, inspirado em parâmetro internacional. Porém, reduzimos a carga dessa sanção específica, a fim de evitar abusos fiscalizatórios. Isso porque a autoridade competente já disporá de diversos outros instrumentos penalizadores, tal como prevemos.
Novamente, nosso objetivo é conferir um maior equilíbrio entre os interesses empresariais e do cidadão, de forma a não desnivelar demasiadamente o eixo de proteção desta norma geral (grifamos).
Por tal razão, fixou-se em 2% (dois por cento) o valor da multa sobre o faturamento da empresa ou do grupo econômico no Brasil no seu último exercício, excluídos os tributos, por infração, no caso de reincidência de infração cometida, além de quatro outras penalidades: advertência, alteração/retificação/bloqueio/cancelamento dos dados pessoais; suspensão e proibição total ou parcial das atividades. Diante do elevado grau de consenso que vinha se formando em torno da proposta substitutiva, no Senado Federal, mais avançado no processo legislativo, tal fato acabou por contaminar as negociações na Câmara dos Deputados. Dessa maneira, o relator, Deputado Orlando Silva, acabou por propor o mesmo patamar de limite de penalidade pecuniária, o que acabou sendo chancelado pelo Senado Federal e sancionado pelo presidente da República. Em sua primeira versão de substitutivo, porém, quando apresentado perante a Comissão Especial instalada para apreciação do PL 4060, de 2012, e apensos, o Deputado Federal paulista havia proposto um limite de 4% (quatro por cento), o qual fora reduzido, posteriormente, em parecer de Plenário, já na direção do consenso que havia se formado no Senado Federal, quando da apreciação do PLS 330, de 2013, e apensos. Suas razões, porém, são eloquentes a respeito: As alterações promovidas foram no sentido de incrementar o rol de sanções e melhor graduar a sua aplicação, melhor detalhando os elementos e circunstâncias para o estabelecimento das penalidades. Com esse desiderato, acrescentamos as penalidades de advertência com prazo, eliminação de dados pessoais, suspensão do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício dessas atividades. […] Em relação à pena de multa, do modo como fazem outras legislações, estabelecemos parâmetros e limites para os valores de aplicação de multas. No caso brasileiro, verificamos que tanto a Lei Geral de Telecomunicações (Lei n. 9.472/1997) e a Lei de Sanções Penais e Administrativas Ambientais (Lei n. 9.605/1998), arbitraram, há mais de vinte anos, um teto de multas de R$ 50 milhões de reais. A Lei do Sistema Brasileiro da Concorrência (Lei n. 12.529/11) estabelece percentuais de multas de até 20% calculados sobre o valor do faturamento bruto anual do grupo. A Lei n. 13.506/17, do sistema financeiro, preceitua que as multas podem variar entre 0,5% da receita de serviços ou até 2 bilhões de reais. Mais próximo ao setor, o Marco Civil da Internet prevê multa de até 10% do faturamento do grupo no país para as penalidades que determina. No caso europeu a multa pode chegar a 10 milhões de Euros ou 2% do faturamento global. Com base nessa comparação nacional e internacional, entendemos que a combinação entre um percentual e um valor absoluto da multa não é caso
isolado e não é estranha ao ordenamento jurídico brasileiro, sendo perfeitamente razoável que a futura Lei Geral de Proteção de Dados Pessoais assim disponha. Por esses motivos determinamos, no inciso I do art. 52, que a multa simples não poderá ultrapassar 4% do faturamento da empresa, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos, e deve ser limitada a R$ 50.000.000,00 (cinquenta milhões de reais), por infração (grifamos).
Posteriormente, como já dito, em Plenário, houve mudança de parte desse entendimento, apenas no sentido de se reduzir o teto da penalidade pecuniária. Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
Essa é a evolução do pensamento do legislador, no que tange à aplicabilidade de penalidades administrativas, em particular a multa, evidenciando um intuito político de dosar a intervenção da atividade estatal de fiscalização, sem prejuízo das atividades sociais, empresariais e outras. Apesar de singelo, o caput do artigo 52 da LGPD, possui um elemento fundamental para a delimitação da hermenêutica jurídica em torno do exercício do poder fiscalizatório. Na versão aprovada pela Câmara dos Deputados, as penalidades previstas nos incisos desse artigo seriam de competência do “órgão competente”, o que traria insegurança jurídica já experimentada no Marco Civil da Internet (MCI). Explica-se: a Lei 12.965, de 23 de abril de 2014 – Marco Civil da Internet, prevê, expressamente, em seu artigo 12: Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção; III – suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou IV – proibição de exercício das atividades que envolvam os atos previstos no art. 11.
Não há, por assim dizer, uma expressa vinculação ao sujeito administrativo responsável pela aplicabilidade de tais penalidades, muito embora devesse ser evidente tratar-se de sanções de natureza administrativa e, portanto, cabíveis à autoridade componente da Administração Pública.
O Decreto Federal n° 8.771, de 11 de maio de 2016, que regulamentou o MCI, foi um pouco mais a fundo, sugerindo que as sanções previstas na lei digital seriam aplicáveis por órgãos administrativos: Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei n. 12.965, de 2014. Art. 21. A apuração de infrações à Lei n. 12.965, de 2014, e a este Decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado (grifamos).
Porém, diante de inequívoca previsão legislativa nesse sentido, magistrados competentes para julgamento de ações criminais acabaram por invocar as sanções previstas no art. 12 do MCI para fundamentar sua aplicação como medidas coercitivas, visando à instrução probatória dos feitos sob sua jurisdição. Foi o que sustentou boa parte dos decretos judiciais de bloqueio de aplicações da internet, como se deu com um mundialmente conhecido serviço de mensagens instantâneas. A esse respeito, inclusive, colaciono a visão deste comentarista, em artigo publicado no Observatório do Marco Civil da Internet3: No cerne da discussão, há um imbróglio de múltiplos contornos, que demanda uma análise sob diferentes olhares, para que, enfim, seja possível conferir densidade mínima de argumentação útil. Logo de plano, a problemática em torno da fundamentação dessas decisões judiciais, que invocaram – pelo que foi constatado até o presente momento – os artigos 10 e 12 da lei regente como apanágios da interdição judicial à atividade empresarial, é, na verdade, de solução franciscana, de tão flagrante o equívoco hermenêutico. A exegese dissonante acerca da aplicação do art. 12, inc. III, do Marco regulatório, beira o desplante. Não é preciso muito esforço para, em uma leitura atenta, observar que referido dispositivo apenas apresenta uma das possíveis penalidades administrativas à empresa de internet que vier a descumprir as determinações legais sobre proteção de registros, de dados pessoais e de comunicações privadas. Em outras palavras, aquele que violar o dever legal de proteção dos dados do usuário poderá sofrer, como punição, a “suspensão temporária das atividades” (art. 12, inc. III) de “coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet” (art. 11). Ora, tal atribuição nada mais é do que uma das manifestações do poder de polícia que a Administração Pública deve ter sempre que lhe couber a função fiscalizadora de assuntos caros à sociedade. Na verdade, as medidas previstas no art. 12 não diferem de outras tutelas administrativas existentes no ordenamento legal nacional, vis-à-vis o disposto na Lei Geral
das Telecomunicações (art. 173) – que ampara as medidas repressivas da Anatel – ou no Decreto n° 2.181/97 (art. 18) – no caso daquelas passíveis de serem aplicadas em garantia das relações de consumo pelos Procons e pela Secretaria Nacional do Consumidor do Ministério da Justiça (grifamos).
No entanto, o relator do PL 4060, de 2012, no Senado Federal, já sob a numeração como PLC 53, de 2018, por emenda de redação, substituiu todas as expressões “órgão competente” por “autoridade nacional”, ao argumento seguinte: Como o próprio projeto prevê a criação da uma Autoridade Nacional de Proteção de Dados Pessoais, assim expressamente nominada, não há sentido em se manter referências a ‘órgão competente’, quando está claro, no texto, que órgão da Administração Pública deve exercer as atribuições então previstas.
Tratava-se, obviamente, de mera emenda redacional. Porém, o relator, como diz o ditado popular, “atirou no que viu e acertou no que não viu”: ao promover a alteração redacional, acabou por afastar qualquer dúvida quanto à aplicabilidade das sanções por autoridade administrativa, no caso, a ANPD. Espera-se, assim, que não haja espaço, no âmbito do Poder Judiciário ou mesmo na Administração Pública, por órgão que não a autoridade de dados pessoais, arvorando-se da competência sancionatória prevista na LGPD. Mesmo que assim não fosse, como já mencionado, o art. 55-K encerra, definitivamente, qualquer dúvida em torno dessa questão, ao fixar a competência exclusiva da ANPD para aplicação das penalidades administrativas previstas na LGPD, tal como será comentado nesta obra em capítulos seguintes. Passa-se, agora, a uma análise de cada uma das sanções previstas no art. 52. I – advertência, com indicação de prazo para adoção de medidas corretivas;
A cominação sancionatória acompanhou a evolução decorrente do texto do PLS 181, de 2014, mantidas nos Substitutivos dos Senadores Aloysio Nunes Ferreira (CCT) e Ricardo Ferraço (CAE). Tem, ainda, como paradigma, o Marco Civil da Internet que, em seu artigo 12, inciso I, reproduzido alhures, prevê a mesma penalidade, nos mesmos termos. II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
A aplicação da penalidade pecuniária de multa simples trouxe questionamentos sociais relevantes, considerando, sobretudo, seu direto impacto patrimonial. Os parâmetros, portanto, são os seguintes: i.
Valor: até 2%, até o limite de R$ 50.000.000,00 (cinquenta milhões);
ii.
Base de cálculo: faturamento no último exercício, excluídos tributos;
iii.
Destinatário: pessoa jurídica de direito privado, grupo ou conglomerado no Brasil; e Recorrência: por infração.
iv.
Em primeiro lugar, quanto ao valor-limite da multa, apesar da evolução legislativa de que tratamos neste capítulo, há que se considerar os paradigmas regulatórios, para uma ponderação sobre referida teeth clause. Note-se, desde já, que o valor de R$ 50 milhões é um subteto ao teto de 2% (dois por cento) proposto. Ou seja, pode-se aplicar multa de até 2% sobre o faturamento líquido do agente de tratamento, mas, quando esse percentual, em face de avolumado faturamento, for superior a R$ 50 milhões, reside aí o segundo limite para a penalidade pecuniária. Dito em outras palavras, agentes de tratamento (grupos ou conglomerados) com faturamento superior a R$ 2,5 bilhões acabaram por ser beneficiados pelo subteto sancionatório proposto, abrindo uma discussão interessante, pois seria de se supor que entidades com faturamento nessa ordem devam tratar dados pessoais de forma massiva, estando sujeitas a maior risco regulatório em razão do volume de dados sob sua custódia.
Nesse sentido, analisando a extensão do valor da penalidade pecuniária da LGPD, em face do quanto previstos em outras leis de setores regulados, observa-se uma menor densidade lesiva para a proteção de dados. Porém, ainda que se queira entender fragilizado o poder de polícia da ANPD em face da instrumentalidade pecuniária mais singela que a de outras regulações, há que se considerar o aspecto reputacional da proteção de dados, além da irradiação de responsabilidade civil na cadeia de tratamento de dados pessoais – elementos que, por si, já poderão ser abalados com a simples notícia de incidente de violação de direitos de proteção de dados e, ainda mais, por eventual condenação administrativa ou judicial a respeito do mesmo assunto.
Não obstante, a questão reclama um quadro comparativo, ainda que singelo, de algumas leis em relação aos valores das multas nelas previstas:
Uma primeira observação cabível é quanto ao destinatário da multa proposta. O artigo 1° da LGPD é claro ao estabelecer que a norma disponha sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (grifamos).
Com efeito, o artigo 3° da Lei protetiva reforça a sua aplicabilidade também a pessoas naturais, senão vejamos: Art. 3° Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: […] (grifamos).
Ora, curiosamente, a penalidade de multa, conforme descrito no dispositivo ora comentado, somente se aplica tendo por base de cálculo o “faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos”.
Como seria possível, portanto, aplicar-se-lhe à pessoa física que, ressalvada a exceção de aplicabilidade material da LGPD, prevista no artigo 4°, inciso I, realiza tratamento de dados pessoais com finalidade econômica? Por exemplo, um profissional autônomo ou um comerciante informal? Seria possível, a fim de conferir maior amplitude protetiva, e na persecução do verdadeiro alcance da norma, estender a penalidade prevista no inciso II do artigo 52 também às pessoas naturais que desenvolvam atividades sujeitas ao escopo da LGPD, tendo em vista lapso manifesto do legislador? É preciso, antes de responder a tais questionamentos, ponderar a natureza do direito sancionatório. Já é assentado na doutrina sua convergência semântica com o Direito Penal, tendo em vista seu propósito punitivo. Dessa forma, alargada é a jurisprudência quanto à aplicação de preceitos e princípios próprios do Direito Penal nessa seara, ainda que administrativa, em especial os princípios da taxatividade e da legalidade. Mais ainda quando esse recurso hermenêutico é utilizado em prejuízo do autor da infração. Segundo doutrina majoritária no Supremo Tribunal Federal e o Superior Tribunal de Justiça, a interpretação extensiva é recurso de validação da norma penal, uma vez necessário buscar o seu real alcance. O limite de seu uso, porém, é o desvirtuamento da mens legis. Exemplo de jurisprudência nesse sentido: CONSTITUCIONAL E PENAL. ACESSÓRIOS DE CELULAR APREENDIDOS NO AMBIENTE CARCERÁRIO. FALTA GRAVE CARACTERIZADA. INTELIGÊNCIA AO ART. 50, VII, DA LEI 7.210/84, COM AS ALTERAÇÕES INTRODUZIDAS PELA LEI 11. 466/2007. INEXISTÊNCIA DE OFENSA AO PRINCÍPIO DA RESERVA LEGAL. INTERPRETAÇÃO EXTENSIVA. POSSIBILIDADE. PRECEDENTE. 1. Pratica infração grave, na forma prevista no art. 50, VII, da Lei 7.210/84, com as alterações introduzidas pela Lei 11.466/2007, o condenado à pena privativa de liberdade que é flagrado na posse de acessórios de aparelhos celulares em unidade prisional. 2. A interpretação extensiva no direito penal é vedada apenas naquelas situações em que se identifica um desvirtuamento na mens legis. 3. A punição imposta ao condenado por falta grave acarreta a perda dos dias remidos, conforme previsto no art. 127 da Lei 7.210/84 e na Súmula Vinculante n. 9, e a conseqüente interrupção do lapso exigido para a progressão de regime. 4. Negar provimento ao recurso (STF, RHC 106.481, rel. Min. Cármen Lúcia, 1a T., j. 08.02.2011).
Ora, na questão em apreço, está claro que o legislador objetivou estabelecer punibilidade pecuniária a todos os destinatários da LGPD,
fazendo distinção, conforme veremos a seguir, apenas quanto às entidades e aos órgãos públicos (§ 3° do mesmo artigo). Questão, porém, de difícil solução, é a fixação da base de cálculo. Uma proposta, aqui formulada, considerando a autorização doutrinária e jurisprudencial ao manejo da interpretação extensiva, seria, ainda, o uso do mesmo recurso para se compreender o cálculo da multa sobre a receita auferida pela pessoa natural, em decorrência da atividade de tratamento de dados pessoais. Dessa maneira, um médico, por exemplo, que exerça a profissão como pessoa física, na eventualidade de cometimento de infração à LGPD, poderia ser multado em até 2% (dois por cento) sobre a receita decorrente da atividade profissional ou comercial (se informal e passível de comprovação) em que tratou o dado pessoal. Quanto à recorribilidade da multa, indicada, no dispositivo, sua incidência “por infração”, muito se tem sustentado tratar-se de um risco à atividade econômica dos agentes de tratamento de dados. Isso porque haveria espaço hermenêutico para que a ANPD compreendesse a infração tendo, por parâmetro: (i) o número de titulares afetados; (ii) o número de incidentes de violação a direitos de proteção de dados; ou (iii) o número de disposições e normas violadas na LGPD. Essa interpretação encontrou eco em um Projeto de Lei, 3.420, de 20195, de autoria do Deputado Federal Heitor Freire (CE), cuja proposta resume-se a revogar a expressão “por infração” a que referimos nessa análise. Pelo critério da razoabilidade declaradamente previsto no inciso XI do § 1° do artigo ora em análise, de se supor que a penalidade não compreenderá uma avaliação singular dos eventos violadores de direitos e obrigações de proteção de dados, mas um conjunto de fatores, tais como ocorrências infratoras, abrangência de titulares de dados afetados, natureza e categoria dos dados pessoais etc. Ainda que assim não fosse, a atividade administrativa é pautada por um conjunto de princípios que, não apenas constitucionais, são, também, de legalidade explícita. É o caso do previsto na Lei 9.784, de 29 de janeiro de 1999 – Lei do Processo Administrativo federal (LPA). Seu artigo 2° é verdadeiro estatuto de ponderação de valores jurídicos e sociais e deve ser observado, sempre, diante da amplitude de aplicabilidade
da própria LPA: Art. 2° A Administração Pública obedecerá, dentre outros, aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência. Parágrafo único. Nos processos administrativos serão observados, entre outros, os critérios de: I – atuação conforme a lei e o Direito; II – atendimento a fins de interesse geral, vedada a renúncia total ou parcial de poderes ou competências, salvo autorização em lei; III – objetividade no atendimento do interesse público, vedada a promoção pessoal de agentes ou autoridades; IV – atuação segundo padrões éticos de probidade, decoro e boa-fé; V – divulgação oficial dos atos administrativos, ressalvadas as hipóteses de sigilo previstas na Constituição; VI – adequação entre meios e fins, vedada a imposição de obrigações, restrições e sanções em medida superior àquelas estritamente necessárias ao atendimento do interesse público; VII – indicação dos pressupostos de fato e de direito que determinarem a decisão; VIII – observância das formalidades essenciais à garantia dos direitos dos administrados; IX – adoção de formas simples, suficientes para propiciar adequado grau de certeza, segurança e respeito aos direitos dos administrados; X – garantia dos direitos à comunicação, à apresentação de alegações finais, à produção de provas e à interposição de recursos, nos processos de que possam resultar sanções e nas situações de litígio; XI – proibição de cobrança de despesas processuais, ressalvadas as previstas em lei; XII – impulsão, de ofício, do processo administrativo, sem prejuízo da atuação dos interessados; XIII – interpretação da norma administrativa da forma que melhor garanta o atendimento do fim público a que se dirige, vedada aplicação retroativa de nova interpretação.
Portanto, afasta-se qualquer interpretação excessivamente injusta, que repercuta em expropriação indevida do particular, ou seja, um quase confisco pelo poder público. Além disso, conforme será analisado adiante, o já citado § 1° do art. 52, ora em análise, determina a gradação como diretriz para aplicabilidade punitiva. III – multa diária, observado o limite total a que se refere o inciso II;
Trata-se da segunda e última penalidade pecuniária prevista, mas sua natureza é distinta daquela reservada à multa simples. A multa diária, em verdade, não corresponde a uma sanção típica, na medida em que trata de “medida coativa de natureza patrimonial”, na definição de José Rogério Cruz e Tucci6. É, sim, consequência de descumprimento de cominação legal ou cominação proferida por autoridade
pública, mas seu propósito diverge da multa pecuniária propriamente dita, por não significar uma satisfação jurídico-legal ao cometimento de uma infração, mas um instrumento de coercitividade para cumprimento de obrigação imposta. Nesse sentido, novamente, necessário invocar princípios constitucionais balizadores de sua incidência, tendo em conta sua finalidade e natureza expropriatória. Por essa razão, ainda que a LGPD tenha, no dispositivo em análise, limitado o seu quantum ao mesmo teto estabelecido para a multa diária, não parecer razoável seguir essa linha, ainda que expressamente posta. Ora, a jurisprudência pátria já se posicionou em incontáveis oportunidades quanto à ilegalidade e inconstitucionalidade de fixação de astreintes que importem em ônus excessivo à pessoa infratora, do que decorreria, também, enriquecimento sem causa, no caso, ao Estado. O mesmo entendimento tem Tucci,7 citado anteriormente: Ademais, nessa linha de raciocínio, a natureza jurídica da multa não pode conduzir a um extremo injustificado, jamais podendo levar o seu beneficiário a enriquecer de forma indevida. A multa tem de atender à sua finalidade, que é a de obter, do próprio executado, um específico comportamento ou uma abstenção. Tal sanção não tem caráter indenizatório ou ressarcitório. Trata-se exclusivamente de técnica impositiva do cumprimento de decisões judiciais de modo mais célere e adequado. Possui, pois, conotação coercitiva, objetivando atuação ou abstenção específica do sujeito processual que se encontra obrigado a um fazer ou não fazer. A sanção pecuniária em tela não deve ser fixada em patamar superior ao valor da própria obrigação. A multa, como mecanismo coercitivo, repercute sobre a vontade do executado, visando a forçá-lo, de forma indireta, a cumprir a prestação determinada na sentença. (grifos nossos)
E finaliza, trazendo à luz entendimento jurisprudencial: Mas é evidente que “o montante da multa cominatória deve guardar proporcionalidade com o valor da obrigação principal cujo cumprimento se busca, sob pena de a parcela pecuniária ser mais atrativa ao credor que a própria tutela específica” (STJ, 2a S., REsp 1.512.647/MG, rel. ministro Luis Felipe Salomão, v. u., DJe 05.08.2015).
Portanto, ainda que o inciso III do artigo 52 prescreva limite genérico à aplicabilidade dessa sanção administrativa, não se mostra razoável que assim o seja sempre e indistintamente.
A ANPD deverá realizar uma leitura interpretativa conforme a Constituição federal de tal preceito, sob pena de incorrer em
inconstitucionalidade material, quando de eventual aplicação desmedida desse instrumento de coação processual administrativo. IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
Essa penalidade tem um efeito claramente reputacional. A primeira parte da infração, consistente no núcleo que consubstancia a espécie sancionatória, importa a exposição pública, por imposição da ANPD direcionada ao agente de tratamento, da condenação que sofreu, após processo administrativo findo, em que apurada e confirmada sua conduta infratora. Cabe, aqui, uma visão formalmente posta, do então relator do PLS 330, de 2013, Senador Ricardo Ferraço. Em relatório apresentado em Plenário, quando da tramitação da matéria referida, fora apresentada a Emenda 34, de autoria do Senador Humberto Costa (PE)8, que incluía a publicização da infração entre as sanções administrativas à disposição da ANPD. O senador capixaba, no entanto, opinou pelo acolhimento parcial dessa proposta, ao seguinte argumento9, em minuta de parecer que, muito embora divulgada não chegou a ser formalmente lida em sessão do Plenário em razão da aprovação do projeto de lei oriundo da Câmara dos Deputados: Estamos acolhendo parcialmente a proposta, especialmente no que tange a proposta de tornar públicas as infrações, porém, na forma do Substitutivo. Isso porque a autoridade central já detém essa atribuição, na medida em que poderá editar normas complementares a respeito de suas atividades, e, uma vez findo processo administrativo sancionador, que tem natureza pública, parece evidente que a autoridade central tornará pública sua decisão de penalizar aquele que comete infrações, após o exercício do contraditório e do devido processo legal. (grifos nossos)
Dessa maneira, ao propor substitutivo ao PLS 330, de 2013, o relator de Plenário, na ocasião, não consignou a publicização como sanção própria e autônoma, mas como uma consequência do processo sancionador administrativo, que, por sua natureza, é público e cuja decisão condenatória também seria pública. Esse substitutivo, tanto quanto o próprio projeto de lei, porém, deram espaço ao texto oriundo da Câmara dos Deputados. O raciocínio é válido e coerente. De fato, as decisões da ANPD seguramente serão publicadas por veículo de imprensa oficial, inclusive
aquelas que importem em condenações de agentes de tratamento por descumprimento da LGPD. A proposta do Senador Humberto Costa, na verdade, tinha origem no texto original do PL 5276, de 2016, encaminhado pela Presidente da República e assim prevaleceu no texto sancionado. A proposta, aqui, também, atrai toda sorte de questionamento acerta desse recurso punitivo, que se assemelha àquele conhecido como shame sanction (penas criminais infamantes), muito própria do Direito Penal econômico moderno, em alternativa a punibilidades mais severas. Nesse sentido, valiosa a contribuição de Marcelo Almeida Ruivo10: A eventual viabilidade constitucional das penas infamantes remete ao tipo de pena, ou seja, o como punir. Para as penas infamantes seguem igualmente as exigências de satisfação do fundamento retributivo da culpa pela ofensa ao bem jurídico e das finalidades preventivas dos crimes, também conhecidas como doutrinas relativas. Na primeira fase, deve-se testar especificamente se o tipo de pena infamante em concreto seria suficiente para a retribuição proporcional da culpa. Na segunda, responder se haveria: a orientação da conduta do destinatário da norma pelo receio de sofrer a infâmia?; a confirmação da vigência da norma por meio da aplicação da infâmia?; a ressocialização do condenado por vivência da infâmia?; a neutralização da capacidade ofensiva do condenado por meio da infâmia? Cada modalidade específica de pena infamante – quer desagregadora, quer reintegradora – apresenta diferentes níveis de adequação a cada uma das finalidades preventivas da pena. Ainda assim a pena infamante suscita duas interrogações com base na lógica utilitária do custo-benefício. As finalidades da pena no Direito Penal Econômico podem se restringir ao puro cálculo se os prejuízos decorrentes da condenação não superam os benefícios decorrentes do crime? Depois, a pena cumpriria as eventuais finalidades, caso o condenado, despreocupado com a perda da reputação, renunciasse a sua a honra pessoal por entender o proveito econômico oriundo do crime superior à humilhação pessoal? […] Os fins político-criminais que se pretende alcançar com o uso das penas infamantes não podem ser afirmados categoricamente sem a verificação empírica, assim como ocorre com todo tipo de pena. Isto é, não se pode presumir que determinado tipo de pena sempre alcance as pretendidas finalidades em qualquer contexto de inserção, o que reivindica um estudo específico do tipo de conduta ofensiva e do tipo de pena associada.
O caso aqui posto, porém, possui um agravante: é o próprio agente de tratamento condenado administrativamente que deverá dar publicidade da condenação, o que se espera seja mais bem delimitado pela ANPD. Há que se ponderar, porém, de que maneira se dará essa “auto” publicização, sobretudo diante da possibilidade, que ora se espera não concretizável, de determinações da ANPD para divulgação do fato infrator condenatório em veículos de grande circulação, o que agravaria a pena, ao impor custos vultosos ao agente infrator.
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
Faremos uma análise conjunta com relação ao inciso VI, seguinte. VI – eliminação dos dados pessoais a que se refere a infração;
Prevê o artigo 58°, (2), (f) e (g), da regulação europeia as seguintes medidas corretivas aplicáveis pela autoridade de controle: i. ii.
“Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição” (grifamos); “Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16°, 17° e 18°, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17°, n. 2, e do artigo 19°” (grifamos);
Trata-se, assim, de uma matriz normativa que servirá de paradigma para aplicação das penalidades previstas na LGPD. No caso em questão, o bloqueio, a que se refere o inciso V do artigo 52, equivale a uma limitação temporária do tratamento de dados. Porém, a disposição mais se aproxima dos incisos VII e VIII, que serão tratados a seguir. A questão ora posta, em verdade, poderia ser uma mais precisa definição da penalidade. Isso porque não parece razoável propor-se o bloqueio, por exemplo, de dados pessoais, na medida em que o que deverá ocorrer é a suspensão do tratamento daqueles dados pessoais. Afinal, como se operaria o seu bloqueio? De se lembrar, por exemplo, que, uma vez “bloqueados” os dados pessoais, sob a custódia de quem eles deveriam ser mantidos armazenados e inacessíveis temporariamente? Ora, o armazenamento é uma forma de tratamento de dados. Portanto, a penalidade consistiria no bloqueio de dados pelo agente infrator, mas na continuidade de seu tratamento quando do armazenamento? Ou, se houver a transferência dos dados para autoridade pública custodiar, quais as consequências decorrentes desse risco pessoal ao titular dos dados? Estariam os dados mais ou menos seguros sob a custódia pública? Questões a serem enfrentadas.
A eliminação, por outro lado, equivale ao apagamento definitivo a que se refere o RGPD. Nesse sentido, dever-se-á, tão somente, assegurar a plenitude desse tratamento, de maneira a que não se recuperem os dados por métodos e tecnologias hoje capazes de recuperação de dados excluídos em armazenamentos magnéticos e outras mídias. VII, VIII e IX – (VETADO)
Sobre estes incisos, vetados na primeira versão da LGPD, trataremos no comentário ao inciso X, de mesmo teor e que fora igualmente vetado, mas cujo veto foi rejeitado pelo Congresso Nacional. X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
Tanto o inciso VII, como o inciso X, dispunham sobre a mesma penalidade: “suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período”. Trata-se de, essa sim, verdadeira limitação incidente diretamente sobre o banco de dados. O Presidente da República, em suas primeiras razões de veto encaminhadas ao Congresso Nacional, justificou da seguinte forma, com base no opinativo de diversos Ministérios (Ministérios da Fazenda, da Saúde, do Planejamento, Desenvolvimento e Gestão, da Ciência, Tecnologia, Inovações e Comunicações e o Banco Central do Brasil). As sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados podem gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional.
Novamente, quando de sua reedição como inciso X, a justificativa do veto se deu da seguinte forma, basicamente replicando as razões anteriores, com algum acréscimo: “A propositura legislativa, ao prever as sanções administrativas de suspensão ou proibição do funcionamento/exercício da atividade relacionada ao tratamento de dados, gera insegurança aos responsáveis por essas informações, bem como impossibilita a utilização e tratamento de bancos de dados essenciais a diversas atividades privadas, a exemplo das aproveitadas pelas instituições financeiras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional, bem como a entes públicos, com potencial de afetar a continuidade de serviços
públicos.”
Trata-se, de fato, de uma penalidade atípica. Porque incidente sobre a base de dados, não sobre a atividade de tratamento ou sobre a pessoa do agente de tratamento em si. De se considerar, por exemplo, como poderia ser cumprida, se o agente de tratamento fosse pessoa natural realizando atividade econômica. XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
Essa penalidade havia sido suprimida do ordenamento jurídico em razão do veto presidencial à LGPD. Apesar de reapresentada pelo Congresso quando da aprovação do PLV 7, de 2019, recebeu novo veto presidencial, o qual fora rejeitado pelo Congresso Nacional. Sua disposição, no entanto, merece um breve comentário associado à penalidade seguinte, sobretudo em razão de uma consequência sistêmica decorrente da convivência legislativa da LGPD com o Marco Civil da Internet. XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Trata-se de outra penalidade restabelecida após a sessão do Congresso Nacional de 24 de setembro de 2019. De fato, tanto a suspensão como a proibição da atividade de tratamento, seja total ou parcial, remetem a uma possibilidade de atuação extremamente relevante para o Estado fiscalizador. São proposta ideais em um sistema punitivo ideal e seu veto havia sido bastante criticado na sociedade, especialmente por setores representativos dos interesses do cidadão, mas também por parte da academia: isso porque, ao vetar essas ferramentas regulatório-punitivas, o Presidente da República retiraria da ANPD de recursos importantes para a preservação da ordem social e econômica, bem como dos direitos dos titulares de dados. Note-se que medida dessa natureza, sobretudo adotadas em sede cautelar, são aptas a estancar violações graves, respeitado o devido processo legaladministrativo. A Lei Geral de Telecomunicações, por exemplo, conferiu à Agência Nacional de Telecomunicações um regime completo de penalidades, graduadas em escala de gravidade: Art. 173. A infração desta Lei ou das demais normas aplicáveis, bem como a inobservância
dos deveres decorrentes dos contratos de concessão ou dos atos de permissão, autorização de serviço ou autorização de uso de radiofreqüência, sujeitará os infratores às seguintes sanções, aplicáveis pela Agência, sem prejuízo das de natureza civil e penal: I – advertência; II – multa; III – suspensão temporária; IV – caducidade; V – declaração de inidoneidade.
Ora, ao se observar que uma operadora de telefonia móvel não esteja cumprindo adequadamente algum compromisso firmado com o Estado, pode a Anatel valer-se de tais instrumentos, inclusive da suspensão temporária, para impedir a continuidade da lesão a direitos e obrigações prescritos. Foi o que se sucedeu, por exemplo, com o anúncio público de algumas dessas operadoras que intencionavam impor limites reducionistas de franquia para a banda larga fixa: Anatel suspende corte ou redução de internet fixa após fim da franquia Empresas terão, antes, que permitir a cliente acompanhar o uso de dados. Hoje, o serviço é cobrado de acordo com a velocidade e não tem limite. Laís Alegretti Do G1, em Brasília Uma decisão cautelar da Agência Nacional de Telecomunicações (Anatel) impede temporariamente as operadoras de internet fixa de reduzir a velocidade ou suspender a prestação do serviço de banda larga após o término da franquia prevista. A decisão vale até que essas empresas forneçam aos consumidores ferramentas que permitam, por exemplo, acompanhar o uso de dados de seus pacotes. Ou seja, dentro de alguns meses, as operadoras vão voltar a ser liberadas para fazer os cortes de sinal – se isso estiver previsto no contrato com os clientes. O despacho da agência com a cautelar foi publicado na edição desta segunda-feira (18) do Diário Oficial da União. O descumprimento pode gerar multa de R$ 150 mil por dia, até o limite de R$ 10 milhões às operadoras.11
Foi típica atuação no exercício do poder cautelar de polícia, em prol da sociedade. Por isso, com os vetos nesses dois incisos, o Presidente da República reduziria significativamente o poder de atuação da ANDP. E, com a rejeição deste veto e dos demais referentes aos incisos X a XII, retornam à LGPD as mais graves penalidades, na opinião deste comentarista. Note-se que o próprio Marco Civil da Internet possui semelhante disposição: Art. 12. Sem prejuízo das demais sanções cíveis, criminais ou administrativas, as infrações às
normas previstas nos arts. 10 e 11 ficam sujeitas, conforme o caso, às seguintes sanções, aplicadas de forma isolada ou cumulativa: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção; III – suspensão temporária das atividades que envolvam os atos previstos no art. 11; ou IV – proibição de exercício das atividades que envolvam os atos previstos no art. 11.
Aliás, aqui reside um problema próprio do sistema jurídico nacional: o enforcement no tratamento de dados pessoais nos meios digitais. Aliás, não somente aí, mas também sempre que o tratamento de dados pessoais tangenciar setores regulados, como as relações de consumo ou as telecomunicações, para citar apenas estes. Nesse sentido, perguntas relevantes seriam: quais penalidades são cabíveis e quem deve aplicá-las? No que diz respeito à lei digital, parece-nos evidente que a LGPD deve sobrepor-se ao MCI, tanto pelo critério cronológico de resolução de conflito aparente de normas, previsto no artigo 2°, § 1°, da Lei de Introdução às Normas do Direito Brasileiro (LINDB), como pelo critério de especialidade, previsto no § 1° do mesmo dispositivo da LINDB. Porém, referidos critérios são aplicáveis somente naquilo de que normas – em antagonismo regulatório – igualmente tratam. Ou seja, no que não é versado por uma nem por outra, subsiste uma janela de “sobrevivência” normativa da regra mais antiga, com relação à posterior. Dessa maneira, em uma situação de tratamento de dados baseado na internet, se o agente de tratamento descumprir regras previstas no MCI, que não colidem com a LGPD, poderá ele, ainda, estar sujeito às consequências da lei digital, entre elas a suspensão ou a proibição da atividade de tratamento de dados. Em outras palavras: se a LGPD não dispusesse de tais penalidades, ainda assim, o agente de tratamento poderia ter suas atividades suspensas ou proibidas. Porém, com a rejeição dos vetos, fica claro que o agente de tratamento agora sujeita-se, também, às penalidades da LGPD e este é um problema essencialmente jurídico. Na opinião deste comentarista, a solução é, novamente, hermenêutica e passa pela necessária demonstração de que todo e qualquer regramento sobre o tratamento de dados pessoais previsto no MCI que não fora expressamente compatibilizado com a LGPD, ou seja, que ainda estejam em confronto com
a lei de dados pessoais, encontra-se revogado tacitamente, por força da inteligência do § 1°, art. 2°, da LINDB. Do contrário, a sociedade terá uma dupla incidência normativa sobre um mesmo fato, com disposições antagônicas e incompatíveis entre si e, pior, para os agentes de tratamento, com enforcement excessivo e injusto, a despeito da regra contida no art. 55K, o qual será comentado adiante nesta obra. Pouco importa, aqui, o fato de que a mens legislatoris evidencia intenção expressa de apenas modificar os arts. 7° e 16, da Lei 12.965/2014. O comando normativo do art. 2°, § 1°, é norma cogente e seu comando é claro: lei posterior revoga a anterior nas três hipóteses ali previstas. Ademais, a mens legis (em contraponto à mens legislatoris) que melhor se extrai está fundada no caput dos arts. 1° e 3°, quando estabelecem a aplicabilidade material da LGPD também para os meios digitais e independente do meio: verbis legis tenaciter inhaerendum; verba cum effectu sunt accipienda12. E mais: a quem caberia processar e aplicar tais penalidades? Pelo MCI, e por seu decreto de regulamentação, os órgãos administrativos competentes para aplicar os ditames da lei digital, na seara administrativa, são aqueles previstos em seu art. 5°: Art. 5° Os requisitos técnicos indispensáveis à prestação adequada de serviços e aplicações devem ser observados pelo responsável de atividades de transmissão, de comutação ou de roteamento, no âmbito de sua respectiva rede, e têm como objetivo manter sua estabilidade, segurança, integridade e funcionalidade. […] § 2° A Agência Nacional de Telecomunicações – Anatel atuará na fiscalização e na apuração de infrações quanto aos requisitos técnicos elencados neste artigo, consideradas as diretrizes estabelecidas pelo Comitê Gestor da Internet – CGIbr.
Logo, pelo que se observa, a ANPD não poderia, acaso mantido os vetos, invocar o MCI para aplicar as penalidades previstas nessa lei digital, ainda que houvesse violação aos regramentos sobreviventes do marco regulatório da internet, em matéria de proteção de dados. Agora, porém, a autoridade de fiscalização de proteção de dados possui, novamente, suas próprias ferramentas, assim lhe sendo possível o poder sancionatório amplo. Essa é uma decorrência própria do princípio do juiz natural: somente quem tem a competência legal para processar e julgar deverá fazê-lo, o que inclui a aplicação de penalidades administrativas. § 1°. As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma graativa, isolada ou cumulativa, de acordo
com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; II – a boa-fé do infrator; III – a vantagem auferida ou pretendida pelo infrator; IV – a condição econômica do infrator; V – a reincidência; VI – o grau do dano; VII – a cooperação do infrator; VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2o do art. 48 desta Lei; IX – a adoção de política de boas práticas e governança; X – a pronta adoção de medidas corretivas; e XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O legislador foi extremamente feliz em prever critérios efetivadores dos princípios constitucionais de razoabilidade e proporcionalidade. Afinal, a LGPD não é uma lei exclusivamente voltada à proteção dos indivíduos titulares de dados pessoais, mas ao estímulo à inovação e às liberdades econômicas. Por isso, seu propósito não é punitivo, mas pedagógico, sendo esse seu direcionamento maior. Não por outra razão, foram previstos diversos critérios atenuantes e agravantes, norteadores da atividade sancionatória. Os critérios descritos nesse parágrafo, além de guardarem similaridade com o que prevê o RGPD, também encontram, na legislação federal, paralelos significativos. Merece destaque a adoção de programas de governança de privacidade, descritas nos incisos VIII e IX, de que decorrem ainda as medidas propostas no inciso X. São propostas que estimulam os agentes de tratamento a adotarem e praticarem, como cultura corporativa, boas práticas em privacidade e proteção de dados pessoais. É uma maneira de a regulação sugerir, como forma premiativa, que o bom comportamento também significa adoção de métodos preventivos e corretivos de problemas. Afinal, os custos decorrentes desses incidentes serão tanto mais bem dimensionados quanto forem os investimentos em cultura de proteção de dados e privacidade. É o que se convencionou chamar de compliance.
Essa proposta legislativa também se faz presente em outro universo regulatório: a Lei Anticorrupção (Lei 12.846, de 1° de agosto de 2013). Observe-se o paralelismo normativo entre as duas leis. Propomos, a seguir, uma ordenação por similaridade de conteúdo, a fim de facilitar a visualização do comparativo: LEI ANTICORRUPÇÃO LGPD Art. 7° Serão levados em consideração na § 1° As sanções serão aplicadas após aplicação das sanções: procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I – a gravidade da infração; I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; – II – a boa-fé do infrator; II – a vantagem auferida ou pretendida pelo III – a vantagem auferida ou pretendida pelo infrator; infrator; III – a consumação ou não da infração; – IV – o grau de lesão ou perigo de lesão; VI – o grau do dano; V – o efeito negativo produzido pela infração; – – V – a reincidência; VI – a situação econômica do infrator; IV – a condição econômica do infrator; VII – a cooperação da pessoa jurídica para a VII – a cooperação do infrator; apuração das infrações; VIII – a existência de mecanismos e VIII – a adoção reiterada e demonstrada de procedimentos internos de integridade, auditoria mecanismos e procedimentos internos capazes de e incentivo à denúncia de irregularidades e a minimizar o dano, voltados ao tratamento seguro aplicação efetiva de códigos de ética e de e adequado de dados, em consonância com o conduta no âmbito da pessoa jurídica; disposto no inciso II do § 2° do art. 48 desta Lei; IX – a adoção de política de boas práticas e – governança; IX – o valor dos contratos mantidos pela pessoa jurídica com o órgão ou entidade pública – lesados; e X – (VETADO). X – a pronta adoção de medidas corretivas; e XI – a proporcionalidade entre a gravidade da – falta e a intensidade da sanção.
Já com relação ao RGPD, um novo quadro esquemático pode ser apresentado, também para fins ilustrativos: RGPD 2. Consoante as circunstâncias de cada caso, as §
1°
As
LGPD sanções serão
aplicadas
após
coimas são aplicadas para além ou em vez das medidas referidas no artigo 58°, n° 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte: a) A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos; b) infração; O caráter intencional ou negligente da c) A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares; – d) O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.° e 32.°; e) Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante; f) O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos; g) As categorias específicas de dados pessoais afetadas pela infração; h) A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram; i) O cumprimento das medidas a que se refere o artigo 58.°, n. 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria; j) O cumprimento de códigos de conduta aprovados nos termos do artigo 40° ou de procedimento de certificação aprovados nos termos do artigo 42°; e k) Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas
procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II – a boa-fé do infrator; X – a pronta adoção de medidas corretivas; VI – o grau do dano;
–
V – a reincidência;
VII – a cooperação do infrator; –
IV – a condição econômica do infrator;
–
IX – a adoção de política de boas práticas e governança; III – a vantagem auferida ou pretendida pelo infrator;
evitadas, direta ou indiretamente, por intermédio da infração.
–
–
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2° do art. 48 desta Lei; XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
§ 2°. O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei 8.078, de 11 de setembro de 1990, e em legislação específica.
Referida disposição, muito comum em legislações com previsões punitivas e cominatórias, não tem eficácia concreta, pois pressupõe que leis específicas, em que sejam regulados aspectos pontuais e próprios de outra regulação, serão aplicadas conforme o caso concreto se submeta à incidência dessa norma respectiva.
E isso é evidente. Trata-se de típica circunstância do ordenamento jurídico, em que as leis devem dialogar entre si, respeitados os critérios de hierarquia, cronologia e especialidade previstos na LINDB. Dessa maneira, se um agente de tratamento, submetido ao regime regulatório do CDC, cometer uma infração que, simultaneamente, afronte a lei consumerista e a lei de dados, por certo que esse agente estará sujeito a uma atuação fiscalizatória dúplice, sem que isso importe um bis in idem sancionatório. O que não poderá ocorrer, sim, é uma disposição regulatória de proteção de dados ensejar a aplicação de multas previstas na lei específica, por exemplo, tanto por um órgão de defesa do consumidor, como pela ANPD. Aliás, a Medida Provisória busca afastar esse cenário: à ANPD cabe esse papel. Exclusivamente. Trata-se, assim, como já sinalizado no início do presente estudo, de norma que intercambia as legislações setoriais e específicas com a LGPD, determinando, ainda, que eventual penalidade aplicada por violação de normas de proteção e dados não confere nenhum grau de isenção ou imunidade ao agente infrator, quando a mesma conduta também violar outros instrumentos legais do ordenamento jurídico. Nesse caso, deverá ser instaurado procedimento administrativo
específico, por autoridade competente, para, respeitados os preceitos da ampla defesa e contraditório, apurar se a conduta em questão constitui infração à luz de sua legislação de regência. Mesma disposição consta do Código de Defesa do Consumidor, senão vejamos: Art. 56. As infrações das normas de defesa do consumidor ficam sujeitas, conforme o caso, às seguintes sanções administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas específicas: […] (grifamos).
Portanto, nada de inovador sob os aspectos normativo e regulatório. A alteração promovida pela Lei 13.853, de 2019, que retornou ao texto a referência expressa ao Código de Defesa do Consumidor possui valor social, mas não jurídico, pois já se subentende que, por legislação específica, caibam todas aquelas que assim dispuserem. Foi essa a intenção do relator no Senado, Senador Ricardo Ferraço, ao substituir, por emenda redacional, a referência ora devolvida à LGPD pela expressão “legislação pertinente”. § 3° O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei n° 8.112, de 11 de dezembro de 1990, na Lei n° 8.429, de 2 de junho de 1992, e na Lei n° 12.527, de 18 de novembro de 2011.
Referido parágrafo sofreu modificação no processamento legislativo da Medida Provisória 869, de 2018, apenas para se compatibilizar com as (re)inserções das penalidades previstas nos incisos X a XII. A mudança havia sido vetada, juntamente com esses últimos incisos retromencionados, por uma questão de lógica jurídica e técnica legislativa. Porém, com a rejeição dos vetos, a proposta ressurge e modifica o texto original da LGPD.
Quanto ao mérito do dispositivo, da relação de incisos do caput do artigo 52 apresentada nesse § 3°, do mesmo artigo, observa-se que duas leituras são possíveis: a primeira, no sentido de que o legislador arrolou as penalidades cabíveis ao poder público, isentando suas entidades e órgãos da pena de multa simples ou diária (essa, aliás, a intenção do legislador); a segunda, ao contrário, no sentido de que tais isenções sancionatórias não foram expressamente determinadas, apenas se limitando – o legislador – a reconhecer que as demais penalidades, diversas da multa, podem também serem aplicadas ao poder público. Ora, reconhecemos que a mens legislatoris foi no sentido de excluir as
penalidades pecuniárias do alcance ao setor público, o que, à toda evidência, não se mostra uma proposta razoável. Mas é o que consta do parecer do Deputado Orlando Silva, como relator na Comissão Especial, ao PL 4060, de 2012: “Para entidades e órgãos públicos, entendemos ser apropriada a aplicação das sanções de advertência, publicização da infração, bloqueio e eliminação de dados pessoais, suspensão parcial ou total de funcionamento de banco de dados, suspensão do exercício de atividade de tratamento e a proibição parcial ou total do exercício dessas atividades.”
Explica-se a nossa posição: pelo escopo protetivo da LGPD, e no sentido de buscar o seu real alcance e compreender sua proposta de normalização do horizonte de respeito às liberdades civis, parece-nos evidente que a leitura que se deva promover da regulação objetivamente em questão deva ser a de se permitir a aplicabilidade das penalidades pecuniárias também ao poder público. É uma leitura possível, apesar de contrária à intenção do legislador. Leva-se, aqui, em consideração, especialmente, o gerenciamento de risco decorrente da amplitude da máquina pública, sendo certo que o Estado seja, possivelmente, a um só tempo, o maior provedor de dados pessoais ao cidadão e o agente que mais realize operações de tratamento de dados pessoais, inegavelmente em larga escala. Referida interpretação, ora apresentada à comunidade jurídica, reside no fato de que o verbo “poderá” não se associa a nenhum advérbio que lhe pudesse delimitar o sentido, como, por exemplo, “somente” ou “exclusivamente”. Por certo que, juridicamente, “poderá” não possui suficiente semântica de restrição de disposição legal, pelo contrário, expande para compreender permissividade, adição, complementação. Senão vejamos: Exemplo A: inclusão. As penalidades determinadas + poderão + ser aplicadas + às entidades públicas. Exemplo B: proibição. As penalidades determinadas + NÃO + poderão + ser aplicadas + às entidades públicas. Exemplo C: exclusão. APENAS + as penalidades determinadas + poderão ser aplicadas + às entidades públicas.
Daí ser possível entender-se viável a aplicação de penalidade de multa contra entes públicos, se o escopo maior for o de ampliar a proteção de dados pessoais na sociedade. Esse, aliás, pode ser um caminho a ser seguido, se doutrina e jurisprudência acolherem a expansividade da interpretação jurídica nesse
ponto. A interpretação extensiva é possível no Direito Penal e, portanto, assim o seria no Direito Administrativo Sancionador? Há controvérsias doutrinárias, a depender de quão ortodoxa seja a visão do intérprete. Todavia, no caso em questão, o sujeito da infração seria ente público, e, portanto, não haveria sentido de Justiça em estender, ao Estado, as mesmas garantias constitucionais penais insculpidas para proteger o cidadão. Sequer a corrente garantista, que tolera a interpretação extensiva no Direito Penal apenas para beneficiar o réu (in dubio pro reo), teria como sustentar essa visão doutrinária, quando o próprio Estado viola os direitos de privacidade e proteção de dados do cidadão e é ele o sujeito ativo da conduta infratora. Difícil, porém, nesse viés interpretativo, solucionar a problemática da base de cálculo, uma vez que, na maioria das situações, não há que se falar em “faturamento” no caso de pessoas jurídicas de direito público, mas, quando muito, em orçamento público. Há que se considerar, ainda, interpretação já discutida na doutrina de proteção de dados, no sentido de que a violação às normas da LGPD, pelo setor público, implicaria improbidade administrativa do agente público responsável. A LGPD não associou sua malversação às condutas previstas na Lei 8.429, de 2 de junho de 1992, tal como o fez a Lei de Acesso à Informação (art. 32, § 2°). Daí a questão perpassa, necessariamente, um estudo mais amplo, que não será dedicado na presente obra, sobre os elementos caracterizadores dos atos de improbidade administrativa, tais como o dolo específico ou geral. Para os agentes públicos, portanto, a comprovação de manifestações públicas ou institucionais, a ciência de recomendações dos órgãos do Ministério Público, de defesa do consumidor ou outros de controle interno ou externo podem ser indicativos aptos a demonstrar o elemento subjetivo, ou seja, o dolo do gestor público, importando, então, somente aí, os riscos de responsabilidade administrativa por ato de improbidade. Do contrário, a jurisprudência entende tratar-se de mera irregularidade administrativa, insuficiente ao processamento por ato de improbidade. Isso porque “a Lei de Improbidade Administrativa não visa punir o inábil, mas, sim, o desonesto, o corrupto, aquele desprovido de lealdade e boa-fé; e por isso, necessário o dolo genérico na conduta do agente” (REsp 1512047/PE, rel. Min. Herman Benjamin, 2a T., DJe 30.06.2015).”
§ 4°. No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
A proposta em questão permite, ao poder público fiscalizador, no caso, representado pela ANPD, a consideração do faturamento total da empresa ou de seu grupo econômico, na hipótese de não ter condições de precisar o faturamento no ramo de atividade econômica em que cometida a infração ou, ainda, quando incompleto ou não demonstrado o valor. Trata-se de uma solução para a dosimetria da pena em maior adesão à proporcionalidade e razoabilidade, sem dispensar o caráter compensatório social da reprimenda administrativa a ser imposta. § 5° O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei n° 7.347, de 24 de julho de 1985, e a Lei n. 9.008, de 21 de março de 1995.
Mais uma inserção promovida pela Lei 13.853, de 2019, em processo legislativo que acolheu sugestão dos órgãos e entidades de defesa do consumidor. Não nos parece uma solução adequada: o FDDD, criado pela Lei 7.347, de 1985, destina-se à reparabilidade de bens lesados, em caso de indenização por sentença condenatória em Ação Civil Pública. A própria lei em questão “disciplina a ação civil pública de responsabilidade por danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico e paisagístico e dá outras providências”. Ademais, cabe o questionamento sobre eventual vício de inconstitucionalidade formal, na medida em que, por iniciativa parlamentar decorrente da alteração no Projeto de Lei de Conversão, está-se alterando a destinação de recursos arrecadados a título de multa aplicada por ente administrativo para satisfazer receito de Fundo. Por esse entendimento, portanto, a proposta poderia conter vício de iniciativa, violar prerrogativa de auto-organização do Poder Executivo e violar o princípio da separação dos poderes. § 6° As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas: I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e
II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
Referido dispositivo, inserido também pela Lei 13.853, de 2019, também havia sido vetado por decorrência lógica do veto imputado aos incisos X, XI e XII. Restabelecido com a rejeição do veto, a proposta agora estabelece verdadeira limitação legal ao poder sancionatório da ANPD. Explica-se: a despeito do retorno, à LGPD, de tais penalidades administrativas, elas somente poderão ser aplicadas pelo agente regulador quando houver reincidência do agente de tratamento (conforme clara condicionante imposta pelo inciso I) e, mais ainda, no mesmo caso concreto. Vale dizer: a reincidência infracional, aqui proposta, somente incide no caso de cometimento de infração no mesmo caso concreto. Não se equipara à reincidência penal, tal como prevista no art. 63 do Código Penal13, que não faz distinção sobre o tipo penal de incursão anterior. E, no caso de o agente infrator ser controlador submetidos à fiscalização em outros setores regulados, além da reincidência administrativa supramencionada, as penalidades somente poderão ser aplicadas pela ANPD após oitiva das autoridades de fiscalização competentes. Dessa forma, fica clara a limitação de poder imposta pelo legislador ao agente regulador. § 7°. Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.
Esse dispositivo foi inserido ao longo do processo legislativo da Medida Provisória 869. Possui atecnia insustentável, na medida em que incorpora, ao ordenamento jurídico, expressões que nunca antes foram utilizadas e que representam, na verdade, linguagem coloquial, proverbial, jamais técnica. Referimo-nos ao termo “vazamento”.
Não há, na LGPD, nenhum conceito legal que possa traduzir essa palavra. Ela sequer representa um conceito técnico, ou seja, associado ao ambiente tecnológico. Em verdade, no ordenamento jurídico nacional, o termo “vazamento” refere-se tão somente àquilo que, de fato, significa: derramamento.
No presente caso, é uma mera expressão coloquial, que representa qualquer incidente de segurança de dados em que as informações sejam acessadas, transmitidas ou compartilhadas com terceiros não autorizados. Nesse sentido, “vazamento” e “acesso não autorizado”, popularmente, são termos equivalentes, em determinados contextos. Nesse sentido, por violar a Lei Complementar 95, de 1998, quando determina linguagem precisa e técnica, referido dispositivo, por seu termo aberto, contribui para insegurança jurídica, sobretudo diante de sua função normativa: é que o dispositivo cria uma espécie de cláusula arbitral, cuja disposição, muito embora seja facultativa, se adotada, passa a ter consequências jurídicas relevantes. Ora, se adotada a “cláusula conciliatória” entre o titular dos dados e o agente de tratamento, somente após o insucesso do processo conciliatório é que o agente de tratamento poderá se sujeitar às sanções previstas na lei. Não é demais antecipar, desde já, que todo e qualquer controlador optará pela adoção de tal cláusula, máxime em razão da natureza dos instrumentos contratuais mais comuns: de adesão. Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa. § 1° As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei. § 2° O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Esse dispositivo constitui um importante avanço na proposta de racionalizar e tornar transparente o processo regulamentador que dará ensejo à edição de normas complementares sobre a fixação de multas. Um pleito advindo do setor empresarial, diante da experiência regulatória brasileira, que fora prontamente acolhido tanto no Senado, quanto na Câmara dos Deputados. Todavia, diante da delegação legislativa ao poder regulamentador, mais ainda sob condição de consultas públicas prévias, pode-se esperar algum grau de morosidade na conclusão da implementação da ANPD, em razão dos
critérios legais anteriormente expostos. À guisa de exemplo, podemos destacar a Portaria 791, de 26 de agosto de 2014, da Agência Nacional de Telecomunicações, que “Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa a descumprimentos a direito dos Usuários previstas na regulamentação.” Referida portaria é decorrência do quanto disposto no Regulamento de Aplicação de Sanções Administrativas – Resolução 589, de 7 de maio de 2012. Reza seu art. 39, por exemplo: Art. 39. A Anatel definirá, por meio de Portaria do Conselho Diretor, que poderá ser objeto de Consulta Pública, as metodologias que orientarão o cálculo do valor base das sanções de multa. § 1° As metodologias devem objetivar a uniformização entre as áreas técnicas das fórmulas de dosimetria para cálculo do valor base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos parâmetros e critérios previstos neste Regulamento. […]
Nesse diapasão, e, novamente, a título ilustrativo, observemos a proposta de fórmula de cálculo disposta no corpo da norma administrativa:
Onde14: a) “VBase: Valor base de multa referente a uma infração, sobre o qual ainda serão consideradas as circunstâncias atenuantes e agravantes, bem como os limites mínimos e máximos para aplicação de multa, nos termos do Regulamento de Aplicação de Sanções Administrativas;” b) “Ua: Quantidade de Usuários que foram afetados pela infração;” c) “UT: Total de Usuários da base da Prestadora;” d) “FatorDT: Fator de proporcionalidade da Infração obtida da seguinte forma:”
“Onde “D” (Dano) refere-se ao Dano da infração e “T” (Tempo) refere-se
à duração da infração.” Trata-se de um legítimo manual de aplicação da metodologia de cálculo do valor base das sanções de multa relativa a infrações a direitos e garantias dos usuários previstas na regulamentação. Nesse aspecto, portanto, espera-se nada menos que isso: um manual detalhado de fórmula de cálculo do valor das multas, previamente submetido a consulta pública. Art. 54. O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional. Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.
Há uma lamentável fragmentação normativa das disposições atinentes à multa, desde o § 4° do artigo 52, perpassando os artigos 53 e 54. A boa técnica legislativa recomendaria que os dispositivos fossem redigidos sob um núcleo normativo, um artigo ou conjunto de artigos lineares, versando sobre a pena de multa, para, dali, discorrer sobre seu detalhamento regulatório e normativo. Mas o legislador optou pelo menor zelo com referida técnica, traçando, apressadamente, as disposições que lhe cabiam fazer, a fim de assegurar a aprovação de matéria tão densa e complexa. No caso em tela, o artigo 54 versa sobre a pena de multa diária, discorrendo, incialmente, sobre critérios de sua dosimetria e obrigatoriedade de motivação administrativa. Então, no parágrafo único, passa a tratar dos requisitos de intimação, o que dará ensejo a possíveis nulidades, em decorrência do seu cumprimento. Um elemento adicional a ser observado pelo órgão fiscalizador, sem dúvida. Há, contudo, uma observação pertinente: considerando o poder de cautela administrativa, bem assim os riscos inerentes às atividades de tratamento de dados pessoais, como se poderia delimitar o conceito e a extensão de “prazo razoável”. Sendo certo que a multa diária tem por objeto o cumprimento de obrigação de fazer ou não fazer de natureza urgente, quais seriam os critérios
a serem definidos pela ANPD sobre a questão? Certamente, uma cominação a ser cumprida em decorrência do poder regulamentar conferido pelos incisos II e III do artigo 55-J, acrescido pela Medida Provisória 869, de 27 dezembro de 2018: Art. 55-J. Compete à ANPD: […] II – editar normas e procedimentos sobre a proteção de dados pessoais; III – deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos.
Isso porque o dispositivo ora analisado não possui determinação expressa de regulamentação pelo Poder Executivo e qualquer de seus órgãos, mas isso não implica omissão insanável, conforme artigo 55-J anteriormente destacado. A bem da verdade, ao longo de todo o processo legislativo, foram muitos os questionamentos contrários à proposta de destinação de recursos provenientes de multas para fomento das atividades da ANPD. O próprio Relator na Câmara, Deputado Orlando Silva, deixou claro isso em seu relatório perante a Comissão Especial do PL 4060, de 2012: [Art. 55] – Receitas do órgão competente Como dito anteriormente, um órgão somente poderá fiscalizar efetivamente um determinado setor da economia com verbas suficientes e perenes. Por outro lado, o ente regulador não pode se tornar simplesmente um novo elemento arrecadador. Por esses motivos, ao mesmo tempo em que prescrevemos claramente a separação de receitas orçamentárias próprias para o futuro órgão designado, determinamos oito fontes adicionais de recursos. Em tempo, esclarecemos que os oito incisos previstos nada mais são do que aqueles normalmente destinados a órgãos da administração direta ou indireta, tais como receitas com dívida ativa doações, mercado financeiro, cobrança de emolumentos, acordos, convênios ou contratos e venda de publicações. É importante observar que não se quer criar uma indústria da multa. Apenas se garantir a independência administrativa da Autoridade, e, comisso, assegurar o poder fiscalizatório do órgão (grifamos).
Dessa maneira, houve, ao menos na LGPD, tal como aprovada pelo Congresso Nacional, preocupação legítima em limitar o poder arrecadatório da ANPD, de maneira a não se criar um estímulo à referida “indústria da multa”. Fatalmente, porém, o artigo em questão fora vetado pelo Presidente da República.
Dessa forma, conclui-se que o regime sancionatório da LGPD é inspirado, tal como ocorre em suas demais disposições regulatórias, na norma europeia – RGPD. Todavia, o processo legislativo brasileiro e a experiência nacional de regulações de outros setores econômicos contribuíram para um dimensionamento mais adequado à realidade brasileira de tais disposições. Há problemas, é verdade, que poderiam ter sido sanados ao longo da tramitação da MPV 869, de 2018. Mas, encerrado o seu processamento legislativo, verifica-se que boa parte das questões permanece, na forma da Lei 13.853, de 2019. Afora isso, as penalidades trazidas na LGPD são suficientes à exequibilidade de um bom regime regulatório e devem ser preservadas, ou, no máximo, melhoradas, para contemplar o conjunto amplo de possibilidades jurídicas decorrentes desse tipo de sistema. Referências bibliográficas ALVES, Fabricio da Mota. Representação Criminal e bloqueio de aplicativo. observatório do Marco Civil da Internet. Disponível em: [www.omci.org.br/jurisprudencia/115/representacao-criminal-e-bloqueiode-aplicativo/]. Acesso em: 30.01.2019. CRUZ E TUCCI, José Rogério. Natureza, compatibilidade e limites subjetivos da multa coercitiva. Revista Consultor Jurídico, 09.01.2018. Disponível em: [www.conjur.com.br/2018-jan-09/paradoxo-cortenatureza-compatibilidade-limites-subjetivos-multa-coercitiva]. Acesso em: 30.01.2019.
DICIONÁRIO MICHAELIS. Disponível em: [http://michaelis.uol.com.br/busca?r=0&f=0&t=0&palavra=multa]. Acesso em 22.01.2019. RUIVO, Marcelo Almeida. Penas infamantes no Direito Penal Empresarial brasileiro: pressupostos para uma análise de constitucionalidade. Disponível em: [www.wunderlich.com.br/images/publicacoes/artigos/Penas_infamantes_no_direito_p Acesso em: 31.01.2019.
STRAUSS, L. The City and the Man. Chicago: University of Chicago Press, 1964.
1. 2. 3. 4. 5.
6. 7. 8.
9.
10.
11. 12. 13. 14.
Dicionário Michaelis. Disponível em: [http://michaelis.uol.com.br/busca? r=0&f=0&t=0&palavra=multa]. Acesso em: 22.01.2019. STRAUSS, L.eo. The City and the Man. Chicago: University of Chicago Press, 1964, p. 23. Disponível em: [[www.omci.org.br/jurisprudencia/115/representacao-criminal-e-bloqueio-deaplicativo]. Acesso em: 30.01.2019. Regulamento Geral de Proteção de Dados europeu. Disponível em: [www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessionid=BC8DF1C627A1298ED6E4D90820BE codteor=1762621&filename=PL+3420/2019]. Acesso em: 07.09.2019. Disponível em: [www.conjur.com.br/2018-jan-09/paradoxo-corte-natureza-compatibilidadelimites-subjetivos-multa-coercitiva]. Acesso em: 30.01.2019. Idem. BRASIL. Senado Federal. Emenda n° 34-CAE. Disponível em: [https://legis.senado.leg.br/sdleg-getter/documento?dm=7734227&disposition=inline]. Acesso em: 30.01.2019. BRASIL. Senado Federal. Parecer sem número. Disponível em: [http://portaldaprivacidade.com.br/wpcontent/uploads/2018/05/2018_05_29_Relato%CC%81rio_de_Plena%CC%81rio.pdf]. Acesso em: 30.01.2019. Disponível em: [www.wunderlich.com.br/images/publicacoes/artigos/Penas_infamantes_no_direito_penal_empres.pdf Acesso em: 31.01.2019. Disponível em: [http://g1.globo.com/economia/noticia/2016/04/anatel-proibe-operadoras-dereduzir-internet-fixa-apos-fim-da-franquia.html]. Tradução livre: “É preciso ater-se obstinadamente às palavras da lei; as palavras devem ser entendidas com efeito”. “Verifica-se a reincidência quando o agente comete novo crime, depois de transitar em julgado a sentença que, no País ou no estrangeiro, o tenha condenado por crime anterior.” Disponível em: [www.anatel.gov.br/legislacao/portarias-de-sancoes/806-portaria-791]. Acesso em: 31.01.2019.
Capítulo IX Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
ANDRIEI GUTIERREZ Recentemente, um desafio ganhou as redes sociais. Tratava-se de postar duas fotos sua, uma de 2009 e outra hoje, dez anos depois, em 2019. Além de um debate muito rico sobre o desafio estar ou não subsidiando a calibragem de algoritmos de inteligência artificial para reconhecimento facial, aquele foi um importante momento de reflexão coletiva sobre como as soluções movidas a dados estão revolucionando as nossas vidas. Foi um momento contagiante, no qual muitos pararam para pensar como era a nossa vida sem as facilidades que temos hoje. Como há tão pouco tempo atrás vivíamos sem ter as aplicações para chamar o serviço de táxi ou de deslocamento compartilhado? Como nas grandes cidades usávamos um guia impresso para nos direcionar nas ruas ou, os mais moderninhos, só dispúnhamos de um aparelho de GPS sem atualização em tempo real das vias e estradas? Como sobrevivíamos sem um smartphone? Aliás, o autor deste artigo, em 2009, ainda almejava ter um aparelho blackberry (de teclado físico) para responder e-mails de maneira mais eficiente. Pergunta o leitor, e a Autoridade? Chegaremos lá. Mas antes, é importante pontuar que vivemos um momento de transformação social rápida e profunda no qual a tecnologia e os dados estão no epicentro. Este, aliás, tem se deslocado de uma sociedade predominantemente industrial, dependente da manufatura, para uma sociedade cada vez mais dependente de dados e dos serviços a eles ligados. No meu dia a dia, em uma grande empresa de tecnologia da informação com atuação e expertise em todos os setores produtivos, respiro e me retroalimento por essa transformação digital. Se ainda temos muitas dúvidas sobre como será o futuro, por outro lado, é certo que estamos a escrever o início de uma nova etapa de desenvolvimento
econômico e social sem precedentes nos últimos 150 anos. Períodos de transição geralmente são muito delicados, pois significam a convivência do novo com o velho. Tratando-se de garantia de direitos fundamentais, o tema se torna ainda mais complexo. E diferentes nações, o Brasil em especial, têm se dedicado a fazer revisões dos seus marcos legais e regulatórios para a busca de equilíbrio, o reestabelecimento da confiança e, assim, permitir o pleno desenvolvimento sustentável de longo prazo. E aqui se inscreve a sanção presidencial, em 14 agosto de 2018, da Lei Geral de Proteção de Dados Pessoais (LGPD). Naquela ocasião, participamos de uma ampla coalizão social de mais de 80 entidades, liderada pela Associação Brasileira das Empresas de Tecnologia da Informação e da Comunicação (Brasscom) e por outras entidades, que defenderam, perante o Presidente da República, que a sanção da LGPD tratava-se de um grande pacto social de importância histórica e social similar àquela trazida pela promulgação da Consolidação das Leis do Trabalho (CLT), pelo presidente Getúlio Vargas, em 1943. A despeito das críticas que receba nos dias atuais, a CLT pacificou uma sociedade dividida e pavimentou o desenvolvimento industrial brasileiro no século XX. A LGPD assume, guardadas as devidas proporções, função muito parecida no atual contexto histórico. Uma sociedade na qual os dados assumem importância crescente precisa de regras claras e maior transparência sobre a maneira como eles são coletados, armazenados, tratados, compartilhados e até descartados. Regras, quando equilibradas, trazem previsibilidade para os setores produtivos e confiança para os cidadãos e consumidores. E a despeito de críticas pontuais que possa receber, a LGPD traz essa confiança e previsibilidade permitindo que a transformação digital brasileira avance de maneira sustentável. Tão importante quanto a existência de leis e regulamentações é a maneira institucional pela qual estas se farão respeitadas. E aqui chegamos na Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Antes de entrarmos na discussão dos artigos que estabelecem a criação da Autoridade, é importante destacar as condições legais para a sua criação e os desafios atuais para avançar de maneira célere nessa relevante agenda. O debate em torno da Autoridade Desde que o Projeto de Lei do Poder Executivo para proteção de dados
pessoais foi encaminhado ao Congresso Nacional, em maio de 2016, a criação da ANPD tem sido ponto de preocupação. O envio desse projeto de lei foi um dos últimos atos da então Presidente Dilma Rousseff, que sofreu um processo de impeachment fundamentado em razões de ordem orçamentária e sua relação com o Congresso Nacional. Embora a criação da Autoridade estivesse manifesta na versão final egressa do Ministério da Justiça, foi retirada pela Presidência antes de seu envio ao Congresso Nacional. Naquela altura, do avançado processo de impeachment, mais uma proposta de aumento de gastos não pegaria muito bem e poderia dar munição aos defensores do impedimento da Presidente. Foi na Câmara dos Deputados que a criação da Autoridade voltou ao texto. Assim, o relatório final do Projeto de Lei 5.276, depois aprovado pelo Senado Federal na forma do Projeto de Lei da Câmara dos Deputados (PLC) 53, autorizaria a criação de uma autarquia vinculada ao Ministério da Justiça, assessorada por um Conselho Nacional. O final desse enredo é que o Presidente Michel Temer vetaria a criação de ambos, ANPD e Conselho, quando da sanção da Lei. Essa decisão foi embasada em demandas do setor privado e de órgãos estatais que receavam a possibilidade de insegurança jurídica advinda do processo de criação legal da Autoridade. Como a criação de estrutura administrativa é uma atribuição constitucional exclusiva do Poder Executivo, argumentava-se que a sua inserção no texto legal pelo Poder Legislativo poderia gerar questionamentos jurídicos capazes de anular a criação da futura Autoridade, com base em “vício de iniciativa”. Nesse acalorado debate, havia setores, entre eles a assessoria técnica da Câmara dos Deputados, que defendiam que o fato de o Projeto de Lei ter partido do Poder Executivo, mencionando a necessidade da Autoridade, por si só justificaria legalmente a possibilidade de sua criação por aquela casa. Por fim, o Presidente da República optou por vetar a criação da ANPD e do Conselho. E para pacificar o tema, prometeu enviar outra peça legislativa, seja uma Medida Provisória ou um Projeto de Lei, com conteúdo muito similar ao aprovado pelo Congresso. E chegamos à publicação da Medida Provisória (MP) 869, de 28 de dezembro de 2018, que culminou na Lei 13.853 de 2019 e que estabeleceu
alguns parâmetros para a criação da ANPD. E aqui, caro leitor, nos encontramos. No atual momento em que esta coletânea é revisada, em agosto/setembro de 2019, o governo trabalha em um decreto necessário para a criação dos cargos e da dotação orçamentária da ANPD. A Presidência da República também está avaliando eventuais nomes para serem indicados aos cinco cargos de diretores da ANPD, que deverão, em seguida, ser sabatinados pelo Senado Federal antes de serem efetivamente empossados. O governo também deverá nomear nos próximos meses os membros que comporão o Conselho Nacional de Proteção de Dados Pessoais (CNPD). Feito esse prólogo, vamos à análise do texto da LGPD com as recentes alterações aprovadas pelo Congresso Nacional. Seção I Da Autoridade Nacional de Proteção de Dados (ANPD) Art. 55. (VETADO). Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República. § 1° A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. § 2° A avaliação quanto à transformação de que dispõe o § 1° deste artigo deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD. § 3° O provimento dos cargos e das funções necessários à criação e à atuação da ANPD está condicionado à expressa autorização física e financeira na lei orçamentária anual e à permissão na lei de diretrizes orçamentárias. Art. 55-B. É assegurada autonomia técnica e decisória à ANPD.
Como já explicitado anteriormente, a criação da ANPD é um passo importante e essencial para a efetiva garantia à proteção dos dados pessoais assim como para a segurança jurídica para organizações, sejam elas públicas ou privadas. Dada a relevância desse papel, é também relevante que, além da autonomia técnica e decisória, a ANPD também desfrute de autonomia funcional, financeira e administrativa. Aliás, a sociedade brasileira tem entendido que as atividades regulatórias deveriam ter essa ampla autonomia para que seu relevante trabalho técnico possa avançar sem interrupções ou intervenções das autoridades. Um
exemplo é o artigo 3° da Lei 13.848 de 2019 que regulamenta o funcionamento das agências regulatórias e menciona que “A natureza especial conferida à agência reguladora é caracterizada pela ausência de tutela ou de subordinação hierárquica, pela autonomia funcional, decisória, administrativa e financeira e pela investidura a termo de seus dirigentes e estabilidade durante os mandatos, bem como pelas demais disposições constantes desta Lei ou de leis específicas voltadas à sua implementação.” E a ANPD será uma autoridade com alcance amplo que pode chegar a todos os setores econômicos brasileiros, inclusive até alcançar atividades estatais de políticas públicas e serviços públicos. Ora, é importante que na execução das suas atribuições para a proteção dos dados pessoais, a ANPD tenha autonomia para fiscalizar ambos os setores público e privado. Esse entendimento, aliás, tem sido prevalecente tanto entre os países da União Europeia quanto da OCDE, que possuem recomendações que vão no sentido de garantir que os países que recebam ou trafegam dados, tenham marcos legais para a proteção à privacidade que sejam aplicados por uma autoridade independente. Nesse sentido, é muito pertinente que o Congresso Nacional tenha incluído os §§ 1° e 2° que reforçam o caráter transitório da ANPD como parte da administração direta e estipulam um prazo de até dois anos para que o Poder Executivo reavalie a conversão da ANPD em uma autarquia, entidade da administração indireta. Art. 55-C. ANPD é composta por: I – Conselho Diretor, órgão máximo de direção; II – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; III – Corregedoria; IV – Ouvidoria; V – órgão de assessoramento jurídico próprio; e VI – unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.
A despeito da autorização legal para a criação da ANPD, é necessário que sua estrutura e regimento sejam definidos por um decreto Presidencial. No momento que este artigo é escrito, o governo trabalha em uma minuta de decreto definindo os parâmetros mínimos para o funcionamento da ANPD por exemplo, as unidades administrativas e especializadas que serão criadas assim como os cargos necessários para o seu funcionamento.
Dada a crise fiscal-orçamentária pela qual passa o País, é esperado uma Autoridade enxuta. Entre especialistas do setor público e privado, avalia-se que a ANPD deva funcionar com algo em torno de 10% dos efetivos da ANATEL (que conta com cerca de 400 funcionários), o que totalizaria algo em torno de 40 funcionários. A exigência de austeridade na contratação de funcionários, aliada à ampla transformação digital pela qual passa o governo, tem dado lugar às ideias de criação de uma Autoridade amparada por ferramentas digitais. Alguns exemplos seriam a oferta de capacitação em proteção de dados para empresas e organizações por meio digital, de canais digitais para atendimento de denúncias, o uso de inteligência artificial para a interlocução com o cidadão/consumidor e para o apoio à atividade apuração de denúncias etc. Abre-se aqui uma oportunidade para repensar os padrões de agência regulatória à luz das transformações tecnológicas que têm impulsionado a reinvenção do Estado. Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. § 1° Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores – DAS, no mínimo, de nível 5.
A partir da análise da experiência internacional, parece ser adequado que a ANPD seja dirigida por 5 diretores. Por outro lado, tem havido uma grande preocupação em torno dos valores da remuneração. Um cargo de DAS de nível 5 recebe uma remuneração, segundo valores correntes disponíveis no site do Ministério da Economia, de R$ 13.623,39. As preocupações são de duas ordens. A primeira é a de que com esse valor, poucos especialistas do mercado teriam interesse em abandonar suas remunerações no setor privado ou da academia para aceitar o posto de diretor da ANPD. Por outro lado, no âmbito da gestão pública, o baixo valor desencorajaria aqueles servidores com conhecimento técnico e maior experiência em aceitar irem para a ANPD como diretores. Durante os debates, havia os que defendiam que o nível do DAS fosse mais alto, DAS 6, que atingiria um valor de R$ 16.944,90, mais próximo aos valores do mercado. § 2° Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
É pertinente que a Lei estabeleça que os membros do Conselho Diretor tenham elevado conceito no campo de especialidade dos cargos para os quais serão nomeados. Do mesmo modo, seria pertinente que o Decreto para a estruturação da ANPD, em elaboração, detalhe as competências necessárias que os diretores deverão ter. O tema da proteção de dados pessoais é multidisciplinar e multissetorial, que afeta diversos domínios da economia e da sociedade brasileira. Entre essas disciplinas, há algumas que nitidamente refletem temas de potencial conflito e que exigem amplo conhecimento para a execução equilibrada da atividade regulatória: 1)
2)
3)
4)
5)
Direitos fundamentais. Em sua essência, a promulgação da LGPD vem no sentido de garantir direitos fundamentais e trazer segurança jurídica para a inovação movida a dados. Dessa maneira, é importante que o Conselho Diretor tenha amplos conhecimentos sobre os direitos fundamentais, entre eles o direito à liberdade de expressão, de ir e vir, de privacidade, de não ser discriminado, a atenção em relação a grupos sociais mais vulneráveis, entre outros. A inovação e o desenvolvimento econômico e social movido a dados. É importante que o Conselho Diretor conte com membros com comprovado conhecimento e trajetória profissional ligada às inovações tecnológicas movidas a dados, à transformação digital e à economia digital. Proteção do Consumidor. O uso de dados pessoais nas relações de consumo está crescendo vertiginosamente e é importante que o Conselho Diretor conte com conhecimentos para a proteção dos direitos do consumidor na nova economia digital. Governo Digital. Tendo em vista a necessária reinvenção digital do Estado brasileiro em andamento, torna-se pertinente que o Conselho Diretor conte com membros com amplos conhecimentos sobre a transformação em curso das políticas públicas e dos serviços públicos por meio das ferramentas digitais. Segurança e Governança da Informação. Em boa parte das jurisdições, as normas de proteção de dados pessoais visam a introdução de conceitos e práticas para melhoria da segurança e da governança da informação. Desse modo, é relevante que esses domínios constituam
parte das competências para a constituição do Conselho Diretor. § 3° O mandato dos membros do Conselho Diretor será de quatro anos. § 4° Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de dois, de três, de quatro, de cinco e de seis anos, conforme estabelecido no ato de nomeação. § 5° Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.
O estabelecimento de mandatos de 4 anos vai no sentido de evitar que haja ingerência direta da Presidência da República sobre os diretores, garantindo que tenham certa estabilidade no cargo por um período que transcende os mandatos presidenciais. Do mesmo modo, o estabelecimento de diferentes prazos para as primeiras nomeações será um importante mecanismo para que, no futuro, a ANPD tenha diretores nomeados por diferentes presidentes em diferentes momentos. Art. 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar. § 1° Nos termos do caput, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis. § 2° Compete ao Presidente da República determinar o afastamento preventivo, somente quando assim recomendado pela comissão especial de que trata o § 1° deste artigo, e proferir o julgamento.
Também houve a preocupação de reforçar a autonomia dos diretores. A inclusão da necessidade de instauração de processo administrativo disciplinar conduzido por comissão especial é mais um instrumento criado para que os diretores tenham reforçada a sua autonomia perante o Poder Executivo. Dada a amplitude da LGPD, espera-se que a ANPD também faça um trabalho de normatização, educação e fiscalização junto ao Poder Público. A ANPD deve ter autonomia e independência para fiscalizar e propor sugestões de melhoria e correção de políticas e processos para a garantia da privacidade e, se necessário, aplicar as medidas cabíveis. É importante que esse trabalho avance de maneira autônoma e independente do Poder Executivo, mesmo que interesses políticos localizados venham a ser contrariados. Art. 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no art. 6° da Lei 12.813, de 16 de maio de 2013. Parágrafo único. A infração ao disposto no caput caracteriza ato de improbidade administrativa.
A Lei 12.813 já prevê que todos os funcionários públicos do GrupoDireção e Assessoramento Superiores – DAS, níveis 6 e 5 ou equivalentes sejam enquadrados em regras rígidas para evitar conflitos de interesses e o resguardo de informações privilegiadas após o exercício do cargo por um período de seis meses. Dessa maneira, esse artigo visa reforçar o disposto na mencionada lei. Art. 55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD. Parágrafo único. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.
Vide comentários ao Artigo 55-C, sobre decreto presidencial em elaboração. Art. 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal.
Esse artigo vai ao encontro dos esforços empreendidos pelo Poder Executivo de redução das despesas da máquina pública, em especial daquelas relacionadas ao custeio da máquina, caso das novas contratações. Art. 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo DiretorPresidente. Art. 55-J. Compete à ANPD: I – zelar pela proteção dos dados pessoais, nos termos da legislação; II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2° desta Lei; III – elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
Os três primeiros incisos do artigo 55-J condensam o espírito da lei. É importante que a ANPD tenha ampla competência técnica para executar essas atribuições. Como a proteção de dados pessoais no Brasil é um tema novo, é notório que ainda há poucos profissionais com amplos conhecimentos sobre esses objetos. Dessa maneira, a remuneração dos funcionários da ANPD que apoiarão os diretores, esperada para uma faixa de DAS 3 (em torno de R$ 5.700 em valores atuais), ainda seria insuficiente para que os diretores
contem com profissionais equivalentes à qualificação exigida. Logo, é de grande relevância que os diretores nomeados tenham ampla competência técnica e trajetória profissional capaz de sustentar esse relevante trabalho de edição de normas e procedimentos para a proteção de dados pessoais. Cabe ressaltar também que a LGPD é uma carta principiológica, tal como deve ser, que traça as balizas gerais que deverão ser regulamentadas pela futura Autoridade. A introdução da notificação de vazamentos, por exemplo, é uma delas. Pela primeira vez no País, organizações serão obrigadas a notificar as autoridades sobre vazamentos de dados. Todavia, o prazo e a maneira como essa notificação deverá ser feita ainda estão passíveis de definição. Ao instituir tal obrigação, a lei limitou-se a mencionar que as notificações sejam feitas “em prazo razoável”. Outros temas que deverão ser regulamentados são os acordos contratuais para transferência internacional de dados pessoais, por meio das cláusulaspadrão contratuais, assim como das cláusulas específicas para tal finalidade. As empresas que transferem dados para suas subsidiárias fora do País também aguardam a definição do mecanismo de aprovação de regras corporativas vinculantes. A futura ANPD também deverá se debruçar sobre o conteúdo dos relatórios de impacto à proteção de dados pessoais, assim como nos casos em que ele será obrigatório tanto para o setor privado quanto público. Outro aspecto importante ligado à normatização diz respeito à interpretação e ao esclarecimento na Lei de pontos obscuros ou que geram interpretação dúbia. Como comparação, desde a promulgação da GDPR, em 2016, até sua efetiva vigência, em maio de 2018, tem havido um trabalho intensivo nesse sentido. No caso específico europeu, no qual há várias autoridades nacionais, foi estabelecido o Conselho Europeu de Proteção de Dados (EDPB, na sigla em inglês) que tem liderado essa frente, emitindo pareceres e orientações sobre temas tais como as funções do encarregado de privacidade, os relatórios de impacto à privacidade para casos de processamento de alto risco, as notificações sobre vazamentos de dados, as decisões automatizadas e tecnologias de perfilhamento, entre outros pontos. Dado o curto período de tempo para as organizações brasileiras se adequarem à nova legislação, a ANPD deveria começar o quanto antes o
trabalho de regulamentação da LGPD e de detalhamento dos pontos obscuros ou dúbios por meio de estudos, guias e orientações. Sem essas balizas, o trabalho de conformidade pelas organizações ficará muito prejudicado. O tempo aqui também pode ser amigo ou inimigo da conformidade legal. IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
A fiscalização e possibilidade de aplicação de sanções é parte essencial da institucionalização da proteção dos dados pessoais materializada pela criação da ANPD. Mas é necessário que se construa um arcabouço de estímulo às boas práticas por parte das organizações de modo a reduzir ao máximo a necessidade de se recorrer ao expediente da punição. Nesse campo, a publicação de diversos guias, orientações e estudos por parte da ANPD pode trazer uma baliza importante para que controladores e operadores possam adequar suas práticas e processos internos da maneira mais eficiente possível de modo a evitar que sejam alvo de processos administrativos e, eventualmente, de sanções. V – apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
Nos debates sobre a ANPD, ainda tem se dado pouco espaço sobre um aspecto de alta relevância da Autoridade que é o de ser promotor ativo de uma cultura da privacidade no País. E aqui identifico dois grandes desafios. O primeiro diz respeito a uma mudança cultural, de maior conscientização sobre a importância da privacidade e dos riscos associados à manutenção de comportamentos não preventivos. Caso o leitor tenha se identificado aqui, sim, refiro-me à maneira como damos nossos dados, fazemos cadastros em lojas e farmácias, aceitamos que coletem e tratem nossas informações sem ao menos perguntar qual a finalidade e se tantos dados são necessários para tal. A maneira como interagimos nas redes sociais etc. O titular do dado é e deve ser o primeiro pilar de proteção à privacidade. Campanhas públicas, de comunicação e iniciativas de educação com a população sobre o tema são, sem dúvidas, um
campo necessário de atuação. A Autoridade teria um papel fundamental de órgão ativo de promoção de iniciativas e parcerias com entidades da sociedade civil e do setor privado nessa área. Outro grande desafio diz respeito à mudança de cultura corporativa e organizacional. Não é difícil identificar que há pouquíssimo grau de preocupação ou cuidado com segurança e governança da informação nas organizações brasileiras – e incluo aqui também o Poder Público. A mudança dessa cultura corporativa deve ser um aspecto primordial para a futura ANPD. Diferentemente de países europeus que têm suas leis de proteção de dados pessoais que remontam décadas, nossas organizações ainda precisam ser educadas, reorganizadas e treinadas para trabalhar sob novos critérios. Caso contrário, teremos uma lei inócua e sem eficácia ou uma autoridade extremamente punitiva e, assim, prejudicial ao desenvolvimento das tão necessárias inovações baseadas em dados que o País necessita e que os consumidores almejam. Tal como na atividade de mudança cultural da população, a Autoridade também teria papel central na transformação cultural das organizações. Será muito importante que tenhamos campanhas e iniciativas focadas, sobretudo nas pequenas e médias empresas e organizações, que não terão tantos recursos quanto as grandes para buscar assessorias externas (seja de matrizes ou de empresas especializadas). E aqui será muito importe que se busque e que esse trabalho seja realizado em conjunto com entidades empresariais setoriais e multissetoriais, sejam da indústria, do comércio, dos serviços, de empreendedorismo etc. VII – promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
Como já mencionado anteriormente, no inciso VI, a elaboração de estudos, guias e orientações com as melhores práticas nacionais e internacionais deve ser trabalho prioritário. Nesse bojo, é relevante que a ANPD leve em consideração as mais de 130 diferentes legislações e a pluralidade de modelos regulatórios e, sempre que possível, priorizando a convergência regulatória de modo a otimizar a competitividade e a integração brasileira nas cadeias globais de valor. VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em
consideração as especificidades das atividades e o porte dos responsáveis;
O empoderamento do cidadão e do consumidor rumo a um maior controle sobre seus dados pessoais deve ser uma atividade e prioridade constantes. Nesse contexto, é salutar que o estímulo para tal prática esteja anunciado entre as atribuições formais da ANPD. Como esse é um esforço global, a organização de seminários, treinamentos e guias com esse propósito pode render bons frutos. De modo conexo, é importante que a ANPD sempre tenha no seu radar que há uma crescente interconexão e interdependência dos serviços movidos a dados em escala global. Assim, é imperioso que a ANPD busque sempre a adoção de padrões internacionalmente reconhecidos ou que, na ausência destes, busque construir novos padrões em ampla colaboração internacional, seja com as outras autoridades competentes, mas também com as organizações internacionais ligadas aos setores produtivos. IX – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
Dada a natureza imaterial dos dados, diferentemente das mercadorias físicas, é relevante que a ANPD priorize a cooperação com as autoridades competentes nos outros países, regiões ou de natureza transnacional. As experiências internacionais têm demonstrado que essa cooperação é cada vez mais essencial para a proteção de direitos fundamentais e, sobretudo, o diálogo e a busca de convergência regulatória e de cooperação econômica. X – dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; XI – solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
A requisição de informações sobre as operações de tratamento de dados por Autoridades de Proteção de Dados Pessoais é uma atividade importante das suas atribuições de fiscalização da conformidade com a lei e de zelo à proteção de dados pessoais. Dada a possível dimensão dessas requisições pode ser pertinente, para ambas a ANPD e as organizações que tratam dados, o estabelecimento prévio de quais informações podem ser requeridas e em quais formatos. Com o avanço da inteligência artificial, a ANPD pode contar,
em um futuro próximo, com mecanismos digitais para auxílio de parte do trabalho inicial de triagem e avaliação de conformidade. Do mesmo modo, a existência de parâmetros definidos sobre as informações e o formato que devam ser apresentadas pode ser um instrumento de segurança jurídica para as organizações que tratam dados, de modo a construírem seus processos internos de conformidade e geração de evidências em acordo com esses parâmetros. XII – elaborar relatórios de gestão anuais acerca de suas atividades; XIII – editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
A democratização das ferramentas de comunicação trazida pela internet tem facilitado e fortalecido a possibilidade de amplas consultas públicas com a finalidade de emissão de regras, normas e pareceres. Desse modo, é pertinente que a ANPD se valha desse expediente de modo a exercer seu trabalho regulatório de maneira democrática e transparente. Entre os debates internacionais, com destacada atuação do Center For Information Policy Leadership (CIPL) – importante think tank que atua no tema em parceria com reguladores e autoridades nacionais de proteção de dados –, tem predominado a opinião de que essas normas e orientações são mais eficazes quando discutidas e elaboradas com a participação dos diversos segmentos sociais afetados, em especial os setores diretamente regulados. XV – arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; XVII – celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei n° 4.657, de 4 de setembro de 1942; XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX – garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei n° 10.741, de 1° de outubro de 2003 (Estatuto do Idoso); XX – deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; XXI – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; XXII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
Há uma assimetria de poder sancionatório por parte da ANPD em relação aos setores públicos e privado. Enquanto a ANPD dispõe, entre outras sanções, da possibilidade de aplicação de multas para o setor privado de até 2% do faturamento do ano anterior com um teto de R$ 50 milhões, multa que pode ser diária e por infração, a Autoridade não tem o mesmo alcance para o setor público. Dessa maneira, é de grande relevância que haja grande sinergia entre as ações da ANPD para o setor público junto aos órgãos de controle interno, entre eles a Controladoria-Geral da União. Nesse sentido, é relevante que se busque ampla união de esforços para a disseminação das melhores práticas para o tratamento de dados pessoais entre os entes da administração pública. XXIII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
Dado o caráter transversal da ANPD é importante que busque ao máximo o diálogo e a convergência com as outras entidades ou órgãos regulatórios nacionais. É imperioso que as regras e normas a serem emitidas pela ANPD não venham a prejudicar ou entrar em conflito com o trabalho regulatório de setores específicos, o que traria grande insegurança jurídica para as organizações reguladas. XXIV – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
É relevante que a ANPD adote mecanismos simplificados e de fácil acesso para que todo e qualquer cidadão possa conhecer e usufruir seus direitos resguardados em lei. Como já mencionado anteriormente, o acesso por meio eletrônico pode permitir que os trabalhos da ANPD sejam apoiados por ferramentas digitais, de interlocução, entendimento e triagem das
reclamações sem prejuízo para a manutenção dos canais de atendimentos por pessoal natural. Também seria salutar que, junto com esses mecanismos digitais a ANPD também disponibilizasse conteúdos informativos sobre a LGPD, os direitos dos cidadãos e recomendações sobre boas práticas de como proteger os seus dados pessoais. § 1° Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei. § 2° Os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
O Brasil tem avançado muito nas últimas décadas no que tange às consultas públicas, sobretudo para melhor guiar a execução de políticas públicas com impactos regulatórios. Todavia, tal avanço não tem sido feito de estudos e análises de impacto regulatório. Há perguntas importantes, antes da adoção de uma política pública regulatória, que devem ser feitas para entender e antecipar os impactos sobre todos os agentes, sejam eles organizações públicas e privadas ou cidadãos e consumidores. Esperamos que essa seja uma baliza fundamental para as futuras decisões e o modus operandi da ANPD. § 3° A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei. § 4° A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD. § 5° No exercício das competências de que trata o caput deste artigo, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei.
Constatado o amplo alcance da ANPD sobre boa parte de todos os setores da economia brasileira, é prudente que se busque o resguardo do segredo empresarial. Esse ponto é relevante não somente no que diz respeito às informações sobre as propriedades intelectuais que garantem diferenciais
competitivos, como também sobre diferentes técnicas de tratamento e classificação de dados que por si só também venham a ser considerados um diferencial competitivo. É imperioso que ao regulamentar temas como a portabilidade de dados, por exemplo, a ANPD tome muito cuidado para que esta possa ocorrer de modo a garantir tanto o direto do titular à portabilidade, quanto o direito da organização à proteção de informações relativas ao seu segredo empresarial. § 6° As reclamações colhidas conforme o disposto no inciso V do caput deste artigo poderão ser analisadas de forma agregada, e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.
É imperioso que se busque sempre que possível tal agregação das reclamações e padronização das providências ligadas a casos similares sem prejuízo para os plenos direitos dos titulares. No atual cenário de digitalização de serviços e produtos, são reduzidos os casos que um vazamento de dados ou a ação de desrespeito à privacidade ocorram de modo individualizado. A tendência vista é a de que esses vazamentos ou desrespeitos estejam ligados a amplas bases de dados com alcance para atingir uma massa volumosa de titulares, podendo chegar à cifra de milhões ou bilhões de afetados. A solução de agregar as reclamações e adotar providências padronizadas ajuda a ANPD a dar celeridade às reclamações e, ao mesmo tempo, pode facilitar a resposta por parte das organizações alvo de reclamações. Nesse sentido, talvez seja pertinente à ANPD estabelecer ferramentas internas recursais, sempre que possível digitais, de modo a permitir que titulares que porventura discordem de um tratamento agregado possam ter o direito a uma revisão do seu caso. Art. 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.
Dada a sua transversalidade, a proteção de dados pessoais pode ser objeto de uma multiplicidade de organismos legiferantes, regulatórios ou fiscalizatórios. Nesse sentido, o artigo 55-K significa um passo rumo à segurança jurídica no que tange ao tema. No início de 2019, por exemplo, já
tinham cerca de 15 projetos de lei estaduais e municipais para regulamentar a matéria, alguns deles criando suas Autoridades regionais e municipais. Nesse âmbito, tem sido consenso entre especialistas que seria pertinente que se fosse além da LGPD e se formalizasse o objeto proteção de dados pessoais como competência privativa da União, de modo a trazer mais segurança jurídica. Dessa maneira, é relevante que avance de forma célere o Projeto de Emenda Constitucional do Senado Federal (PEC) 17, de 2019, que inclui “proteção e tratamento de dados pessoais” no artigo 22 da Constituição Federal, alçando o tema a competência privativa da União para legislar sobre a matéria. A PEC 17 já foi alvo de discussão e aprovação pelo Senado Federal e encontra-se em debate na Câmara dos Deputados antes de ir à sanção presidencial. Art. 55-L. Constituem receitas da ANPD: I – as dotações, consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos; II – as doações, os legados, as subvenções e outros recursos que lhe forem destinados; III – os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade; IV – os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo; V – (VETADO); VI – os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais ou internacionais; VII – o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.
A experiência internacional tem mostrado que é pertinente evitar que as Autoridades de Proteção de Dados Pessoais tenham como recursos aqueles oriundos de multas e sanções. Nesse sentido, o artigo 55-L foi objeto de amplo debate e resultou em uma redação satisfatória. Ficaram de fora das receitas da ANPD os recursos oriundos de multas e sanções, assim como aqueles da dívida ativa que poderiam ensejar, em algum momento, conflito de interesse entre as atividades regulatórias e a necessidade de arrecadação de recursos da Autoridade. Com essa última redação no artigo 55-L, a prerrogativa de aplicação de sanções pecuniárias ficou apartada da necessidade de obtenção de receitas. Art. 56. (VETADO). Art. 57. (VETADO).
Seção II Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade Art. 58. (VETADO). Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos: I – 5 (cinco) do Poder Executivo federal; II – 1 (um) do Senado Federal; III – 1 (um) da Câmara dos Deputados; IV – 1 (um) do Conselho Nacional de Justiça; V – 1 (um) do Conselho Nacional do Ministério Público; VI – 1 (um) do Comitê Gestor da Internet no Brasil; VII – 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais; VIII – 3 (três) de instituições científicas, tecnológicas e de inovação; IX – 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo; X – 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e XI – 2 (dois) de entidades representativas do setor laboral. § 1° Os representantes serão designados por ato do Presidente da República, permitida a delegação. § 2° Os representantes de que tratam os incisos I, II, III, IV, V e VI do caput deste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública. § 3° Os representantes de que tratam os incisos VII, VIII, IX, X e XI do caput deste artigo e seus suplentes: I – serão indicados na forma de regulamento; II – não poderão ser membros do Comitê Gestor da Internet no Brasil; III – terão mandato de 2 (dois) anos, permitida 1 (uma) recondução. § 4° A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.
Como a transformação digital tem avançado a passos largos, um distanciamento do regulador da realidade regulada, por menor que ele seja, pode ter como efeito resultados nocivos sobre a inovação, a competitividade nacional ou até mesmo a entrega de serviços essenciais à população e à proteção de direitos fundamentais. Daí a importância de uma composição multidisciplinar dos membros diretores da Autoridade, já mencionada aqui, e, sobretudo, do CNPD, com capacidade de garantir uma maior representação de importantes atores da sociedade. Nos debates internacionais sobre os temas de governança da internet, a
exemplo do Internet Governance Forum, tem predominado o conceito de representação multi-stakholder e que, de certa maneira, materializa-se pela participação de quatro diferentes segmentos: governo, setor privado, academia e sociedade civil. Aqui no Brasil, um exemplo desse tipo de representação é seguido pelo Comitê Gestor da Internet que procura, seja na sua organização interna, seja nos eventos que organiza, um equilíbrio entre esses segmentos. Podemos observar que o CNPD ficou com uma composição distinta, com a participação de 9 representantes do governo, incluídos os diferentes poderes, e de 13 segmentos da sociedade. Entre estes, é interessante ver a lógica da governança da internet emprestada no CNPD (com a indicação de representantes da sociedade civil, da academia e do setor privado ligado ao tratamento de dados), mas enriquecida com a tradicional polarização capitaltrabalho, com a introdução da participação sindical de ambos, o patronato e os assalariados. Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD; II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade; III – sugerir ações a serem realizadas pela ANPD; IV – elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e V – disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população. Art. 59. (VETADO).
O CNPD tem duas funções primordiais na existência da ANPD. A primeira é a garantia de uma orientação técnica e multidisciplinar representativa de modo a equilibrar os diferentes pilares já mencionados anteriormente. A segunda, tão importante quanto a primeira, é a de buscar maior transparência e controle social às atividades da ANPD. Há países, como a Estônia, por exemplo, nos quais essa prestação de contas e o controle social são exercidos pelo próprio Poder Legislativo, seja aprovando as nomeações dos postos-chave para a Autoridade, seja fiscalizando e cobrando explicações da atuação da Autoridade. O atual debate em curso no País, em especial no Congresso Nacional,
sobre uma necessária revisão das agências regulatórias brasileiras tem evidenciado um desgaste do modelo que passa por certo controle exercido diretamente pelo Poder Legislativo nas nomeações. Segundo os críticos, a necessidade de aprovação pelos senadores dos diretores indicados pela Presidência da República para as agências teria virado moeda de barganha política ou até mesmo de esquemas de corrupção envolvendo decisões regulatórias, parlamentares, partidos políticos e empresas privadas. Nessas condições, no caso brasileiro, evidencia-se a pertinência de se aprofundar o debate sobre o controle social e, talvez, até em buscar mecanismos adicionais para maior controle público e transparência sobre as ações e decisões da futura ANPD. Estabelecer um CNPD representativo e dar-lhe condições de exercer esse trabalho é um passo importante nessa direção. *********** A promulgação da LGPD foi um passo importante do País rumo à construção de uma sociedade digital. Uma regulação transversal, extremamente necessária para que se avançasse de maneira equilibrada e sustentável a partir de um crescimento econômico e social impulsionado pelo tratamento de dados pessoais. Talvez a melhor caracterização para a LGPD seja a de um grande pacto social que, ao impor alguns limites precisos, pacifica campos de conflito de modo a cimentar a confiança necessária para o desenvolvimento de longo prazo. Por sua vez, vimos que é importante que esse avanço venha acompanhado de uma materialização institucional, representada aqui pela criação da ANPD. A publicação da MP 869, de 28 dezembro de 2018, e sua conversão na Lei 13.853, de 8 de julho de 2019, caminha inegavelmente nesse sentido. É um grande avanço para a proteção de direitos fundamentais e o estabelecimento de segurança jurídica sobre atividades em rápida expansão, que necessitam de balizas normativas e interlocutores competentes.
E esse é um processo que está em curso. Publicada a Lei que autoriza a criação da ANPD e do CNPD, ainda há muito o que ser feito, como a edição de um decreto Presidencial estabelecendo sua estrutura e seu regimento, a nomeação dos membros de ambos os conselhos diretor e consultivo, assim como a alocação de quadros necessários ao seu funcionamento.
De modo similar, também foi um grande avanço o estabelecimento de um segundo capítulo na criação da ANPD, que é o seu fortalecimento institucional com a sua conversão em uma autarquia especial na administração indireta. Entre os especialistas, é consenso que o Brasil entrou tarde no rol dos países que olham para a proteção dos dados pessoais e da privacidade. Todavia é importante destacar que fez a lição de casa com maestria, publicando uma lei de proteção de dados pessoais que, mesmo a despeito dos pontos de melhoria, tem sido considerada madura e equilibrada. Do mesmo modo, tem avançado, no seu passo e ritmo, rumo à construção das estruturas institucionais para o resguardo desses direitos e da esperada segurança jurídica. São Paulo, 2 de setembro de 2019.
Capítulo X Disposições Finais e Transitórias
ALESSANDRA BORELLI NURIA LÓPEZ Art. 60. A Lei n° 12.965, de 23 de abril de 2014 (Marco Civil da Internet), passa a vigorar com as seguintes alterações: “Art. 7° […] X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei e na que dispõe sobre a proteção de dados pessoais; […]” (NR) “Art. 16. […] II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais.” (NR)
O artigo 60 da Lei Geral de Proteção de Dados estabelece duas importantes alterações na redação do Marco Civil da Internet –, mas, antes que se proceda a qualquer análise, cabe ressaltar que as duas leis têm âmbitos de incidência diversos. Enquanto o Marco Civil disciplina as relações na Internet, a Lei Geral de Proteção de Dados disciplina o tratamento de dados pessoais (aptos a identificar uma pessoa natural). Existirão relações na Internet que não tratarão de dados pessoais, porque não estarão aptas a identificar um usuário especificamente e que, portanto, estarão apenas sob a tutela do Marco Civil da Internet; da mesma forma que existirão tratamentos de dados pessoais off-line, como aquele arquivo antigo que o departamento de Recursos Humanos ainda mantém ou aquela folha de cadastro esquecida na impressora, às quais apenas se aplicarão a Lei Geral de Proteção de Dados. Contudo, existirá também (e mais comumente), um espectro enorme de relações na Internet em que se pode identificar concreta ou potencialmente
uma pessoa natural. É nessa intersecção que o artigo 60 da LGPD atua com suas duas alterações. A primeira alteração deu-se no artigo 7°, que dispunha que “o acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: (…) X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei”. Ao que o artigo 60 da LGPD apenas acresceu a expressão “e na que dispõe sobre a proteção de dados pessoais”, indicando expressamente que o tema também está disciplinado na Lei Geral de Proteção de Dados. De fato, inscrito no novo paradigma da legislação de proteção de dados, que a nossa lei brasileira adotou da matriz do regulamento europeu, o tratamento de dados pessoais deve ser realizado para uma finalidade, assim considerado um propósito legítimo, específico, explícito e informado ao titular, enraizado em uma das dez bases legais autorizadoras do tratamento (artigo 7° da LGPD). Assim, a finalidade enraizada em uma base legal autorizadora do tratamento de dados ditará o que pode ser compreendido como adequado e necessário a sua realização. É nesse sentido que se pode considerar que ao final de uma relação com o titular dos dados, pode não haver mais uma finalidade a ser cumprida por parte do controlador dos dados. E, portanto, não haveria mais uma razão para a manutenção do tratamento. O Marco Civil da Internet ressalvou “hipóteses de guarda obrigatória de registros previstas nesta Lei”, que em seus artigos 13, 14, 15, 16 e 17 se referem respectivamente aos prazos para guarda de registros de conexão, de registros de acesso a aplicações de Internet na provisão de conexão e de registros de acesso a aplicações de Internet na provisão de aplicações. No mesmo sentido, a Lei Geral de Proteção de Dados também excepcionou expressamente casos em que, apesar de finda a relação com o titular, haverá necessidade de manutenção do tratamento de seus dados pessoais. É o disposto em seu artigo 16, que disciplina as exceções ao término do tratamento sempre que houver necessidade de cumprimento de obrigação legal ou regulatória pelo controlador (e podemos levantar aqui as hipóteses de manutenção dos dados para cumprimento de obrigação fiscal, trabalhista, previdenciária, e de órgãos setoriais, como agências reguladoras); em caso de estudo por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais; a transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD (e aqui podemos notar que o controlador transferirá os dados pessoais a um terceiro dentro de uma das bases legais para tanto; é dizer, a relação com o titular já foi encerrada, mas de alguma forma restou preservada alguma outra finalidade para o tratamento de seus dados); ou para uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (podemos aqui pensar na importância para o controlador em manter dados para sua base histórica, por exemplo). A segunda alteração realizada pelo artigo 60 da Lei Geral de Proteção de Dados no Marco Civil da Internet ocorreu no artigo 16, que dispunha que “na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda: (…) II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular”, ao que foi acrescida a expressão “exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais”. Dessa forma, o Marco Civil da Internet, de 2014, já se inseria no paradigma de limitação do tratamento de dados a uma finalidade, que ganhou mais força com a Lei Geral de Proteção de Dados. O avanço em nossa legislação nota-se sobretudo na relevância que o Marco Civil da Internet deu ao consentimento do titular, ao trazer como direito do titular de dados pessoais (artigo 7°) o não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei (inciso VII) e o consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais (inciso IX). Ao passo que a Lei Geral de Proteção de Dados, ao estabelecer novos direitos para os titulares de dados em seu artigo 18, incluindo o direito de revogação do consentimento para o tratamento de seus dados pessoais (inciso IX), equilibrou-os com a criação de novas hipóteses legais, em que o controlador não necessite do consentimento do titular para o tratamento de seus dados pessoais. São as bases legais de tratamento descritas no artigo 7°, II a X, da LGPD.
Assim, o artigo 16 do Marco Civil da Internet, ao vedar a guarda de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, já se encontra sob o paradigma da minimização da coleta de dados pessoais, mas ainda traz o consentimento do titular como destaque das bases legais para o seu tratamento. A LGPD, ao fazer a remissão expressa para as exceções previstas em suas normas, inclui no Marco Civil da Internet todas as hipóteses em que o tratamento de dados pessoais pode ser mantido, como já apontado acerca do artigo 16 da LGPD, e também todas as hipóteses em que haja uma nova base legal, que não o consentimento do titular, para o tratamento de seus dados pessoais. Evidentemente, por se tratar de duas leis ordinárias, a vigência da Lei Geral de Proteção de Dados já traria naturalmente ao direito brasileiro e, consequentemente, às leis já em vigor, como o Marco Civil da Internet, essas novas hipóteses de manutenção de dados pessoais sem a necessidade da expressa alteração que, no entanto, consiste em boa prática de técnica legislativa. Art. 61. A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil.
O artigo 3° da LGPD dispõe expressamente que essa Lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que (I) a operação de tratamento seja realizada no território nacional; (II) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (III) os dados pessoais objeto do tratamento tenham sido coletados no território nacional, assim considerados os dados pessoais cujo titular nele se encontre no momento da coleta. Isso importa dizer que a LGPD tem um escopo territorial amplíssimo, capaz de atingir a empresas independentemente do país em que se encontrem, bastando que elas tratem dados, ofereçam ou forneçam bens ou serviços, ou coletem dados no Brasil. E, consequentemente, implica encontrar meios de efetivar essas normas, inclusive quando elas forem judicialmente exigíveis. A solução encontrada pelo artigo 61 da Lei Geral de Proteção de Dados
foi considerar o agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil como autorizados a receber notificações e intimações de todos os atos processuais, independentemente de procuração ou de disposição contratual ou estatutária. O artigo 248, § 2°, do Código de Processo Civil estabelece que na citação de pessoa jurídica será válida a entrega do mandado a pessoa com poderes de gerência geral ou de administração ou, ainda, a funcionário responsável pelo recebimento de correspondências, enquanto o artigo 75, X e § 3°, do Código de Processo Civil dispõe sobre a representação de pessoa jurídica estrangeira pelo gerente, representante ou administrador de sua filial, agência ou sucursal aberta ou instalada no Brasil, que se presumem autorizados a receber citação para qualquer processo. Trata-se de positivação da teoria da aparência, consolidada nos Tribunais Superiores, em que uma situação fática aponta para uma conclusão não verdadeira, mas protegida pela boa-fé. É dizer, precisamente por se presumir que gerentes, representantes e administradores tenham poderes para tanto é que se consideram válidas as citações, notificações e intimações em sua pessoa. O mesmo se pode dizer do funcionário que se encontra recebendo as correspondências, pois se pode presumir que ele tenha poderes para tanto. A teoria da aparência salvaguarda a boa-fé de quem entregou a citação, a intimação ou a notificação a quem parecia ter poderes para tanto. Dizer, no entanto, que esses agentes deverão ser considerados autorizados independentemente de procuração ou de disposição contratual ou estatutária, como faz a Lei Geral de Proteção de Dados, é ir além da proteção da boa-fé que visava originalmente a teoria da aparência. A Lei Geral de Proteção de Dados não indica agentes ou representantes na suposição de que eles tenham poderes para receber notificações e intimações – ela o faz apesar do fato de que eles não os tenham. Não se cogita, portanto, de proteção da boa-fé, mas sim de simples resposta pragmática à dificuldade de se conferir eficácia, inclusive por meios coercitivos impostos judicialmente, à Lei Geral de Proteção de Dados em todo o seu escopo territorial. Art. 62. A autoridade nacional e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados tratados pela União para o cumprimento do disposto no § 2° do art. 9° da Lei n° 9.394, de 20 de dezembro de 1996
(Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei n° 10.861, de 14 de abril de 2004. (Revogado pela Medida Provisória n° 869, de 2018) Art. 62. A autoridade nacional e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados tratados pela União para o cumprimento do disposto no § 2° do art. 9° da Lei n° 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional) , e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei n° 10.861, de 14 de abril de 2004 .
O INEP é uma autarquia federal vinculada ao Ministério da Educação cuja missão é subsidiar a formulação de políticas educacionais. O artigo 62 estabelece que o INEP atue com Autoridade Nacional para garantir à União o acesso a dados e informações de todos os estabelecimentos e órgãos educacionais para auxiliar na formulação dessa política, traduzidas nas funções determinadas pela Lei de Diretrizes e Bases da Educação Nacional, para “ V –coletar, analisar e disseminar informações sobre a educação; VI – assegurar processo nacional de avaliação do rendimento escolar no ensino fundamental, médio e superior, em colaboração com os sistemas de ensino, objetivando a definição de prioridades e a melhoria da qualidade do ensino; VII – baixar normas gerais sobre cursos de graduação e pós-graduação; VIII – assegurar processo nacional de avaliação das instituições de educação superior, com a cooperação dos sistemas que tiverem responsabilidade sobre este nível de ensino; IX – autorizar, reconhecer, credenciar, supervisionar e avaliar, respectivamente, os cursos das instituições de educação superior e os estabelecimentos do seu sistema de ensino” (incisos V a IX do artigo 9° da Lei de Diretrizes e Bases da Educação Nacional). Ademais, garante o acesso aos dados necessários para o SINAES – Sistema Nacional de Avaliação da Educação Superior, instituído pela Lei n° 10.861/2004, cuja operacionalização também está a cargo do INEP. São os resultados dessa avaliação que determinam se uma instituição de ensino superior tem condições para o credenciamento, bem como para autorização e reconhecimento de cursos, e posteriores recredenciamentos e renovações de reconhecimentos. Essa norma foi revogada antes mesmo de sua entrada em vigor, prevista para fevereiro de 2020, pela Medida Provisória 869/2018, de 27 de dezembro. Com a revogação de norma específica à disciplina da atuação conjunta do INEP e da Autoridade Nacional, podia-se compreender que se
aplicavam as regras gerais da LGPD. Assim, o INEP, como autarquia federal vinculada ao Ministério da Educação poderia, de toda forma, na base legal do artigo 7°, III, da LGPD, como parte da administração pública, tratar e compartilhar dados necessários à execução de políticas públicas previstas em leis, caso das mencionadas funções a serem desempenhadas para cumprimento da Lei de Diretrizes e Bases da Educação e da Lei do SINAES. Estaria ademais sob a égide do artigo 23 da LGPD, haja vista que é autarquia referida no artigo 1°, II, da Lei de Acesso a Informação, devendo tratar dados pessoais para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, sempre dando publicidade sobre as atividades de tratamento desenvolvidas, com informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, preferencialmente em sites e nomeando um encarregado (DPO) mesmo quando forem operadores no tratamento de dados. É dizer, que o tratamento de dados pessoais nas hipóteses mencionadas pelo artigo 62, mesmo que se mantivesse a revogação da Medida Provisória, continuaria legal nos termos da LGPD, desde que cumpridos os requisitos de publicidade e de nomeação de um encarregado. Contudo, tal revogação não prevaleceu na conversão da Medida Provisória em lei. Assim, ao final, as hipóteses do artigo 62 prevaleceram expressas na LGPD. Também quanto à articulação entre o INEP e a Autoridade Nacional, continuaria possível, mesmo que não estivesse expressa, pois é função da própria Autoridade, nos termos do artigo 55-J, XXIII, “articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação”. O § 3° ainda determina que “a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei [LGPD]”. Por essa razão, compreende-se que ainda que houvesse a manutenção da revogação do artigo 62 pela Medida Provisória, não seria alterada a disciplina
da articulação entre o INEP e a Autoridade Nacional para a consecução das finalidades pretendidas na Lei de Diretrizes e Bases da Educação e na Lei do SINAES, que continuaria possível e disciplinada nas normas gerais da LGPD. Todavia, a revogação pretendida pela Medida Provisória não foi convertida em lei, é dizer, a LGPD, ao final, manteve a previsão expressa de cooperação entre a Autoridade Nacional e as autoridades setoriais de educação. Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.
O conceito amplíssimo de tratamento de dados pessoais trazido no artigo 5°, X, da LGPD, que abrange “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, faz com que a LGPD e todos os seus novos requerimentos recaiam também sobre dados arquivados, armazenados, é dizer mantidos na base de dados dos agentes. Assim, todas as providências de compliance não devem estar circunscritas às atividades atuais de tratamento de dados. É necessário que também as bases de dados legadas anteriormente à vigência da LGPD estejam adequadas. Com vistas à prévia experiência europeia e a vacatio de seu Regulamento Geral sobre a Proteção de Dados (GDPR), que a despeito de seus dois anos desencadeou uma corrida pela obtenção do consentimento em bases de dados não ativas em 25 de maio de 2018, bem como à evidente dificuldade prática em se adequar um volume imenso de dados pessoais tratados ao longo de décadas, a LGPD previu um regime diferenciado para os “bancos de dados constituídos” até a sua entrada em vigor. Determinou em seu artigo 63 que a Autoridade Nacional estabelecerá normas sobre a adequação progressiva desses bancos de dados, indicando que eles terão um prazo diferenciado para o compliance, sob os critérios da complexidade das operações de tratamento e a natureza dos dados. Art. 64. Os direitos e princípios expressos nesta Lei não excluem outros previstos no
ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.
Em seu artigo 64 a LGPD, que regula relações historicamente recentes trazidas pela tecnologia, rememora um antigo conceito jurídico, cunhado em um termo à brasileira que se consolidou em nosso direito: o ordenamento (FERRAZ JR., Tercio Sampaio. Introdução ao Estudo do Direito. São Paulo: Atlas, 2006). Dizer que direitos e princípios expressos na LGPD não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria quer apontar duas questões principais. A primeira, que há na proteção de dados pessoais diversas normas a serem consideradas além da LGPD. Ela mesma faz expressa menção a diversas delas, como o Marco Civil da Internet, a Lei de Acesso à Informação, o Estatuto do Servidor Público Federal, a Lei de Improbidade Administrativa, o Código de Defesa do Consumidor, a Lei da Arbitragem, a Lei do Habeas Data, e a Lei do Processo Administrativo. Além dessas, outras estão implicitamente envolvidas e surgirão com a diversidade dos fatos, como o Estatuto da Criança e do Adolescente e normas setoriais como Resoluções BACEN, CVM, SUSEP etc. A segunda questão trazida pelo termo ordenamento é que ele indica ordem. Ou seja, essas normas dispersas não estão desordenadas. Elas deverão ser, no caso concreto, ordenadas sob alguma racionalidade, algo que lhes dê sentido e que lhes unifique. Resta ao intérprete de cada caso organizar as normas relacionadas à matéria, como diz o texto do artigo, e também as normas não relacionadas à matéria, mas ainda assim incidentes sobre o caso concreto para dar-lhes ordem. O mesmo aplica-se aos tratados internacionais dos quais o Brasil seja parte, após seu escorreito processo legislativo interno, e sobre esse ponto cabe a lembrança de que em matéria de proteção de dados o Brasil é membro observador do Comitê da Convenção 108 desde 18 de outubro de 2018, podendo, com o avanço de nossa legislação, chegar a ser efetivamente membro da referida Convenção. Art. 65. Esta Lei entra em vigor após decorridos 18 (dezoito) meses de sua publicação oficial . Art. 65. Esta Lei entra em vigor: (Redação dada pela Medida Provisória n° 869, de 2018) I - quanto aos art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G,
art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B, no dia 28 de dezembro de 2018; e (Incluído pela Medida Provisória n° 869, de 2018) II - vinte e quatro meses após a data de sua publicação quanto aos demais artigos. (Incluído pela Medida Provisória n° 869, de 2018) Art. 65. Esta Lei entra em vigor: (Redação dada pela Lei n° 13.853, de 2019) I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e (Incluído pela Lei n° 13.853, de 2019) II – 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos. (Incluído pela Lei n° 13.853, de 2019) Brasília, 14 de agosto de 2018; 197o da Independência e 130o da República.
O texto publicado originalmente em agosto de 2018 previa 18 meses para a entrada em vigor da LGPD, o que poderia ser considerado demasiadamente exíguo também com vistas à experiência europeia de compliance. No caso europeu, que já contava com a disciplina da Diretiva 95/46/CE, foi dado pelo Regulamento Geral sobre Proteção de Dados o prazo de dois anos para sua aplicação. No Brasil, com uma cultura de proteção de dados muito incipiente e normativamente apenas com o Marco Civil da Internet e alguma legislação setorial esparsa, o prazo inicialmente dado de 18 meses seria, sem dúvida, insuficiente para a adequação que se faz necessária para a conformidade com a Lei. Por essa razão, a Medida Provisória 869/2018 e posteriormente a Lei 13.853/2019, que a converteu em lei, cindiram a vigência da LGPD em duas partes: a primeira, referente à criação da Autoridade Nacional, a entrar em vigor em 28 de dezembro de 2018, para que ela possa ser regularmente instituída e cumprir suas funções inclusive antes da vigência da lei, que se dará apenas “24 (vinte e quatro) meses após a data de sua publicação”, que ocorreu em 15 de agosto de 2018. Segundo a Lei Complementar 95/1998, em seu artigo 8°, § 1°, os prazos que estabeleçam período de vacância serão contados “com a inclusão da data da publicação e do último dia do prazo, entrando em vigor no dia subsequente à sua consumação integral”. Dessa forma, incluindo o dia 15.08.2018 e o dia 15.08.2020 (vinte e quatro meses), temos que os demais artigos da LGPD entrarão em vigor dia 16 de agosto de 2020.
Diagramação eletrônica: WK Editoração Gráfica Ltda., CNPJ 13.342.196/0001-44