segunda-feira, 21/09/2020

Desmistificando a LGPD sem terrorismo – Parte I

Compartilhe:
Thiago Noronha (*)

Após uma semana digna de fim de novela das nove, a Lei Geral de Proteção de Dados Pessoais (ou LGPD para os íntimos) teve sua aprovação imediata pelo Senado após uma votação conturbada na quarta-feira (26/08/2020), restando sua vigência apenas da sanção ou veto do Presidente da República, na forma do Artigo 62 da Constituição Federal. O drama todo foi porque no dia anterior (25/08/2020) a Câmara dos Deputados tinha chegado a um acordo para que a vigência da Lei só fosse em 31 de dezembro de 2020. Com esta reviravolta, após o protocolo do projeto de lei de conversão na Presidência da República, o presidente Bolsonaro tem 15 (quinze) dias úteis para sancionar o projeto.

O mais importante é: caso não haja assinatura nesse prazo, acontece a chamada “sanção tácita”, ou seja, o texto aprovado no Senado Federal se torna lei e retorna para o Congresso Nacional para ser promulgado. A expectativa é que ainda em setembro deste ano a LGPD entre em vigor.

Todas as controvérsias e reviravoltas se devem pela importância da LGPD que foi sancionada ainda no Governo Temer, em 14 de agosto de 2018, que institui e regula sobre o tratamento de dados pessoais de pessoas naturais e jurídicas, com o fito de proteger os direitos fundamentais de liberdade e privacidade (Art. 1º da Lei nº 13.709/2018).

Um dos requisitos utilizados como prejudiciais à efetividade da LGPD, a criação da Autoridade Nacional de Proteção de Dados (ANPD) foi editada por decreto pelo presidente Bolsonaro na quinta-feira (27/08/2020). Embora esteja com vigência imediata, as multas previstas na LGPD serão aplicadas apenas a partir de 03 de agosto de 2021. Contudo, com estes encaminhamentos, a vigência desta legislação é um caminho sem volta.

“A criação da ANPD é um importante passo tanto para dar a segurança jurídica necessária aos entes públicos e privados que realizam operações de tratamento de dados pessoais e que terão que se adequar ao previsto pela LGPD, como também para viabilizar transferências internacionais de dados que sigam parâmetros adequados de proteção à privacidade, o que pode abrir novos mercados para empresas brasileiras”, afirmou a Secretaria-Geral da Presidência da República por meio de uma nota.

Fato é: existe bastante frisson com relação à vigência e às possibilidades trazidas pela LGPD. Há, também, muito receio sobre a insegurança jurídica e sobre as punições previstas na Legislação. O nascimento de um “novo” campo para o Direito e para a efetividade nas empresas sempre mexe bastante, pois provoca incertezas. O novo, na sentença anterior, está entre aspas porque a proteção de dados já está presente em outros países há mais de 20 (vinte) anos e o Regulamento Geral sobre a Proteção de Dados – em inglês General Data Protection Regulation (GDPR) – está implementada na União Europeia desde 2018.

Neste artigo, que não tem o objetivo de esgotar o tema, vamos abordar alguns pontos importantes e, principalmente, demonstrar que não há tanto motivo para terrorismo com relação à vigência da legislação. Contudo existe a necessidade de uma adequação por parte de todo ambiente econômico público e privado no Brasil que confiou numa postergação da vigência e, agora, terá que se adequar de forma mais acelerada.

LGPD: Uma legislação principiológica

A redação da Lei Geral de Proteção de Dados Pessoais tem consigo similitude e dialoga com legislações anteriores como o Marco Civil da Internet (Lei nº 12.965/14) e o Código de Defesa do Consumidor (Lei nº 8.078/1990), pois tem fundamento em princípios (Arts. 2º e 6º da Lei) de forma expressa:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

[…]

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A importância desses princípios numa legislação que se propõe a regular (com certo atraso) direitos fundamentais numa economia baseada em dados é permitir uma adequação melhor ao espírito da lei. Desta forma, independente do meio – se físico ou digital – as regras de proteção de dados são aplicáveis, pois visam proteger uma categoria de direitos fundamentais dos cidadãos.

Quer fazer o cadastro na loja, Senhor(a)?

Quem nunca ouviu essa frase ao chegar ao caixa de uma loja de departamento nos últimos anos? Isto se deve, principalmente, porque as estratégias de marketing mais eficazes hoje em dia se pautam nos hábitos de consumo dos usuários.

Ao aceitar (consentir) compartilhar seus dados com as empresas, o titular dos dados passa a integrar uma cadeia – até então pouco clara – de troca de informações entre as empresas. É o caso, por exemplo, do chamado Score, que leva em consideração vários fatores objetivos e subjetivos para conceder uma nota de 0 (zero) a 1000 (mil) para servir de referência para a concessão de crédito.

A ausência de regras claras sobre quais os direitos dos titulares dos dados e, sobretudo, sobre a cadeira de fornecimento no tratamento de dados sempre foi um Calcanhar de Aquiles desta área, até mesmo para poder buscar algum tipo de reparação, correção ou exclusão de dados.

Sabe, quando você recebe ligações de empresas que nunca entrou em contato antes te oferecendo produtos e serviços? Isto tende a acabar, porque você, enquanto titular, poderá saber a origem de suas informações naquele banco de dados e, inclusive, pedir para ser retirado.

Dados pra que te quero

 A legislação conceitua três tipos principais de dados no Art. 5º: “I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;”.

E, ainda, conceitua o que seria o tratamento desses dados como:

X – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

A esta altura, você já deve ter percebido que o tratamento de dados é praticamente qualquer coisa a partir da obtenção do dado. A existência do Art. 5º da LGPD, inclusive, serve como um grande glossário de como a lei vai tratar determinadas ações como “anonimização, consentimento, bloqueio, eliminação, uso compartilhado de dados, e outros termos importantes”. Esses termos são verdadeiros guias para o tratamento dos dados daqui pra frente.

O tratamento de dados tomou um xeque-mate?

Existe uma falácia – e, por isso, este artigo cunha o termo “sem terrorismo” – de que não há mais a possibilidade de coleta, tratamento e uso de dados de terceiros, ou que há a necessidade de consentimento a todo instante, para cada atividade, o que tornaria todo e qualquer processo de contratação extremamente burocrático. Mas, repetimos, esse viés é uma falácia.

O Art. 7º da Lei nº 13.709/18 elenca 10 (dez) possibilidades para o tratamento de dados. O consentimento do titular é apenas uma das formas (a primeira, inclusive). O objetivo da legislação, é bom que se reforce, não é limitar ou impedir o tratamento de dados, mas regular esta circulação de dados, dar poder ao titular para controlar seus próprios dados e, por fim, responsabilizar os entes (públicos ou privados) que desrespeitarem a legislação. É uma legislação vanguardista e, por isso, gera bastante receio.

Inaugura, por exemplo, uma série de direitos ao titular:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

A violação desses direitos incorre na responsabilidade e ressarcimento de danos por parte do controlador ou operador no exercício da atividade de tratamento de dados, conforme o Art. 42 da LGPD. Embora seja tecnicamente impróprio falar de “vazamento de dados”, vez que os dados simplesmente não “escorrem” como se fosse um vazamento de água, mas é fruto de uma ação de terceiros que exploram vulnerabilidades justamente da construção de dados, os incidentes de tecnologia da informação que expõem dados são o grande alvo de proteção por esta legislação.

E, embora a Lei Geral de Proteção de Dados Pessoais tenha bastante mérito ao elevar os dados pessoais à categoria de direito fundamental – em verdade, existem propostas tramitando no congresso da inclusão deste direito ao Art. 5º da CF –, a ausência na lei de como isso deve ser feito traz um grande ponto de interrogação. A única menção está no Art. 50 e se limita a dizer: “(…) poderão formular regras de boas práticas e de governança (…)”. E é a partir deste ponto de partida que caminharemos no nosso próximo artigo sobre o tema.

(Há)Braços!

Gostou? Que tal compartilhar este artigo na sua rede!

 Se você quiser adquirir o livro LGPD – Lei Geral De Proteção De Dados – Comentada  recomendo fortemente que clique na imagem ao lado 

Tem alguma crítica, dúvida ou sugestão? Fala comigo nos comentários, que é onde nós avançamos e construímos um debate mais profundo!

Thiago Noronha Vieira | E-mail: thiagonoronha@acnlaw.com.br

Advogado. Sócio do Álvares Carvalho & Noronha – Advocacia Especializada (ACNLaw). Pós-Graduado em Direito Empresarial pela PUC/MG. Presidente da Comissão de Direito Privado e Empreendedorismo Jurídico da OAB/SE. Ex-Diretor Jurídico do Conselho de Jovens Empreendedores de Sergipe (CJE/SE). Membro do ecossistema de inovação de Sergipe, o CajuValley

Siga-me no instagram @thiago.nvieira

**Esse texto é de responsabilidade exclusiva do autor.  Não reflete, necessariamente, a opinião do Só Sergipe.

Compartilhe:

Leia Também

Dez contradições de um presidente:  Deus e a pátria em primeiro lugar?

Considerando que contradição é o que se opõe ao que foi dito ou feito anteriormente, …

Deixe uma resposta