Os avanços trazidos pela revolução digital são, sem sombra de dúvida, positivos. Hoje, conseguimos informações do nosso interesse em segundos, seja através do computador, do tablet ou do celular, sendo esse apenas um lado da moeda: várias são as notícias de violações a direitos no mundo virtual, que trazem prejuízos não apenas de ordem material, mas também moral, tanto para pessoas naturais quanto jurídicas.
As denominadas fakenews, a publicação indiscriminada de fatos e fotos que violam a tão importante privacidade, transações fraudulenta se o abuso da liberdade de expressão representam o lado deletério da internet. Assim, já era o momento de se ter uma lei com vista à proteção de direitos fundamentais que nos são tão caros no presente.
Após ampla discussão, em bom tempo foi sancionada a Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), que mencionava genericamente a proteção dos dados pessoais como um de seus princípios, na forma da lei (arts. 3º, III, 10 e 11). Apesar de longa vacatio legis —a princípio, só entrará em vigor após decorridos 24 (vinte e quatro) meses de sua publicação oficial, ocorrida em 15.08.2018, fundamental que se conheçam os seus princípios e a sua aplicação, com as alterações trazidas pela Medida Provisória nº 869, de 27 de dezembro de 2018, publicada em 28 de dezembro de 2018, algumas, inclusive, de vigência imediata (v.g., arts. 55-A e seguintes).
A denominada Lei Geral de Proteção de Dados (“LGPD”), em seu art. 1º, estabelece o seu objeto ao dispor “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”,limitando, dessa forma, o tratamento dos dados das pessoas naturais, tanto na internet quanto fora da rede.
Os fundamentos da disciplina da proteção de dados vêm estatuídos em seu art. 2º:
“I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.”
Percebe-se, claramente, que a lei pretendeu conciliar, de um lado, a preservação de direitos e garantias fundamentais e, de outro, o desenvolvimento da ordem econômica, considerando a identidade desses preceitos com os princípios constantes dos arts. 5º e 170 da Constituição Federal.
A aplicabilidade da norma é destinada “a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados” (art. 3º), mas desde que (I) a operação de tratamento seja realizada no território nacional; (II) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (III) os dados pessoais objeto do tratamento tenham sido coletados no território nacional, considerando-se “coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta” (§ 1º).
O art. 4º, por sua vez, diz respeito às situações em que a lei não se aplica ao tratamento de dados pessoais, destacando-se se for (I) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; (II) realizado para fins exclusivamente (a) jornalísticos e artísticos ou (b) acadêmicos; (III) realizado para fins exclusivos de (a) segurança pública, (b) defesa nacional, (c) segurança do Estado, ou (d) atividades de investigação e repressão de infrações penais; ou (IV) proveniente de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que esse país também proporcione grau de proteção adequado à lei brasileira.
Pela leitura dos artigos, chega-se à conclusão de que o legislador, ao tratar do princípio da territorialidade, informa que deve existir um vínculo entre o local da operação de tratamento e coleta de dados com o país, tanto que se aplicará, eventualmente, a sociedades estrangeiras que possuam filial no Brasil ou que ofereçam produtos ou serviços no mercado interno (como em relações de consumo).
Sob outro enfoque, encontram-se excluídas da aplicação da lei algumas situações de cunho não econômico, sobretudo para fins informativos e de proteção estatal.
O art. 5º trata de conceituar os diversos termos utilizados pela lei, destacando-se:
“I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e aAutoridade Nacional de Proteção de Dados;
IX – agentes de tratamento: o controlador e o operador;
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.” (Grifou-se.)
Os outros incisos da norma cuidam da anonimização, quando um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (XI), do consentimento do titular com o tratamento de seus dados para uma finalidade determinada (XII),do bloqueio (XIII), da eliminação (XIV), da transferência internacional (XV), do uso compartilhado de dados (XVI), do relatório de impacto à proteção de dados pessoais (XVII), do órgão de pesquisa (XVIII) e da autoridade nacional como “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei” (XIX), cujos dispositivos que a criavam foram, contudo, inicialmente vetados (arts. 55, 56 e 57), tendo a solução vindo com a recente Medida Provisória nº 869, que a instituiu.
O art. 6º determina que as atividades de tratamento de dados deverão observar a boa-fé e os princípios (I) da finalidade;(II) da adequação;(III) da necessidade;(IV) do livre acesso;(V) da qualidade dos dados;(VI) da transparência;(VII) da segurança;(VIII) da prevenção;(IX) da não discriminação; e (X) da responsabilização e prestação de contas, todos, em síntese, na linha de proteger o titular dos dados pessoais objeto de tratamento.
Mais do que legítima, pois, a preocupação do legislador em zelar para que o tratamento, cuja definição é bem aberta, atenda a “propósitos legítimos, específicos, explícitos e informados ao titular” (I), garantindo-se a este, ainda, a adoção de medidas para prevenir a ocorrência de danos (VIII).
A LGPD, em seu art. 7º, enumera as hipóteses em que o tratamento de dados poderá ser efetuado:
“I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.”
É necessário salientar que essas situações são taxativas, tendo em vista que o artigo utilizou a palavra “somente” para enumerá-las, de modo que devem ser observadas para o tratamento de dados.
A lei fez questão de frisar que o consentimento do titular deve ser fornecido por escrito ou por outro meio que demonstre a sua vontade (art. 8º), devendo constar, no primeiro caso, de cláusula destacada das demais cláusulas contratuais (§ 1º), cabendo ao controlador o ônus da prova de que o consentimento observou os ditames legais (§ 2º), sendo vedado o tratamento mediante vício de consentimento (§ 3º). O parágrafo quarto do artigo é categórico ao asseverar que o consentimento deve ser específico, para finalidades determinadas, sendo as autorizações genéricas nulas. O parágrafo quinto dispõe, por seu turno, que o consentimento pode ser revogado a qualquer momento, “ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”. Havendo alteração de informação, a respeito, por exemplo, da finalidade específica do tratamento, o controlador deverá informar o titular, que poderá revogar o seu consentimento caso não concorde com a mudança (§ 6º).
É resguardado ao titular acesso facilitado às informações arespeito do tratamento de seus dados (art. 9º), principalmente sobre: (I) a finalidade específica do tratamento; (II) a forma e duração do tratamento, observados os segredos comercial e industrial; (III) a identificação do controlador; (IV)osdados de contato do controlador; (V) o eventual uso compartilhado de dados pelo controlador efinalidade; (VI) a responsabilidade dos agentes que realizarão o tratamento; e (VII) os direitos do titular, tais como confirmação da existência de tratamento, acesso aos dados e correção de dados incompletos, inexatos ou desatualizados (art. 18, I, II e III). (Continua na parte 2)