Uma análise do impacto da Lei n. 13.709/2018 – Lei Geral de Proteção de Dados – nas relações econômicas e jurídicas.
Introdução
O advento da Lei Geral de Proteção de Dados que entrou em vigor no dia 18 de setembro de 2020, representa um verdadeiro marco nas relações econômicas e jurídicas e atinge a esfera pública e privada no que diz respeito a proteção de dados pessoais dos seus titulares desde a coleta realizada por pessoas físicas ou jurídicas que visem a finalidade econômica até o descarte dos referidos dados.
Como toda norma, a LGPD visa tutelar um bem jurídico e para tanto possui princípios basilares que devem nortear a sua aplicabilidade e a sua interpretação no caso em concreto, tais como a transparência, exatidão, lealdade, responsabilidade, livre acesso e segurança.
Com efeito, os referidos princípios são os alicerces das duas primeiras regras que devem ser observadas agente que realiza que tratamento de dados: o consentimento do titular e a determinação da finalidade exata para que se destina, dentre outras diversas diretrizes que a norma regula e que serão expostas a seguir.
A Lei 13.709/2018 é extensa e o objetivo é apenas explorar algumas questões que possuem pertinência prática na seara jurídica e merecem uma especial atenção até mesmo daqueles que ainda não se dedicaram ao estudo dessa inovadora norma que representa uma mudança de comportamento por parte de empresas e pessoas físicas que tratam dados pessoais.
Dito isso, primeira leitura da referida lei, percebe-se que ela é eivada de alta tecnicidade e deixa muitas lacunas a respeito de quais medidas cada ramo de atividade adotará visando a proteção de dados, tendo em vista que, cada tipo de negócio merece um trato diferenciado na condução da implementação de tal lei.
Todavia, sob o princípio da boa-fé, toda medida que visa a proteção de dados e é adotada durante o ciclo de tratamento de dados é capaz de gerar a segurança jurídica necessária para se obter os efeitos positivos pretendidos pelo titular e pelo controlador/operador de dados.
Para se obter a proteção de dados imposta pela LGPD, pode-se adotar medidas jurídicas com viés contratual ou até mesmo medidas tecnológicas, como por exemplo, uma criptografia moderna e segura – dentre outras formas que devem ser adotadas de acordo com o ramo de cada atividade econômica, o importante é entender o ramo e a estrutura da atividade econômica para que se implemente a adequação nos ditames da norma jurídica.
Este texto se concentrará em abordar como, quando e onde as medidas jurídicas devem ocorrer, além de trazer conceitos básicos para se compreender o sentido principal da LGPD e o impacto da norma nos diversos ramos do direito.
A Fórmula de Aplicação da LGPD no Cotidiano
Pois bem, não há fórmula correta de aplicar a LGPD, pois, tudo que é relacionado ao Direito não é exato e cabe interpretação, entretanto, o operador de direito especializado ou conhecedor da LGPD poderá criar uma aplicação adequada de tal lei em cada empresa que faça uso de dados, ou mesmo, fazer o planejamento necessário para o devido tratamento desses dados.
Como foi dito acima, a interpretação da aplicabilidade da Lei Geral de Proteção de Dados – LGPD – gera grandes discussões no mundo jurídico e fora dele, isto, graças a diversidade das situações fáticas e de como cada pessoa física ou jurídica que utiliza dados com finalidade econômica realizará a implementação da conformidade jurídica, a fim de evitar sanções administrativas e judiciais, pois cada controlador/operador de dados tem suas peculiaridades que precisam ser observadas, de maneira que não há uma fórmula padronizada para tais controladores/operadores utilizarem os dados de terceiros.
Por isso, é elementar que o advogado conheça profundamente o negócio do seu cliente, para que assim adeque a empresa à norma LGPD, bem como, as outras pertinentes à atividade econômica. De modo que, é importante que o profissional do direito realize um relatório inicial de como a empresa realiza a segurança de dados e, posteriormente, um relatório de quais medidas foram adotadas e seus fundamentos jurídicos que embasaram o entendimento.
Os Dados da LGPD sob o Prisma Constitucional
Cediço que a Constituição Federal de 1988, em seu artigo 5º, inciso XIV, nos traz a acessibilidade de informações como regra e o seu sigilo como exceção, temos os referidos dados como termo sinônimo de informações ou, em uma visão mais maliciosa, os dados seriam um termo utilizado para a não aplicabilidade constitucional da acessibilidade geral da informação sobre a LGPD. Isto, é algo que será melhor demonstrado no desenvolvimento deste texto.
No preâmbulo da referida lei, vê-se que na primeira vez que foi publicada, ela visava reformar a Lei n. 12.965, de 23 de abril de 2014 (Marco Civil da Internet), entretanto, ao se analisar o conteúdo reformado, percebeu-se que a LGPD é bem mais abrangente ao adentrar no que trata outras leis, como a Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) em uma perspectiva mais tecnológica.
Visto que, a Lei de Acesso à Informação especifica em seu Capítulo IV sobre o “Informações Pessoais”, enquanto, a LGPD coloca em seu Capítulo IV sobre “Tratamento de Dados Pessoais pelo Poder Público”. Caso haja dúvida sobre a similaridade apontada acima, basta ler o início do Capítulo IV da LGPD que escreve “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) (...)”. Aqui, na comparação destes dois Capítulos, tem-se a cristalina similaridade entre as duas leis mencionadas, tendo-se que notar que informações é um termo físico/existente/palpável, enquanto, dados é um termo mais virtual/tecnológico.
Destarte, as informações mencionadas na Lei de Acesso à Informação são um conjunto de dados relacionados que estão sob tratamento do operador de dados. O que faz com que seja notável como a LGPD regula tais informações em tratamento fazendo uso do termo dados, algo que vai de encontro com o final do art. 5º, inc. XIV, da CF, que diz “(...) resguardado o sigilo da fonte (...)”.
Pois, a fonte é o titular dos dados e ele deve ter seu sigilo resguardado exatamente como propõe a LGPD por obediência ao artigo transcrito acima da Constiuição Federal Brasileira.
O que deixa evidente como a LGPD tem um viés constitucional presente em sua idealização norteadora.
Dito isso, em meio a inúmeras questões que vem sendo suscitadas a respeito da legislação, é preciso salientar outros aspectos constitucionais, tendo em vista, os fundamentos previstos no art. 2º, da LGPD, preveem a tutela da liberdade de expressão, de informação, de comunicação e de opinião, dos direitos humanos, da livre iniciativa e livre concorrência, dentre outros princípios já consagrados pela Constituição Cidadã de 1988.
Dessa maneira, a lei infraconstitucional busca dar efetividade na tutela desses direitos fundamentais, de maneira fornecer ao titular a qualquer momento o acesso direto ao controladores para obtenção da informação acerca da existência de tratamento e quais dados estão sendo tratados e ainda a possibilidade da requisição para que esses sejam atualizados, anonimizados ou removidos conforme o disposto no art. 18, da LGPD.
É viso mencionar que em caso de impossibilidade da remoção dos dados pessoais, o titular deve receber uma resposta escrita e fundamentada acerca da impossibilidade do descarte de dados - por motivos que podem ser contratuais ou legais - mas o direito de pleitear do titular deve ser preservado bem como o seu direito a resposta em prazo adequado, daí a importância da implementação da conformidade jurídica pelas empresas e demais pessoas que tratam dados pessoais com finalidade econômica - é necessário a criação deste canal de atendimento.
Isto posto, se a Lei Geral de Proteção de Dados visa tutelar direitos fundamentais já previstos na Constituição Federal de 1988, em seu art. 5º, inciso X, e na Emenda Constitucional n. 45/2004 que consagrou o caráter supralegal dos Tratados Internacionais de Direitos Humanos ratificados pelo Brasil, porque estamos nos preocupando tanto com a LGPD?
Conceitos Técnicos da LGPD e sua Consequência Prática
É mister voltar a apontar que legalmente para a LGPD o termo “informação” é dado que está em fase de tratamento. Importante mencionar que muitas vezes com um dado isoladamente não é possível identificar o seu titular, mas durante a realização do seu tratamento o que era apenas um dado vira uma informação e ao final do tratamento dos dados surge o conhecimento. Dessa forma, é evidente que o dado passa por um verdadeiro ciclo que vai da sua coleta até o seu descarte. Por isso que hoje o dado é comumente conhecido como o novo petróleo, pois é uma grande ferramenta de negócio e não é a toa que a profissão de cientista de dados vem ganhando ênfase nos últimos anos.
Outro termo que pode causar estranhamento aos positivistas de plantão é o termo pessoa natural. Desde seu art. 1º, a LGPD faz uso do termo pessoa natural ao invés de utilizar o termo pessoa física. Pessoa natural não é um termo usual nas legislações pátrias para se referir a pessoa física, entretanto, a necessidade de querer inovar na LGPD é tão transparente que até nisso foi feita uma modificação. Há menção reiterada dos termos titular, controlador e operador de dados, na LGPD. Para facilitar a leitura de tais termos, é pertinente em breve conceituação, determinarmos quem é cada um dos agentes mencionados:
O Titular dos dados é aquele que tem seus dados fornecidos, como determina o art. 5º, inc. V, da Lei 13.709/18, é “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.
O Controlador dos dados é aquele que decide a respeito do tratamento de dados, ou seja, aquele que manda, conforme determina o art. 5, inc. VI, da LGPD: “controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;”.
E o operador de dados é aquele que executa efetivamente o tratamento de dados a mando do controlador, conforme disposto no art. 5, inc. VII, da LGPD: “operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”.
O Uso de Cookies na Atualidade e a sua Relação com a LGPD
Partindo de um raciocínio com aspecto filosófico e com aspecto sociológico, nos dias atuais, em meio ao avanço tecnológico, dificilmente o indivíduo tem sua privacidade absolutamente preservada.
O termo inglês cookie traz essa ideia de coleta indiscriminada de dados sem um uso pré-definido pelo controlador de dados, algo vedado pela LGPD.
O gerador de cookie pode ser um site, um aplicativo outra empresa qualquer interessada em alienar dados para terceiros ou fazer uso de tais dados do titular para interesse próprio.
Todavia, é imprescindível impor limites as invasões de privacidade, colocando o titular dos dados em primeiro lugar, como bem prevê a Constituição Federal.
Assim, efetiva-se o direito ao sigilo, direito este que já pertencia ao titular desde 1988, ou seja, a partir da LGPD os dados a serem tratados pelo controlador/operador deverão ser consentidos pelo titular e deve-se estabelecer para qual finalidade o tratamento é destinado.
Dessa forma, estabelecer, em uma empresa, as justificativas para o uso dos cookies é uma forma de respeitar o sigilo do titular dos dados, algo que já deveria ter ocorrido desde 1988, em conformidade com a constitucionalidade pátria.
As Peculiaridades dos Dados Pessoais Sensíveis na LGPD
No que tange a tutela dos direitos do titular, a legislação buscou colocar os dados pessoais sensíveis em um patamar mais elevado na segurança do seu tratamento, previstos no art. 5, inc. II, da LGPD, vejamos:
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Logo, os dados pessoais sensíveis, assim determinados pela lei visam estabelecer que as pessoas físicas ou jurídicas – controladores e operadores – tratem desses dados desde a coleta até o descarte com o maior rigor de segurança possível.
Desta maneira, é inegável o impacto da lei na seara trabalhista, cível, administrativista, pois havendo a presença do dado pessoal e sendo sensível há a necessidade do cuidado especial em sua coleta até o seu descarte. A título de exemplo: em uma relação trabalhista, o empregador dispondo de vários dados pessoais (sensíveis ou não) do seu empregado, é necessário a adoção de medidas internas e externas que visem proteger os seus dados contra o acesso não autorizado, tratamento inadequado, perda, alteração, conforme o disposto no art. 46 da LGPD.
A taxatividade do rol dos dados pessoais sensíveis tem uma razão de existir: a não discriminação. O seu tratamento irregular pode acarretar sanções administrativas previstas no art. 42, da LGPD.
Dessa forma, se o controlador dos dados pessoais não necessitar dos dados sensíveis é melhor que não realize a coleta justamente para evitar o risco de vazamento e caso seja necessário a coleta de algum dado sensível que fique demonstrado ao titular a finalidade a que se destina, o local do armazenamento e forma de segurança adotada pelo controlador e operador.
A Inversão do Ônus da Prova na LGPD e o Sigilo Estabelecido nos Termos de Uso e Política de Privacidade
Como é de praxe, a concessão da inversão do ônus da prova costuma ocorrer nas relações consumeristas, por isso, a LGPD faz questão de escrever sobre essa inversão em seu art. 8º, § 2º, vejamos abaixo:
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
Desta maneira, segundo o disposto no § 8º, da referida LGPD, em uma ação judicial o magistrado poderá inverter o ônus da prova em favor do titular quando a alegação for verossímil, houver hipossuficiência na produção da prova ou quando a produção de prova for excessivamente onerosa, evidenciando mais uma vez que a norma visa tutelar os direitos da personalidade do indivíduo – aqui titular – e relações com finalidades econômicas.
Ou seja, se o titular vier a se sentir prejudicado pela falta de sigilo do controlador, ele poderá ingressar com um processo em busca de uma indenização monetária a fim de que este controlador repare os danos que lhe causou. Tendo, este controlador que comprovar que tinha permissão do titular para romper o sigilo dos daquele titular.
Caso o controlador sinta que os danos cometidos contra o titular foram responsabilidade direta de ações ou omissõe do operador, caberá ao controlador ingressar com uma ação regressiva contra o operador para reaver deste os valores pagos ao titular.
O que traz como dever ao controlador e ao operador zelar com esmero os dados do titular, conforme foi estabelecido nos Termos de Uso e Política de Privacidade, sem extrapolar o que lá foi determinado, sempre se garantindo de que tais dados não sofrerão um vazamento para outras pessoas físicas ou jurídicas e com uma edição dos Termos feita por um operador do Direito capacitado sobre a LGPD.
A Criação da Autoridade Nacional de Proteção de Dados - ANPD
Como se pode perceber, a LGPD veio para dar efetividade nas normas que já eram previstas no ordenamento jurídico e, visando, justamente, a realização concreta dessa proteção de dados foi criada a Autoridade Nacional de Proteção de Dados (ANPD), por força do art. 55-A, vinculada a Presidência da República, com natureza jurídica transitória e poderá ser transformada em autarquia após 2 anos mediante proposta do Poder Executivo.
Outrossim, a ANPD foi motivo de muita controvérsia em sua criação. Inicialmente, ela foi vetada pelo Presidente Michel M. E. Temer, alegando que a medida era inconstitucional, pois, somente o Poder Executivo poderia ser responsável pela sua criação. Todavia, a ANPD foi criada no governo do Presidente Jair M. Bolsonaro por meio do Decreto Federal n. 10.474, de 26 de agosto de 2020, que aprovou o Regimento e o Quadro de Cargos e Funções da ANPD. Sendo que, este, órgão executivo é responsável pela fiscalização e aplicação de sanções administrativas relativas aos dados, possuindo autonomia técnica e decisória com jurisdição em todo o território nacional, com a finalidade de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da pessoa natural.
Na leitura do referido decreto, percebe-se que a ANPD possui o caráter não apenas repressivo, mas também o educativo, pois segundo o inciso VI do art. 2 do Decreto 10.474/2020 , a Autoridade poderá promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, o que evidencia mais uma vez que os membros do Conselho devem possuir um elevado grau de conhecimento acerca da proteção de dados e na aplicabilidade nos diversos ramos negociais.
O Ministério Público e os organismos de defesa do consumidor podem exercer um papel fiscalizatório, mas como assunto pode exigir um alto grau de complexidade e conhecimento técnico, justifica a existência da ANPD.
Outra questão que a jurista Patrica Peck Pinheiro (2020) menciona como um fator determinante na criação da ANPD é pelo fato da existência de uma norma de Proteção de Dados na União Europeia, e que para que fossem mantidos os acordos comerciais com o Brasil foi necessário uma autoridade técnica na fiscalização da segurança dos dados.
A LGPD Cria um Novo Profissional: o Data Protection Officer (DPO)
Ademais, algo de substancial relevância criado pelo art. 41, da LGPD, foi a profissão do Data Protection Officer (DPO), este que é encarregado pelo tratamento de dados pessoais. Este profissional é um profissional contratado pelo controlador de dados, tem sua identidade e seu contato expostos publicamente pelo controlador e tem como principal função profissional a de organizar a forma como o controlador trata dos dados pessoais sem ir contra o que é estabelecido pela LGPD, podendo ser contratado diretamente como empregado da empresa ou por meio de terceirização.
A figura do DPO é objeto de muita discussão, pois, o perfil profissional é abrangente: requer o elevado conhecimento de Tecnologia da Informação e de Direito, sem dúvida, um grande desafio para as empresas na busca de profissionais nesse perfil.
Conclusão
Inegavelmente, o advento da Lei Geral de Proteção de Dados significa um verdadeiro marco nas relações com finalidades econômicas, e que atingem diretamente toda a sociedade civil, pois os regulamentos atingem a esfera pública e privada, nas pessoas físicas e jurídicas, conforme o dito, só basta que exista uma relação econômica para sua incidência.
Dessa maneira, sempre que haver uma coleta de dados pessoais – sensíveis ou não, há a necessidade do consentimento do titular e que seja esclarecido inequivocamente qual a finalidade que se destina o seu tratamento – quaisquer utilizações não previstas nas cláusulas do contrato serão consideradas violações no seu tratamentos e sujeitas as sanções administrativas e judiciais previstas na norma da LGPD, no Código Civil, na legislação consumerista, dentre as outras legislações cabíveis no caso concreto.
Por isso, é imprescindível a mudança no comportamento não só das empresas, mas também, das pessoas físicas que coletam dados pessoais para que se adequem às normas previstas na Lei Geral de Proteção de Dados. Essas mudanças devem contar com a devida orientação de um advogado para que todo o procedimento seja respaldado na LGPD e todas as outras legislações pertinentes, como por exemplo, a trabalhista. Sempre opte pela assessoria de um advogado, pois sempre ele é o profissional capacitado para dar o melhor aconselhamento jurídico para você e para o seu negócio.
É inegável que ter criado uma agência reguladora – ANPD –, uma profissão – encarregado pelo tratamento de dados –, ter ido contra o sentido geral de acesso de informações da Constituição Federal de 1988 e da Lei de Acesso à Informações ao penalizar aqueles que tratam os dados inadequadamente é de fato algo inovador.
Sem dúvidas a Lei 13.709/2018 requer uma grande atenção e uma movimentação principalmente das pequenas e médias empresas que precisam implementar a conformidade jurídica a fim de evitar sanções na seara administrativa e judicial, mas a medida pode caraterizar algo bem benéfico ao negócio da empresa, algo relacionado a própria ferramenta de venda - pois a tendência é que os clientes e parceiros queiram realizar negócios com aqueles que sinalizam que adotaram medidas de segurança na conformidade da LGPD.
Por isso, reiteramos que a adequação e a assessoria do advogado é imprescindível neste momento e que todo investimento no aparato de segurança é válido. Importante que a empresa sempre haja na boa fé e evidencie isso na sua politica de privacidade e de uso e demais relações contratuais pertinentes ao negócio.
Referências Bibliográficas
Agências reguladoras e o papel no Brasil. Âmbito Jurídico. 01/07/2017. Disponível em: <https://ambitojuridico.com.br/cadernos/direito-administrativo/agencias-reguladoras-e-o-seu-papel-no-brasil/>. Acessado em 23/09/2020.
Com dois anos de atraso, governo cria estrutura de agência de proteção de dados. Conjur. 27/08/2020. Disponível em: <https://www.conjur.com.br/2020-ago-27/dois-anos-atraso-governo-cria-estrutura-anpd>. Acessado em 28/09/2020.
Constituição Federal do Brasil de 1988. Disponível em: < http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acessado em 17/09/2020.
CAMARGO, Coriolano (Coord.); PEDROLIM, Emerson. Lei Geral de Proteção de Dados - Entendendo e Implementando. Ordem dos Advogados do Brasil. Disponível em: <https://esa.oab.org.br/sp/home/course/lei-geral-de-proteo-de-dados-entendendo-e-implementando/15>. Acessado em: 10/08/2020.
Decreto Federal n. 10.474, de 26 de agosto de 2020. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10474.htm>, Acessado em 23/09/2020.
Lei n. 10.406, de 10 de janeiro de 2002. Código Civil. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm>. Acessado em 21/09/2020.
Lei Federal n. 12.527, de 18 de novembro de 2011. Lei de Acesso à Informação. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>. Acessado em 17/09/2020.
Lei n. 12.965, de 23 de abril de 2014. Marco Civil da Internet. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm#:~:text=Estabelece%20princ%C3%ADpios%2C%20garantias%2C%20direitos%20e,uso%20da%20Internet%20no%20Brasil.>. Acessado em 17/09/2020.
Lei Federal n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acessado em 17/09/2020.
PECK, Patricia Pinheiro. Proteção de Dados Pessoais. Comentários à Lei n. 13.709/2018. 2 ed. São Paulo. Saraiva, 2020.
