Na terça-feira (14/8), a Presidência da República sancionou a Lei Geral de Proteção de Dados (Lei 13.709/2018), primeira legislação brasileira a tratar especificamente do direito à privacidade.
Embora tenha vindo na esteira dos avanços tecnológicos — e em muito influenciada pelo recentemente aprovado GDPR (Regulamento Geral sobre a Proteção de Dados) europeu —, a norma não abarca apenas os meios digitais. Já em seu artigo primeiro, fica determinado o seguinte:
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (grifamos).
O artigo 3º reforça:
“Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional” (grifamos).
Ainda segundo o dispositivo (artigo 5º, inciso I), dado pessoal seria “informação relacionada à pessoa natural identificada ou identificável”. Ou seja, vale para toda e qualquer informação que permita a identificação de alguém (nome, apelido, endereço etc.).
Já os dados pessoais sensíveis, objeto de proteção maior, são definidos pelo inciso II do mesmo artigo:
“II – dado pessoal sensível: dado pessoal sobre a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Embora seja às vezes noticiada como algo que atinja empresas ligadas à internet, a norma abarca todos os demais meios, incluídos aí cadastros físicos e até manuscritos, não havendo também qualquer restrição de sua aplicabilidade às pessoas e empresas que atuem on-line.
Note-se, por exemplo, a inclusão dos dados sobre a saúde no rol daqueles “sensíveis”, o que afeta diretamente hospitais, consultórios, planos de saúde, laboratórios, drogarias etc.
Quanto ao que seria “tratamento de dados”, cabe trazer os termos do inciso X do artigo 5º da LGPD:
“X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Uma vasta gama de ações e possibilidades, abrangendo inúmeros segmentos, mesmo aqueles em nada ligados à internet.
Desse modo, toda pessoa/empresa que lide com dados de outras pessoas/empresas deverá estar em conformidade com a LGPD, independentemente do meio em que atue — ou no qual foram coletados — e também qualquer que seja a natureza de sua atividade.
Guardadas as devidas — e imensas — proporções, serve como referência o que houve com o Código de Defesa do Consumidor, ocasião em que diversos segmentos empresariais precisaram se adequar a uma norma protetiva; algo que se acentuou quando as penas passaram a ser aplicadas a olhos vistos.
Crianças
Há proteção especial garantida às crianças, conforme disposto na Seção III (artigo 14), sendo atribuídas obrigações específicas às pessoas/empresas que lidam com dados de menores de 18 anos — caso de boa parte das instituições de ensino, por exemplo.
Nessas hipóteses, para além das demais garantias estabelecidas em caráter geral, há os seguintes aspectos especiais:
a) consentimento específico e em destaque por pelo menos um dos pais ou responsável. Exceções: quando a coleta for necessária para contatá-los ou para proteger os menores. Ainda assim, tais dados deverão ser utilizados uma única vez e sem armazenamento; frise-se que em nenhum caso poderão ser repassados a terceiros sem o consentimento dos pais ou responsável;
b) deverão ser realizados “todos os esforços razoáveis para verificar que tal consentimento pelo responsável pela criança, consideradas as tecnologias disponíveis”;
c) deverão ser mantidas públicas as seguintes informações: os tipos de dados coletados, a forma como são coletados, como serão utilizados e também os procedimentos para exercício dos direitos contidos no artigo 18 da lei (exemplos: direito de acesso aos dados, direito de correção de dados incompletos, direito de anomimização/bloqueio/eliminação, direito de peticionar perante autoridade nacional etc.);
d) tais informações “deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou responsável legal e adequada ao entendimento da criança”;
e) o acesso a jogos, aplicações de internet (websites no geral) ou outras atividades não deve ser condicionado ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
Segundo o ECA, são consideradas crianças as pessoas de até 12 anos, e, reiterando-se que isso vale para toda e qualquer pessoa ou empresa — em quaisquer meios possíveis —, considerável parte das instituições de ensino do país, por exemplo (e entre infinitos outros), precisarão estar ajustadas à norma.
Autoridade Nacional de Proteção de Dados (ANPD)
Embora tenha sido vetada a criação da Autoridade Nacional de Proteção de Dados (ANPD), autarquia a ser ligada ao Ministério da Justiça e com poder de aplicar multas de até R$ 50 milhões, a Presidência da República indicou, na cerimônia de sanção da LGPD, que ela será criada por meio de projeto de lei ou medida provisória.
A Lei Geral de Proteção de Dados é oriunda da Câmara dos Deputados, e a criação da Autoridade Nacional implicaria, por exemplo, na abertura de cargos e no aumento de despesas.
Isso contraria a Constituição Federal (artigo 61), que estabelece como prerrogativa exclusiva da Presidência da República a iniciativa de lei que disponha, entre outros assuntos, sobre “criação de cargos, funções ou empregos públicos na administração direta e autárquica ou aumento de sua remuneração” e “organização administrativa e judiciária, matéria tributária e orçamentária, serviços públicos e pessoal da administração dos Territórios”.
Soma-se a isso o quanto disposto no artigo 63, também da CF, segundo o qual são vedadas iniciativas parlamentares, em lei cuja matéria seja prerrogativa do Executivo, que decorram no aumento de despesas — e tal princípio inclui até mesmo as emendas parlamentares.
Mesmo o eventual argumento de que sanção presidencial “convalidaria” tal vício também não prosperaria, pois o Supremo Tribunal Federal, em decisão relatada pelo ministro Celso de Mello, já sedimentou entendimento no sentido contrário: “A sanção do projeto de lei não convalida o vício de constitucionalidade resultante da usurpação do poder de iniciativa”[1].
Haveria o risco de a ANPD, criada dessa forma, ser questionada no Judiciário e, assim, suas multas acabariam anuladas.
Risco maior, aliás, seria não haver autoridade nacional específica. Nesse caso, diversas “autoridades” poderão tomar para si a prerrogativa, e o caos jurídico será instalado.
Criando-se a ANPD por meio de medida provisória (mais célere) ou projeto de lei, sua constitucionalidade e legitimidade para aplicar sanções serão mais dificilmente questionáveis junto ao Poder Judiciário.
Responsabilidade e ressarcimento de danos
Além das sanções que poderão ser aplicadas pela Autoridade Nacional, a LGPD também garante às pessoas o direito a indenização em caso de dano causado no tratamento de seus dados, no seguintes termos:
“Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei” (grifamos).
Também aqui vale fazer um paralelo — novamente guardando-se as imensas proporções — com o Código de Defesa do Consumidor. O direito à indenização inequivocamente decorrerá em demandas judiciais que, nos casos mais estrondosos, não serão poucas.
O encarregado pelo tratamento de dados pessoais
As empresas que tratam de dados pessoais precisarão indicar um encarregado para o setor, cujas atribuições e responsabilidades são as seguintes:
“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”.
Pelas atribuições estabelecidas, não se trata de empregado comum, subordinado como os demais a chefias da empresa, mas, sim, alguém mais próximo do que hoje seria um (verdadeiro) “compliance office”.
O parágrafo terceiro aponta para a possibilidade de flexibilização da regra para empresas menores (o que é razoável), mas certamente as grandes empresas, que lidam com quantidades imensas de dados pessoais, acabarão precisando montar departamentos inteiros, com equipamentos e pessoas bastantes para atender a LGPD e os questionamentos e fiscalizações da Autoridade Nacional.
Vigência
A LGPD, publicada no Diário Oficial na quarta-feira (15/8), passará a viger daqui a 18 meses. Aqueles que tratam dados pessoais, portanto, tem um ano e meio para entrar em conformidade com todas as suas exigências.
Repita-se: não apenas os que atuam on-line ou com dados colhidos/tratados em ambientes digitais.
A Lei Geral de Proteção de Dados, transformando a privacidade em um direito efetivamente tutelado, bem como estabelecendo as pessoas como titulares de seus dados, é inequívoco avanço jurídico.
Além desse positivíssimo aspecto, que bastaria por si próprio, será também um passo importante para a competitividade internacional das empresas brasileiras. Quanto a isso, serve de exemplo a GDPR, que só permite a atuação na Europa de empresas que estejam em conformidade com as obrigações nela estabelecidas.
Tal tendência é global. Os debates sobre proteção de dados ganham cada vez mais espaço e relevância. Mesmo nos EUA, terra da liberdade dos negócios, um empresário bilionário e notório foi convocado ao Congresso para se explicar sobre escândalo de dados vazados. A exclusão do Brasil desse processo fatalmente inviabilizaria nossas empresas no cenário global já em médio prazo.
Será trabalhosa a adaptação, sem dúvida, mas há bom prazo para isso. E não há mais como, nos dias de hoje, desconsiderar a privacidade como um direito a ser efetivamente protegido, bem como negar que as pessoas sejam titulares dos dados/informações que as identificam — tanto mais aqueles sensíveis.
Numa visão mais apressada, o tema pode parecer muito específico e sem apelo popular. Isso até que se tenha em vista, por exemplo, as empresas de telemarketing e mala-direta, que tanto atormentam a todos. Nesse caso, por óbvio, o apelo aumenta bastante. Qualquer candidato interessado em votos, independentemente da coloração partidária, sabe muito bem disso.
Não é improvável, pois, que o tema apareça em alguns debates ou entrevistas eleitorais. Resta aguardar o que o próximo presidente da República fará a respeito. Torçamos pelo apoio a esse importante avanço.
________________________________________
[1] ADI 2867, Relator(a): Min. CELSO DE MELLO, Tribunal Pleno, julgado em 03/12/2003, DJ 09-02-2007 PP-00016 EMENT VOL-02263-01 PP-00067 RTJ VOL-00202-01 PP-00078.
* Fernando Gouveia é sócio do FBC Advogados e especialista em Direito Digital
Fonte: Consultor Jurídico (ConJur)