Background

Artigo – ConJur - Com o adiamento da LGPD, como fica a proteção dos dados pessoais? – Por Maria Cristine Lindoso

Diversos artigos recentes mostraram as preocupações que estão sendo debatidas com o adiamento da vigência da Lei Geral de Proteção de Dados (LGPD), programada inicialmente para o correr em abril deste ano. A maior parte dessas preocupações decorre do fato de que o Brasil é um dos países mais atrasados na codificação da proteção de dados pessoais, o que pode aumentar a exposição dos usuários a diversos problemas, como a coleta de dados feita de forma desautorizada; o compartilhamento de dados sem autorização e sem respeito à finalidade inicialmente informada ao usuário; o tratamento discriminatório, entre outros. Além disso, os usuários vão sofrer por mais algum tempo com a ausência de fiscalização, auditorias e sanções quando do tratamento ilegal de dados pessoais, considerando-se que a Autoridade Nacional de Proteção de Dados sequer teve sua existência aprovada ainda. Dada a relevância de leis que protejam os usuários, e considerando, nas palavras de Bruno Bioni, que "a proteção dos dados pessoais é instrumental para que a pessoa possa livremente desenvolver a sua personalidade" [1], como ficará a proteção de dados pessoais até 2021 (se não ocorrer um novo adiamento)? Para responder essa pergunta, deve-se ter em mente que o Brasil possui outros diplomas que oferecem garantias mínimas aos usuários em relação à exploração de seus dados pessoais. Veja: não se ignora a extrema relevância (e urgência) da LGPD, que representou um marco jurídico paradigmático, inserido novas discussões e parâmetros em relação ao uso de dados pessoais associadas às diversas discussões sobre a legalidade de atuação de diversos entes distintos. Mas, ao mesmo tempo, é necessário considerar que existem outros mecanismos legais que, no vácuo legal, podem assegurar ao usuário direitos mínimos em relação aos seus dados. Como ressaltado pelo ministro Marco Aurélio Bellizze e por Isabela Maria Pereira Lopes em oportunidade recente, a LGPD se insere em um amplo contexto jurídico já existente de proteção da privacidade e dos dados pessoais, o qual vinha se aperfeiçoando e culminou na edição de um diploma forte e coeso com os valores constitucionais atualmente vigentes [2]. O ápice desse contexto jurídico, por óbvio, é a Constituição Federal, que veda, de forma expressa, qualquer tratamento discriminatório por parte de qualquer agente. Assim, a simples leitura do texto constitucional permite concluir que as empresas que tratam dados pessoais não podem se valer da exploração de bases de dados, das análises preditivas feitas por sistemas automatizados, tampouco do comércio de dados, para tratarem de forma diferenciada determinados grupos de pessoas, causando-lhes prejuízo sem qualquer justificativa. A Constituição obriga, portanto, dever de cuidado em relação ao uso de dados com potencial discriminatório e que podem ser utilizados em prejuízo de grupos minoritários. Assim, desde o uso de softwares para contratação de empregados, até as análises de crédito, todo o tratamento de dados deve ser feito levando-se em consideração a vedação ao tratamento discriminatório. Também a Constituição oferece o direito de uso do habeas data como mecanismo possível de ser utilizado por um usuário para controlar as informações constantes em bases de dados a seu respeito. Através desse instrumento, é possível ter acesso aos dados cadastrados em nome de um usuário, além de ser possível retificar informações incorretas ou dados não verídicos constantes em determinada base [3]. Nessa mesma linha, tem-se que o Código Civil estabelece obrigação de boa-fé como norteadora de todos os contratos e relações jurídicas. Assim, existente um termo de uso dos dados pessoais quando da contratação do serviço, e tendo sido informada uma finalidade específica para a coleta e tratamento daqueles dados pessoais, têm os agentes a obrigação de obedecerem esse termo, agindo de boa-fé, ainda que se possa reconhecer eventual abusividade na contratação feita por adesão. A Lei nº 12.414/2011, que dispõe sobre o uso de bancos de dados para formação de históricos de crédito, também é um diploma relevante para ser considerado na ausência da LGPD. Esse diploma veda o uso de informações excessivas para formação de históricos de crédito — ou seja, informações que não se relacionem com a capacidade de auferir as condições de pagamento de um consumidor —, bem como de informações sensíveis — que são aquelas cujo uso pode ensejar discriminação de gênero, raça, classe social, entre outros. Também essa Lei dos Bancos de Dados assegura ao usuário o direito de acesso das informações constantes em seu cadastro, inclusive seu histórico e como foram firmadas as conclusões a seu respeito. Dessa forma, os princípios de transparência e de respeito à finalidade, que são tão relevantes na LGPD, já se encontram presentes, ao menos para o contexto das análises de crédito. Também pode-se perceber que os usuários detêm o controle da exploração de seus dados pessoais, e podem se valer dessa lei para assegurar que seu uso não se dará de forma abusiva ou prejudicial [4]. Recentemente, inclusive, a ministra Nancy Andrighi, da Terceira Turma do Superior Tribunal de Justiça, proferiu decisão [5] em que decidiu pela obrigatoriedade do agente explorador dos dados pessoais de comunicar o usuário sobre o compartilhamento das informações produzidas a seu respeito, derivando essa obrigação da Lei dos Bancos de Dados e do Código de Defesa do Consumidor, que dispõe, em seu artigo 43, que "o consumidor terá acesso às informações existentes" sobre ele. Como asseverado no voto condutor, "em qualquer circunstância, tem o consumidor o direito de tomar conhecimento de que informações a seu respeito estão sendo arquivadas/comercializadas por terceiro, sem a sua autorização". Essa modificação é inovadora e também fundamental para ajudar a suprir as lacunas que postergação do início de vigência LGPD deixou, não só porque aumenta a capacidade do usuário de controlar o uso de seus dados pessoais, mas também porque reforça a existência de uma obrigação de transparência em relação ao compartilhamento de conteúdo, mesmo diante da inexistência de um diploma específico para proteção dos dados pessoais. Um outro mecanismo que reforça o controle do usuário em relação ao tratamento e compartilhamento de seus dados pessoais diz respeito ao direito de explicação e oposição em relação às decisões automatizadas. Essa disposição, que será reforçada pela LGPD, já está presente no Marco Civil da Internet (Lei nº 12.985/2014), ainda que de forma limitada ao pedido de explicações sobre justificativa, legalidade e previsão contratual [6]. Assim, mesmo de forma restrita, o usuário pode se valer desse mecanismo para ter acesso aos critérios que fundamentam uma decisão tomada, essencialmente, pelo tratamento massivo de dados pessoais. Além desses diplomas, existem outros julgados relevantes para orientar os cuidados dos agentes em relação à exploração dos dados pessoais enquanto a LGPD não estiver valendo. Os próprios tribunais, e mais especificamente o Superior Tribunal de Justiça, em uma postura sempre progressista e frequentemente favorável ao usuário, resolviam questões relacionadas aos dados pessoais desde os anos 90, quando o STJ primeiramente destacou a importância do habeas data para a temática da proteção de dados pessoais através do acesso ao conteúdo por parte do usuário [7]. Além disso, e como bem ressalvado pelo ministro Villas Bôas Cueva em artigo recente, ainda em 1995 o ministro Ruy Rosado Aguiar já discutia a necessidade de se garantir o direito à autodeterminação afirmativa através da limitação do compartilhamento de dados sem a autorização do usuário e, em 2001, a ministra Eliana Calmon adotou entendimento semelhante para garantir o direito à privacidade e à proteção de dados pessoais. Ou seja, o direito de controlar a extensão de sua própria personalidade no mundo virtual, e de deter controle sobre seus dados pessoais já é uma realidade reconhecida pelos tribunais e que impõe aos agentes de mercado cuidados especiais, mesmo sem a LGPD. Assim, considerando que alguns dos princípios mais relevantes da LGPD — como a vedação ao tratamento discriminatório, o direito de transparência, o controle do usuário sobre seus dados e o respeito à finalidade no tratamento de dados pessoais — já estão inseridos em diplomas legais, além de já terem sido reconhecidos pelos tribunais, é importante que se mantenha vivo o espírito de conformidade que vinha sendo cultivado quando se esperava a vigência da LGPD para 2020, prestigiando-se a proteção dos dados pessoais até, se tudo der certo, 2021. Fonte: Consultor Jurídico