Notícias

Artigo – Conjur – A LGPD no Brasil e o direito à autodeterminação informativa na era digital – Por Gustavo Ramos e Luiz Navarro

07-04-2020

Depois da prorrogação aprovada pelo Congresso, deve entrar em vigor no começo de 2021 a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/18). Referida legislação, fortemente inspirada no Regulamento Geral sobre Proteção de Dados da União Europeia, é revolucionária em vários aspectos.

Em essência, ela vem assegurar ao cidadão o direito à autodeterminação informativa em relação a dados pessoais fornecidos a terceiros, sejam eles empresas, órgãos governamentais, partidos políticos, associações, sindicatos e até mesmo pessoas naturais.

Um primeiro e importante passo já havia sido dado no Brasil na direção da afirmação desse importante direito, fortemente vinculado aos direitos fundamentais à privacidade, à intimidade, à honra, à imagem e à liberdade (de expressão, de informação e de opinião), mediante a edição da Lei nº 12.965/14, chamada de Marco Civil da Internet.

Tal lei estabeleceu princípios, direitos e deveres relacionados ao uso da internet no Brasil, com menção explícita, por exemplo, à necessidade do prévio consentimento do titular para a coleta, uso, armazenamento e tratamento de informações pessoais.

Com a vigência da LGPD, porém, o ganho de escopo na proteção aos dados pessoais, inclusive digitais, será significativo. Isso porque a LGPD tem como destinatário todo aquele que demandar algum dado pessoal de alguém, independentemente do fim almejado.

Seguindo os mesmos vetores do Marco Civil da Internet e da LGPD, que acarretam, em essência, o empoderamento digital do cidadão no que se refere à coleta, manipulação e transferência de seus dados pessoais (digitais, biológicos, laboratoriais, associativos, financeiros, biométricos, parentais, relativos a doenças, judiciais, entre outros), já tramita no Congresso Nacional proposta de emenda constitucional que visa a incluir a proteção de dados pessoais entre os direitos fundamentais no Brasil (PEC nº 17/2019).

É certo que a intensificação do fluxo de dados vem transformando radicalmente a sociedade e a forma como se pensa, se comunica e se trabalha. Isso constitui a atual era digital, fruto dos avanços tecnológicos e científicos em todo o mundo. É notório que estamos cercados de informações por todos os lados, ao mesmo tempo em que nossos dados pessoais estão cada vez mais sendo utilizados para fins comerciais sem o nosso próprio conhecimento. Daí porque uma das pedras de toque da LGPD é o consentimento do titular para a coleta e o tratamento de dados pessoais para uma finalidade determinada e que deve, necessariamente, ser limitada no tempo.

Além disso, entre os princípios relacionados à proteção de dados, a LGPD destaca o princípio do livre acesso, segundo o qual se deve garantir ao titular acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de modo claro acerca: I — da finalidade específica do tratamento; II – da forma e da duração do tratamento, observados os segredos comercial e industrial; III – da identificação do controlador; IV – de informações de contato do controlador e do uso compartilhado de dados com terceiros; V – de responsabilidades dos agentes que realizarão o tratamento.

O escândalo envolvendo as empresas Facebook Cambridge Analytica jogou luzes sobre os impactos que a colheita, o repasse e o tratamento de dados de forma desconhecida podem ter, inclusive na democracia.

Naquele caso, revelou-se ter havido repasse e tratamento de dados de perfil de mais de 50 milhões de pessoas com a finalidade de influenciar comportamentos em processos eleitorais (o que ocorreu nas eleições americanas de 2016 e no plebiscito que decidiu pela saída do Reino Unido da União Europeia — Brexit, além de fortes indícios de que também ocorreu nas últimas eleições brasileiras).

A partir daí, surgiram discussões mais profundas sobre o tema em todo o mundo, inclusive considerando a coleta, o tratamento e a transmissão a terceiros, por parte de empresas, de informações básicas ou até mesmo de dados pessoais sensíveis de funcionários e clientes, com fins comerciais.

Hoje em dia já se compreende com clareza que, a bem da efetivação do direito à privacidade, considerado o elevado volume de informações que circulam na sociedade — especialmente em ambiente virtual -, deve-se impor obrigações e limites a quem delas tome conhecimento, no interesse do seu titular.

Para a LGPD, os dados pessoais sensíveis, cujo acesso só é admitido em hipóteses bastante restritas previstas na lei e para finalidades específicas, são aqueles que, diferentemente do nome e do e-mail, por exemplo, são capazes de levar a uma possível discriminação, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

A esse respeito, vale mencionar que investigações vêm sendo realizadas pelo Ministério Público no Brasil com o objetivo de apurar se farmácias estão vendendo informações de clientes sobre o uso de medicamentos para empresas de planos de saúde. Órgãos governamentais também estão sendo questionados, como o Ministério da Economia e seu “Clube de Descontos”, por expor indevidamente dados de servidores públicos a empresas de marketing de produtos e serviços.

Com base no Regulamento da União Europeia (RGPD), em vigor desde 25 de maio de 2018, condenações de empresas em valores significativos estão sendo estabelecidas naquele continente[1]. As 10 maiores somaram mais de 400 milhões de euros. As três maiores até agora recaíram sobre a British Airways (204,6 milhões de euros), por não se proteger adequadamente de hackers que roubaram dados de pagamentos de cerca de 500 mil pessoas; Marriott Internacional (110,4 milhões de euros), por permitir que 339 milhões de registros de hospedagem fossem expostos; e Google (50 milhões de euros), por falta de transparência na política de uso de dados.  Empresas como a Vodafone também já foram condenadas em razão do envio de mensagens de texto e da realização de ligações para fins de marketing e propaganda, e ainda por manter dados de quem solicitou sua exclusão.

Na mesma linha, já foram multadas empresas pelo uso de câmeras de vídeo com transmissão de imagens pela internet sem o consentimento de empregados, locadoras de veículo que rastreiam automóveis por GPS sem anterior informação ao cliente, imobiliárias pela falta de adoção de medidas de segurança quanto a dados sensíveis como certidões de divórcio e fotos nos sites ou por armazenarem dados por tempo excessivo sem justificativa. Seguradoras, bancos, hospitais, provedores de internet, empresas de publicidade também vêm sendo pesadamente multados e tendo sua imagem severamente abalada. Nesse contexto, parece-nos temerária a opção pela implementação meramente cosmética de compliance a esse respeito.

No Brasil, apesar de a LGPD ainda estar em período de vacância, com entrada em vigor prevista para agosto deste ano, em dezembro de 2019, o Departamento de Proteção e Defesa do Consumidor, vinculado ao Ministério da Justiça e Segurança Pública, condenou o Facebook ao pagamento de multa de R$ 6,6 milhões por violações ao Código de Defesa do Consumidor e ao Marco Civil da Internet, fundamentando-se em razões semelhantes ao que a LGPD busca evitar, como o compartilhamento de dados de usuários com terceiros sem que houvesse o consentimento explícito e consciente dos titulares.

Além do mais, a Constituição de 1988 considera invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. Portanto, buscar proteger os dados pessoais a que se tem acesso já é obrigação de todos, independentemente da plena vigência da LGPD ou da atividade da Autoridade Nacional de Proteção de Dados a que se refere a lei em questão, ainda que alguns pontos demandem melhor detalhamento. Recomenda-se tal postura até mesmo porque o itinerário de compliance envolvendo a LGPD é complexo e exige investimentos em segurança digital, além da modificação de processos, de contratos e, sobretudo, de perspectivas individuais ancoradas em noções incorretas acerca da importância do lidar com dados pessoais de outrem.

Buscar conformidade à LGPD demandará uma mudança cultural ampla de toda a sociedade no tocante à proteção de dados pessoais. Daí seu caráter disruptivo. Será preciso aprender, fundamentalmente, que não se deve solicitar, tratar ou repassar algum dado pessoal sem uma justificativa específica e sem o livre consentimento do seu titular, a quem deverá ser facultado amplo e transparente acesso, alterações no conteúdo registrado ou até mesmo sua eliminação. E mais: será preciso a conscientização de que, uma vez na posse do dado pessoal de alguém, tal informação está sob sua responsabilidade, devendo ser muito bem protegida, por meios tecnológicos e com ações juridicamente bem orientadas, sob pena de severas sanções legais, com reflexos materiais e imateriais. Mais adiante, porém, será possível constatar que a plena adequação à LGPD terá tornado as organizações socialmente melhores e mais prósperas, porque confiáveis.

Fonte: Conjur