MMIGLIO - ADVOCACIA DE ALTA PERFORMANCE

X

Lei Geral de Proteção de Dados: O que está em jogo?

Por Marcos De Lucca Fonseca

O objetivo da Lei 13.709/18 (Lei Geral de Proteção de Dados - LGPD) vai muito além da proteção à privacidade. Com o atual desenvolvimento da chamada "Economia dos Dados" - em que as empresas fazem do consumidor mais do que um mero comprador, mas o próprio produto - é cada vez mais necessário a tutela de direitos fundamentais aplicados no meio digital. Desta forma é salutar que as Leis de Proteção de Dados Pessoais protejam essencialmente a autonomia e a individualidade das pessoas. Inclusive, o que atualmente se discute no meio jurídico é se estas leis protegem a "autodeterminação informativa".

Tal lei é de caráter principiológico, determinando mais aspectos e clausulas gerais. Os primeiros artigos da LGPD estabelecem os valores e princípios que respaldam esta análise. É evidente que esta legislação precisa ser analisada e aplicada levando em conta a situação concreta específica de cada agente de tratamento de dados. Daí a importância da implementação da Autoridade Nacional de Proteção de Dados (ANPD)¹, que até a presente data² ainda não fora criada. De toda forma, a LGPD é considerada como a base normativa sobre o tratamento de dados de pessoas naturais.

O "espírito da lei" da LGPD é mais do que garantir a privacidade e proteção dos dados pessoais. É tutelar a dignidade humana, os direitos humanos, o livro desenvolvimento da personalidade no ambiente digital - tais conceitos é o que os Doutrinadores do chamado "Direito Digital" definem como autodeterminação informativa.

Mas o que vem ser o "dado pessoal"? A LGPD, em seu art. 5o, I, determina que é qualquer informação que torna uma pessoa natural identificada ou identificável. Mesmo que o titular do dado pessoal torne público as suas informações, o tratamento dos dados pessoais deve ser feito tendo por base a boa-fé, a finalidade e o interesse público. Ou seja, o legislador quis garantir que o cidadão não seja objeto de vigilância constante na já vigiada "Sociedade da Informação".

Atualmente os cidadãos já são objeto de uma extensa "rede" de extração de dados pessoais - chegando até a ser construída a ideia de que passamos por uma patrimonialização dos dados pessoais. As empresas muitas vezes negociam o consentimento dos usuários de seus serviços, uma vez que os Termos de Uso são conhecidos popularmente como clausulas "não li, mas concordo". O cidadão quer ter acesso às facilidades das aplicações da internet e não atenta para o fato de, quando este acesso é gratuito, o produto é pago com o acesso a seus dados pessoais para empresa dona da aplicação.

A LGPD não vem para estagnar o mercado de dados pessoais no Brasil, mas para tutelar os aspectos ligados aos direitos fundamentais relacionados a estes dados. O que a lei traz de novo é que os dados pessoais não devem ser vistos apenas pelo viés patrimonial. Os defensores de uma não regulação da chamada "Economia de Dados" afirmam que tal medida poderia frear o desenvolvimento da inovação, e que a suposta diminuição da privacidade seria uma consequência que a "Sociedade da Informação" sofreria para continuar a se desenvolver tecnologicamente. Porém, a necessidade obrigatória desse "trade-off" privacidade vs economia de dados não é condição sine qua non, uma vez que as aplicações tecnológicas podem e devem preservar a privacidade dos usuários. A exemplo, existem as chamadas PETs (Privacy Enhancing Technologies), que são as tecnologias que reforçam a privacidade do usuário.

A falta de clareza, conhecimento e debate acerca dos impactos que a não regulação da economia de dados pode trazer à privacidade dos cidadãos contribuem para que estes não se posicionem de forma crítica sobre os riscos que estão correndo. O resultado foi a consolidação do mercado autorregulado pelas empresas de tecnologia, aplicações e redes sociais. O próprio conceito de One Way Mirror, desenvolvido por Frank Pasquale³ define que o Estado cada vez mais quer ter acesso à todas as informações dos cidadãos e estes, cada vez menos sabem dos agentes estatais. Seria esta uma justificativa ao fato dos agentes estatais não atuarem de forma mais incisiva na regulação do "mercado de dados"? De toda forma, nunca os agentes econômicos souberam, ou tiveram controle, de tantas informações sobre os hábitos de consumo. Os mercados consumidores estão mais repletos de certezas do que nunca, uma vez que as informações de oferta e demanda estão cada vez mais sob o controle dos agentes econômicos.

No que tange à questão da privacidade, que é um dos pilares das leis de proteção de dados nos demais países, a LGPD segue a tendência das demais legislações e prima pela ampliação de tal conceito. A questão da privacidade até então era tutelada apenas pelo viés do direito à intimidade, vida privada e o "Right to be forgotten" (este último conhecido como "Direito ao Esquecimento"). Porém foi ganhando novos contornos e foi definido pelo Doutrinador Italiano Stefano Rodotà⁴ como o fato da "(...) privacidade não mais se confundir com o que é secreto (...)". O pensador italiano inclusive definiu que o que a sociedade atual quer da privacidade é o conceito de "pessoa-informação-circulação-controle" - e não mais o conceito clássico de privacidade que era "pessoa-informação-sigilo". Ou seja, o cidadão quer ter o controle sobre o que as empresas irão fazer com os seus dados pessoais.

Outro ponto que a LGPD destacou grande importância foi a questão dos dados sensíveis. O art. 5, II, desta lei diz que dados sensíveissão qualquer "(...) dados pessoaissobre origem social ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético, quando vinculado a uma pessoa natural". Tais dados, pelos parâmetros que utilizam, podem ter consequências negativas se utilizados de forma inadequada. A definição dos dados sensíveistem maior enfoque em tutelar garantias e direitos fundamentais como não discriminação, autonomia informacional e igualdade.

O especialista em privacidade de dados Daniel Solove⁵ define que a privacidade deve ser dividida em 04 grandes grupos de parametrização. São eles: i) coleta de dados: neste grupo estão os temas relacionados à vigilância do acesso à informação. Podemos inserir os registros de informações e a interrogação de pessoas; ii) manipulação e registros de dados: aqui deve ser incluído aspectos como agregação de partes de informações que, somadas, são capazes de revelarem dados que torna uma pessoa identificada ou identificável. Solove destaca neste grupo que problemas relacionados à segurança da informação (como vazamentos, por exemplo) podem resultar que dados pessoais sejam agregados/agrupados, e acabam por revelar informações pessoais que, sozinhos, não seriam capazes. Existe ainda o que o autor chamou de utilização secundária dos dados. Neste caso, os dados pessoais acabam sendo utilizados para finalidades distintas das que foram coletadas com o consentimento do titular; iii) no terceiro agrupamento de Solove estão relacionadas as questões de divulgação dos dados. Aspectos como tornar público algo que poderia prejudicar a reputação de uma pessoa natural, exposição da vida íntima, apropriação de informações de terceiros, divulgar informações enganosas ou ameaçar divulgar informações pessoais; iv) o quarto e último grupo está relacionado à invasão, tais como junk e-mails, spams, telemarketing.

O que se percebe é que o debate acerca do tema da privacidade no mundo digital está diretamente relacionado às questões dos direitos fundamentais, tais como autonomia da vontade, liberdade do titular para decidir sobre a transferência de dados, além das questões tuteladas pelo conceito clássico de privacidade.

A ampliação da utilização de algoritmos pelas aplicações na internet pode, por consequência, resultar em decisões automatizadas que tem potencial de aumentar a exclusão de cidadãos ao acesso a direitos e garantias fundamentais. Por exemplo, se determinada aplicação na internet criar um algoritmo para segregar que apenas um cidadão de alta renda tenha acesso a determinado produto (ou a determinada condição comercial), tal automatização poderia resultar definitivamente que um cidadão que não tenha as condições estipuladas pelo algoritmo nunca possa adquirir o produto. Mesmo que fora do ambiente da internet dificilmente o cidadão que não tenha esta condição econômica consiga adquiri-lo, não lhe é excluída essa possibilidade. Caso melhore a sua situação financeira, conseguiria. Outro ponto de extrema relevância é que tais algoritmos não são transparentes quanto aos seus parâmetros de decisão. As empresas de tecnologia, aplicações e redes sociais alegam Direito de Propriedade Industrial para não revelar quais parametrizações utilizam. Além disso, os algoritmos quando criados ou modificados não são visíveis para o leigo.

A redação original do artigo 20 da LGPD previa que o titular dos dados pessoais poderia pedir a revisão do tratamento dos seus dados, caso suspeite que o mesmo foi tratado de forma automatizada (ou seja, através de algoritmos). No entanto, com a aprovação da Medida Provisória 869/2018 este ponto foi alterado e o tratamento automatizado dos dados pessoais poderá ser realizado. Portanto ficou vedado que o titular dos dados exigisse revisão do tratamento não humanizado. Para alguns analistas, tal decisão feriu o próprio princípio da não discriminação garantido pela própria LGPD. Lembrando que o GDPR garante o direito do titular dos dados pessoais a solicitar a revisão do tratamento não humanizado (ou seja, não realizado por algoritmos).

Outros conceitos extremamente relevantes, em especial para as empresas, são o chamado privacy by design e privacy by default. Para aquele, se um agente realiza tratamento de dados⁶ deve considerar o tema da privacidade em todas as etapas e processos do ciclo do tratamento de dados. Para este, a tutela da privacidade deve ser considerada desde a concepção de um produto ou prestação de serviço ao consumidor - mesmo que o titular do dado não solicite.

A questão da anonimização dos dados pessoais⁷ na LGPD pode ser considerada como uma escolha feita pelo legislador para utilizar o desenvolvimento das tecnologias no mercado para auxiliar a proteção de dados pessoais. Assim uma empresa, ao utilizar determinada aplicação por exemplo, poderá garantir a privacidade do titular dos dados pois ele não será identificado ou não poderá ser identificável. Mas de toda forma, a legislação não pode ser baseada exclusivamente na utilização desta técnica para garantir a privacidade e a proteção dos dados pessoais, como de fato a LGPD não o fez.

Quando analisamos o tema do consentimento, mesmo que de dados sensíveis, (arts. 7º, I e 11, I)⁸ , a LGPD acaba por garantir que o exercício dos direitos da personalidade possa sofrer limitações voluntárias - tal qual disposto no Enunciado 4 da Jornada de Direito Civil, mas desde que não seja com abuso de direito. Porém a LGPD, para conceituar a validade do consentimento, determina que o mesmo precisa seguir o princípio da finalidade. Ou seja, o consentimento que o titular dos dados pessoais oferece àquele que processa e realiza o tratamento de seus dados deve estar relacionado a propósitos e finalidades legítimas, específicas, e deve ser informado de maneira clara e explícita pelo agente processador do dado. Além disso, o tratamento dos dados deve estar relacionado ao contexto da relação existente entre o titular e o agente que realiza o processamento e/ou tratamento do dado, bem como ao mínimo necessário para a finalidade. Por exemplo, se um site que realiza tão somente vendas online de livros (em que o consumidor não pode ofertar venda) não deve solicitar o consentimento do titular dos dados (ou do usuário de sua plataforma) para acessar a câmera ou microfone do seu celular - uma vez que a relação existente entre eles é apenas comercial. Do contrário o site ao solicitar tal consentimento, poderia coletar dados pessoais além do necessário para realizar a operação comercial.

Por fim a LGPD, que encontra-se em vacatio legis até agosto de 2020, demandará das empresas um empenho para que realizem uma mudança de cultura empresarial e quebra de paradigmas. Além da questão relacionada à Fiscalização, já que de acordo com o art. 52, II a "multa simples, de até 2% do faturamento da pessoa de direito privado, grupo ou conglomerado no Brasil (...) limitada, no total, a R$ 50.000.000,00 por infração", a legislação demandará que as empresas se preparem para um cenário de maior tutela à proteção de dados pessoais.

Para trilhar este caminho as empresas, além de realizarem treinamentos com seus funcionários e colaboradores, devem sensibilizá-los acerca da importância do tema. Devem aplicar investimentos na contratação de consultorias especializadas no tema de Direito Digital, Privacidade e Proteção de Dados Pessoais, além de implementarem sistemas e governanças que sigam as determinações da LGPD e as boas práticas do mercado - tal como a ISO 27001. O desafio é enorme, tanto para o setor empresarial quanto para os agentes governamentais, especialistas e acadêmicos. Mas deve-se ter em mente que o principal norteador desta guinada regulatória deve ser a tutela e garantia dos direitos fundamentais e autonomia informacional do titular dos dados pessoais. E quem são os titulares? Somos eu e você. Nós.

¹ . O artigo 51 da LGPD demonstra a importância desta autoridade para este fim. Art. 51: "(...) a autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais".

² Até o término da produção deste artigo (21/01/2020) a ANPD não foi criada.

³ PASQUALE, Frank. The black box society. The secrets algorithms that control money and information. Cambridge, 2015

⁴ RODOTÀ, Stefano. A vida na sociedade da vigilância. A privacidade hoje. Renovar. 2006

⁵ SOLOVE, Daniel. Understanding privacy. Cambridge: Harvard University Press, 2008

⁶ O art. 2º, X da LGPD define tratamento como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

⁷ O art. 2º, III define dado anonimizado como "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento"

⁸ Art. 7º "O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento do consentimento pelo titular; Art. 11: "O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o seu titular ou responsável legal consentir, de forma específica e destacada, para finalidade específicas".

Fale Conosco

Código
X