CONSIDERAÇÕES SOBRE A LEI GERAL DE
PROTEÇÃO DE DADOS PESSOAIS E A RECEM CRIADA AUTORIDADE NACIONAL DE PROTEÇÃO DE
DADOS:
(i) O nascimento da LGPDP:
O
contexto no qual o projeto de lei sobre a proteção de dados foi aprovado pelo
Poder Legislativo brasileiro foi fundamental para que sua tramitação tenha
acontecido de maneira rápida, adicionando-se o aspecto que no meu sentir, foi
essencial, com a aglutinação de outras propostas legislativas que de muito já
estava a tramitar paralelamente sobre o tema e as noticiais dos escândalos de
quebra de privacidade como no caso do Facebook, o uso de dados de usuários para
a realização de uma campanha política mais assertiva na eleição de Trump em
2016. Isto é, as questões de segurança de dados e a privacidade passaram a ser
pautas recorrentes perante a sociedade e imprensa no mundo, alcançando assim o
nosso país.
Com
isso, em data de 14 de agosto de 2018, foi objeto de publicação a Lei n.:
13.709, que dispõe sobre a proteção de dados pessoais e altera a Lei n.: 12.965
de 23 de abril de 2014 (Marco Civil da Internet) e o Brasil, passou a a fazer
parte dos países que contam com uma legislação específica para proteção de
dados e da privacidade dos seus cidadãos. Dentre as quais, o General Data Protection Regulation (GDPR)
na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e
aplicável a todos os países da União Européia (UE) e o California Consumer Privacy Act of 2018 (CCPA) nos Estados Unidos da
América, implementado através de uma iniciativa em âmbito estadual, na
Califórnia, onde foi aprovado no dia 28 de junho de 2018.
Em
linhas gerais, pode se dizer que a Lei Geral de Proteção de Dados Pessoais
(LGPDP), tem por premissa
maior, dispor sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural
ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre
desenvolvimento da personalidade da pessoa natural, na exata leitura do seu artigo
primeiro, determinando assim, as formas de coleta e tratamento dos dados e
informações, bem como as eventuais sanções nas hipóteses de descumprimento.
Já os fundamentos da disciplina da
proteção de dados pessoais, encontra sustentáculo nos incisos I a VII do seu
artigo segundo, quais sejam: I - o
respeito à privacidade; II - a
autodeterminação informativa; III - a liberdade de expressão, de informação, de
comunicação e de opinião; IV - a
inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e
tecnológico e a inovação; VI - a
livre iniciativa, a livre concorrência e a defesa do consumidor; e VII
- os direitos humanos, o livre
desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas
pessoas naturais.
A rápida analise de cada um dos
fundamentos para que a proteção e a coleta dos dados sejam disciplinadas
revelam um viés amplo e democrático, na medida em que a grande maioria dos
incisos do artigo segundo mencionam expressamente princípios fundamentais e
princípios republicanos insertos na mais que trintenária Carta Constitucional.
Com isso, a lei que foi publicada para
cuidar da alteração do Marco Civil da Internet objetivando, nasceu para
proteger os dados tratados no Brasil, quer seja no mundo real, quer seja no
mundo digital ou virtual, de sorte que empresas e órgãos públicos, permitam que
os cidadãos tenham mais controle sobre seus dados e especialmente sobre o modo
e forma pela qual, eles são ou serão utilizados, impondo inclusive, frente
eventuais hipóteses de vazamento indevido de dados e/ou informações, as
fixações das punições cabíveis.Seu texto determina que todos dados pessoais (informação relacionada à
pessoa natural identificada ou identificável, como nome, idade, estado civil,
documentos) só podem ser coletados mediante o consentimento do usuário e com a
devida explicação sobre a finalidade de solicitar aquele dado. Também
classifica (na seção dois, artigo dezessete), determinados dados como
sensíveis, que seriam aqueles que, por sua natureza, devem ter uma proteção
mais rigorosa, a exemplo de informações a respeito da origem do usuário (origem
racial ou étnica), de crenças (convicções religiosas, as opiniões políticas, a
filiação a sindicatos ou a organizações de caráter religioso, filosófico ou
político), corporais (referentes à saúde, dados genéticos e dados biométricos)
e sexuais (vida sexual).
O tratamento de dados pessoais
sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular
ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas; II- sem fornecimento de consentimento do titular, nas
hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou
regulatório pelo controlador; b) tratamento compartilhado de dados necessários
à execução, pela administração pública, de políticas públicas previstas em leis
ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida,
sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício
regular de direitos, inclusive, em contrato e em processo judicial,
administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de
setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade
física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado
por profissionais da área da saúde ou por entidades sanitárias; ou g) garantia
da prevenção à fraude e à segurança do titular, nos processos de identificação
e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos e
liberdades fundamentais do titular no artigo quinze desta Lei e excetuado o
caso em que prevaleçam direitos e liberdades fundamentais do titular que exijam
proteção dos dados pessoais.
As empresas ou órgãos públicos, por
sua vez, ficam obrigados a seguir o preceito da minimização de dados, de modo
que devem coletar somente os dados no momento em que eles são necessários.
Quanto à venda dos dados, esta não é permitida sem que haja consentimento do
usuário. No entanto, o texto, no artigo quarto, afasta a aplicação da
legislação a determinados casos, como os de dados pessoais tratados por pessoa
física para fins exclusivamente pessoais ou para fins exclusivamente artísticos
ou acadêmicos.
Dentre as hipóteses de
inaplicabilidade ao tratamento de dados pessoais, prevê a lei, as seguintes
premissas: I - realizado por pessoa natural para fins exclusivamente
particulares e não econômicos; II - realizado para fins exclusivamente: a)
jornalísticos b) artísticos c)acadêmicos, aplicando-se a esta hipótese os arts.
treze e dezessete da Lei; d) de segurança pública e) de defesa nacional; f) de
segurança do Estado; g) de atividades de investigação e repressão de infrações
penais; III - proveninentes de fora do território nacional e que: a) não sejam
objeto de comunicação ou de uso compartilhado com agentes de tratamento
brasileiros; b) sejam objeto de transferência internacional de dados com outro
país que não o de proveniência, desde que o país de proveniência proporcione
grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Dentre os direitos assegurados aos
titulares dos dados, estão o de obter do responsável pelo tratamento de suas
informações, a qualquer tempo e por meio de requisição, a confirmação da
existência de tratamento; o acesso aos dados; a correção de dados incompletos,
inexatos ou desatualizados; a anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou manipulado de forma diversa aos termos da lei; a
eliminação dos dados pessoais tratados com o consentimento do titular; as
informação das entidades públicas e privadas com as quais o responsável pelo
tratamento compartilhou dados; informação sobre a possibilidade de não fornecer
o consentimento e sobre as consequências da negativa, além da revogação do
consentimento. Há também a previsão do direito à portabilidade de dados, de
modo que o serviço deverá prover a possibilidade de o usuário mover todos seus
dados de um serviço para outro. Além disso, deverá ser indicada publicamente,
pela empresa ou poder púbico, a pessoa que possui a atribuição de tratar dados
pessoais de terceiros em sua respectiva esfera de atuação. Está deverá ficar
responsável por receber reclamações ou pedidos. Em caso de ocorrência de
vazamentos indevido de informações, prevê-se que os usuários devem ser avisados
imediatamente, para que possam tomar alguma providência.
Os Termos de uso, por seu turno,
deverão ser mais claros e descritivos, destrinchando onde cada informação
coletada será utilizada. Quando se tratar de um serviço ou produto destinado a
crianças, a linguagem deverá ser adequada para a faixa etária, sendo ainda mais
clara e compreensível, mas se dirigindo também aos pais ou responsáveis –
inclusive porque é exigido, no artigo vigésimo inciso segundo, o consentimento
desses para o tratamento dos dados de crianças e adolescentes. O tratamento de
dados pessoais de crianças e de adolescentes deverá ser realizado com o
consentimento específico e em destaque dado por pelo menos um dos pais ou pelo
responsável legal.
Além de todas essas disposições a Lei
Geral da Proteção de Dados Pessoais, estabeleceu em seus dispositivos criação
de um órgão responsável pela fiscalização e aplicação de penalidades às
empresas que por ventura passem a descumprir as determinações legais de proteção, de manuseio e a coleta dos
dados.
(ii) Da Autoridade Nacional de Proteção de Dados – ANPD:
Embora a LGPDP só vai entrar em vigor
em fevereiro de 2020, ressalvadas as críticas em relação a constitucionalidade
ou não da criação do órgão destinado a regular as premissas da Lei, em 27 de
dezembro de 2018, o ex-presidente da República, Michel Temer, editou a Medida
Provisória n.: 869, que além de alterar alguns dispositivos da LGPDP, dispõe sobre
a criação da Autoridade Nacional de Proteção de Dados.
(a) Estrutura:
Com a publicação da Medida Provisória, foi
criada a Autoridade Nacional de Proteção
de Dados - ANPD, órgão da administração pública federal, integrante da
Presidência da República, que com autonomia técnica será composta por: I - Conselho Diretor, órgão máximo de
direção; II - Conselho
Nacional de Proteção de Dados Pessoais e da Privacidade; III - Corregedoria; IV - Ouvidoria; V - órgão de assessoramento jurídico próprio;
e VI - unidades administrativas e
unidades especializadas necessárias à aplicação do disposto nesta Lei.
A estrutura organizacional será
composta pelos seguintes cargos: O Conselho Diretor da ANPD, será formado por
05 diretores, incluindo o diretor-presidente, que serão de livre nomeação do Presidente
da República e serão escolhidos dentre brasileiros, de reputação ilibada, com
nível superior de educação e elevado conceito no campo de especialidade dos
cargos para os quais serão nomeados, para mandato de 04 (quatro) anos.
A estrutura regimental da ANPD será
objeto de ato do Presidente da República e até que o mesmo entre vigor, a Autoridade
Nacional receberá apoio técnico e administrativo da Casa Civil da Presidência
da República para o desempenho das suas atribuições.
(b) Competência:
No tocante a competência, caberá a
Autoridade Nacional de Proteção de Dados, as seguintes atribuições: I - zelar
pela proteção dos dados pessoais; II - editar normas e procedimentos sobre a
proteção de dados pessoais; III - deliberar, na esfera administrativa, sobre a
interpretação da Lei, suas competências e os casos omissos; IV - requisitar
informações, a qualquer momento, aos controladores e operadores de dados
pessoais que realizem operações de tratamento de dados pessoais; V - implementar mecanismos simplificados,
inclusive por meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade com a Lei; VI -
fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento
à legislação, mediante processo administrativo que assegure o contraditório, a
ampla defesa e o direito de recurso; VII - comunicar às autoridades competentes
as infrações penais das quais tiver conhecimento; VIII - comunicar aos órgãos
de controle interno o descumprimento do disposto na Lei praticado por órgãos e
entidades da administração pública federal; IX - difundir na sociedade o
conhecimento sobre as normas e as políticas públicas de proteção de dados
pessoais e sobre as medidas de segurança; X - estimular a adoção de padrões
para serviços e produtos que facilitem o exercício de controle e proteção dos
titulares sobre seus dados pessoais, consideradas as especificidades das
atividades e o porte dos controladores; XI - elaborar estudos sobre as práticas
nacionais e internacionais de proteção de dados pessoais e privacidade; XII -
promover ações de cooperação com autoridades de proteção de dados pessoais de
outros países, de natureza internacional ou transnacional; XIII - realizar
consultas públicas para colher sugestões sobre temas de relevante interesse
público na área de atuação da ANPD; XIV - realizar, previamente à edição de
resoluções, a oitiva de entidades ou órgãos da administração pública que sejam
responsáveis pela regulação de setores específicos da atividade econômica; XV -
articular-se com as autoridades reguladoras públicas para exercer suas
competências em setores específicos de atividades econômicas e governamentais
sujeitas à regulação; e XVI - elaborar
relatórios de gestão anuais acerca de suas atividades.
(c) Deveres e responsabilidades:
A ANPD e os órgãos e entidades públicos
responsáveis pela regulação de setores específicos da atividade econômica e
governamental devem coordenar suas atividades, nas correspondentes esferas de
atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência
e promover o adequado funcionamento dos setores regulados, conforme legislação
específica, e o tratamento de dados pessoais, na forma desta Lei.
A ANPD manterá fórum permanente de
comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades
da administração pública que sejam responsáveis pela regulação de setores
específicos da atividade econômica e governamental, a fim de facilitar as
competências regulatória, fiscalizatória e punitiva da ANPD.
No exercício das suas competências, a
autoridade responsável deverá zelar pela preservação do segredo empresarial e
do sigilo das informações, nos termos da lei, sob pena de responsabilidade.
As mensagens recolhidas enviadas por
meio eletrônico poderão ser analisadas de forma agregada e as eventuais
providências delas decorrentes poderão ser adotadas de forma padronizada
(d) Sanções:
A aplicação das sanções previstas na
Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no
que se refere à proteção de dados pessoais, sobre as competências correlatas de
outras entidades ou órgãos da administração pública, sendo permitida sua
atuação conjunta com o Sistema Nacional de Defesa do Consumidor do Ministério
da Justiça e com outros órgãos e entidades com competências sancionatórias e
normativas afetas ao tema de proteção de dados pessoais e será o órgão central
de interpretação desta Lei e do estabelecimento de normas e diretrizes para a
sua implementação.
(e) Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
(e.1.) Composição:
Nos termos do artigo 58-A da Medida
Provisória, o CNPDPP, será composto por 23 (vinte e três) representantes, titulares suplentes,
dos seguintes órgãos: I - seis do Poder Executivo federal; II - um do Senado
Federal; III - um da Câmara dos Deputados; IV - um do Conselho Nacional de
Justiça; V - um do Conselho Nacional do Ministério Público; VI - um do Comitê
Gestor da Internet no Brasil; VII - quatro de entidades da sociedade civil com
atuação comprovada em proteção de dados pessoais; VIII - quatro de instituições
científicas, tecnológicas e de inovação e IX - quatro de entidades
representativas do setor empresarial relacionado à área de tratamento de dados
pessoais, cujas designações dar-se-ão por parte do Presidente da República e
serão consideradas prestação de serviço público em atividade não remunerada.
(e.2.) Competência:
Em termos competência, caberá ao Conselho
Nacional de Proteção de Dados Pessoais e da Privacidade, as seguintes
atribuições: I - propor diretrizes estratégicas e fornecer subsídios para a
elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade
e para a atuação da ANPD; II - elaborar relatórios anuais de avaliação da
execução das ações da Política Nacional de Proteção de Dados Pessoais e da
Privacidade; III - sugerir ações a serem realizadas pela ANPD; IV - elaborar estudos e realizar debates e
audiências públicas sobre a proteção de dados pessoais e da privacidade; e V
- disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade
à população em geral.
(iii) Conclusões:
Desde os primórdios da segunda metade
da década de 1990, que venho acompanhando a evolução da tecnologia do Brasil,
defendendo desde aquela época a criação de legislações específicas que pudessem
disciplinar as relações no âmbito da rede mundial de computadores e de lá para
cá muita coisa aconteceu, vieram alguns textos legislativos, por certo não na
mesma velocidade que a tecnologia evoluiu e está a evoluir, mas tivemos sem
sombra de dúvidas, alguns avanços, dentre os quais, a regulamentação do CDC
para as operações de comércio eletrônico, o Marco Civil da Internet e a Lei
Geral da Proteção de Dados Pessoais (que entrará em vigor em fevereiro de 2020).
Sendo certo que a promulgação dessa
lei, o Brasil ingressou no rol dos mais de
100 países que hoje podem ser considerados adequados para proteger a
privacidade e o uso de dados.
Possuímos uma regulamentação moderna para o uso, proteção e
transferência de dados pessoais no Brasil, nos âmbitos privado e público, estabelecendo
com clareza quem são as pessoas envolvidas e quais são suas atribuições,
responsabilidades e penalidades no âmbito civil. Lastreada em direitos
fundamentais de liberdade e de privacidade, como a livre iniciativa e o
desenvolvimento econômico e tecnológico do país.
E nesse esteio foi criada a Autoridade Nacional de Proteção de Dados - ANPD, como uma espécie de “braço” da Presidência da República, sendo, portanto o tema elevado a condição questão de alta relevância e porque não dizer, de segurança nacional, que terá autonomia técnica para cuidar da regulação e a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, além de, por meio de fóruns permanentes de comunicação, estabelecer cooperações técnicas, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da própria autoridade nacional.
Motivo pelo qual, ouso registrar que se
bem estruturada e deixando um pouco de lado o viés burocrático da administração
pública, a Autoridade Nacional de Proteção de Dados - ANPD, instituída pela
Medida Provisória n.: 869, de 27 de dezembro de 2018, na condição de órgão regulatório
poderá bem exercer suas atribuições e preservando assim, os principais
dispositivos legais destinados a proteger o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de
direito público ou privado, com o objetivo de preservar os direitos
fundamentais de liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
Esse é o meu ponto de vista.Gilberto Marques Bruno
Sócio Marques Bruno Advogados
Associados
(OAB/SP n.: 6.707)