Por que se pensou em uma lei para proteção de dados?
Devido a maior acessibilidade das pessoas à internet e a crescente popularidade das redes sociais, nota-se que cada vez mais nos encontramos expostos e vulneráveis no mundo virtual, em especial os nossos dados, isto é, “informações” que geramos ao navegar na internet, como nossas buscas no google por exemplo.
O processamento destes dados, pode vir a monitorar os nossos hábitos e mapear as nossas reações e caso seja feito em grande escala pode monitorar todas as demandas de um nicho específico da população ou até ela por completo.
Atualmente, tem sido noticiado um considerável crescimento nos casos de vazamento de dados que podem ser utilizados na prática de atos ilícitos. Além disso, a junção destas informações podem, também, vir a ser utilizada por empresas para diversos tipos de análise, sem quaisquer regulamentação ou monitoramento.
Por conta destes eventos e os riscos provenientes destes vazamentos, o parlamento brasileiro elaborou a Lei Geral de Proteção de Dados (Lei n. 13 709), tendo como base a experiência da união europeia, que aprovou sua regulamentação em 2016 (O Regulamento Geral sobre a Proteção de Dados – GDPR).
Para que serve a LGPD?
O foco principal da LGDP é proporcionar transparência no tratamento de dados das pessoas físicas em quaisquer meios, no intuito de proteger o titular de eventuais abusos ou usos ilegítimos de seus dados pessoais. A lei também prescreve a utilização de sanções como multas, quando necessário, para garantir o seu cumprimento, em especial, por parte das empresas que se utilizam destes dados.
Quais são os tipos de dados?
O artigo 5º da lei apresenta a definição de certos elementos cruciais para discussão de proteção de dados, entre estas, encontram-se a distinção dos diversos dados que estão disponíveis em âmbito virtual. Pode-se classificar os dados em três categorias; como dados pessoais, dados sensíveis ou dados anonimizados.
Art. 5º Para os fins desta Lei, considera-se:
- – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Qual a diferença entre tratamento e uso compartilhado de dados?
É possível diferenciá-los a partir dos conceitos expressados no artigo 5º.
Art. 5 Para os fins desta Lei, considera-se:
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
E quanto a aplicação da lei? Tem limites na jurisdição brasileira?
O artigo 3º prevê os cenários que possibilitam a aplicação da lei. Em seu caput, assegura a eficiência da proteção de dados a qualquer operação de tratamento realizada por pessoal natural ou por pessoa jurídica de direito público, independentemente do meio, do país, de sua sede ou do país onde estejam localizados os dados.
Os incisos I e III levam em consideração a nacionalidade, tanto do local que irá executar o tratamento dos dados quanto onde será coletado os dados. Especificamente:
I – a operação de tratamento seja realizada no território nacional;
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Entende-se que devido ao avanço cibernético, as noções tradicionais de jurisdição e territorialidade no Direito foram consideradas ultrapassadas. Portanto, o inciso II do art. 3 da LGPD se tornou um marco no que se diz à atos praticados fora do território, em um contexto de globalização digital. Ou seja, este inciso é uma expansão da aplicação da lei para além das fronteiras brasileiras, não leva em conta a nacionalidade.
II–a atividade de tratamento tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de
indivíduos localizados no território nacional (Redação dada pela Lei n. 13.853, de 2019); ou
Diferente dos outros incisos, o requisito se dá pelo fato do indivíduo – sendo nacional ou não – estar localizado em território brasileiro, não se importando do local onde que se dá o tratamento de seus dados – podendo ser para além das fronteiras.
Contudo, mesmo sendo uma inovação jurídica, é importante ressaltar que a eficácia da aplicação da lei em território estrangeiro não é a mesma em comparação com a do território nacional, visto que o Estado brasileiro não pode aplicar sanções em outras jurisdições. Dessa forma, para que se tenha o exercício de suas penalidades, terá que passar por um processo burocrático – e as vezes demorado – de cooperação internacional.
Quais são os princípios que norteiam a LGPD?
São 10 princípios, todos elencados no artigo 6º da lei.
- Princípio da finalidade
O dados pessoais devem ser tratados para finalidades legítimas, específicas e explícitas. Além disso, o tratamento escolhido deve ser informado previamente ao titular.
- Princípio da adequação
Como o nome diz, os dados coletados devem ser adequados em relação com a finalidade do tratamento previamente informado ao titular. Ou seja, deve estar de acordo com o contexto do tratamento
- Princípio da necessidade
Está diretamente ligado ao princípio da finalidade e da adequação. Este princípio prevê que apenas os dados mínimos necessários para a realização de suas finalidades devem ser coletados. Dessa forma, os dados excessivos serão ignorados e somente os dados indispensáveis – que venham a ser pertinentes e proporcionais ao contexto do tratamento – serão coletados.
- Princípio do livre acesso
Garante aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados. Como o princípio da qualidade dos dados, também garante que os dados sejam respeitados em sua integralidade, que sejam verídicos e que correspondam à forma que se foi utilizado.
- Princípio da qualidade dos dados
Requer que os dados colhidos sejam exatos, claros e relevantes de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. O princípio também se mantém quanto à atualização destes dados.
- Princípio da transparência
Fundamento que permite os titulares a terem informações claras, precisas e facilmente acessíveis sobre a operação do tratamento de seus dados e dos respectivos agentes de tratamento, salvo os segredos comerciais e industriais.
- Princípio da segurança
É o princípio que discorre da necessidade de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão. Logo, é necessário a utilização de medidas técnicas e administrativas que proporcione segurança à estes dados.
- Princípio da prevenção
Ligado ao princípio da segurança, este prevê a adoção de medidas a fim de prevenir a ocorrência de possíveis danos em virtude do tratamento de dados pessoais.
- Princípio da não discriminação
Os dados coletados não podem, de maneira alguma, serem utilizados para fins discriminatórios, ilícitos ou abusivos. Este princípio também prevê quanto ao manuseio dos dados, impedindo que este seja feito de forma discriminatória.
- Princípio da responsabilização e prestação de contas.
Requer do agente responsável ao tratamento de dados a demonstração do acolhimento de medidas eficazes e capazes de comprovar a observância e cumprimento das normas de proteção de dados pessoais, além de comprovar a eficácia das medidas adotadas.
E afinal, quais são os direitos dos titulares assegurados pela lei?
O titular é pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Ou seja, é o indivíduo que navega pelo ciberespaço.
- Direito à confirmação do tratamento de dados (art. 18,I)
Devido ao princípio da transparência, o agente do tratamento só poderá tratar ou coletar os dados do titular mediante a sua confirmação. Para se obter a confirmação do titular, é preciso que o agente comunique informações claras quanto à operação que virá a ser executada com os dados fornecidos e alerte em caso de compartilhamento, salvo se for segredo comercial ou industrial.
- Direito ao livre acesso aos dados (art.18, II)
Por conta do livre acesso aos seus dados, os titulares tem como assegurar, dessa maneira, que seus dados estão sendo processados de forma segura, verídica e cumprindo com a sua finalidade.
- Direito à correção de dados incompletos (art.18, III)
Direito decorrente do princípio da qualidade dos dados, é a possibilidade de corrigir dados incompletos, inexatos ou desatualizados.
- Direito à anonimização (art.18, IV)
A anonimização, à luz do art.5, é quando se utiliza meios técnicos adequados e disponíveis no momento do tratamento para que um dado perca a possibilidade de associação, direta ou indireta de seu titular. Dessa forma, o art. 18, IV assegura ao titular a possibilidade de solicitar que seu dado se comporte de maneira anônima em casos que o controlar necessite apenas da informação estatística de seu dado, tornando inviável a sua identificação.
- Direito ao bloqueio (art.18, IV)
É um direito compartilhado pelo titular e a Autoridade Nacional (que o utilizado como um meio de sanção). O bloqueio é a suspensão temporária de qualquer forma de tratamento de dados pessoais ou banco de dados.
- Direito à eliminação (art.18,IV e VI)
A eliminação é a exclusão de um dado ou de todo um banco, independentemente do procedimento empregado. Uma vez eliminado, o dado não poderá retornar à coleta ou tratamento, é uma operação irreversível. Nesta esteira, o titular tem o direito de eliminar seus dados em três situações. Primeiramente, é previsto no inciso VI, nos casos em que os dados pessoais, mesmo tratados com consentimento, podem ter excluídos, salvo hipóteses previstas no art. 16. Deve ser feita de forma expressa. Já o inciso IV apresenta os outros dois casos de eliminação, podendo ser feita em dados desnecessários, excessivos ou tratados com desconformidade com o disposto na lei.
- Direito à portabilidade (art. 18, V)
A portabilidade, feita de forma gratuita e expressa, garante a transferência dos dados a outro fornecedor de serviço ou produto de acordo com a regulamentação da autoridade nacional, exceto em casos de segredo comercial e industrial. Este direito reforça a habilidade do titular de gerenciar e reutilizar seus dados de forma livre.
- Direito à informação sobre a possibilidade de não fornecer consentimento (art. 18, VIII)
O titular deve ser informado sobre as conseqüências negativas se não vier a fornecer consentimento da coleta ou tratamento de seus dados, como por exemplo, a não prestação do serviço solicitado.
- Direito à revogação do consentimento (art. 18, IX)
O titular pode revogar, no momento que quiser, revogar expressamente o seu consentimento. Esta revogação será feita gratuitamente e por procedimento facilitado, ou seja, não precisa ser escrito necessariamente.
- Direito à explicação de decisões automatizadas (art. 20 § 1º)
Atrelado ao princípio da transparência, o controlador1 deverá fornecer, sempre que solicitado, informações suficientemente claras e inteligíveis a respeito dos procedimentos ou critérios utilizados para a decisão automatizada.
- Direito à revisão de decisões automatizadas (art. 20)
O titular tem direito de demandar a revisão, de uma decisão totalmente automatizada que possa ter um impacto nos seus interesses, principalmente os relacionados à definição de seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Esta revisão poderá ser feita tanto por outro sistema automatizado ou por percepção humana, visto que o artigo não detalha as condições da revisão. No texto original da lei, estava explicitado que a revisão seria feita por indivíduos, conforme é feita por outras legislações internacionais e na GDPR do qual a lei se inspirou. Porém, os vetos presidenciais realizados no PLV nº 07/2019 omitiu a palavra “humana” e por consequência, se a revisão for realizada por outro sistema automatizado pode vir a prejudicar a transparência e a concretizaçãoi de um direito à explicação consistente.
REFERÊNCIA BIBLIOGRÁFICA:
BRANCO, Sérgio. AshipótesesdeaplicaçãodaLGPDeasdefiniçõeslegais. In: A LGPD e o novo marco normativo no Brasil / organização Caitlin Mulholland. Porto Alegre: Arquipélago, 2020
SOUZA, Carlos Affonso; MAGRANI, Eduardo; CARNEIRO, Giovana. LeiGeralde Proteção de Dados Pessoais: uma transformação na tutela dos dados pessoais. In: A LGPD e o novo marco normativo no Brasil / organização Caitlin Mulholland. Porto Alegre: Arquipélago, 2020
SILVA, Priscilla Regina. Osdireitosdostitularesdedados. In: A LGPD e o novo marco normativo no Brasil / organização Caitlin Mulholland. Porto Alegre: Arquipélago, 2020
Comentários