Em Dois mil e dezoito, foi editada a Lei número treze mil setecentos e nove ( denominada "Lei Geral de Proteção de Dados Pessoais" - LGPDP ), que dispõe sobre o tratado de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com os objetivos expressos de
1) proteger os direitos fundamentais ( * vide nota de rodapé ) de liberdade ( *2 vide nota de rodapé ) e de privacidade ( *3 vide nota de rodapé ) e
2) o livre desenvolvimento da personalidade da pessoa natural.
em Oito de julho de Dois mil e dezenove, a LGPD foi alterada pela Lei número treze mil oitocentos e cinquenta e três, que criou a Autoridade Nacional de Proteção de Dados ( ANPD ).
A adoção de uma legislação como a aprovada é reação ao uso não autorizado de informações pessoais para diversas finalidades de comportamento atual. Ferramentas como o big data e fenômenos como rastreamento de comportamentos ( marketing comportamental ), inclusive nas redes sociais, bem como o desvio de finalidade com o uso de dados sensíveis para objetivos eleitorais e comerciais, além da venda não autorizada de dados pessoais, entre outras condutas de agentes privados ou públicos, geram preocupação nas sociedades democráticas, tanto para a proteção da privacidade, quanto da livre concorrência ou ainda de outros direitos ( como a igualdade dos candidatos e a liberdade do eleitor, no caso da manipulação de dados sensíveis para fins eleitorais ).
O Brasil não está isolado nessa iniciativa de proteger o direito à privacidade, que tem se tornado preocupação de diversos Estados e organizações internacionais. No plano da integração europeia, entrou em vigor em Dois mil e dezoito o Regulamento Geral de Proteção de Dados ( "General Data Protection Regulation" - GDPR na sigla em inglês ), que possui claro efeito extraterritorial, uma vez que disciplina o
1) tratamento dos dados realizado por empresa estabelecida na União Europeia ( independentemente do local do tratamento e da nacionalidade dos titulares dos dados ) e o
2) tratamento de dados realizado por empresa estrangeira ( não estabelecida na União Europeia ) que ofereça bens e serviços ou monitore comportamentos da União Europeia ( *4 vide nota de rodapé ).
A nova lei brasileira sdotou tal alcance extraterritorial, aplicando-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que
1) a operação de tratamento seja realizada no território nacional; ou
2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
3) os dados pessoais objeto do tratamento tenham sido coletados no território nacional, considerando como "coletados no território nacional" os dados pessoais cujo titular nele se encontre no momento da coleta.
Consequentemente, a lei não abarca os dados provenientes de fora do território nacional e que não sejam
1) objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou
2) objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao disposto na lei brasileira.
Essa última hipótese permite que a lei brasileira tenha alcance extraterritorial ( justificado o direito internacional pela jurisdição do local do efeito / dano ) para assegurar a proteção à privacidade, no caso de regulamentação estrangeira inadequada.
Ainda, há cláusulas de exclusão, não se aplicando a lei brasileira a tratamento de dados pessoais que tenha sido
1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
2) realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos ( aplicando-se, nesta última hipótese, determinados dispositivos da lei sobre requisitos para o tratamento de dados );
3) realizado para fins exclusivamente de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais ( falta, ainda, a edição de uma "LGPD criminal" ).
Ponto importante da nova lei é a exigência das atividades de tratamento de dados pessoais observarem a boa-fé e os seguintes princípios:
1) princípio da finalidade legítima e informada, que exige que a realização do tratamento ocorra para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidade;
2) princípio da adequação, que exige a compatibilidade do tratamento com as finalidades informadas ao titular, ade acordo com o contexto do tratamento;
3) princípio da necessidade, que exige a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais não excessivos em relação às finalidades do tratamento de dados;
4) princípio do livre acesso, que assegura aos titulares dos dados a consulta facilitada gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5) princípio da qualidade e transparência, que assegura aos titulares dos dados a exatidão dos dados e informações sobre realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
6) princípio da segurança e provenção, que exige a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acesso não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, bem como a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Consequentemente, o agente deve comprovar a observância e o cumprimento das normas de proteção aos dados pessoais.
7) princípio da não discriminação, que veda a realização do tratamento para fins discriminatórios ilícitos ou abusivos.
A lei elenca dez situações autorizadas de tratamento de dados pessoais, sendo uma geral e nove hipóteses específicas, que são as seguintes:
1) situação geral de uso autorizado, gerada pelo consentimento do titular;
2) cumprimento de obrigação legal ou regulatória pelo controlador do dado;
3) tratamento e uso compartilhado de dados pelo Poder Público, necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumento congêneres;
4) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais ( desvinculação dos dados dos indivíduos geradores );
5) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
6) exercício regular de direitos em processo judicial, administrativo ou arbitral;
7) proteção da vida ou da incolumidade física do titular ou de terceiro;
8) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviço se saúde ou autoridade sanitária;
9) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
10) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Assim, em geral o consentimento do titular dos dados é elemento-chave da nova lei para o uso legítimo dos dados pessoais, devendo ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso queira compartilhar dados, o controlador deverá obter consentimento específico do titular para esse fim. Todavia, é dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular.
Outro ponto importante da lei é o direito de acesso do titular às informações sobre o tratamento de seus dados, abarcando a finalidade, a forma e a duração do tratamento, bem como a identificação do controlador dos dados e informações acerca do uso compartilhado de dados pelo controlador e a finalidade, entre outros.
No que tange ao conteúdo dos dados, a lei criou a categoria dos "dados pessoais sendíveis", que são aqueles vinculados a determinado indivíduo referentes à
1) origem racial ou étnica,
2) convicção religiosa,
3) opinião política,
4) filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
5) dado referente à saúde ou à vida sexual,
6) dado genérico ou biométrico.
Nesses casos, o tratamento dos dados sensíveis exige consentimento de forma especial e destacada, para a finalidades específicas. Excepcionalmente, o consentimento do titular é dispensável, na segintes hipóteses:
1) existência de lei prevendo tal manipulação;
2) estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
3) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
4) proteção da vida ou da incolumidade física do titular ou de terceiro;
5) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
6) prevenção à fraude e para assegurar a segurança do titular.
A lei ainda facilitou o uso de dados anonimizados, que não serão considerados dados pessoais, salvo
1) quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com
2) esforços razoáveis, puder ser revertido.
Nesse último caso, a determinação do que seja "razoável" deve levar em consideração fatores objetivos, tais como custo e tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
A autoridade nacional de Proteção de Dados ( ANPD ) foi criada como órgão da administração pública federal, integrante da Presidência da República ( PR ), tendo natureza transitória, em poderá ser transformada pelo Poder Executivo Federal ( PEF ) em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à PR. Essa transformação poderá ser feita em até dois anos da entrada em vigor da estrutura regimental da ANPD. Apesar de não ser ( ainda ) autarquia, a ANPD teve assegura a autonomia técnica e decisória, sendo composta pelo conselho Diretor ( órgão máximo ), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade ( CNPDPP ) ( composto por Vinte e três membros, entre representantes governamentais, da sociedade civil, do Senado Federal - SF - , da Câmara dos Deputados - CD - , do Conselho Nacional de Justiça - CNJ - , do Conselho Nacional do Ministério Público - CNMP - e do Comitê Gestor da Internet - CGI - no Brasil ).
Houve vetos importantes, como o sobre regra que vedava o compartilhamento de dados pessoais de requerentes de acesso á informação ( Lei número Doze mil quinhentos e vinte e sete, de Dois mil e onze ) pelo Poder Público com outros órgãos públicos ou pessoas jurídicas de direito privado. Também foram vetadas novas sanções, como a de suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses.
Em Dois mil e vinte, foi editada a Medida Provisória ( MP ) número Novecentos e cinquenta e nove, que determinava a vacatio legis ( *5 vide nota de rodapé ) da LGPG para o dia Três de maio de Dois mil e vinte e um. Porém, tal dispositivo não foi aprovado pelo SF na votação sobre a lei de conversão. Em Dezessete de setembro de Dois mil e vinte, foi aprovada a Lei número Quatorze mil e cinquenta e oito ( conversão da MP número Novecentos e cinquenta e nove / Dois mil e vinte ), com o expurgo do Artigo Quarto ( referente ao adiamento da entrada em vigor da LGPD ), levando a entrada em vigor da LGPD, salvo as regras sobre a criação da Autoridade Nacional de Proteção de Dados ( ANPD ), em vigor desde Vinte e oito de dezembro de Dois mil e vinte e um ( de acordo com a Lei número Quatorze mil e dez / Dois mil e vinte ).
P.S.:
Notas de rodapé:
* A diversidade terminológica referente aos Direitos Humanos é melhor detalhada em: https://claudiomarcioaraujodagama.blogspot.com/2022/02/direitos-humanos-as-terminologias.html .
*2 O direito à liberdade, no contexto dos Direitos Humanos, é melhora contextualizado em: https://claudiomarcioaraujodagama.blogspot.com/2023/06/direitos-humanos-o-direito-liberdade-de_30.html .
*3 O direito à privacidade, no contexto dos Direitos Humanos, é melhor detalhado em: https://claudiomarcioaraujodagama.blogspot.com/2023/07/direitos-humanos-o-direito-privacidade.html .
*4 Regulamento ( União Europeia ) Dois mil e dezesseis / Seiscentos e setenta e nove do Parlamento Europeu e do Conselho, de Vinte e sete de abril de Dois mil e dezesseis, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e á livre circulação desses dados e que revoga a Diretiva número Noventa e cinco / Quarenta e seis / Comissão Europeia ( Regulamento Geral sobre Proteção de Dados ) .
*5 Vieira, Jair Lot. vacatio legis: isenção da lei ( espaço vago entre uma lei extinta e a vigência da outra ). Dicionário latim-português : termos e expressões / supervisão editorial - São Paulo : Edipro, Dois mil e dezesseis, Página Quatrocentos e trinta e um.
Nenhum comentário:
Postar um comentário