O Regulamento Geral sobre
Proteção de Dados ou GDPR (General Data Protection Regulation),
consolidando normas anteriores da Comunidade Europeia, configura um dos mais
importantes marcos legais na atualidade, no que tange aos negócios digitais,
impactando todos os relacionamentos empresariais que se deem com empresas da
Comunidade Europeia ou que armazene dados das pessoas singulares que sejam
cidadãos da referida comunidade. Valendo destacar que está em vigor desde maio,
deste ano, o aludido nº 2016/679.
Antes de adentrar no assunto
de fundo, importante distinguir os tipos de dados pessoais envolvidos (PECK,
2016, p. 485), conforme doutrina:
“Os pontos mais relevantes envolvem,
primeiramente, a delimitação clara da distinção entre dados pessoais de
natureza cadastral (ligados à identificação do indivíduo), dados sensíveis
(relacionados às questões mais íntimas protegidas pela Constituição Federal
como origem étnica, racial, a orientação política, sexual, as convicções
religiosas, filosóficas e morais, os dados genéticos, e de saúde) e os dados
anônimos ou anonimizados (cujo elemento de identificação foi removido ou está
ausente).”
Desta forma, como se falará
em nível mundial neste curto texto, além de se falar de intimidade e
privacidade nas órbitas das legislações nacionais, ou seja, na garantia de
direitos fundamentais no plano micro, mas quando se parte para o plano macro se
está a tratar de direitos humanos, notadamente amparados em salvaguardar a
dignidade da pessoa humana, em todas as suas dimensões, com a proteção dos seus
dados.
Sobre o assunto, destacando a
importância da harmonização do tratamento de dados com as liberdades e direitos
fundamentais, pontou-se (CORRÊA; LOUREIRO, 2018, s/p):
“O Regulamento (UE) 2016/679, do Parlamento
Europeu e do Conselho da União Europeia, conhecido como Regulamento Geral sobre
a Proteção de Dados (GPDR), que entrou em vigor em maio, registra,
expressamente, a importância fundamental da circulação de dados nas sociedades
atuais, para as empresas, associações e entes públicos. Alerta, também, para o
aumento exponencial do tratamento de dados pessoais, associado ao desenvolvimento
das tecnologias de informação. E aponta para a necessidade de harmonizar a
crescente utilidade e conveniência de tratamento desses dados com as liberdades
e direitos fundamentais.”
O professor Masseno, a quem
reputo ser uma das maiores autoridades mundiais em termos de proteção de dados
pessoais, em material disponibilizado (s/d, s/p), elencou alguns elementares princípios
de tratamento de dados, o que aqui interessa sobremaneira, como destacado:
“4 – os Princípios do Tratamento dos Dados:
são, apenas, explicitados
e identificados (Art.º 5.º n.º 1) :
“licitude, lealdade e transparência” (a)
“limitação das finalidades” (b)
“minimização dos dados” (c)
“exatidão” (d)
“limitação da conservação” (e)
“integridade e confidencialidade” (f)
estes Princípios não são só linhas orientadoras, pela
sua positivização reforçada,articulando-se com as condições delicitude do
tratamento (Art.º 6.º)”
Vale trazer à colação aqui
um resumo coletado de um guia, da empresa Sage, maior empresa do mundo fornecedora de sistemas de gestão empresarial para
pequenas e médias empresas (2017, p. 05), que destaca
os direitos das pessoas singulares e sua sensibilização, historiando
inicialmente com a Diretiva que vigorava antes do Regulamento, a saber:
“Os direitos das
pessoas singulares e sua sensibilização
A legislação em vigor
na UE sobre a proteção de dados (Diretiva 95/46/CE) confere às pessoas
singulares direitos sobre os seus dados pessoais e descreve quais as
informações que têm de lhes ser facultadas pelas empresas, designadamente
acerca da finalidade a que esses dados pessoais se destinam. É frequente estas
informações serem facultadas através de declarações ou notificações de
privacidade disponibilizadas num site.
O RGPD expande
significativamente o seu âmbito de aplicabilidade, estabelecendo direitos
adicionais que têm de ser novamente comunicados às pessoas singulares. Em
especial, as pessoas singulares têm de ser informadas de que têm os seguintes
direitos (lista meramente indicativa):
1. apresentar uma
queixa junto das autoridades de controlo, como a CNPD em Portugal;
2. retirar o
consentimento para o tratamento dos respetivos dados pessoais (ver abaixo);
3. aceder aos
respetivos dados pessoais, bem como solicitar a sua retificação ou eliminação (o
“direito a ser esquecido”) às empresas ou a quaisquer terceiros que a eles
tenham tido acesso;
4. ser informado da
existência de qualquer tratamento automatizado de dados pessoais (incluindo a
criação de perfis);
5. opor-se a certos
tipos de tratamento, como marketing direto e decisões baseadas apenas no
tratamento automatizado;
6. ser informado
sobre o período de retenção dos dados pessoais;
7. ser informado
sobre a identidade e contactos de qualquer Encarregado de Proteção de Dados
(ver abaixo). Além disso, as pessoas singulares têm o direito de recorrer a
organizações sem fins lucrativos para fazerem valer os seus direitos e
interporem ações judiciais em seu nome, semelhantes às ações coletivas nos
Estados Unidos.”
Sobre a obrigação das
empresas notificarem as Autoridades Supervisoras, assim destacou Moreira (2017,
s/p):
“Outra obrigação
instituída na GDPR é a de que, frente a um evento de vazamento de dados, capaz
de gerar risco às pessoas, a entidade/empresa responsável deverá, em até 72
horas contados da ciência deste fato, notificar a Autoridade Supervisora
competente (cada Estado membro indicará uma autoridade para fiscalizar a
aplicação da GDPR e receber esse tipo de comunicação). Da mesma forma, deverá
notificar o quanto antes as próprias pessoas acerca desse acontecimento,
mantendo uma comunicação transparente com as partes envolvidas.”
Sobre leis de proteção de
dados pelo mundo, cumpre trazer a colação informações de Agência Brasil
(VALENTE, 2018, s/p), compilando alguns países a título demonstrativo, como
Estados Unidos, Chile e Argentina:
“(...) Os Estados Unidos também são referência
mundial. Não pela existência de uma lei geral, mas pela legislação fragmentada.
A Lei de Privacidade de Comunicação Eletrônica (ECPA, na sigla em inglês), de
1986, proíbe a interceptação de mensagens telefônicas ou eletrônicas (como
e-mails) e garante a segurança de informações tanto durante a transmissão
quanto no armazenamento, inclusive em computadores. (...)
(...)
Diversos países têm legislações de proteção de dados na América Latina, como
Chile, Argentina, Uruguai e Colômbia. A lei chilena, de 1999, limita o uso dos
dados ao propósito informado no ato da coleta, com a exceção de registros
tornados públicos. Ela garante aos titulares o direito a acessar as informações
de posse de alguma empresa, corrigi-la ou eliminá-la se o armazenamento não
respeitar as exigências da Lei ou o tratamento for concluído.
A lei
prevê a responsabilização de empresas controladoras de dados em caso de
prejuízos aos titulares, com sanções definidas pela Justiça. O texto estabelece
algumas diferenças para o Poder Público, limitando o tratamento de dados ao
previsto na lei e impedindo divulgação de informações sobre condenações depois
de prescreverem. (...)
‘Na
Argentina, a Lei de Proteção de Dados Pessoais foi aprovada em 2000. Ela regula
bases de dados públicas e privadas, estabelecendo como princípio o uso limitado
à finalidade para a qual foram obtidos. O tratamento está condicionado ao
consentimento do titular, que deve ser livre, expresso e informado. Essa
autorização não é exigida nos casos de bases públicas, no cumprimento de uma
obrigação legal, no exercício de funções próprias do Estado e quando as
informações se limitam a nome, identidade, profissão, data de nascimento e
endereço.
As empresas são obrigadas a atualizar dados incompletos e
errados. Não podem manter registros após o término da atividade para a qual
foram coletados. Os entes responsáveis pelo tratamento também devem garantir o
acesso dos titulares às suas informações. Mas é permitido o repasse de dados a
terceiros desde que cumpram um “interesse legítimo” do ente que os estão
cedendo. Já órgãos públicos têm regras especiais, como o direito de negar o
acesso, a correção e a supressão das informações. Também há menos obrigações no
caso de segurança nacional ou segurança pública.’”
No Brasil, na semana passada
foi aprovada a Lei de Proteção de Dados, com a pendência de uma Agência
Nacional de Proteção de Dados, destacando brevemente o portal Olhar Digital
(GUSMÃO, 2018, s/p):
“Foi aprovada por
Michel Temer, nesta terça-feira, o PLC 53/2018 que estabelece a lei geral de
proteção de dados (LGPD) brasileira. Com a assinatura do presidente, as
empresas que processam dados no Brasil terão 18 meses para se adaptar à lei.
Mas você sabe o que muda com ela?
De forma resumida, a
legislação nacional vai exigir que as companhias mudem a forma como lidam com
as informações de seus usuários. "A LGPD estabelece três figuras
principais durante o tratamento de dados: o titular, o controlar e o
operador", explicou Vanessa Lerner, advogado especialista em direito
digital da Dias Carneiro Advogados. "Em sua essência, a lei não é nada
mais do que um conjunto de direitos e obrigações dessas três partes em
diferentes momentos, que gera uma rede capaz de proteger a privacidade e a
autodeterminação dos titulares de dados pessoas no Brasil.
Patrícia
Peck, também advogada especialista em direito digital, resumiu as mudanças: as
companhias precisarão de consentimento das pessoas antes de poderem mexer com
seus dados, terão que fazer de forma transparente e serão obrigadas a garantir
a segurança de tudo que armazenam e processam.”
Assim, ter-se-á melhores
subsídios para o enfrentamento de situações como o vazamento de dados
enfrentados no mundo, como por exemplo, pela Uber, em 2016[1]. Ou o vazamento de dados
Netshoes, no Brasil, em 2018[2]. O famoso ataque sofrido
pela TARGET[3].
E o recente episódio do Facebook[4], com a Cambridge Analytica,
com o superveniente pedido de falência desta e a perda de bilhões por aquela.
No Brasil temos duas
situações curiosas em andamento.
A primeira, em que farmácias
estão comercializando dados atrelados ao CPF de clientes (LUIZ, 2018, s/p), o
que está sendo investigado pelo Ministério Público:
“O Ministério Público do Distrito
Federal iniciou uma investigação para apurar se redes de farmácias do país
estão repassando ou vendendo dados sigilosos de clientes, após exigir o CPF
deles em troca de desconto. A suspeita é de que a lista de compra de cada
consumidor esteja sendo divulgada para empresas de planos de saúde e de análise
de crédito, em uma espécie de mercado paralelo.”
A segunda, quase foi leva a
efeito, se não fosse a participação da Ordem dos Advogados do Brasil e órgãos
de proteção ao consumidor (G1, 2018, s/p):
“O governador Márcio
França (PSB) determinou a revogação da portaria da Imprensa Oficial que
possibilitava empresas a se credenciarem para contratar o serviço de
certificação online de identidade de indivíduos com base em dados biográficos e
impressão digital. O Sistema de Dados Biométricos foi lançado em março durante
a gestão de Geraldo Alckmin (PSDB).
Márcio França negou
nesta quarta-feira (13) que o governo paulista faça a venda
de informações sigilosas de identificação da população incluídas no cadastro do
RG, como a digital, para empresas. Em entrevista em
Santos, no entanto, o governador não descartou a possibilidade de o sistema ser
usado por particulares.”
Como se nota, o Regulamento
Geral de Proteção de Dados Europeu é um modelo que se espraiou e se espraia
pelo mundo todo, inclusive com a exigência de que todas as empresas e países
também se adaptem para que as relações mantidas com os países europeus se consolidem
de modo legal.
Desta forma, os dados dos
consumidores/cidadãos devem ser respeitados. Os dados devem ser salvaguardados,
gerando-se diversas novas obrigações às empresas, como: escopo de aplicação,
autorização para o tratamento de dados, o uso por determinado espaço de tempo,
a correção e exclusão de dados quando solicitada rogada pela pessoa
interessada, a imediata notificação obrigatória em caso de incidentes de
segurança envolvendo dados e assim como outros importantes itens.
A novel Lei Brasileira –
13.709/18 – traz além de toda essa influência do RGPD, alguns itens que se
entende como pilares da lei, quais sejam: a) criação de uma Autoridade Nacional
para acompanhamento da aplicação da lei, ainda pendente; b) a obrigação de
responsável legal dentro das corporações sobre os dados, inclusive com a gestão
frente a empresas terceirizadas; c) multa de até 2% (dois por cento) do
faturamento da pessoa jurídica no seu último exercício, limitada a R$
50.000.000,00 (cinquenta milhões de reais), por infração.
Com as rápidas mudanças
tecnológicas as normas terão que ser atualizadas, eventualmente, de tempo em
tempos, mas é importante que carreguem esse caráter principiológico que pode ter
uma estrutura mais duradoura, com plena antevisão do porvir negocial.
Destarte, espera-se que, os
países evoluam com a legislação específica, respeitando-se os dados das
pessoas, bem como, a sua consequente dignidade da pessoa humana, respeitando-se
as suas intimidades e privacidades, dentro do que se pode ser considerado razoável
e proporcional.
Adriano Augusto Fidalgo. Advogado. Auditor Jurídico. Especialista
em Direito Processual Civil pela Universidade São Francisco. Especialista em
Direito Tributário pela Escola Superior de Advocacia da OAB/SP. MBA em
Auditoria pela Universidade Nove de Julho. Presidente da Comissão Especial de
Direito Digital e Compliance da OAB/Santana. Especialista em Computação Forense
pela Universidade Mackenzie. Mestrando em Educação pela Universidade Nove de
Julho, na Linha de Pesquisa: Educação, Filosofia e Formação Humana. Membro
Efetivo da Comissão Especial de Educação Digital da OAB/SP. Membro Efetivo da
Comissão Especial de Direito Digital e Compliance da OAB/SP. Membro das
Comissões de Direito do Consumidor, CONSEG e OAB vai à Escola, da Subseção da
OAB/Santana. Certificações em Tecnologia da Informação pela ITCERTS, do Canadá,
nos cursos de Ethical Hacking Essentials, Information Security Policy
Foundation e Infosec Foundation. Certificado pelas Academais do INPI (Instituto
Nacional de Propriedade Industrial) e World Intelectual Property Organization
(WIPO) no Curso Geral de Propriedade Intelectual. Certificações em Fundamentos
da Gestão de TI, Ética Empresarial, Processo de Comunicação e Comunicação
Institucional, todos pela FGV. Articulista nos Portais TI Especialistas,
Direito & TI, Profissionais TI, Yes Marília, Jurisway, Jusnavigandi e
Administradores. Palestrante e Pesquisador.
REFERÊNCIAS
CÔRREA,
Adriana Espíndola; LOUREIRO, Maria Fernanda Battaglin. Novo regulamento europeu é
reforço na proteção dos dados pessoais? (Parte 1). CONJUR. Atualizado em:
09.Jul.2018. Disponível em: https://www.conjur.com.br/2018-jul-09/direito-civil-atual-regulamento-europeu-ereforco-protecao-dados-pessoais.
Acesso em: 18/08/18.
GUSMÃO,
Gustavo. O que muda com a lei de proteção de dados brasileira aprovada por
Temer. OLHAR DIGITAL. Atualizado em: 14.Ago.2018. Disponível em: https://olhardigital.com.br/pro/noticia/o-que-muda-com-a-lei-de-protecao-de-dados-brasileira-aprovada-por-temer/77329.
Acesso em: 18/08/18.
G1. Governo de SP revoga portaria que possibilitava empresas contratarem
serviço com dados da população. Atualizado em: 14.Jun.2018. Disponível
em: https://g1.globo.com/sp/sao-paulo/noticia/governo-de-sp-revoga-portaria-que-possibilitava-empresas-contratarem-servico-com-dados-da-populacao.ghtml.
Acesso em: 19/08/18.
LUIZ, Gabriel. CPF em troca de desconto: MP investiga venda de dados de clientes por
farmácias. G1.
Atualizado em: 16.Mar.2018. Disponível em: https://g1.globo.com/df/distrito-federal/noticia/cpf-em-troca-de-desconto-mp-investiga-venda-de-dados-de-clientes-por-farmacias.ghtml.
Acesso em: 19/08/18.
MASSENO,
Manuel David. Regulamento Geral sobre Proteção de Dados: alguns tópicos fundamentais.
IBEJA. Sem data. Disponível em: http://ipbeja.academia.edu/ManuelDavidMasseno.
Acesso em: 18/08/18.
MOREIRA,
André de Oliveira Schenini. A lei de proteção de dados pessoais da
União Europeia (GDPR) e sua aplicação extraterritorial às entidades e empresas
brasileiras. MIGALHAS. Atualizado em: 24.Out.2017. Disponível em: https://www.migalhas.com.br/dePeso/16,MI267772,81042-A+lei+de+protecao+de+dados+pessoais+da+Uniao+Europeia+GDPR+e+sua.
Acesso em: 19/08/18.
PINHEIRO, Patricia Peck. Direito Digital. 6ª Edição, São Paulo: Saraiva, 2016.
SAGE. Regulamento
Geral sobre Proteção de Dados (RGPD): Guia prático da SAGE para empresas. 2017.
Disponível em: https://www.sage.pt/~/media/markets/pt/rgpd/images/GuiaPratico_GDPR.pdf.
Acesso em: 19/08/18.
VALENTE, Jonas. Legislação da proteção de dados já é uma realidade em outros países.
AGÊNCIA BRASIL.
Atualizado em: 07.Mai.2018. Disponível em: http://agenciabrasil.ebc.com.br/politica/noticia/2018-05/legislacao-de-protecao-de-dados-ja-e-realidade-em-outros-paises.
Acesso em: 19/08/18.
[1] Disponível em: https://www.tecmundo.com.br/seguranca/129236-vazamento-dados-uber-atingiu-196-mil-brasileiros.htm. Acesso em: 19/08/18.
[2] Disponível em: https://g1.globo.com/df/distrito-federal/noticia/netshoes-ligara-para-2-milhoes-de-clientes-afetados-por-vazamento-de-dados.ghtml. Acesso em: 19/08/18.
[3] Disponível em:
https://meiobit.com/274508/hackers-roubam-dados-40-milhoes-cartoes-target/.
Acesso em: 19/08/18.
[4] Disponível em: https://g1.globo.com/economia/tecnologia/noticia/cambridge-analytica-registra-pedido-de-falencia-nos-eua-apos-escandalo-com-facebook.ghtml.
Acesso em: 19/08/18.