A NOVA LEI DE PROTEÇÃO DE DADOS PESSOAIS

Home / Não categorizado / A NOVA LEI DE PROTEÇÃO DE DADOS PESSOAIS

Foi sancionada em 14 de agosto de 2018 a Lei nº 13.709/2018, que dispõe sobre a proteção de dados pessoais e altera o Marco Civil da Internet. O objetivo da lei, conforme estabelece o seu artigo 1º, é dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais. Inspirada no Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, a lei surge com a expectativa de dispor, especificamente, sobre o recolhimento, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais, seja de pessoa física ou jurídica, no Brasil.

Em um momento em que as pessoas, cada vez, disponibilizam seus dados e metadados para cadastros em redes sociais, compras pela internet, registros em sites e contas de e-mails, a lei surge como uma tentativa de proteção da população brasileira da superexposição que os meios digitais permitem, especificamente a fim de manter o sigilo de dados.

Considerando o objetivo da lei, efetivamente ela parece se adequar a uma necessidade da idade da informação em que vivemos atualmente. Além disso, desde a intensificação de ataques terroristas marcada pela queda das Torres Gêmeas, o próprio Estado tem interesse em dados pessoais para garantia da segurança pública, como são exemplos o Patriotic Act estadunidense, ou as reiteradas decisões europeias sobre transferências internacionais de dados de passageiros de linhas aéreas e comunicações telefônicas[1].

[1]CAMARGO SANTOS, Coriolano Aurélio de Almeida e CRESPO, Marcelo.  A proteção aos dados pessoais no ordenamento jurídico brasileiro e o anteprojeto do Ministério da Justiça.

Dessa forma, se por um lado a lei em discussão ressalta os direitos que a fundamentam, como o respeito à privacidade, o direito de autodeterminação informativa, a livre iniciativa, os direitos humanos, por outro, ressalva, desde o seu artigo 4º, a garantia de tratamento de dados ao Estado para fins de segurança pública, defesa nacional, segurança do Estado e para permitir a investigação e repressão de infrações penais.

Em virtude da complexidade e tecnicidade do assunto, a lei traz também, em seu artigo 5º, um verdadeiro glossário de termos não familiares ao meio jurídico. Em um total de 29 (vinte e nove) palavras e expressões que ganham significado específico no contexto da lei, tem-se a exigência de um novo vocabulário para possibilitar a sua compreensão. A partir disso, o estabelecimento dos princípios que regem o tratamento de dados dá a toada dos 65 artigos da lei.

Os dados são, para fins da lei, divididos essencialmente em 3 tipos: os dados pessoais, referentes à pessoa identificada, como RG, CPF, profissão, estado civil e situação patrimonial; os dados sensíveis, que são referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico; e, por fim, os dados anonimizados, que não permitem a identificação do seu proprietário por si.

A partir da entrada em vigência da lei, o que deve acontecer apenas em fevereiro de 2020, o tratamento de dados por terceiros passa a ser restrito às hipóteses previstas na lei, dentre as quais o consentimento do titular, dado por escrito ou outro meio que demonstre a manifestação da vontade. Além disso, a lei traz outras hipóteses de autorização de tratamento de dados, que, por exclusão, independem do consentimento do seu titular. Afinal, precisa-se ter em mente que, além da autonomia da vontade, a lei se baseia, como já dito, em outros valores que considera superiores à autonomia da vontade. Assim, não é de se surpreender que o tratamento de dados seja possível até mesmo para a proteção do crédito, ou para a proteção da vida de terceiros.

Nos limites da autonomia da vontade, no entanto, que certamente norteará o uso de dados por empresas, a lei busca assegurar: que a pessoa esteja totalmente ciente de que está autorizando o tratamento de seus dados, quem será o responsável por esse tratamento, o que será feito com os dados, a liberdade para alterar os dados e, claro, a liberdade para revogar a autorização. Resta esperar que isso não se torne mais uma “janela” de Termos de Condições de Uso, com centenas de letras pequenas e um botão de “concordo” para clicar.

Independentemente da forma como os dados foram fornecidos para tratamento e do seu controlador (pessoa responsável pelo tratamento de dados), é direito de todos:

  • Confirmar a existência dos dados, com direito a acessá-los e corrigi-los;
  • Anonimizar, eliminar ou bloquear dados excessivos ou tratados ilegalmente;
  • A portabilidade de dados para outros fornecedores de produtos ou serviços;
  • Ser informado de que não é obrigado a consentir com o tratamento dos seus dados, de revogar os dados tratados com o seu consentimento, e de revogar o consentimento.

O exercício desses direitos poderá ser exercido mediante pedido direcionado diretamente ao Agente de Tratamento, ou seja, ao Operador ou ao Controlador, que são, nos termos do glossário mencionado, as pessoas responsáveis pelo tratamento de dados.

O dano causado a terceiros é, via de regra, motivo para indenização, conforme as regras já estabelecidas de responsabilidade civil. No entanto, talvez para reforçar a ideia, a lei em questão reafirma que “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”. De modo geral, a violação da privacidade da pessoa já é motivo suficiente para a caracterização de dano moral e o consequente dever de indenizar. A lei perde, no entanto, ótima oportunidade de nortear a valoração do dano, não fazendo mais do que confirmar a responsabilidade civil daquele que pratica conduta culposa que gera dano a terceiro.

Por fim, e tendo em vista que a criação de uma Autoridade Nacional de Proteção de Dados foi, corretamente, diga-se, vetada pelo Presidente da República, tem-se a última definição relevante da Lei, e que tratam da fiscalização e das sanções administrativas cabíveis.

Dentre as medidas cabíveis, não se vislumbra nenhuma criação inovadora. A rigidez das medidas, porém, é digna de nota. A multa prevista é “de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração”. Em defesa dos proprietários dos dados, porém, ganha destaque dentre essas medidas, já que, além da advertência e multa, surgem ainda as seguintes consequências:

  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Como se pode concluir, a lei traz, claramente inspirada pelo sistema europeu, uma inovação legislativa necessária para trazer ao nível legal a proteção constitucional dada à vida privada, à intimidade da pessoa, confirmando que os dados pessoais fazem parte dessa intimidade. Mais do que isso, e como não apenas as empresas possuem interesse nos dados da população, regula a relação Estado – Cidadão, protegendo esse da pesada influência daquele, sem, no entanto, descuidar das funções precípuas do próprio Estado, de garantir as relações interpessoais e a segurança, física e jurídica, da sua população.

Artigo escrito  pelo advogado Daniel Dammski Hackbart, especialista em Gestão Estratégica de Inovação Tecnológica e Propriedade Intelectual, integrante do escritório Marins de Souza, Leal & Olivari Advogados.

Fonte: Marins de Souza Leal e Olivari – Advogados

Leave a Reply

Your email address will not be published. Required fields are marked *