Imagine-se fazendo uma entrevista de emprego e você descobre que a empresa havia coletado suas informações pessoais como histórico de saúde, opção sexual, etnia, e que, devido a isso, você foi eliminado da vaga.
Diante desse contexto, a dimensão dos direitos humanos preocupa-se com o princípio universal que a sociedade procura, e busca garantir à todos os indivíduos, diante da sua evolução histórica, a dignidade da pessoa humana.
A quarta geração de direitos foi marcada pelo avanço da tecnologia e, ao analisar esse avanço, foi necessário prevenir os malefícios que esta poderá trazer para o futuro da humanidade. Para isso, os valores morais compartilhados pela sociedade e positivados pela legislação podem e devem conservar e proteger as informações que dizem respeito ao cidadão enquanto sujeito de direitos, visto que o titular das informações tem direitos com relação aos seus dados pessoais, pois esses dados são expressões que fazem parte da sua própria persona.
A criação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, e reflete acerca do intento de proteção da dignidade da pessoa humana, basilar dos direitos humanos.
Para tomada de decisões, muitas empresas se utilizam de dados que circulam no ambiente virtual e a exposição de dados em larga escala, chamado de bigdata, e isso será cada vez mais frequente.
A LGPD surge com o propósito de garantir a privacidade de dados pessoais e regular maior controle sobre eles, tentando prevenir grandes vazamentos de informações e escândalos que envolvem o uso indevido de informações pessoais. Para tanto, a LGPD trouxe no Art. 2º, os fundamentos que disciplinam a proteção aos dados pessoais:
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - à inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais
Na legislação constitucional e infraconstitucional, os dados pessoais já eram tutelados juridicamente tanto pela Constituição como pelo Direito do consumidor.
Contudo, recentemente, o Senado Federal aprovou a PEC nº 17/2019 para incluir de maneira expressa a proteção de dados disponibilizados em meios digitais no rol das garantias individuais. O Marco Civil da Internet reconhece tal direito e a LGPD veio para regulamentar a proteção e a privacidade dos dados pessoais de modo a tornar possível seu exercício. Além da dignidade humana, a lei determinou que os agentes observassem dez princípios no momento em que os dados receberam tratamento segundo o Art. 6º:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.A LGPD é aplicada aos dados relacionados à pessoa, seja ela brasileira ou não, que esteja no Brasil no momento da coleta, e esse tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração conforme o artigo quinto, inciso dez.
Contudo, há exceções em que a LGPD não é aplicada, logo se os dados coletados forem para fins exclusivamente jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; e particulares. Depreende-se do texto que a lei só é aplicada quando a pessoa física ou jurídica gerencie as bases de dados com fins ditos econômicos.
A lei, em seu Art. 5º, traz a distinção quanto aos dados pessoais que são informações relacionadas a pessoa natural identificada ou identificável e dados pessoais sensíveis, que são chamados dessa forma devido ao tratamento diferenciado que deve ser observado a essas informações diante da discriminação que pode ser gerada em caso de vazamento ou manipulação indevida, dados esses que dizem respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Logo, as organizações que tratam dados pessoais sensíveis devem ter uma camada adicional de segurança a fim de evitar acessos indevidos ou vazamento desses dados, o que acarretaria um prejuízo maior aos titulares desses dados.
A palavra consentimento está descrita trinta e sete vezes na lei, isso revela a importância do consentimento do titular que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, para que haja o tratamento dos dados.
Logo, a própria lei traz o conceito no artigo quinto inciso sétimo e vale ressaltar que esse consentimento pode ser revogado a qualquer momento diante da alteração da finalidade dada ao tratamento dos dados pessoais, por isso é necessário renovar o consentimento do titular diante da mudança de finalidade.
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;Mas a lei trouxe algumas exceções onde os dados sensíveis podem ser manipulados sem o consentimento do titular no inciso dois do artigo sétimo em diante:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinenteContudo a referida lei informa que se os dados forem manifestamente públicos pelo titular os agentes não precisarão de consentimento para o tratamento desses dados, todavia os agentes devem considerar a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular e os princípios que justificaram sua disponibilização segundo o artigo sétimo:
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.Destaca-se que a LGPD criou a Autoridade Nacional de Proteção de Dados (ANPD), disposta anteriormente na MP nº 869/18, como parte da Política Nacional de Proteção de Dados Pessoais e Privacidade. Trata-se de um órgão da administração pública federal indireta, em regime de autarquia especial, com os objetivos de: zelar pela proteção de dados pessoais; fiscalizar e aplicar sanções administrativas; promover e divulgar informações sobre normas acerca da proteção de dados pessoais e medidas de segurança; e promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países; dentre outras competências. Qualquer pessoa natural que seja titular de dados pessoais poderá peticionar contra a empresa ou a instituição governamental que controle seus dados à ANPD acerca de violação às normas de proteção de dados.
É importante observar que diante de algum conflito no manipulação de dados a LGPD estabeleceu que a empresa eleja uma pessoa para ser encarregada que será responsável pelo atendimento das demandas do titular dos dados, ele também é chamado de Data Protection Officer (DPO) e a comunicação entre a empresa e a autoridade nacional de proteção de dados. A lei traz ainda outros conceitos de atores envolvidos no tratamento dos dados pessoais. A competência das decisões referentes ao tratamento de dados pessoais é do controlador, seja ela pessoa natural ou jurídica de direito público ou privado. Já quem realiza o tratamento desses dados segundo a lgpd é o operador que é pessoa natural ou jurídica de direito público ou privado em nome do controlador. Tanto o controlador como o operador podem ser responsabilizados em caso de não observância da lei, é o que diz o
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
Essa não observância pode trazer, além de prejuízos financeiros, outros danos graves às organizações, como por exemplo a repercussão negativa na publicização da infração, manchando assim a reputação da empresa ou até mesmo a paralisação dela. A área da Saúde certamente é o setor que está mais vinculado aos dados pessoais considerados sensíveis pela LGPD. Os dados de saúde são propriedade de seu titular, o paciente, e não do profissional ou da organização de saúde. A obtenção, tratamento, transmissão e descarte dos dados pessoais de saúde dos pacientes, trata-se apenas de uma autorização legal de acesso justificado que decorre do dever de prestação de assistência e é limitado pela obrigação de guarda e sigilo, conforme artigos 17 e 18 da LGPD:
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Além das sanções administrativas e diante da responsabilização dada aos agentes, eles poderão responder solidariamente pelos danos causados ao titular e é importante destacar tanto o artigos 42 que assegura o dever de reparar o dano com indenização e a possibilidade no âmbito civil de inversão do ônus da prova bem como o artigo 43 que traz a exclusão da responsabilidade dos agentes em algumas hipóteses:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no art. 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.Segundo o inciso dezesseis do artigo quinto da LGPD o uso compartilhado de dados se dá com a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. Contudo há uma ressalva no compartilhamento dos dados considerados sensíveis segundo o Art. 11, II, alínea g, § 3º: A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
É necessário frisar que é importante não confundir os artigos relacionados ao tratamento dado aos dados pessoais e o compartilhamento desses dados. A referida lei regula tanto o tratamento como o uso compartilhado de dados pelo poder público:
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)
II - VETADO
III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades
Embora a lei já tenha entrado em vigor, alguns artigos não entraram em vigência que são os arts. 52, 53 e 54 que estabelecem as sanções administrativas provenientes da não observância da lei, ou seja as empresas que vazarem os dados sigilosos das pessoas ainda não irão sofrer nenhum tipo de sanção pela lei de proteção de dados até agosto de 2021, mês em que esses artigos entrarão em vigor. Contudo, em casos de irregularidades, inconformidades legais ou atos ilícitos, o titular dos dados também poderá exercer seus direitos em juízo, caso haja a necessidade da reparação pelos danos materiais ou morais sofridos.
As sanções administrativas serão aplicadas pela autoridade nacional de proteção de dados no art. 52 da LGPD e são as seguintes:
I. advertência, com a indicação de prazo para a adoção das medidas corretivas;
II. multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III. multa diária, observado o limite total da multa simples;
IV. publicização da infração (apenas quando for devidamente apurada e confirmada a sua ocorrência);
V. bloqueio dos dados pessoais objeto da infração, até a sua regularização;
I.eliminação dos dados pessoais objeto da infração;
II. suspensão parcial do funcionamento do banco de dados objeto da infração, pelo período máximo de 6 meses, prorrogável por mais 6 meses, até a regularização da atividade de tratamento pelo controlador;
III.suspensão do exercício da atividade de tratamento dos dados pessoais objeto da infração pelo período máximo de 6 meses, prorrogável por mais 6 meses;
IV. proibição parcial ou total do exercício de atividades de tratamento de dados pessoais.A LGPD condiciona a imposição de qualquer uma dessas sanções à instauração de processo administrativo, com o exercício prévio da ampla defesa pelo suposto infrator (art. 52, § 1º).
Para que a empresa não sofra futuras sanções é necessário que haja um compliance nesse sentido, com a finalidade de estabelecer um plano de ação para que a empresa esteja em conformidade com a lei.
A LGPD não estabelece a segurança na proteção desses dados, contudo é necessário no mínimo que eles estejam criptografados em caso de invasão de cibercriminosos. Existem empresas já adequadas à lei LGPD que armazenam esses dados em nuvem. Logo, é de extrema importância que a empresa saiba a origem, a finalidade e que o consentimento do titular dos dados coletados para uma finalidade, bem como o controle de acesso desses dados para que a empresa não venha sofrer nenhuma sanção administrativa ou responsabilidade civil.
Diante das linhas gerais apresentadas sobre a LGPD, vamos responder a questão apresentada?
A Lei Geral de Proteção de Dados dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Com relação às disposições legais contidas no referido ato normativo, julgue o item.
O tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento por seu titular, mesmo que este os tenha tornado manifestamente públicos.
E aí certo ou errado? Se você leu o texto atentamente, você sabe que a questão está errada, pois diante de dados manifestamente públicos não é necessário o consentimento por parte do seu titular.
Sabrina Santos
Advogada
*Este artigo é produzido com o apoio do Fundo Baobá, por meio do Programa de Aceleração do Desenvolvimento de Lideranças Femininas Negras: Marielle Franco. Ele reflete a opinião da Abayomi Juristas Negras e não dos apoiadores que contribuíram com sua produção.
Referências:
Lei geral de proteção de dados pessoais (lgpd). Planalto, 2021. Disponível em: <.http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: domingo, maio de 2021.
Guia de boas práticas na lei geral de proteção de dados (lgpd). Governo digital, 2021. Disponível em: <Https://www.gov.br/governodigital/pt-br/governanca-de-dados/guialgpd.pdf>. Acesso em: domingo, maio de 2021.
Novidade sobre a LGPD. Escola do terceiro setor, 2021. Disponível em: <.https://ead.escolaaberta3setor.org.br/courses/novidades-sobre-a-lgpd>. Acesso em: domingo, maio de 2021.
LGPD e privacidade. Escola do terceiro setor, 2021. Disponível em: <.https://ead.escolaaberta3setor.org.br/courses/lgpd-e-privacidade>. Acesso em: domingo, maio de 2021.
Perguntas frequentes sobre a Lei Geral de Proteção de Dados. SENAI, 2021. Disponível em: <.https://www7.fiemg.com.br/publicacoes-internas/LGPD%20FAQ>. Acesso em: domingo, maio de 2021