Esta lei de proteção de dados pessoais impacta diversas empresas nos setores de telecomunicações, aplicações de internet, tais como redes sociais, mecanismos de busca, sites de compartilhamento de vídeos, instituições financeiras, empresas de pagamentos eletrônicos, startups no setor de governo e tecnologias (govtech), empresas de marketing digital, hospitais, dentre outros.
O Brasil aprovou lei 13.709/18 sobre a proteção de dados pessoais.
O ato normativo contém regras para os setores público e privado, quanto à coleta, processamento, tratamento e compartilhamento de dados pessoais.
Mas, recentemente, o presidente da República, apontou diversos vetos ao projeto de lei aprovado pelo Congresso Nacional. Dentre estes vetos: a criação da agência reguladora de dados pessoais (arts. 55 a 59), as regras de compartilhamento de dados entre administração pública e empresas privadas (art. 23, inc. II, art. 26, inc. II, §1º e art. 28), sanções de suspensão parcial ou total do funcionamento de banco de dados e suspensão do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (art. 52, incs. VII, VIII e IX). Estes vetos serão analisados mais à frente neste texto.
A lei sobre proteção de dados pessoais está adaptada ao contexto da evolução das tecnologias, baseadas em plataformas digitais, big data, inteligência artificial, machine learning(aprendizagem de máquinas, mediante códigos).
Destaque-se que a regulação legislativa do tema é fundamental, pois a autorregulação empresarial é insuficiente para resolver as questões complexas, relacionadas à proteção de dados pessoais.
Vide, a título ilustrativo, o escândalo entre o Facebook e a empresa Cambridge Analityca em matéria de coleta indevida de milhões de dados pessoais de usuários da referida rede social, bem como dados pessoais de terceiros.
Nos Estados Unidos, houve também a notícia sobre ação de indenização de particular contra o Google pelo monitoramento ilegal de milhões de usuários de Iphone e Android. Segundo a ação judicial, o Google não desativa o histórico de localização do usuário. Esta prática comercial é contrária às leis de privacidade do Estado da California, conforme aponta o autor da ação. Este é um típico caso relacionado à proteção à privacidade e ao dado pessoal.
Também, a imprensa noticia, frequentemente, a invasão de banco de dados pessoais e o vazamento destes dados, sob responsabilidade do poder público e de empresas privadas.
No Brasil, por exemplo, foi noticiada falha de segurança no aplicativo E-Saúde, do Ministério da Saúde, com a exposição de dados pessoais de milhares brasileiros que utilizam o Sistema Único de Saúde, com a exibição de informações médicas do paciente, histórico de utilização de medicamentos e consultas na rede pública de saúde.
Este tema está inserido no contexto de riscos de ataques cibernéticos por hackers, com ameaças à segurança e privacidade dos dados pessoais. Portanto, a lei tem o propósito de evitar este tipo abuso contra os direitos à proteção dos dados pessoais.
Dados pessoais são informações sobre sua vida privada (identidade, imagem, localização, e saúde, entre outros), a vida financeira (existência de dívidas com bancos, cartões de crédito, Serasa, etc.), entre outros aspectos.
Atualmente, os bancos de dados pessoais são fonte de valor econômico para as empresas privadas. Para o setor público, é fundamental para a realização de políticas públicas, em diversas áreas, como, por exemplo, saúde pública.
Dados pessoais sensíveis, conforme a referida lei, em seu art. 5º, II, são aqueles relacionados à origem racial ou étnica, crenças religiosas, opiniões políticas, filiações a sindicatos ou organização religiosa, dados relativos à saúde, dados genéticos ou biométricos, orientação sexual.
Como fundamentos da lei brasileira de proteção de dados, em seu art. 2º: o respeito à privacidade, autodeterminação informativa, liberdade de expressão, de informação, de comunicação e de opinião, inviolabilidade da intimidade, da honra e da imagem, desenvolvimento econômico e tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, entre outros.
A lei é aplicável às operações de tratamento de dados pessoais, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, os dados pessoais objeto do tratamento tenham sido coletados no território nacional (art. 3º, in. I, II e II). E, ainda, consideram-se coletados no território nacional os dados pessoais, cujo titular nele se encontre no momento da coleta (art. 3º, §1º).
Esta lei de proteção de dados pessoais impacta diversas empresas nos setores de telecomunicações, aplicações de internet, tais como redes sociais, mecanismos de busca, sites de compartilhamento de vídeos, instituições financeiras, empresas de pagamentos eletrônicos, startups no setor de governo e tecnologias (govtech), empresas de marketing digital, hospitais, dentre outros.
Por exemplo, no âmbito financeiro, há a tendência de abertura dos dados bancários (open banking) para facilitar a concorrência no setor. Assim, se devidamente regulada a questão pelo Banco Central, os bancos tradicionais deverão compartilhar dados pessoais dos correntistas com empresas de financiamento e de crédito, tais como as startups denominadas fintechs.
No âmbito empresarial, a aplicação da lei cria demandas para a contratação de profissionais executivos responsáveis pela gestão de banco de dados. Cria-se, também, a demanda pela criação de regras de compliance e respectivos órgãos de aplicação dentro do ambiente empresarial.
Também, esta lei federal é aplicável ao setor público, com a previsão de regras sobre o compartilhamento de dados pessoais, em banco de dados administrados por órgãos públicos. Exemplo: dados das pessoas cadastradas no sistema único de saúde.
A lei em análise, porém, não se aplica ao tratamento de dados pessoais: realizado por pessoa natural para fins exclusivamente particulares e não econômicos, realizado para fim exclusivamente jornalístico e artístico ou acadêmico, ou realizado para fins exclusivos de segurança pública, defesa nacional, segurança dos dados ou atividades de investigação e repressão de infrações penais, art. 4º.
No contexto da regulação internacional, na Europa, há o Regulamento Geral de Proteção de Dados Pessoais (GDPR). Em cada país europeu, há uma autoridade reguladora de proteção de dados pessoais.
Lá, há dúvidas quanto à aplicação da legislação europeia. Empresas de publicidade online, que utilizam dados pessoais como a localização dos usuários dos aplicativos em aparelhos celulares, estão preocupados a respeito das regras de compliance a serem adotadas. Por outro lado, as empresas de mídia estão buscando alternativas para enfrentar a disputa com as empresas de tecnologia, focadas em publicidade digital.
Diversamente, nos Estados Unidos, não há uma lei geral de proteção de dados pessoais. Lá a Federal Commerce Comission, a agência reguladora do comércio norte-americano encarregada de velar pelas práticas leais entre empresas e consumidores, regulamenta a questão dos dados pessoais dos consumidores, como aplica sanções contra eventuais abusos cometidos contra os direitos dos consumidores. Por exemplo, existem inúmeros acordos impostos pela Federal Commerce Commission, em matéria de proteção à privacidade dos consumidores, celebrados com o Google e o Facebook.
Há na lei acima referida a previsão dos requisitos para o tratamento dos dados pessoais, mediante o fornecimento de consentimento pelo titular. Ou seja, o consentimento do titular do dado pessoal é condição para a utilização válida, perante a lei.
Segundo a lei em análise em seu art. 5º, X, o tratamento de dado pessoal é a operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Dentre os princípios para as atividades de tratamento de dados pessoais, previstos no art. 6º: a finalidade (identificação do propósito legítimo e específico informado ao titular), adequação (compatibilidade do tratamento com as finalidades informadas ao titular), necessidade (limitação do tratamento mínimo necessário para a realização de suas finalidades, livre acesso (garantia aos titulares de consulta facilitada e gratuita sobre forma e duração do tratamento) qualidade dos dados (garantia de exatidão, clareza, relevância e atualização dos dados, conforme a necessidade e cumprimento da finalidade do tratamento), transparência (garantia aos titulares de informações claras, precisas e acessíveis sobre a realização do tratamento, observados os segredos comercial e industrial”.
É permitido o tratamento de dado pessoal para o cumprimento de obrigação legal ou regulatória pelo responsável. Por exemplo, dados pessoais de empregados, tais como nome, endereço, férias, salários, benefícios, licenças, para fins de cadastramento obrigatório perante às autoridades públicas (e-social). Outro exemplo, o compartilhamento de dados pessoais dos usuários dos serviços de telecomunicações e internet, entre as empresas privadas e a Anatel, para fins de política pública de comunicações.
Também, é autorizado o tratamento de dado pessoal pela administração pública na hipótese de uso compartilhado de dados necessários à execução de políticas públicas. Exemplo: a política pública de tributação, com o compartilhamento de dados pessoais dos cidadãos, para fins de arrecadação de impostos.
Igualmente, é autorizado o tratamento de dado pessoal para a proteção do crédito. Exemplo: o sistema nacional de proteção ao crédito (Serasa e SPC), utilizado no comércio, indústria e setor de serviços.
Outra hipótese é o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Ora, no contexto de processos eletrônicos, há demanda pelo tratamento adequado de dados pessoais, para fins de proteção a direitos, perante o Poder Judiciário e/ou Administração Pública.
Há capítulo próprio sobre o tratamento de dados sensíveis, em seu art. 11.
Por exemplo, neste aspecto, há a previsão da seguinte regra legal, no art. 11, §3º: “A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou regulamentação por parte de autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências”.
Este dispositivo legal pode ser aplicado, por exemplo, pela Agência Nacional de Saúde Suplementar (ANS), para restringir o compartilhamento de dados pessoais sensíveis, tais como a utilização de dados pessoais, em prontuários médicos e históricos clínicos que poderiam ser utilizados por planos de saúde, para verificar doenças pré-existentes.
O tratamento de dados pessoais de crianças e adolescentes somente poderá ocorrer com o consentimento específico por um dos pais ou responsável legal, conforme art. 14, §1º. Por exemplo, o acesso de crianças e adolescentes à plataforma do Youtube dependerá do consentimento de um dos pais.
O titular dos dados pessoais tem direito diante do responsável pelo tratamento dos dados pessoais de confirmar a existência do tratamento, de acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização (não identificação do titular), bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei, portabilidade dos dados pessoais a outro fornecedor e de serviço ou produto, eliminação dos dados pessoais tratados com o consentimento do titular, conforme previsto no art. 9º da lei.
Sobre o tratamento de dados pessoais pelo poder público, há o seguinte dispositivo legal: o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta lei.
Mas é vedado ao Poder Público transferir para entidades privadas dados pessoais constantes de base de dados a que tenha acesso, exceto, na hipótese de delegação de função pública a particular é possível o compartilhamento de dados pessoais, conforme prevê art. 6º, §1º, I. Também, é autorizado o compartilhamento na hipótese de previsão legal e a transferência de dados pessoais estiver fundamentada em contratos, convênios ou instrumentos similares.
Mas, segundo o veto presidencial, a exigência cumulativa (previsão legal e contratual) inviabiliza o funcionamento da Administração pública, pois “diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais, dentre outros”.
Também, na hipótese de acesso público aos dados pessoais é possível o compartilhamento, dentro dos limites da lei.
Segundo a lei 13.709/18, em seu art. 5º, inc. XVI, o uso compartilhado de dados é comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bando de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Conforme, veto do presidente da República, a vedação do compartilhamento, sobre a identificação dos dados pessoais de requerente de acesso à informação, inviabiliza o funcionamento da Administração Pública.
O veto cita, como exemplo, o compartilhamento do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais. O veto alega a inviabilização de atividades relacionadas ao poder de polícia administrativa, como, por exemplo, investigações no âmbito do Sistema Financeiro Nacional.
A comunicação e o uso compartilhado de dados pessoais entre pessoa de direito público e a pessoa de direito privado dependerá do consentimento do titular, com a exceção de dispensa do consentimento nas hipóteses legais, nos casos de uso compartilhado de dados, com ampla publicidade, conforme prevê o art. 27 da lei.
Porém, segundo o veto presidencial, a publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais entre órgãos públicos poderá inviabilizar o exercício regular de algumas ações públicas de fiscalização, controle e polícia administrativa”.
Nos termos da lei, o tratamento de dados pessoais pelo serviço notarial de registro deve seguir as regras aplicáveis ao setor público. Há, inclusive, a previsão de que estes serviços notariais e de registros devem fornecer o acesso aos dados para a administração pública, por meio eletrônico.
Empresas públicas e sociedade de economia mista que atuem em regime de concorrência devem seguir as regras aplicáveis às pessoas jurídicas de direito privado. Por exemplo, bancos públicos devem seguir as disposições desta lei em análise.
Há capítulo específico sobre a transferência internacional de dados pessoais, a partir do seu art. 33. É permitida a transferência internacional de dados pessoais para países ou organizações internacionais que possibilitem grau de proteção de dados pessoais adequado ao previsto na lei.
Também, é permitida a transferência internacional quando o responsável oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, conforme cláusulas contratuais específicas para a transferência. Igualmente, quando a transferência for necessária para cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, conforme o direito internacional. Quando a transferência for necessária para a proteção da vida ou integridade física do titular ou de terceiro.
No capítulo específico sobre segurança e boas práticas para proteção ao sigilo de dados, há a disposição sobre incidente de segurança, na hipótese na qual o responsável deverá comunicar ao órgão competente, em prazo razoável. Se necessário, o órgão competente poderá determinar ao responsável a ampla divulgação do fato em meios de comunicação e/ou medidas para reverter ou mitigar os efeitos do incidente.
Há, ainda, disposições legais sobre a responsabilidade e do ressarcimento de danos causados por controladores e/ou operadores de tratamento de dados pessoais. Há regras sobre a responsabilidade solidária entre o controlador e operador pelos danos causados ao titular do dado pessoal e as hipóteses de isenção da responsabilidade legal dos agentes de tratamento de dados pessoais, conforme art. 42.
Quanto à fiscalização das atividades de tratamento de dados pessoais, o art. 52 prevê diversas sanções administrativas em relação aos agentes de tratamento de dados: advertência, multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, limitada no total de R$ 50.000.000,00, publicização da infração após devidamente apurada e confirmada a sua ocorrência, o bloqueio de dados pessoais a que se refere a infração até a sua regularização, eliminação dos dados pessoais a que se refere a infração, suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, suspensão do exercício de atividade de tratamento de dados pessoais relativa à infração pelo período máximo de 6 meses, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O presidente da República vetou as sanções de suspensão parcial ou total do funcionamento do banco e de dados, bem como da sanção de suspensão do exercício de atividade de tratamento de dados pessoais e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Segundo o veto, estas sanções administrativas de suspensão ou proibição do funcionamento/exercício de atividade relacionada ao tratamento de dados podem ensejar “insegurança aos responsáveis por estas informações, bem como impossibilitar a utilização e tratamento de banco de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional”.
A lei cria a Autoridade Nacional de Proteção de Dados, sob o regime de autarquia federal, vinculada ao Ministério da Justiça.
Sem dúvida alguma, é fundamental uma agência reguladora autônoma especializada para regular o tema da proteção de dados pessoais. A especialização da matéria requer a criação da agência reguladora. A propósito, este é o modelo europeu, em cada país há uma agência reguladora de proteção de dados pessoais.
Porém, o presidente da República vetou este dispositivo que cria a agência reguladora de proteção de dados pessoais, sob o argumento de inconstitucionalidade formal, por vício de iniciativa nesta matéria reservada ao Chefe do Poder Executivo.
Segundo noticia a imprensa, o presidente da República encaminhará novo projeto de lei ou até mesmo medida provisória para a criação da agência nacional de proteção de dados.
Destaque-se que a falta de agência reguladora compromete a eficácia da execução da lei.
Sem dúvida alguma, a ausência de uma autoridade independente responsável pela fiscalização da lei é causa de desproteção aos dados pessoais.
Também, a lei prevê o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (art. 58 e 69).
Mas, estes dispositivos legais foram vetados pelo presidente da República.
Por último, a lei 13.709/18 modifica o Marco Civil da Internet, em dois aspectos.
De um lado, há a previsão do direito à exclusão definitiva dos dados pessoais, fornecidos pelos usuários a determinada aplicação de internet, ao final da relação entre as partes, excetuadas as hipóteses de guarda obrigatória de registros previstos na lei.
De outro lado, há o direito à exclusão definitiva de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, excetuadas as hipóteses previstas na lei.
A lei 13.709/18 entra em vigor 2020, dezoito meses após a sua publicação oficial (art. 65). Portanto, há prazo razoável para a adequação à normatividade legal.
A título de conclusão, a efetivação da lei brasileira de proteção de dados pessoais apresenta diversos desafios. Dentre eles, o veto à criação da agência nacional de proteção de dados pessoais. A melhor prática internacional, tal como previsto no modelo europeu, é no sentido da existência de agências reguladoras autônomas e eficientes, comprometidas com o interesse público. Daí a urgência na solução deste gravíssimo problema quanto à falta de agência reguladora para a proteção de dados pessoais.
Artigo publicado no portal jurídico Migalhas em 29/08/2018.